TRABAJO FINAL NORMAS Y ESTÁNDARES PARA LA GESTIÓN DE LA

SEGURIDAD DE LA INFORMACIÓN

RIESGOS EN INTELLI NEXT

DIANA PATRICIA BULLA ORJUELA

JOHN SEBASTIAN RODRIGUEZ GUEVARA

JULIAN DAVID ARDILA PUERTO

MARITZA GUEVARA TIBADUIZA

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C.

2021
 INTRODUCCIÓN

Las Organizaciones públicas y privadas se están adaptando, cada vez más, a las
tendencias tecnológicas. Los retos en esta era digital son mayores y por tanto,
existe un enorme esfuerzo corporativo para responder a este ritmo de avance;
tecnificando procesos y huyendo de modelos obsoletos que perturben su modelo
de negocio.

En esta carrera tecnológica se desarrollan varias necesidades tanto para las

empresas como para las personas y, como es de conocimiento, han marcado
diferencias sustanciales en cuanto a las calidades y prestación de diferentes
servicios.

Aunado a lo anterior, en medio de este periplo de convergencia tecnológica, se ha

desarrollado un llamado particular entre las organizaciones para agilizar procesos,
mejorar la experiencia de los usuarios y fortalecer, entre otros, los sistemas de
monitoreo, vigilancia y seguridad. Esta tecnificación supuso nuevas
responsabilidades frente al registro y administración de la información que para la
configuración de los diversos dispositivos es empleada.

Es así como a través del presente trabajo se estudiará a la empresa de tecnología

especializada en la automatización, gestión y control de los recursos físicos y
humanos: Intelli Next, se analizará la apropiación normativa y regulatoria de la
empresa, riesgos y vulnerabilidades frente a la protección de datos, manejo y
seguridad de la información.

ALCANCE ACTIVIDAD

Intelli next es una empresa con presencia en Colombia, Venezuela y Estados

Unidos, por tanto, para el desarrollo de la presente actividad se tendrá en cuenta
únicamente los servicios y productos ofrecidos en Colombia que estén en
plenamente desarrollados o en funcionamiento, y el estudio y/o análisis a lugar, se
realizará en el marco de las leyes y políticas nacionales estudiadas.

JUSTIFICACIÓN

Teniendo en cuenta la necesidad frente a la gestión, trazabilidad, monitoreo y

registro, soportado a través del control de acceso de las empresas en Colombia,
asociado a la identificación oportuna y eficaz de quienes ingresan a las mismas,
se requiere de la implementación de tecnología de punta que garantice un ingreso
seguro y oportuno soportado en una identificación ágil y acertada.

Todo lo anterior implementado sobre una metodología de análisis de riesgos que

garantice a través de las mejores prácticas la implementación de controles que
mitiguen la materialización de los riesgos asociados a las vulnerabilidades
identificadas en cada proyecto.
Como guía para la implementación de nuestros sistemas y productos de Intelli
Next se tiene en cuenta el cumplimiento de la siguiente regulación, dando alcance
a los artículos aplicable en cada uno de ellas

Artículo 15, Constitución Política del 91.

Ley 1266 de 2008
Ley 1581 de 2012
Ley 1273 de 2009
Ley 1928 de 2018

OBJETIVO GENERAL

Realizar un análisis frente a los estándares y normativas vigentes que permita a la

empresa Intelli Next reconocer riesgos frente a la protección de datos, manejo y
seguridad de la información.

OBJETIVOS ESPECÍFICOS

● Identificar la legislación aplicable de acuerdo con la actividad

económica de la empresa Intelli Next.
● Definir los procesos internos que representan riesgos en el manejo
de la información para la empresa Intelli Next.
● Estimar la probabilidad de ocurrencia del riesgo en el manejo de
información custodiada por la empresa Intelli Next y categorizar su
impacto.

METODOLOGÍA

Para la recolección de información se utilizó una metodología cuantitativa sobre

las cifras y manejo de datos; la cual consiste en analizar variables tratadas por la
empresa y adoptar distintos valores de acuerdo con el concepto emitido por la
legislación de Colombia y el estándar de la ISO 27001. A continuación, se
mencionan las actividades desarrolladas:

● Recopilación de información interna de la empresa

Se realizó una indagación en la página web de la empresa en mención, en

donde se encontró información puntual sobre su historia, misión, visión y
servicios ofrecidos. Mediante consultas al área de IT (Information
Technology) se pudo obtener un informe de los procesos por los cuales se
realiza la recopilación de datos de los clientes, contratistas y empleados.

● Recopilación de información externa

 Se realizó una búsqueda y análisis del precepto que involucran el habeas
data, Constitución Política de 1991 en su artículo 15, ley 1266 del 2008 y
ley 1581 del 2012 en la cuales se estandariza el uso y tratamiento de todos
los tipos de datos. Adicionalmente se contrastó los términos y conceptos en
los que se basa la ISO 27001 para determinar riesgos y vulnerabilidades
específicas.

● Encuentro para entrevista

Se solicitó con el representante de la empresa una reunión en la cual se

realizó una serie de preguntas en las cuales se indago sobre como es el
tratamiento de la información y el cumpliento de las nomas y estándares
regulados por las legislaciones de Colombia, para concluir el impacto de los
riesgos a los cuales están expuestos.

INFORMACIÓN DE LA EMPRESA

Intelli next es una empresa con presencia internacional, la cual se dedica a

implementar soluciones de tecnología en el sector de biometría por medio de
equipos de reconocimiento de huellas, rostros, iris, palmas y venas, el desarrollo
está orientado en sistemas de gestión de tiempo de asistencia, controles de
acceso y servicios tecnológicos. A lo largo del trayecto como empresa, se han
incorporado productos como el control de cámaras y alarmas en plataforma cloud
desarrolladas por la empresa.

Esta corporación cuenta con más de 10 años de experiencia en la industria de la

biometría, teniendo como aliados a fabricantes como Paradox, ZKTeco, entre
otros, que genera una gama de equipos de alta calidad, permitiendo el Desarrollo
del software propio de la empresa y así parametrizar y suplir cualquier necesidad
de los clientes.

PRODUCTOS Y SERVICIOS

Software:

1. Intelli Time: MIT, es un sistema de Control de Tiempos y Asistencias para

los empleados que laboran en su empresa, se encuentra alojado en la nube
lo cual le permite monitorear los marcajes en tiempo real de su personal,
configurar horarios y turnos rotativos, permisos, ausencias, múltiples
localizaciones, departamentos, contratistas y perfiles de usuarios de forma
manual o automática.
 2. Intelli Acces: MIA, le ofrece una solución fiable y robusta para la gestión
del control de acceso a sus instalaciones, el software cuenta con una
infraestructura escalable y moderna para la supervisión de la información y
monitoreo de eventos. Éste, se caracteriza por ser un módulo flexible y fácil
de utilizar, lo cual permite su adaptación a las distintas necesidades del
cliente

3. Intelli Guest: MIG, es una poderosa herramienta desarrollada bajo

plataforma web, que le permitirá gestionar y controlar la recepción de
visitantes a diferentes áreas de su empresa u organización, brindándole la
posibilidad del monitoreo constante y en tiempo real, desde cualquier parte
del mundo ingresando desde su teléfono celular, tablet o computador.

4. Intelligent CCTV: MIC, herramienta que se encuentra en desarrollo.

Productos:

1. Control de Asistencia:

Intelli next ofrece una amplia gama de equipos integrados a nuestra plataforma
MyIntelli para gestionar el control de asistencia de sus empleados, los cuales
poseen múltiples funcionalidades para la gestión y el control de tiempos laborados,
lo que nos da como resultado un producto integral. Disponemos además de las
mejores marcas existentes en el mercado con equipos de muy alta calidad que
cuentan con gran robustez y confiabilidad.

a. Reconocimiento Facial: Speed face, proface x, MB460ID, Multibiométrico

G3

b. Huella Dactilar: Xenio T250, Xenio R700, Multibiométrico G1;

Multibiométrico G2

c. Accesorios: Enrolador H. multiespectral, Enrolador H. óptico, enrolador de

H. SILKID, digital persona, enrolador de tarjetas, tarjetas de proximidad
EM/MIFARE, cámara web logitech, pad de firmas.

2. Control de Acceso

Intelli next ofrece una amplia gama de equipos integrados a nuestra plataforma
MyIntelli para gestionar los ingresos de personas y vehículos a través de
diferentes tipos de autenticación y métodos de acceso. Disponemos además de
las mejores marcas existentes en el mercado con equipos de muy alta calidad que
cuentan con gran robustez y confiabilidad

2.1. Control Peatonal

 a. Terminales biométricos: Xenio AC250, Speed face, proface, lectora
FR1500, lector PROID 10BE, Lector PROID 30 BE, Controladora
260/460

b. Cerraduras electrónicas: Huella, tarjeta y clave AL20B, Huella y

tarjeta ML10, Inalámbrica H100

c. Torniquetes: Tipo pedestal TS1000, tipo puente TS200,

discapacidad SBT1000S, doble tipo puente TS2222, doble tipo
pedestal TS1222, piso techo woltor III, alas de angel FBL4022

d. Puertas automáticas: Motor puerta deslizante 80 kg, corredera

tráfico bajo 60 kg, corredera tráfico bajo 40 kg, brazo tráfico alto 120
kg.

2.2. Control Vehicular:

a. LRP: Reconocimiento de placas

b. UHF: Lectora UHF 210F

c. Talanqueras: Talanquera alto tráfico QIKB37M1, talanquera

PB4130L, talanquera con LED - LRLED

d. Motores: Motor porton corredizo, puerta batiente 200 kg, puerta

batiente 300 kg, puerta batiente 400 kg, puerta batiente 600 kg

e. Accesorios: Electroimán 300/600/1000 lbs, soportes electroimán U -

L - Z - ZL, lector cédula, tarjetas de proximidad, EM/MIFARE, tag de
proximidad tipo llavero, impresora de stickers, cinta de transferencia,
stickers, pad de firmas, cantonera, perno eléctrico, botón salida
metálico, botón no touch, botón salida de emergencia, tarjeta
reguladora de alimentación, batería 12V 4Ah - 7Ah, dongle de
configuración, hub de comunicación, tag UHF para parabrisas.

3. CCTV:

Intelli Next ofrece en su portafolio equipos para circuitos cerrados de televisión

(CCTV): cámaras tipo domo, cámaras tipo PTZ, DVR, NVR y accesorios de
seguridad los cuales se integran con nuestro software para gestionar el monitoreo
en tiempo real de sus cámaras instaladas y resguardar la información de las
grabaciones en servidores Cloud, de esta manera evitará pérdidas de información
por hurto o daños en los dispositivos. Disponemos de las mejores marcas
existentes en el mercado, equipos de muy alta calidad que cuentan con gran
robustez y confiabilidad.
 a. NVR: IP 8MP 4CH - 16CH Analíticas

b. Domos: IP 2-4-5 MP con analíticas

c. Balas: IP 2-4 MP con analíticas

d. PTZ: IP 2-5-8MP

e. Panorámica: IP 3-8 Lentes con PTZ

f. Accesorios: Monitor industrial 19”, 20.7”, 32”, 43”, monitor LED 43”,
55”, memoria micro SD 16GB- 64GB,disco duro 1-10TB, video balum
BNCA-RJ45, Switch poe no administrable, fuente de poder 4 en 1.

4. Alarmas:

Intelli Next ofrece en su portafolio equipos para sistemas de alarmas (panel,

teclados, sensores, comunicadores y accesorios) los cuales podrá gestionar a
través de la interfaz de nuestro software, donde tendrá el acceso a activar y
desactivar las alarmas, recibir notificaciones de las incidencias por medio de
mensajería de textos, correos electrónicos o directamente en el sistema.
Disponemos de las mejores marcas existentes en el mercado, equipos de muy alta
calidad que cuentan con gran robustez y confiabilidad.

a. Panel: Consola SP de 16 a 32 Zonas

b. Teclados: 32 caracteres visualización de zona, 10 zonas LED

cableado, LCD 32, LCD inalámbrico 32 zonas

c. Sensores: contacto magnético inalámbrico puerta, contacto

magnético para ventanas, detector de rotura de cristal inalámbrico,
detector de movimiento inalámbrico, detector de humo convencional,
detector de humo inalámbrico techo, detector de movimiento dual,
detector infrarrojo cableado, detector dual inalambrico
d. Comunicadores: DX SAM 2g/3g/ WIFI, Módulos internet IP 2G 3G
4G SMS

e. Accesorios: Gabinete metálico para alarma, módulo interfaz de

comunicación, cable programación para comunicador, transformador
12V 5 AMP, módulo expansor 8 zona, transformador 16V, protector
caja fuerte, módulo expansión inalámbrica

5. Central de incendios:

Intelli Next ofrece en su portafolio equipos para centrales de incendio (panel,

sensores, estaciones, sirenas y accesorios) y la integración con nuestro software,
el cual le permitirá realizar el registro y control permanente de los cambios de
estado generados por las centrales de incendio en tiempo real, siendo posible
recibir las notificaciones de las incidencias a través de mensajes de textos, correos
electrónicos o directamente en el sistema. Disponemos de las mejores marcas
existentes en el mercado, equipos de muy alta calidad que cuentan con gran
robustez y confiabilidad.

a. Panel: panel direccional, panel convencional, panel direccionable,

detección de incendio

b. Sensores: detector direccionable, detector convencional

c. Estaciones: Estación manual convencional, estación manual

direccionable

d. Sirenas: Sirena convencional, Sirena direccionable

e. Accesorios: Cubierta plástica, base sensor, batería 12V 4AH - 7AH

SEDES

COLOMBIA:

Bogotá - Colombia
Carrera 11 # 94-02, Oficina 109
info@intelli-next.com
tel:+57 (1) 695 6100

VENEZUELA:

Maracay
Av. 19 de Abril, Torre Cosmopolitan, Piso 12, Ofic. Nº. 124
info@intelli-next.com
tel:+ 58 (243) 248 0373

ESTADOS UNIDOS

Miami - Florida
1550 Brickell Avenue
info@intelli-next.com
tel:+1 (305) 456 9220
 ANÁLISIS PESTEL

Misión

Brindar soluciones integrales para el control de los recursos físicos y humanos,

que generen bienestar en nuestros clientes, soportados con la mejor tecnología
permitiendo así la optimización y eficiencia de sus procesos.

Visión

Ser una empresa de servicios integrales reconocida por su arquitectura

tecnológica especializada en automatización, gestión y control de diversas
soluciones que cambien la vida cotidiana y el ámbito empresarial; contribuyendo
así en el avance tecnológico global con nuestra innovación permanente.
entrevista Sebastian

En este capítulo se encuentra una breve recapitulación de una entrevista realizada

a los dos dueños de Intelli Next, en la cual se exponen ciertas preguntas de ámbito
de seguridad de información, de la historia de la empresa y diversos temas
técnicos.

Intelli Next es una empresa que inicio(se creó) en 2012,se dedicaban a vender
controles de biometría y acceso los cuales se traían desde usa(instalan software
de los biométricos), En 2014 se empezó a implementar la integración entre los
biométricos que ellos tenían con desarrollos propios(aplicativo Sistapro), 2016 se
migraron a colombia y lograron abarcar un gran mercado en el país, con estos
beneficios se implementaron varios desarrollos para la plataforma digital la cual
incluía desarrollo para camaras y alarmas perimetrales, desarrollaron esta
plataforma con un enfoque de hub o centralizador de varios dispositivos.

Todas las soluciones que ofrece Intelli next se manejan en con un enfoque
SAAS(Software as a Service). Se enfocan en seguridad electrónica, se refiere a un
enfoque perimetral.

La empresa Intelli next manejan dato sensible público, para especificar ellos no
guardan la huella, realizan un template de la huella para salvaguardar la
información, se genera un array matemático para no guardar la imagen de la
huella.

Dentro de la empresa se manejan varias politicas de tratamientos de datos, se

especifica en la página web se encuentran definidas las políticas

La empresa Intelli next especifica que no están certificados en la 27001, se

asegura que empezarán el proceso de certificación muy pronto, no se tiene
cronograma pero está en los proyectos cercanos.

Antes de capturar algún dato sensible, se realiza la firma de autorización de

manejo de datos con la persona dueña del dato, estas autorizaciones son
resguardadas en el servidor del aplicativo, los datos son encriptados y
resguardados por intelli next.

Para garantizar la autorización del tratamiento de datos Intelli next realiza un

contrato con las empresas(clientes), en el contrato se especifica que la empresa
intelli next va a resguardar los datos, según la empresa cliente se solicita firmas a
la persona dueña de los datos y hay otras que no realizan esta solicitud, Intellinext
especifica que algunas empresas no lo realizan por la disponibilidad de recursos.
Intelli next propone a sus clientes qué es importante cumplir con las políticas de
autorización de datos.

Se realizan cláusulas de confidencialidad con los empleados de intelli next,

dependiendo el cargo se genera un consentimiento informado donde se pone
cláusulas de confidencialidad, manejan dos tipos de contrato con los empleados
de intelli next donde un contrato es con la empresa intelli next directamente, y otra
con la empresa cliente el cual se realiza por solicitud de la empresa, cualquier
solicitud de soporte genera una autorización de parte del cliente para verificacion
de informacion.

El responsable de los datos, el resguardo es la persona jurídica, en este caso el

representante legal es el CEO de la compañía. El acceso y circulación de los
datos está controlado por auditoría y trazabilidad de datos, en cada registro se
genera una firma digital.
Se tienen abogados que generan registro de la marca para la protección de la
propiedad intelectual.
El principio de seguridad es muy importante para intelli next puesto que la
SIC(Superintendencia de Industria y Comercio) les solicita ciertos requisitos para
vender software, como su producto principal es un aplicativo de tratamiento de
datos, ellos cumplen los principios de seguridad requeridos por la entidad.

La compañía Intelli next verificó a cuáles de los siguientes conceptos que se

sugieren en la norma ellos utilizan para la autorización de datos:
a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del
mismo.
- Si, en el pad de firmas existe un texto donde se define el objetivo y los
datos que se adquieren.
b) El carácter facultativo de la respuesta a las preguntas que le sean hechas,
cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y
adolescentes;
- La empresa no maneja este tipo de información puesto que los datos son
de personas mayores de edad.
c) Los derechos que le asisten como Titular
- No, se maneja desde un hablador, se maneja desde el contrato con la
empresa final
d) La identificación, dirección física o electrónica y teléfono del Responsable del
Tratamiento.
- No se tiene asignado, quieren verificar para implementarlo lo más pronto
posible.
La empresa intelli next maneja procedimientos del tratamiento
reclamos, consultas, requisitos de procedibilidad, pero no es su deber puesto que
la empresa no es la dueña de la responsabilidad de los datos, el cliente es el que
maneja el procedimiento del tratamiento de los datos.

Intelli next responde a los deberes que debe tener el dueño del dato los cuales son
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de
hábeas data;
Si
b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la
respectiva autorización otorgada por el Titular;
Si, se maneja en los contratos con el cliente
c) Informar debidamente al Titular sobre la finalidad de la recolección y los
derechos que le asisten por virtud de la autorización otorgada;
Si
d) Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
fraudulento;
Si
e) Garantizar que la información que se suministre al Encargado del Tratamiento
sea veraz, completa, exacta, actualizada, comprobable y comprensible;
Si
f) Actualizar la información, comunicando de forma oportuna al Encargado del
Tratamiento, todas las novedades respecto de los datos que previamente le haya
suministrado y adoptar las demás medidas necesarias para que la información
suministrada a este se mantenga actualizada
Si
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al
Encargado del Tratamiento;
Si
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos
cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en
la presente ley;
Si
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las
condiciones de seguridad y privacidad de la información del Titular;
Si
j) Tramitar las consultas y reclamos formulados en los términos señalados en la
presente ley;
Si
k) Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la presente ley y en especial, para la atención de
consultas y reclamos;
Si
l) Informar al Encargado del Tratamiento cuando determinada información se
encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo;
No puesto que no son los encargados del dato
m) Informar a solicitud del Titular sobre el uso dado a sus datos;
Si
n) Informar a la autoridad de protección de datos cuando se presenten violaciones
a los códigos de seguridad y existan riesgos en la administración de la información
de los Titulares.
No les ha ocurrido, pero si se tiene el protocolo de prevención
o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de
Industria y Comercio.
Si

Los riesgos acogidos y provistos en la ley para las empresas que se acogen a la
protección de datos son los siguientes, a los cuales Intelli next respondió:

*Acceso abusivo a un sistema informático

Se tienen técnicas de prevención de ataques las cuales están implementadas en
el software de Sistapro.
*Obstaculización ilegítima de sistema informático o red de telecomunicación.
Se tiene previsto hacer un acceso certificado por la arquitectura de red.
*Interceptación de datos informáticos.
Protocolo tls para la certificación y codificación del dato.
*Daño Informático.
los accesos son pocos y las personas que tienen acceso están capacitados.
*Uso de software malicioso.
Todos son vulnerables pero tienen las herramientas actualizadas a los ataques de
sistemas más conocidos.
*Violación de datos personales.
Por los contratos intellinext certifica el resguardo, protección y disponibilidad de
los datos de su plataforma
*Suplantación de sitios web para capturar datos personales.
Están protegidos por pishing, el acceso es diferente de la plataforma puesto que
los accesos o url son específicos y las compañías los ponen en sus whitelist.

iso 27001 Sebastián - diana

La empresa Intelli next explicó que no tiene estandarizada la norma ISO 27001 por
lo que se definirá un breve paso a paso sobre la gestión que se debe realizar para
implementar la norma.

En el momento de implantar un Sistema de Gestión de la Seguridad de la

Información (SGSI) según la norma ISO 27001, se debe considerar como eje
principal del sistema la Evaluación de Riesgos. En esta sección de la Norma, se
muestra a la dirección de la empresa como se puede obtener la visión necesaria
para definir el alcance y ámbito de aplicación de la norma, así como las políticas y
medidas a implantar, integrando este sistema en la metodología de mejora
continua, común para todas las normas ISO.

El primer paso es escoger una metodología de evaluación del riesgo. Existen

numerosas metodologías estandarizadas de evaluación de riesgos. Aquí
explicaremos la metodología sugerida en la Norma.

Las fases de esta metodología son los siguientes:

1.- El primer paso es encontrar los Activos de Información y sus responsables,

activo es todo aquello que tiene valor para la organización.
2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias
del activo que lo hacen susceptible de sufrir ataques o daños.

3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo
de la información.

4.- Identificar los requisitos legales y contractuales que la organización está

obligada a cumplir con sus clientes, socios o proveedores.

5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las
amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información, en relación a su disponibilidad, confidencialidad
e integridad del mismo.

6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del
riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento se determina la prioridad de
riesgos a tratar.

7.- Plan de tratamiento del riesgo: En este punto se selecciona los controles
adecuados para cada riesgo en la prioridad otorgada en el punto anterior, los
cuales irán orientados a : Asumir, Reducir, Eliminar o Transferir el riesgo.

matriz de riesgos iso 27001 Sebastián - diana

Valor Probabilidad Descripción

5 Frecuente Hay certeza que se produzca
4 Probable 80% Probable que ocurra
3 Ocasional Puede ocurrir 1 vez en el semestre
2 Posible Puede ocurrir 1 vez en el año
 1 Improbable Nunca puede ocurrir

Valor Impacto
5 Frecuente
4 Probable
3 Ocasional
2 Posible
1 Improbable

Legislaciones Colombianas

● Ley 1266 de 2008

Esta Legislación determina la defensa de la sociedad colombiana en el

manejo de los datos personales que se relacionan con actividades
financieras, comerciales, y de servicios, de tal manera que es la historia de
crédito del individuo, esta ley en mención está orientada a reglamentar y
regular el tratamiento de habeas data financiero.

La protección de esta legislación cobijan al titular de la información, al

momento que estos datos hayan sido entregados y alojados en una base
de datos, el titular de esta información puede hacer uso del derecho
fundamental del Habeas Data en las entidades que posean esta
información, sin necesidad de acudir a un tercero y sin cobro alguno.

● Ley 1581 de 2012

Teniendo en cuenta que para el 2008 con la ley 1266, el tratamiento de

datos se reglamentó de una manera muy básica, se legislo
consecutivamente la ley 1581 de 2012 que sería un complemento del
Habeas Data, la cual despliega el derecho de todas las personas a saber,
eliminar, renovar y rectificar toda información personal recopilada y
almacenada que se encuentre en custodia de bases de datos de cualquier
entidad ya sea pública o privada. También determina limitaciones de
difusión de cualquier índole.

● Ley 1273 de 2009

Esta ley considera nuevas tipificaciones penales que se relacionan con los
delitos informáticos y protección de la información con penas de prisión y
 multas económicas a quien se le compruebe la culpabilidad de hechos
ilícitos que se encuentran inmersos en esta ley.

● Ley 1928 del 2018

Basado en el convenio de Budapest del 2001, el estado colombiano entró a

hacer parte de este acuerdo mundial con la puesta en marcha de la Ley
1928, la meta de esta legislatura es preservar a la sociedad contra a los
delitos informáticos y los delitos en Internet

Estructura y relación entre los riesgos y vulnerabilidades de la norma ISO

27001 y la legislación del estado Colobiano

En el cuadro xx muestra la estructura y relación que se encuentra en la norma

internacional ISO 27001 y la legislación colombiana en Habeas Data (Ley 1266 de 2008 y
Ley 1581 de 2012), y delitos informáticos (Ley 1273 de 2009 y Ley 1928 de 2018). En el
sistema de la ISO 27001 se encuentran integradas 80 pautas entre riesgos y
vulnerabilidades para calificar con un rango de probabilidad de acuerdo con los eventos
encontrados en la empresa, se encontraron 56 eventos relacionados entre las leyes y los
riesgos de la norma ISO 27001.