Pisi Tux

PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACION
EMPRESA DE SEGURIDAD
ELECTRONICA
TUX S.R.L.
INTEGRANTES
1. Daniel Escobar Pinto
2. Pablo Chuquimia Surco
3. Moisés Elías Chiquipa Quispe
4. Edwin Manani Fabián
INDICE DE CONTENIDO
1 Introducción.............................................................................................1
2 Objetivos.................................................................................................1
2.1 Objetivo General................................................................................1
2.2 Objetivos Específicos..........................................................................1
3 Alcance....................................................................................................2
4 Terminología............................................................................................2
5 Gestión de Riesgo.....................................................................................3
5.1 Establecimiento del Contexto de Tratamiento de Riesgos.........................3
5.1.1 Identificación de Interesados Internos............................................4
5.1.2 Identificación de Interesados Externos............................................4
5.2 Mapa de Interesados..........................................................................4
5.3 Contexto para la Gestión de Riesgos.....................................................5
5.3.1 Análisis FODA..............................................................................5
5.3.2 Situación Actual...........................................................................6
5.3.3 Test para determinar el nivel de madures.......................................6
5.4 Identificación de Riesgos.....................................................................7
5.4.1 Identificación de vulnerabilidades y amenazas.................................8
5.5 Análisis y valoración de Riesgos.........................................................16
5.6 Priorización y Tratamiento de Riesgos.................................................21
5.6.1 Estrategia de tratamiento del Riesgo.............................................21
6 Política de Seguridad de la Información......................................................26
6.1 Introducción....................................................................................26
6.2 Términos y Definiciones....................................................................26
6.3 Objetivo general...............................................................................26
6.4 Objetivos Específicos........................................................................26
6.5 Alcance...........................................................................................26
6.6 Roles y Responsabilidades.................................................................27
6.7 Políticas de Seguridad de la Información.............................................28
6.7.1 Política de Recursos Humanos......................................................28
6.7.2 Gestión de Activos de información................................................29
6.7.3 Control de acceso.......................................................................30
6.7.4 Criptografía...............................................................................31
6.7.5 Seguridad física ambiental...........................................................33
6.7.6 Seguridad de las operaciones.......................................................34
6.7.7 Seguridad de las comunicaciones.................................................35
6.7.8 Desarrollo, mantenimiento y adquisición de sistemas......................37
6.7.9 Gestión De Incidentes De Seguridad De La Información..................39
6.7.10 Cumplimiento............................................................................39
6.7.11 Sanciones..................................................................................39
6.8 Histórico de Cambios........................................................................40
7 Plan de Contingencias Tecnológicas...........................................................41
7.1.1 Variables técnicas a tener en cuenta en la implementación del plan de
contingencias de TI.................................................................................41
8 Plan de Respuesta ante incidentes informáticos..........................................41
8.1 Introducción....................................................................................41
8.2 Pasos para una respuesta a incidente informático.................................42
8.3 Tratamiento de los incidentes informáticos..........................................42
8.4 Informes de incidentes informáticos....................................................43
9 Indicadores y Métricas.............................................................................44
10 Cronograma de Implementación............................................................47
INDICE DE TABLAS
Tabla - 1 Tabla de interés..............................................................................................................................5
Tabla - 2 Análisis FODA..................................................................................................................................6
Tabla - 3 Test de madurez en activos de información...................................................................................7
Tabla - 4 Activos de Información...................................................................................................................7
Tabla - 5 Análisis de riesgos en activos de la información seleccionados..................................................15
Tabla - 6 Valoración de la probabilidad a través del tiempo......................................................................16
Tabla - 7 Valoración del impacto en términos económicos de la empresa................................................17
Tabla - 8 Valoración del riesgo en términos de probabilidad e impacto.....................................................17
Tabla - 9 Ponderación de la valoración del riesgo.......................................................................................18
Tabla - 10 Valoración de los riesgos de seguridad asociados a los activos de información......................20
Tabla - 11 Mapa de calor con la ubicación de los riesgos inherentes.........................................................21
Tabla - 12 Descripción de la estrategia de tratamiento.............................................................................22
Tabla - 13 Descripción de la estrategia de tratamiento vs. Costo beneficio..............................................22
Tabla - 14 Estrategia de tratamiento seleccionada por riesgo identificado...............................................24
Tabla - 15 Descripción de la clasificación de los controles sugeridos.........................................................25
Tabla - 16 Periodos Criptográficos.........................................................................................................32
Tabla - 17 histórico de cambios...................................................................................................................40
Tabla - 18 Métrica 1....................................................................................................................................45
Tabla - 19 Métrica 2....................................................................................................................................45
Tabla - 20 Métrica 3....................................................................................................................................45
Tabla - 21 Métrica 4....................................................................................................................................46
Tabla - 22 Métrica 5....................................................................................................................................46
Tabla - 23 Diagrama Gantt de implementación..........................................................................................47
INDICE DE GRÁFICOS
Gráfico - 1 Mapa de interesados TUX Srl.___________________________________________________4
ANEXOS
1 Introducción
La empresa de seguridad electrónica TUX S.R.L. Fundada el 15 de octubre de 2006 como
empresa privada dedicada a brindar servicio de vigilancia electrónica a hogares y negocios las
24 horas del día. Dentro sus requerimientos inmediatos tiene la necesidad de implementar un
Plan de Seguridad de la información que esté acorde a los requerimientos y exigencias a la que
son sometidas las entidades públicas de nuestro País.
La empresa de seguridad TUX S.R.L. Ha identificado la información como uno de los activos
más importantes y críticos para el desarrollo de sus funciones. En la gestión de los procesos
estratégicos y de apoyo, continuamente se está procesando, gestionando, almacenando,
custodiando, transfiriendo e intercambiando información valiosa que puede ir desde un dato
personal hasta secretos empresariales que no deben ser divulgados a personal no autorizado,
suceso que puede poner en riesgo los procesos de la empresa.
En atención a lo anterior, la empresa asumió el reto de implementar el PISI (Plan Institucional

de Seguridad de la Información) elaborado por los miembros del consejo para las tecnologías
de la información y comunicación del estado plurinacional de Bolivia (CTIC - EPB),
implementado de forma obligatoria en las instituciones del gobierno.
La defensa y protección de los activos de información es una tarea esencial para asegurar la
continuidad y el desarrollo de los objetivos de la empresa, así como para mantener el
cumplimiento normativo y regulatorio aplicable a la entidad, además traslada confianza a las
partes interesadas.
Cuanto mayor es el valor de la información, mayores son los riesgos asociados a su pérdida,
deterioro, manipulación indebida o malintencionada. Por lo anterior, PISI adopta una
metodología para la identificación y valoración de los activos de información, y una metodología
para la evaluación y tratamiento de los riesgos; siendo éste el medio más eficaz de tratar,
gestionar y minimizar los riesgos, considerando el impacto que éstos representan para la
empresa.
Así mismo, mediante el PISI se define políticas y procedimientos eficaces y coherentes con la
estrategia de la empresa, como desarrollo de los controles adoptados para el tratamiento de los
riesgos. Lo anterior se complementa con los programas de formación y transferencia de
conocimiento en seguridad de la información y las campañas de sensibilización que se lideran
al interior de la empresa.
Este documento describe las disposiciones acogidas por la empresa para establecer el
contexto, las políticas, los objetivos, el alcance, los procedimientos, las metodologías, los roles,
las responsabilidades y las autoridades responsables en el marco de seguridad de la
información.
Para tal fin, la empresa también ha adoptado los lineamientos normativos de: la ISO 27001 la
cual establece los requisitos para la implementación del Seguridad de la información.
2 Objetivos
2.1 Objetivo General
Elaborar el Plan Institucional de Seguridad de la Información para la empresa TUX S.R.L.
Adoptando los lineamientos que son implementados en las entidades del sector público y que
están en concordancia con las normativas vigentes.
Plan Institucional de Seguridad de la Información - TUX S.R.L.

1
2.2 Objetivos Específicos
 Asegurar la confidencialidad de la información de los clientes para evitar su uso
inadecuado.
 Asegurar la disponibilidad de los servicios TI institucionales para el desarrollo normal
de la ejecución de las operaciones coadyuvando la atención oportuna al cliente externo
y usuarios internos.
 Asegurar la información valiosa de la empresa para evitar una pérdida significativa y
disponer de mecanismos de recuperación.
 Proteger los equipos de TI críticos para la empresa de las amenazas identificadas para
preservar la integridad de la información contenida y la disponibilidad del servicio que
prestan.
 Analizar las vulnerabilidades de los equipos de TI críticos y aplicativos para realizar
acciones preventivas y correctivas ante incidentes de seguridad de la información.
 Desarrollar una cultura de seguridad de la información en la empresa para fomentar en
el personal interno, consultores, pasantes y proveedores; las buenas prácticas y
comportamientos seguros en el manejo de información.
3 Alcance
Este documento a diseñado su PISI con el fin de aumentar la eficacia y fiabilidad de sus
procesos en el marco de un compromiso pleno con los requisitos de la norma "Lineamientos
para la elaboración e implementación de los Planes Institucionales de Seguridad de la
Información de las entidades del sector público"; aplicables a la empresa en sus 2 sucursales y
sus unidades y/o departamentos.
4 Terminología
Activo: En general, activo es todo aquello que tiene valor para la entidad o institución pública.
Activo de información: Conocimientos o datos que tienen valor para la organización.
Acuerdo de confidencialidad: Documento en el cual el servidor público y/o terceros se
comprometen a respetar la confidencialidad de la información y a usarla solo para el fin que se
estipule.
Apetito del riesgo: Nivel máximo de riesgo que una entidad o institución está dispuesta a
aceptar o soportar.
Comité de Seguridad de la Información (CSI): Equipo de trabajo conformado para gestionar,
promover e impulsar iniciativas en seguridad de la información.
Confidencialidad: Propiedad que determina que la información no esté disponible ni sea
revelada a individuos, entidades o procesos no autorizados.
Custodio del activo de información: Servidor público encargado de administrar y hacer
efectivo los controles de seguridad definidos por el responsable del activo de información.
Disponibilidad: Propiedad de acceso y uso de información a entidades autorizadas cuando
estas lo requieran.
Integridad: Propiedad que salvaguarda la exactitud y completitud de la información.
Política de Seguridad de la Información (PSI): Acciones o directrices que establecen la
postura institucional en relación a la seguridad de la información, incluidas dentro del Plan
Institucional de Seguridad de la Información.
Plan Institucional de Seguridad de la Información (PISI): Documento que establece las
actividades relativas a la organización y gestión de la seguridad de la información en la entidad
o institución pública.
Responsable del activo de información: Servidor público de nivel jerárquico que tiene la
responsabilidad y atribución de establecer los requisitos de seguridad y la clasificación de la
información vinculada al activo enmarcado al proceso del cual es responsable.

2
Responsable de procesos: Servidor público de nivel jerárquico que tiene la responsabilidad y
atribución de establecer las actividades, roles y responsabilidades de los procesos.
Responsable de Seguridad de la Información (RSI): Servidor público responsable de
gestionar, planificar, desarrollar e implementar el Plan Institucional de Seguridad de la
Información.
Seguridad de la información: La seguridad de la información es la preservación de la
confidencialidad, integridad y disponibilidad de la información; además, también pueden estar
involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y
confiabilidad.
Seguridad informática: Es el conjunto de normas, procedimientos y herramientas, las que se
enfocan en la protección de la infraestructura computacional y todo lo relacionado con esta y,
especialmente, la información contenida o circulante.
Servidor público: Persona individual, que independientemente de su jerarquía y calidad,
presta servicios en relación de dependencia a una entidad, u otras personas que presten
servicios en relación de dependencia, cualquiera sea la fuente de su remuneración.
Usuario de la información: Persona autorizada que accede y utiliza la información en medios
físicos o digitales para propósitos propios de su labor.
Riesgo inherente: Un riesgo inherente es uno que se encuentra en el ambiente y afecta a
varias categorías o clases de transacciones
Riesgo residual: El riesgo residual es aquél que permanece después de que la dirección
desarrolle sus respuestas a los riesgos. El riesgo residual refleja el riesgo remanente una vez
se han implantado de manera eficaz las acciones planificadas por la dirección para mitigar el
riesgo inherente.
5 Gestión de Riesgo
La metodología que se implementará será MAGERIT, que fue elaborada con el fin de ayudar a
todas las administraciones públicas. Con posterioridad puede ser aplicada a cualquier
organización.
Esta metodología tiene como característica fundamental que los riesgos que se plantean para
una organización se expresan en valores económicos directamente, lo que tiene una ventaja y
un inconveniente:
• El aspecto positivo de esta metodología es que el resultado se expresa en valores

económicos. Esto hace que las decisiones que deban tomarse y que tengan que ser
validadas por la dirección estará fundamentadas y serán fácilmente defendibles.
• Por el contrario, el hecho de tener que traducir de forma directa todas las valoraciones
en valores económicos hace que la aplicación de esta metodología sea realmente
costosa.
El PISI TUX contempla la gestión de riesgos en el ámbito de la seguridad de la información,

donde se realiza:
a) Identificación, clasificación y valoración de activos de información. Los activos de

información que formarán parte del análisis de riesgos son los que están valorizados
como Críticos.
b) Evaluación del riesgo, los riesgos de seguridad de información que serán tratados son
los que estén en los niveles de riesgo: muy Bajo, Bajo, Medio, Alto y muy Alto; por
decisión del CSI y según la disponibilidad de recursos.
c) Tratamiento del riesgo.
d) Controles implementados y por implementar, el listado está referido en el Anexo A de
los lineamientos generales del PISI en el sector público.

3
5.1 Establecimiento del Contexto de Tratamiento de Riesgos
5.1.1 Identificación de Interesados Internos
 Comunicación
 Personal
 Equipamiento
 Técnicos de soporte
 Operadores de monitoreo
5.1.2 Identificación de Interesados Externos
 Policía Boliviana
 Alcaldía
 Sociedad
 Usuarios
 Económico: Impuestos, banca
 Proveedor de telecomunicaciones
 Proveedores de equipos
5.2 Mapa de Interesados
Grupos
Policía financieros
Grupos
Alcaldia políticos
TUX Srl.
Proveedores Clientes
Asociaciones
empresariales Trabajadores Sociedad
Gráfico - 1 Mapa de interesados TUX Srl.
Partes interesadas Intereses

Empresa Tux Srl. Historia de la empresa
Estructura de la organización
Entorno competitivo
Misión & Visión
Reglas de la organización
Trabajadores Política general
Beneficios
Remuneraciones y seguridad en el trabajo
Indemnizaciones y recompensas
Programas de ayuda/subsidio a los trabajadores
Fomento de la salud

4
Absentismo y rotación en el trabajo
Permisos de ausencia
Despidos y desempleo
Jubilaciones
Equidad en el trabajo y discriminación
Riesgo profesional y seguridad en el trabajo
Trabajadores con jornada incompleta, temporal o contratados
Otros asuntos del trabajador o de recursos humanos
Clientes Política general
Calidad
Comunicación con los clientes
Seguridad en el servicio
Reclamaciones de los clientes
Servicios a clientes especiales
Otros asuntos de los clientes
Proveedores Relaciones estables y duraderas
Política general
Otros asuntos de los proveedores
Alcaldía Cumplimiento con la ley
Cumplimiento con el trabajo
Cumplimiento con la competencia
Exactitud en los datos
Implicación en políticas públicas
Sociedad Seguridad en las operaciones
Generación de oportunidades de empleo
Contribución a la comunidad
Actuaciones favorables
Sustitución de recursos renovables
Inversiones sociales y donaciones
Relaciones con la comunidad
Salud pública, seguridad y protección
Conservación de los materiales y de la energía
Valoración medioambiental en los proyectos
Otros asuntos medioambientales
Policía Cumplimiento de normas y leyes
Coordinación constante
Otros asuntos que intervengan con la policia
Grupos Financieros Liquidez y solvencia de la empresa
Rentabilidad a corto y largo plazo
Grado de seguridad
Tabla - 1 Tabla de interés
5.3 Contexto para la Gestión de Riesgos
5.3.1 Análisis FODA
FORTALEZAS OPORTUNIDADES DEBILIDADES AMENAZAS

 contar con  Abarcar el  Falta de  Dependencia
personal mercado de las publicidad en tecnológica de
capacitado empresas de los servicios proveedores
seguridad que se
 adquirir equipo de ofrecen  La alta
alta tecnología  Alta inseguridad competencia que
en el país  No contar con se posee
 Contar con provisión de
permisos de desahucio

5
operación por  Desarrollar la para todo su  Culminación de
parte de la custodia de personal contratos con
Alcaldía valores y grandes
servicio de  Equipos empresas
 Tener autorización seguridad de tecnológicos
para patrullaje personas y sin renovación  Tiempo de vida
constante entidades útil de los
importantes equipos
 Contar con
servicios
adicionales a la
seguridad y
vigilancia
Tabla - 2 Análisis FODA
5.3.2 Situación Actual
Por situación actual se entiende el nivel de madurez que posee en este momento la empresa
de seguridad TUX Srl. con relación a la seguridad de la información. El proceso por el cual se
lleva a cabo un test de nivel de madurez se. Para poder realizar el Plan de Seguridad de la
Información es indispensable que se tenga en cuenta los niveles de madurez alcanzados por
cada uno de los dominios:
a) Seguridad en recursos humanos

b) Gestión de activos de información
c) Control de accesos
d) Criptografía
e) Seguridad física y ambiental
f) Seguridad de las operaciones
g) Seguridad de las comunicaciones
h) Desarrollo, mantenimiento y adquisición de sistemas
i) Gestión de incidentes de seguridad de la información
j) Plan de contingencias tecnológicas
k) Cumplimiento
5.3.3 Test para determinar el nivel de madures
¿Se realizan los procesos ad-hoc sin documentación?

Respuesta: SI ---------- Nivel Inicial
¿Se planifican las actividades?
Respuesta: NO -------- Nivel Gestionado
¿Se ejecutan lo planificado?
Respuesta: NO -------- Nivel Definido
¿Se realizan los procesos ad-hoc sin documentación?
Respuesta: NO -------- Nivel Inicial
¿Se planifican las actividades?
Respuesta: NO -------- Nivel Gestionado
¿Se ejecutan lo planificado?
Respuesta: NO -------- Nivel Definido
En el test realizado a la empresa sobre el test de madures, se obtuvo como resultado un Nivel
inicial casi en todos sus dominios.
Dominio Nivel de Madures

6
a) Seguridad en recursos humanos Inicial
b) Gestión de activos de información Inicial
c) Control de accesos Gestionado
d) Criptografía Inicial
e) Seguridad física y ambiental Gestionado
f) Seguridad de las operaciones Inicial
g) Seguridad de las comunicaciones Inicial
h) Desarrollo, mantenimiento y adquisición de sistemas Inicial
i) Gestión de incidentes de seguridad de la información Inicial
j) Plan de contingencias tecnológicas Inicial
k) Cumplimiento Inicial
Tabla - 3 Test de madurez en activos de información
5.4 Identificación de Riesgos

Se realizara la identificación de una muestra de activos de información en los que se basara
para realizar las pruebas de tratamiento y el pan de acción.
IDENTIFICACIÓN DEL ACTIVO DE INFORMACIÓN
CONTENEDOR Y/O ACTIVO DE

Nº CRITICIDAD
NOMBRE DEL ACTIVO INFORMACIÓN SELECCIONADO
ACTIVO DEL ACTIVO PARA EL ANALISIS DE RIESGOS
Software de control de versiones

GD - A1 Alto
(Subversión y GIT)
Código fuente
GD - A3 Código fuente Alto
GD - A15 Interfaz de desarrollo (Netbeans con Alto

lenguaje de programación Java)
GD - A18 SOFTGUARD Alto Aplicación de Servicio
GD - A4 Servidor de aplicaciones Alto
GD - A5 Servidor de bases de datos Alto Servidores
GD - A19 Sistemas de gestión de bases de datos Alto
GD - A6 Servidor de imágenes Alto
GD - A14 Servicio de File Systems Alto
GD - A9 Dispositivos de red Alto CPD
GD - A10 Cuarto de equipos Alto
GD - A12 Red de área local - LAN Alto

Red LAN corporativa
GD - A13 Red Inalámbrica - WLAN Alto
GD - A17 Antivirus Alto Antivirus
Medios de almacenamiento electrónico Unidades de almacenamiento de

GD - A20 Medio
(USB, Discos duros externos) información
GD - A11 Desarrolladores Medio Talento humano

7
Tabla - 4 Activos de Información
Teniendo presente los objetivos de la empresa, se describe a continuación la metodología a

emplear como guía para realizar el análisis de riesgos de seguridad de la información a los
cuales son expuestos los activos de información. Las actividades descritas a continuación se
establecieron teniendo como referencia la Metodología de análisis y gestión de riesgos de los
sistemas de información MAGERIT.
Las actividades que comprende la metodología son:
 Identificación de vulnerabilidades y amenazas sobre los activos asociados a la

información así como su respectivo impacto.
 Definición de los riesgos de seguridad.
 Establecer la cuantificación de la probabilidad de ocurrencia del riesgo y el impacto
que puede generar para la organización la materialización del riesgo
 Construir la matriz de riesgos inherente.
 Diseñar el plan de tratamiento y gestión de riesgos de seguridad de la información
5.4.1 Identificación de vulnerabilidades y amenazas
Acorde a los activos seleccionados para realizar el análisis de riesgos definidos en la tabla Nº
4, se realizó la identificación de vulnerabilidades, amenazas y posibles consecuencias de la
materialización de una amenaza sobre alguna vulnerabilidad a partir de la información
recopilada en la fase de análisis.

8
ACTIVO DE
CAUSAS
INFORMACIÓN
SELECCIONADO PARA CONSECUENCIAS (IMPACTO)
EL ANALISIS DE VULNERABILIDADES AMENAZAS
RIESGOS
• Ausencia de una metodología de desarrollo de software • Manipulación intencionada interna o • Eliminación de información clave para el
seguro. externa de las fuentes de información negocio afectando la disponibilidad de la
ocasionando pérdida parcial y/o total del misma para el desarrollo de las actividades
• El desarrollo de nuevas funcionalidades del software de código fuente del aplicativo de gestión concernientes al negocio.
gestión documental no quedan documentadas y/o actualizadas documental.
Código fuente en el aplicativo de control de versiones, permaneciendo de • Manipulación no autorizada de la
manera local en el equipo del desarrollador. • Hurto o pérdida de información causada por información que puede conllevar a la
parte de un empleado descontento de la afectación del negocio y pérdida de clientes
• No se encuentra documentado los lineamientos de entidad. y negocios importantes para la entidad.
seguridad implementados en el desarrollo de software de
gestión documental. • Secuestro de la información relacionada • Afectación de la operación de la
con el código fuente efectuado por un tercero organización debido a la indisponibilidad de
• No hay definido un plan detallado de pruebas de seguridad a a través de un malware. la información.
efectuar en las etapas del desarrollo de software.
• Divulgación de información no autorizada por
• No se realizan pruebas de seguridad sobre el software que terceros por asignación excesiva de permisos
permitan detectar vulnerabilidades de seguridad. sobre un rol.
• El aplicativo no encripta la información para su transmisión a • Divulgación de información no autorizada por

través de la red. terceros, que favorezcan a la competencia,
afectando la imagen corporativa de la entidad.
• Ausencia de un plan de tratamiento de incidentes de
seguridad.

9
• Cuando el sistema funciona bajo cliente servidor, la • Ataques internos y/o externos al aplicativo • Pérdida de clientes debido a la sustracción
instalación del sistema en los equipos clientes genera un de gestión documental capturando usuarios y divulgación no autorizada de información
archivo de configuración que puede modificar el y contraseñas de acceso válidos. confidencial alojada en el aplicativo de gestión
comportamiento de la aplicación. documental.
• Suplantación de identidad ocasionando
• El entorno web del sistema funciona bajo http, donde la perdida de información contenida en el • Desprestigio de la organización en el sector
transferencia de información se encuentra en texto claro. sistema de gestión documental. productivo debido a la explotación de las
SOFTGUARD
debilidades existentes por un tercero sobre
• Ausencia de configuraciones de seguridad en el sistema que • Alteración por terceros no autorizados del el aplicativo de gestión documental.
permita solicitar el cambio de la contraseña con el archivo de configuración en la estructura
aprovisionamiento del servicio de un usuario nuevo. cliente servidor que modifica el • Afectación en los ingresos económicos
comportamiento de la aplicación. debido a la divulgación de las vulnerabilidades
• El sistema maneja un nivel de complejidad débil en el de seguridad del aplicativo
establecimiento de las contraseñas de usuario debido a: No
hay restricción mínima de la cantidad de caracteres que debe
poseer la contraseña, el historial de contraseñas almacena solo
las dos últimas contraseñas establecidas, no solicita la
combinación de caracteres alfanuméricos en la contraseña.
• El software no cuenta con lineamientos de seguridad que

establezca una frecuencia de renovación y cambio del
password por parte del usuario.
• Visualización del código fuente del sistema de gestión

documental por medio del navegador web, situación que puede
provocar la pérdida de confidencialidad del código fuente
produciendo fugas de información que pueden afectar la
exclusividad de funcionalidades en el aplicativo de gestión
documental ya que estas pueden ser integradas en software de
la competencia.

10
• El sistema operativo de red instalado en algunos servidores • Manipulación intencionada interna o externa • Eliminación de información clave para el
no se encuentra licenciado ni actualizado. sobre los servidores ocasionando pérdida negocio afectando la disponibilidad de la
parcial y/o total de la información alojada en misma para el desarrollo de las actividades
• Ausencia de configuraciones de seguridad en los servidores. los equipos. concernientes al negocio.
• No se realiza un monitoreo constante de los eventos y registro • Presentación de condiciones inadecuadas • Manipulación no autorizada de las
de logs que permitan detectar posibles intrusiones y/o de temperatura y humedad que generan configuraciones de los servicios de red,
debilidades de seguridad. daños sobre la infraestructura física. afectando la disponibilidad del servicio a los
empleados de la organización.
• El respaldo de backup se encuentra ubicado en los mismos • Indisponibilidad temporal en el acceso la
servidores a los cuales les establecen las copias de respaldo. información contenida en los servidores • Perdida de información que puede conllevar
• La configuración y administración de los servidores no se generada por un tercero no autorizado. a la afectación del negocio y pérdida de
encuentra centralizada. clientes y negocios importantes para la
• Modificación y/o alteración de la información entidad.
• El antivirus instalado en los servidores no se encuentra activo y los servicios alojados en los servidores por
ni actualizado. un empleado con exceso de privilegios. • Afectación de la operación de la
Servidores organización debido a la indisponibilidad de la
• Ausencia de sistemas de control ambiental que permitan • Fallos no intencionales causado por un información.
controlar variables como temperatura y humedad relativa en el empleado de la organización.
área donde se encuentran instalados los servidores. • Divulgación de información no autorizada por
terceros por asignación excesiva de permisos
• Deficiencia en la programación de actividades de sobre los servidores.
mantenimiento preventivo sobre la infraestructura de red que
permita prologar el funcionamiento de los equipos y
salvaguardar la información.
• No existen configuraciones de seguridad establecidas en los

servidores ni en los servicios de red que han sido
implementados a través de la red corporativa.

11
• Ausencia de un sistema de control de acceso. • Hurto o pérdida de información causada por • Eliminación de información clave para el
parte de un empleado descontento de la negocio afectando la disponibilidad de la
• No existen procedimientos establecidos para la restricción de entidad. misma para el desarrollo de las actividades
acceso a la infraestructura física de la organización. concernientes al negocio.
• Afectación temporal de la disponibilidad de
• Ausencia de sistemas de control ambiental que permitan la información y/o aplicativos alojados en los • Perdida de información que puede conllevar
controlar variables como temperatura y humedad relativa en servidores causados por una falla no a la afectación del negocio y pérdida de
cuarto de equipos (Centro de cómputo). intencionada de un empleado de la clientes y negocios importantes para la
organización. entidad.
• No poseen un sistema de detección de humo, fuego y/o
humedad instalado en el centro de cómputo. • Fuego – Posibilidad de que un incendio • Afectación de la operación de la
destruya los recursos y activos de la organización debido a la indisponibilidad de la
organización. información por deterioro de los contenedores
de información (Servidores).
CPD • Daños causados por Agua – Escape, fuga o
Centro de Procesamiento inundación que ocasione el daño de los • Divulgación de información no autorizada por
de Datos recursos de la organización. terceros por asignación ausencia de controles
de acceso a los contenedores de información.
• Presentación de condiciones inadecuadas
de temperatura y humedad que generan • Hurto de infraestructura física que pueda
daños sobre la infraestructura física. contener activos de información que puedan
colocar en riesgo la continuidad del negocio.
• Hurto y/o daño de la infraestructura

tecnológica (Servidores, Dispositivos de red,
etc.) que se encuentra alojada en el cuarto de
equipos debido a la ausencia de controles de
acceso.

12
• No hay un proceso establecido para la administración y • Fuga de información debido al acceso de • Perdida de disponibilidad, integridad y
gestión de identidades al interior de la organización. usuarios no autorizados a la infraestructura confidencialidad de la información de la
de red de la organización. entidad, generando un impacto negativo en la
• Ausencia de procesos que establezcan los procedimientos continuidad del negocio.
para habilitar o deshabilitar las cuentas de usuario. • Indisponibilidad del servicio de la red
inalámbrica debido a ataques de denegación • Afectación en los ingresos económicos de la
• No existe un registro actualizado de los usuarios que tienen de servicios (DoS). organización debido a la pérdida de clientes a
acceso a los aplicativos y servicios corporativos ni se identifica causa de la divulgación no autorizada de
su estado (Activo, Bloqueado, Deshabilitado). • Terceros realizan procesos de suplantación información a la competencia.
de identidad para acceder a los aplicativos
• Deficiencias en las configuraciones de seguridad de la red tecnológicos de la entidad que se encuentran • Indisponibilidad de los servicios que se
inalámbrica, empleando un cifrado débil. disponibles a través de la red de datos brindan a través de la red ocasionando
corporativa. tiempos no productivos del equipo de
• Ausencia de un administrador de red que configure, desarrollo de la organización.
administre y gestione la red bajo criterios de seguridad de la • Empleados descontentos pueden hacer uso
Red LAN corporativa información. de usuarios y contraseñas de personal que ya • Desprestigio de la imagen corporativa debido
• No existe una política de seguridad de la información. no labora en la entidad para visualizar y/o a la divulgación no autorizada de información
sustraer información confidencial de la confidencial por parte del personal interno y/o
• Perdida de confidencialidad de información que puede ser entidad. externo de la entidad.
sensible para la entidad debido a que es compartida a través de
la infraestructura de red de la organización, permitiendo su
visualización a personas no autorizadas.

13
• No se encuentran activos ante la firma propietaria del • Fuga y/o pérdida de información generada • Afectación de la continuidad del negocio
software, ni actualizados. por código malicioso. debido al secuestro de la información
ocasionado por código malicioso.
• Divulgación no autorizada de información
debido a acceso de terceros a través del uso • Afectación de los ingresos económicos de lo
de malware. entidad, generados por la indisponibilidad
parcial y/o total del código fuente del aplicativo
• Indisponibilidad de la información generado de gestión documental.
por virus informáticos.
• Sustracción no autorizada de información
Antivirus • Secuestro de información generado por una confidencial de la organización, afectando la
aplicación ramsomware. continuidad del negocio.
• Daño de hardware ocasionado por código • Daño de hardware ocasionado por código
malicioso. malicioso, provocando a la organización la
asignación de presupuesto extra para la
reposición del hardware.
• No se establece ningún proceso de cifrado de información en • Pérdida y/o fuga de información confidencial • Divulgación por terceros de información
unidades de almacenamiento externas como USB, discos duros de la organización por hurto de unidades de confidencial de la organización generando
(Internos y/o externos). almacenamiento de información externos. problemas de índole legal y reputacional a la
entidad.
Unidades de almacenamiento • Ausencia de niveles de protección física sobre los dispositivos
de almacenamiento externo. • Perdida de información ocasionada
de información
accidentalmente, generando pérdida de
• No se realizan procesos de borrado seguro de la información imagen corporativa ante terceros.
contenida en las unidades de almacenamiento de información.

14
• Ausencia de capacitación al personal en temas relacionados • Empleado descontento de la organización. • Fuga de información que puede llegar a
con desarrollo de software seguro. manos de la competencia, quien la utiliza en
• Ex-empleado de la organización aun con beneficio propio para brindar mejores
• Ausencia de un programa de sensibilización al personal accesos y privilegios habilitados para propuestas de valor a los clientes de la
sobre la importancia de su rol en la seguridad de la acceder a la infraestructura física y lógica de empresa que fue víctima de la sustracción de
información. la organización. información.
• No se establecen acuerdos de confidencialidad y protección • Terceros interesados en generar ataques • Divulgación no autorizada de terceros de
de la propiedad intelectual y corporativa entre la empresa y sus que provoquen la indisponibilidad del servicio información confidencial de clientes,
Talento humano y/o producto que brinda la empresa. generándole a la entidad problemas de
empleados directos, contratistas, etc.
índole legal por divulgación de información no
• Algunos desarrolladores no realizan la actualización en la autorizada y confidencial.
subversión de nuevas funcionalidades del aplicativo de
gestión documental, generando retrocesos en las actividades • Desprestigio de la organización por
del área de desarrollo. divulgación de información confidencial de
los clientes de la organización.
• Exceso de confianza de los empleados con su entorno
(Dentro y fuera de las instalaciones de la entidad).
• No hay lineamientos claros de seguridad orientados al

personal debido a la ausencia de una política de seguridad de
la información.
Tabla - 5 Análisis de riesgos en activos de la información seleccionados

15
5.5 Análisis y valoración de Riesgos
Para efectuar la valoración de los riesgos es importante realizar previamente el respectivo análisis de los
hallazgos detectados en cada una de las situaciones descritas que afectan la seguridad de la información,
teniendo presente la probabilidad de ocurrencia del riesgo y el impacto que puede generar para la
organización la materialización del riesgo. En conjunto con la organización se establecieron las escalas a
emplear para realizar la respectiva valoración de los riesgos descritos en el tabla 6.
PROBABILIDAD FRECUENCIA DE OCURRENCIA VALOR
Muy Bajo Por lo menos una vez cada año 1

Bajo Por lo menos una vez cada semestre 2
Medio Por lo menos una vez cada trimestre 3
Alto Por lo menos una vez cada mes 4
Muy Alto Por lo menos una vez cada quince días 5
Tabla - 6 Valoración de la probabilidad a través del tiempo.
La valoración del impacto se realizó teniendo en cuenta la afectación a nivel económico y operativo al interior
de la organización.
IMPACTO DESCRIPCION DEL IMPACTO CUALITATIVO VALOR

IMPACTO
Muy Bajo Pérdida económica de  No afecta la seguridad de la 1
entre el 0.1 y 0.4 % del información de la entidad.
presupuesto anual.  No hay afectación de la imagen de la
Disminución en la entidad ante los clientes y terceros.
prestación del servicio  Se puede recuperar la información
entre un 0.1% y 4.9% con la misma calidad.
Bajo Pérdida económica de  No afecta la seguridad de la 2
entre el 0.5 y 0.9 % del información de la entidad.
presupuesto anual.  Se presenta una leve afectación a la
Disminución en la imagen de la entidad ante los clientes
prestación del servicio
16
entre un 5% y 9.9% y terceros.
 Se puede recuperar la información
con la misma calidad en un tiempo
moderado.
Medio Pérdida económica de  Hay una afectación en menor grado 3
entre el 1 y 10% del de la seguridad de la información de la
presupuesto anual. entidad.
Disminución en la  Afecta medianamente la imagen
prestación del servicio corporativa de la entidad ante sus
entre un 10% y 20% clientes y terceros.
 Se presentan retrocesos moderados
en las actividades.
 La información se puede recuperar
pero no con la misma calidad.
Alto Pérdida económica de  Se genera una afectación importante 4
entre el 11 y 20% del en la seguridad de la información de la
presupuesto anual. entidad.
Disminución en la  Afecta altamente la imagen
prestación del servicio corporativa de la entidad.
entre un 21% y 29.9%  Se generan mayores retrocesos en
las actividades.
 Es difícil de recuperar la información.
Muy Alto Pérdida económica  Se presenta una afectación crítica a 5
superior al 20% del la seguridad de la información.
presupuesto anual.  Se afecta negativamente y en gran
Disminución en la proporción la imagen corporativa de la
prestación del servicio entidad ante terceros.
hasta en un 50%  Es difícil realizar la recuperación de
la información.
 Puede afectar las decisiones
estratégicas de la organización y la
continuidad del negocio.
Tabla - 7 Valoración del impacto en términos económicos de la empresa
La valoración de los riesgos en términos de probabilidad e impacto de ocurrencia se obtiene de aplicar la

siguiente ecuación: Riesgo inherente = Probabilidad ∗ Impacto (Ecuación 1)
IMPACTO
PROBABILIDAD
Muy Bajo Bajo Medio Alto Muy Alto
Muy Bajo Muy bajo Muy bajo Bajo Bajo Medio
Bajo Muy bajo Bajo Medio Medio Alto
Medio Bajo Medio Medio Alto Alto
Alto Bajo Medio Alto Critico Critico
Muy Alto Medio Alto Alto Critico Critico
IMPACTO
PROBABILIDAD
Muy Bajo (1) Bajo (2) Medio (3) Alto (4) Muy Alto (5)
Muy Bajo (1) 1 2 3 4 5
Bajo (2) 2 4 6 8 10
Medio (3) 3 6 9 12 15
17
Muy Alto 5 10 15 20 25
Tabla - 8 Valoración del riesgo en términos de probabilidad e impacto.
VALORACIÓN DEL RIESGO CALIFICACIÓN

Muy bajo 1–2
Bajo 3-4
Medio 5-9
Alto 10 - 15
Critico 16 - 25
Tabla - 9 Ponderación de la valoración del riesgo.
Acorde a la valoración establecida para el riesgo inherente en términos de probabilidad de ocurrencia e

impacto se obtienen los siguientes resultados:
VALORACIÓN DEL
ACTIVO DE RIESGO
INFORMACIÓN
PROBABILIDAD
SELECCIONADO RIESGOS DE SEGURIDAD
CALIFICACIÓN
NIVEL
PARA EL ANALISIS
DEL
DE RIESGOS
IMPACTO
RIESGO
R1 - Pérdida parcial de información asociada a

nuevas funcionalidades y/o actualizaciones del aplicativo del
4 3 12 Alto
sistema provocado por la falta de actualización de la subversión
por parte de los desarrolladores.
R2 - Alteración y/o pérdida de información por deficiencias en
los controles de acceso físicos y lógicos a los repositorios de 2 5 10 Alto
información de la organización.
Código fuente
R3 - Indisponibilidad de la información provocado por
deficiencias en los controles de acceso lógicos a los repositorios
de información que contienen el software de gestión 2 3 6 Medio
documental.
R4 - Deterioro de la imagen corporativa de la entidad por la

divulgación no autorizada de las falencias existentes en 2 5 10 Alto
el aplicativo de gestión documental.

18
VALORACIÓN DEL
ACTIVO DE RIESGO
INFORMACIÓN NIVEL
PROBABILIDAD
CALIFICACIÓN
SELECCIONADO RIESGOS DE SEGURIDAD DEL
RIESGO
PARA EL ANALISIS
IMPACTO
DE RIESGOS
R5 - Sustracción y/o pérdida de información contenida en

el sistema, debido al uso de protocolos inseguros utilizados en la
2 4 8 Medio
publicación del entorno web del software.
R6 - Perdida de confidencialidad de la información contenida en

SOFTGUARD el sistema por la ausencia de lineamientos de seguridad en el
software que soliciten el cambio de contraseña a nuevos 2 4 8 Medio
usuarios que han sido aprovisionados por el administrador del
aplicativo.
R7 - Sustracción y/o perdida de información contenida en
el sistema causada por la ausencia de lineamientos de
seguridad en el software que definan una frecuencia de
2 4 8 Medio
renovación y un nivel de complejidad en el establecimiento de
los password por parte de los usuarios del aplicativo.
R8 - Incumplimiento de acuerdos de servicio con clientes debido

a la indisponibilidad del sistema a causa de la explotación 2 4 8 Medio
de las debilidades existentes por un tercero sobre el software
de gestión documental.
R9 - Divulgación y/o pérdida de información no autorizada por

terceros a causa de asignación excesiva de permisos sobre un 4 3 12 Alto
rol.
R10 - Perdida de información de la organización debido a la
ausencia de procedimientos que establezcan los lineamientos y
buenas prácticas de seguridad para realizar backup de la 3 4 12 Alto
información.
R11 - Afectación de la confidencialidad e integridad de

Servidores la información a causa de una inadecuada gestión de identidades
3 4 12 Alto
y control de acceso a los recursos y repositorios de información
de la organización.
R12 - Perdida de información y afectación de los servicios por
desactualización de sistemas operativos y antivirus en los 3 4 12 Alto
19
R13 - Indisponibilidad de la información alojada en los
servidores por deterioro físico causado por la ausencia de planes
de mantenimiento preventivo sobre el hardware. 2 4 8 Medio
R14 - Tiempos laborales muertos causados por la 1 2 2

indisponibilidad de la información y servicios debido a la Muy
ausencia de configuraciones de seguridad en los servidores. bajo
VALORACIÓN DEL
ACTIVO DE
RIESGO
INFORMACIÓN NIVEL
PROBABILIDAD
DEL
CALIFICACIÓN
SELECCIONADO RIESGOS DE SEGURIDAD
RIESGO
PARA EL ANALISIS
DE RIESGOS
IMPACTO
R15 - Daño o hurto de infraestructura tecnológica afectando la
operatividad de la organización por inadecuados controles de 2 3 6 Medio
acceso físico al centro de cómputo.
CPD
Centro de R16 - Indisponibilidad de la información causado por el deterioro
procesamiento de
del equipamiento informático debido a la ausencia de sistemas
datos 2 3 6 Medio
de control de condiciones ambientales como temperatura y
humedad.
R17 - Tiempos de inactividad en las operaciones de la
organización, debido al daño o ausencia de sistemas de respaldo
eléctrico a la infraestructura de red de la organización. 3 3 9 Medio
R18 - Deterioro parcial y/o total de la infraestructura tecnológica

del centro de cómputo causada por la presencia de fuego en el 2 5 10 Alto
recinto.
R19 - Sustracción y/o pérdida de información sensible de

la organización debido a la ausencia de políticas y controles en
Red LAN corporativa el establecimiento de contraseñas de acceso a los dispositivos 2 5 10 Alto
tecnológicos de la entidad.
R20 - Indisponibilidad de la información y/o servicios que

se acceden a través de la red corporativa por deficiencias en su 2 3 6 Medio
diseño e implementación.
R21 - Pérdida parcial y/o total de información provocado por la

desactualización y/o ausencia de antivirus. 3 4 12 Alto
Antivirus
R22 - Daño de hardware provocado por código malicioso debido

2 3 6 Medio
a la desactualización de los antivirus.
R23 - Afectación de la operatividad de la red corporativa debido
2 4 8 Medio
a la presencia de malware.
R24 - Pérdida de clientes por divulgación no autorizada de

20
Unidades de información debido a la ausencia de mecanismos de cifrado de
almacenamiento información sobre unidades de almacenamiento electrónico. 3 5 15 Alto
R25 - Sustracción y/o pérdida de la información sensible de
Talento humano laorganización debido a la ausencia de acuerdos de
confidencialidad y protección de la propiedad intelectual entre la 3 5 15 Alto
empresa y sus empleados directos, aprendices, practicantes y
aliados estratégicos.
Tabla - 10 Valoración de los riesgos de seguridad asociados a los activos de información.

La valoración de los riesgos en términos de probabilidad e impacto para la empresa, permitió
establecer el mapa de calor de los riesgos de seguridad de la información contemplados en el
presente análisis, obteniendo el siguiente consolidado.
IMPACTO
PROBABILIDAD Muy Muy
Bajo (2) Medio (3) Alto (4)
Bajo (1) Alto (5)
Muy Bajo (1) 2

Bajo (2) 6 8 10
Medio (3) 9 12 15
Alto (4) 12
Muy Alto
(5)
PROBABILIDAD IMPACTO
Muy Muy
Bajo (2) Medio (3) Alto (4)
Bajo (1) Alto (5)
Muy Bajo (1) R14
R3, R15 R5, R6 R2, R4,

Bajo (2) R16 R7, R8 R18, R19
R20, R22 R13, R23
R10, R11
Medio (3) R17 R24, R25
R12, R21
Alto (4) R1, R9
Muy Alto
(5)
Tabla - 11 Mapa de calor con la ubicación de los riesgos inherentes.

21
5.6 Priorización y Tratamiento de Riesgos

Dando continuidad a la metodología establecida se describe a continuación el procedimiento a
emplear para definir el plan de tratamiento y gestión de los riesgos asociados a los activos de
información, el cual tendrá como alcance diseñar y documentar las acciones de mejora que permitan
controlar y disminuir los riesgos de seguridad a los que están expuestos los activos de información.
5.6.1 Estrategia de tratamiento del Riesgo
Con la valoración de los riesgos de seguridad identificados y descritos en la tabla Nº 6, se define la

estrategia del tratamiento de riesgo acorde a los objetivos organizacionales y la importancia de la
aplicación de gestión documental para la continuidad del negocio, permitiendo así determinar las
acciones a realizar en cada uno de los riesgos identificados. A continuación se describe los
parámetros a tener presentes en la estrategia de tratamiento del riesgo.
ESTRATEGIA DE
ÍTEM TRATAMIENTO DESCRIPCIÓN
DEL RIESGO
1 Evitar el riesgo Está asociado a la suspensión de las actividades
que causan el riesgo.
2 Reducir el riesgo Se establecen los controles y salvaguardas

necesarios para reducir el riesgo sobre el activo de
3 Transferir el riesgo información
Se transfiere el riesgo a terceros (Subcontratación)
y/o se evalúa la opción de contar con seguros que
cubran los gastos en caso de la materialización del
4 Aceptar el riesgo riesgo.
Se decide aceptar el riesgo, sin implementar
controles adicionales para la protección del activo.
En esta estrategia se emplean labores de
monitorización continua del riesgo.
Tabla - 12 Descripción de la estrategia de tratamiento
Para establecer adecuadamente la estrategia de tratamiento del riesgo evaluaremos el costo

beneficio que tendrá para la empresa, el establecimiento de medidas de control que permitan
salvaguardar los activos de información que se encuentran en riesgo. En la siguiente tabla se
relaciona los aspectos de costo beneficio con la estrategia de tratamiento propuesta en la tabla 13.
ESTRATEGIA DE COSTO - BENEFICIO DEL RIESGO

ÍTEM
TRATAMIENTO
El costo de implementación de los controles es

1 Evitar el riesgo
elevado en comparación con los beneficios obtenidos.
El costo de tratamiento e implementación de los

2 Reducir el riesgo controles es adecuado a los beneficios obtenidos.
El costo de tratamiento del riesgo es más económico
y beneficioso para la organización que lo realice
3 Transferir el riesgo
terceros, que si se realiza el tratamiento directo la
empresa propietaria del riesgo.

22
Se asume el riesgo, sin implementar nuevos
4 Aceptar el riesgo controles que generen otro costo a la organización y
Tabla - 13 Descripción de la estrategia de tratamiento vs. Costo beneficio
De acuerdo a la descripción de la estrategia de tratamiento de los riesgos vs. Costo beneficio se

analizó en cada uno de los riesgos el impacto que podría causar su materialización en la
continuidad del negocio, estableciendo como estrategia de tratamiento en los riesgos de nivel
medio y alto la reducción del riesgo; y en los riesgos valorados como “muy bajo” estos serán
aceptados por la empresa. A continuación se observa la estrategia de tratamiento seleccionada para
cada riesgo identificado.
NIVEL ESTRATEGIA
RIESGOS DE DEL DE
SEGURIDAD RIESGO TRATAMIENTO
DEL RIESGO
R1 - Pérdida parcial de información asociada a nuevas funcionalidades y/o
actualizaciones del SOFTGUARD provocado por la falta de actualización de la Alto Reducir el riesgo
subversión por parte de los desarrolladores.
R2 - Alteración y/o pérdida de información por deficiencias en los controles

de acceso físicos y lógicos a los repositorios de información de Alto Reducir el riesgo
la organización.
R3 - Indisponibilidad de la información provocado por deficiencias en los

controles de acceso lógicos a los repositorios de información que contienen Medio Reducir el riesgo
el software de gestión documental.
R4 - Deterioro de la imagen corporativa de la entidad por la divulgación no

Alto Reducir el riesgo
autorizada de las falencias existentes en el aplicativo de gestión documental.
R5 - Sustracción y/o pérdida de información contenida en el sistema

debido al uso de protocolos inseguros utilizados en la publicación del Medio Reducir el riesgo
entorno web del software.
R6 - Perdida de confidencialidad de la información contenida en el

sistema por la ausencia de lineamientos de seguridad en el software que Medio Reducir el riesgo
soliciten el cambio de contraseña a nuevos usuarios que han sido
aprovisionados por el administrador del aplicativo.
R7 - Sustracción y/o perdida de información contenida en el sistema

causada por la ausencia de lineamientos de seguridad en el software que Medio Reducir el riesgo
definan una frecuencia de renovación y un nivel de complejidad en el
establecimiento de los password por parte de los usuarios del aplicativo.
R8 - Incumplimiento de acuerdos de servicio con clientes debido a la

indisponibilidad del sistema a causa de la explotación de las debilidades Medio Reducir el riesgo
existentes por un tercero sobre el software de gestión documental.
R9 - Divulgación y/o pérdida de información no autorizada por terceros a

causa de asignación excesiva de permisos sobre un rol. Alto Reducir el riesgo
R10 - Perdida de información de la organización debido a la ausencia de

procedimientos que establezcan los lineamientos y buenas prácticas de Alto Reducir el riesgo
seguridad para realizar backup de la información.
R11 - Afectación de la confidencialidad e integridad de la información a

23
R12 - Perdida de información y afectación de los servicios
por desactualización de sistemas operativos y antivirus en los servidores. Alto
Reducir el riesgo
R13 - Indisponibilidad de la información alojada en los servidores por
deterioro físico causado por la ausencia de planes de mantenimiento Medio Reducir el riesgo
preventivo sobre el hardware.
R14 - Tiempos laborales muertos causados por la indisponibilidad

de la información y servicios debido a la ausencia de configuraciones de Muy bajo Aceptar el riesgo
seguridad en los servidores.
R15 - Daño o hurto de infraestructura tecnológica afectando la

operatividad de la organización por inadecuados controles de acceso físico Medio Reducir el riesgo
al centro de cómputo.
R16 - Indisponibilidad de la información causado por el deterioro

del equipamiento informático debido a la ausencia de sistemas de control Medio Reducir el riesgo
de condiciones ambientales como temperatura y humedad.
R17 - Tiempos de inactividad en las operaciones de la organización,

debido al daño o ausencia de sistemas de respaldo eléctrico a la Medio Reducir el riesgo
infraestructura de red de la organización.
R18 - Deterioro parcial y/o total de la infraestructura tecnológica del
centro de cómputo causada por la presencia de fuego en el recinto. Alto Reducir el riesgo
R19 - Sustracción y/o pérdida de información sensible de la organización Reducir el riesgo

debido a la ausencia de políticas y controles en el establecimiento Alto
de contraseñas de acceso a los dispositivos tecnológicos de la entidad.
R20 - Indisponibilidad de la información y/o servicios que se acceden a

través de la red corporativa por deficiencias en su diseño e Medio Reducir el riesgo
implementación.
R21 - Pérdida parcial y/o total de información provocado por

la desactualización y/o ausencia de antivirus. Alto Reducir el riesgo
R22 - Daño de hardware provocado por código malicioso debido a

la desactualización de los antivirus. Medio Reducir el riesgo
R23 - Afectación de la operatividad de la red corporativa debido a

la presencia de malware. Medio Reducir el riesgo
R24 - Pérdida de clientes por divulgación no autorizada de

información debido a la ausencia de mecanismos de cifrado de Alto Reducir el riesgo
información sobre unidades de almacenamiento electrónico.
R25 - Sustracción y/o pérdida de la información sensible de la

organización debido a la ausencia de acuerdos de confidencialidad y Alto Reducir el riesgo
protección de la propiedad intelectual entre la empresa y sus empleados
directos, aprendices, practicantes y aliados estratégicos.
Tabla - 14 Estrategia de tratamiento seleccionada por riesgo identificado.
Los controles de seguridad propuestos para reducir los riesgos detectados en los activos asociados
a la información del aplicativo de gestión documental se clasifican en preventivos, detectivos y
correctivos. A continuación se brinda una descripción de la clasificación descrita.
TIPO DE CONTROL DESCRIPCIÓN DEL CONTROL

Están enfocados a evitar que se produzcan incidentes o
riesgos de seguridad. Dentro de los controles preventivos se
24
Preventivos pueden encontrar el establecimiento de políticas de seguridad,
metodologías de software seguro, definición de procesos que
permitan implementar buenas prácticas de seguridad de la
Se encargan de detectar los incidentes de seguridad en el
Detectivos momento que están ocurriendo, sin establecer acciones
correctivas. Se clasifican dentro de los controles detectivos los
sistemas de monitoreo, antivirus, alarmas, sistemas de detección
de intrusos, etc.
Controles enfocados a corregir los incidentes y riesgos de

Correctivos
seguridad ocurridos.
Tabla - 15 Descripción de la clasificación de los controles sugeridos
Teniendo en cuenta el alcance de este PISI, se deja a consideración de la organización la

implementación, seguimiento y control del plan de tratamiento de riesgos descrito enfocado a
reducir, mitigar y controlar los riesgos existentes a los que se encuentran expuestos actualmente los
activos de información.

25
6 Política de Seguridad de la Información
6.1 Introducción
Tux SRL. Elabora sus políticas de Seguridad de la Información en un proceso continuo
destinado a proteger sus activos de información contra las amenazas que pongan en riesgo su
integridad, disponibilidad o confidencialidad.
Toda información de la empresa, independiente de la forma en que se documente (soporte),

debe ser protegida adecuadamente a través de la implementación de un conjunto de controles,
que se definen en políticas, normas y procedimientos de Seguridad de la Información.
En vista de lo anterior, la Gerencia de TUX SRL. Apoya los objetivos estratégicos de Seguridad
de la Información y vela para que se encuentren alineados con las estrategias y los objetivos
del negocio.
6.2 Términos y Definiciones

Confidencialidad: Propiedad que determina que la información no esté disponible no sea
revelada a individuos, entidades o procesos no autorizados.
Integridad: Propiedad que salvaguarda la exactitud y completitud de la información.
Disponibilidad: Propiedad de acceso y uso de la información a entidades autorizadas cuando

estas la requieran.
Incidente de Seguridad de la información: Evento no deseado o inesperado que

compromete la confidencialidad, disponibilidad o integridad de la información y amenazar las
operaciones.
Solicitante de incidente: Persona que reporta el incidente.
Encargado del incidente: Persona que se encarga de gestionar el incidente de seguridad de

la información hasta su solución.
6.3 Objetivo general

Establecer las medidas organizacionales, técnicas, físicas y legales, necesarias para proteger
los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción
de sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir en
forma intencional o accidental.
6.4 Objetivos Específicos

• Establecer los criterios y directrices generales sobre la gestión de Seguridad de
la Información, aplicables TUX SRL. En los cuales se basan las demás
políticas, normas y procedimientos.
• Orientar las acciones sobre la Gestión de Seguridad de la Información que
adopte y comprometa la Administración de TUX SRL. Para que estén
alineadas con los objetivos del negocio.
6.5 Alcance

26
Esta Política de Seguridad de la Información aplica a todos los activos de información de la
Empresa, cualquiera sea la forma de soporte, así como los procesos y sistemas que los
apoyan.
Por tanto, es responsabilidad de todos los colaboradores TUX SRL, además, de los
proveedores y clientes, cuando corresponda, conocer, cumplir y hacer cumplir cabalmente las
disposiciones de esta Política.
6.6 Roles y Responsabilidades

La Política de Seguridad de la Información es de aplicación obligatoria para todo el personal de
la empresa TUX Srl. Cualquiera sea su situación contractual, la dependencia a la cual
se encuentre adscrito y el nivel de las tareas que desempeñe.
Las directivas de la empresa aprueban esta Política y son responsables de la autorización de

sus modificaciones.
El Comité de Seguridad de la Información de la empresa es responsable de revisar y proponer

a las directivas institucionales para su aprobación, el texto de la Política de Seguridad de la
Información, las funciones generales en materia de seguridad de la información y
la estructuración, recomendación, seguimiento y mejora del Sistema de Gestión de Seguridad
de la institución. Es responsabilidad de dicho comité definir las estrategias de capacitación en
materia de seguridad de la información al interior de la empresa TUX Srl.
El Coordinador del Comité de Seguridad de la Información será el responsable de coordinar las

acciones del Comité de Seguridad de la Información y de impulsar la implementación y
cumplimiento de la presente Política.
El grupo responsable de Seguridad Informática será responsable de cumplir funciones relativas

a la seguridad de los sistemas de información de la empresa El nivel de supervisión que
pueda realizar cada grupo responsable de seguridad, está relacionado con el talento
humano que lo conforma y en todo caso deberá ser aprobado por el Comité de Seguridad de la
Información.
Los propietarios de activos de información (ver su definición en Terminología capítulo 4) son

responsables de la clasificación, mantenimiento y actualización de la misma; así como de
documentar y mantener actualizada la clasificación efectuada, definiendo qué usuarios deben
tener permisos de acceso a la información de acuerdo a sus funciones y competencia. En
general, tienen la responsabilidad de mantener íntegro, confidencial y disponible el activo de
información mientras que es desarrollado, producido, mantenido y utilizado.
El jefe de Recursos Humanos cumplirá la función de notificar a todo el personal que se vincula
contractualmente con la empresa, de las obligaciones respecto del cumplimiento de la Política
de Seguridad de la Información y de todos los estándares, procesos, procedimientos, prácticas
y guías que surjan del Sistema de Gestión de la Seguridad de la Información. De
igual forma, será responsable de la notificación de la presente Política y de los cambios que
en ella se produzcan a todo el personal, a través de la suscripción de los Compromisos de
Confidencialidad y de tareas de capacitación continua en materia de seguridad según
lineamientos dictados por el Comité de Seguridad de la Información.
El jefe de la TI en coordinación con el Jefe de Monitoreo y gerencia, deben seguir los

lineamientos de la presente política y cumplir los requerimientos que en materia de seguridad
informática se establezcan para la operación, administración, comunicación y Política de
Seguridad de la Información mantenimiento de los sistemas de información y los recursos de
tecnología de la entidad.

27
Corresponde a dichas jefaturas determinar el inventario de activos de información
y recursos tecnológicos de los cuales son propietarios o custodios, el cual será revisado y
avalado por el Encargado de Almacén y el Encargado de Recursos Físicos.
El departamento legal verificará el cumplimiento de la presente Política en la gestión de todos
los contratos, acuerdos u otra documentación de la entidad con empleados y con terceros.
Asimismo, asesorará en materia legal a la entidad en lo que se refiere a la seguridad de la
información.
Los usuarios de la información y de los sistemas utilizados para su procesamiento son

responsables de conocer y cumplir la Política de Seguridad de la Información vigente.
La Administración será responsable del Control Interno, practicando auditorías periódicas sobre
los sistemas y actividades vinculadas con la gestión de activos de información y la tecnología
de información. Es su responsabilidad informar sobre el cumplimiento de las especificaciones y
medidas de seguridad de la información establecidas por esta Política y por las normas,
procedimientos y prácticas que de ella surjan.
6.7 Políticas de Seguridad de la Información

Las políticas de Seguridad de la Información de TUX SRL. Están basadas en la Información
relacionada al documento "Lineamientos para la Elaboración en Implementación de los Planes
Institucionales de Seguridad de la Información de las Entidades del Sector Público" (PISI), con
Resolución Administrativa AGETIC/RA/0051/2017 de 19 de Septiembre de 2017, que aprueba
los lineamientos PISI.
6.7.1 Política de Recursos Humanos
Con relación a la seguridad de los recursos humanos se debe tener en cuenta el ciclo de vida
del recurso humano, esto es, antes, durante y después de su contratación. En este sentido se
darán recomendaciones en estas tres etapas.
Antes de la contratación:
El área de recursos humanos deberá realizar los siguientes pasos en lo que se refiere a la
contratación de personal:
 Verificación de referencias
 Verificación de la hoja de vida completa
 Verificación de la identidad del aspirante
 Verificación de competencia
 Pruebas psicotécnicas

Verificar en términos generales que sea una persona confiable
Todo el personal y contratistas que accedan a información reservada o sensible deben firmar
un acuerdo de confidencialidad y no divulgación ANTES de tener acceso a dicha información
por cualquier medio.
Todo el personal debe firmar una cesión de derechos de propiedad intelectual a favor de la
empresa sobre los desarrollos que se realicen fruto de su trabajo en la entidad.
Contar con un proceso disciplinario sí se incumple cualquiera de las normas de seguridad
establecidas.
Contar con un proceso disciplinario frente a la responsabilidad en incidentes de seguridad de la

información en los que se demuestre la participación de algún colaborador.

28
Brindar capacitaciones del modelo de seguridad aprobado, así como capacitaciones periódicas
en temas de seguridad con el fin de tomar conciencia sobre la seguridad de la información
pertinente a sus roles, y lograr crear una cultura de seguridad al interior y exterior de la entidad.
Se contara con un canal anónimo mediante el cual los colaboradores puedan reportar posibles
incidentes de seguridad de la información.
El programa de capacitaciones continúas en seguridad cubrirá como mínimo los siguientes

aspectos:
 Concientización sobre riesgos de seguridad.

 Conocimiento del modelo de seguridad.
 Conocimiento de las normas y procedimientos de seguridad.
 Puntos de contacto para información de problemas de seguridad.
 Mecanismos para el reporte de incidentes de seguridad de la información.
 Tips prácticos de seguridad orientado a las labores que realiza cada colaborador según
sus funciones.

Al terminar la contratación:
Dentro del procedimiento de terminación de contrato se debe incluir: backup de la información

que el colaborador manejaba, eliminación de todos los usuarios y contraseñas del colaborador,
eliminación de los accesos remotos de teletrabajo a los que tenía acceso el colaborador.
6.7.2 Gestión de Activos de información
Los activos de información de la empresa serán clasificados y asignados a responsables

quienes deberán brindarles un tratamiento apropiado de acuerdo.
Además se realizara una gestión de activos de información con los siguientes puntos:
Realizar un inventario de todos los activos de información, para este fin normalmente se realiza
una búsqueda de los activos de información en los procesos y procedimientos, buscando el
flujo de información en los mismos.
Incluir en el inventario, el tipo de activo (físico o digital), ubicación, activos de soporte, redes,
medios, servidores o servicios en las que se encuentra, proceso al que pertenece, entre otros.
Asignar a cada activo de información un dueño. El dueño del activo de información es el
responsable del activo de información y velará por salvaguardar dicho activo y hacer cumplir el
tratamiento de seguridad del mismo de acuerdo con su clasificación. Se considera a los activos
de información como cualquier otro activo, con un valor financiero y estratégico.
Realizar una clasificación de los activos de información teniendo en cuenta criterios de

disponibilidad, integridad y confidencialidad de dicha información.
Asignar un tratamiento de seguridad detallado para cada nivel de la clasificación de los activos
de información, definiendo normas de uso, etiquetado, y controles de seguridad para cada nivel
de clasificación.
Cuando se terminen los vínculos contractuales con la entidad se debe devolver todos los
activos de información a los que el colaborador tuvo acceso.
Con respecto a la gestión de medios removibles:
Inicialmente bloquear todos los accesos a medios removibles en todos los equipos de la
entidad (bloqueo de USB).

29
Habilitar los puertos USB, sólo con una justificación escrita y debe ser autorizada por el área de
seguridad. Sólo se deberá habilitar el uso de medios removibles, si hay una razón de negocio
para hacerlo.
Se deben redactar normas para el uso de dispositivos removibles.
Se debe tener registro de la información en medios removibles.
Sí la información ya no se requiere tener en dispositivos removibles o cuando el colaborador se

retire de la entidad, debe realizarse un borrado seguro del medio removible.
Sí la confidencialidad o integridad de la información contenida en un medio removible se

considera importante, debería utilizar mecanismos criptográficos apropiados para cada medio.
La disposición final para los medios removibles debe realizarse en forma segura, por ejemplo
incineración o borrado seguro.
6.7.3 Control de acceso
El objetivo del dominio de control de acceso consiste en limitar el acceso a la información y a

las instalaciones con el fin de salvaguardar los activos de información.
Las políticas de control de acceso, con sus respectivas normas y procedimientos estarán
gestionadas por la gerencia general de la empresa, con los siguientes puntos:
 Se tendrá en cuenta para este fin la clasificación de la información, la legislación

pertinente de acuerdo con las leyes de protección de datos.
 Se Implementara un procedimiento de gestión de derechos de acceso a los diferentes
tipos de activos de información en los que se involucre a los dueños de los activos de
información.
 El criterio fundamental a la hora de definir la política de control de acceso será:
“Permitir sólo lo que necesita conocer para realizar sus funciones, de lo contrario no se
permite”
El control de acceso a redes o servicios de red contempla lo siguiente:
 El acceso a redes o servicios de red debe justificarse en función de los activos a los
que se necesita acceder, en la clasificación de los activos puede encontrar en qué
redes o a que servicios se le debe permitir acceso para acceder al activo de
información.
 Se realiza el monitoreo por medio del software NAGIOS que contiene procedimientos
para monitorear las redes, tráfico y quién tiene acceso de acuerdo con la política, y en
caso de accesos no autorizados, considerarlos como un incidente de seguridad e iniciar
inmediatamente una investigación de seguridad.
La gestión de usuarios contempla la eliminación del mismo al momento de su desvinculación

de la empresa y un cambio de contraseñas mensuales. Este procedimiento incluye la creación,
modificación y eliminación de usuarios. Está asociado con el proceso de contratación y
desvinculación. El procedimiento tiene en cuenta la autorización al acceso de activos de
información, redes y servicios, y estas autorizaciones deben ser avaladas por el dueño del
activo de información y por el área de seguridad de la información como mínimo.
Se debe revisar periódicamente todos los accesos a los activos de información, redes y
servicios. En estas revisiones identificar y eliminar o deshabilitar permisos redundantes y
obsoletos de acuerdo con las solicitudes de acceso.

30
Se debe tener especial cuidado con usuarios con altos privilegios.
Se debe habilitar logs de acceso a los sitios restringidos.
Se realizara una auditoría periódica a los permisos de acceso.
A nivel de aplicativos, durante su desarrollo, desde la etapa de diseño, se tendra en cuenta:
 La posibilidad de restringir el acceso a la información de la aplicación, para esto utilizar

roles, permitir auditar el acceso a información sensible y a operaciones sensibles
dentro del aplicativo, entre otras.
 Utilizar técnicas de autenticación adecuadas para corroborar la identidad de un usuario.
 Se debe cerrar las sesiones por inactividad.
6.7.4 Criptografía
El objetivo de este dominio es asegurar la confidencialidad mediante el uso de métodos

apropiados de criptografía. Los sistemas centralizados de gestión de llaves garantizan la
seguridad de las diferentes llaves utilizadas por los sistemas de cifrado.
Los servicios criptográficos contaran con las siguientes normas:
a) Desarrollo de la Política
b) Establecimiento de plazos de duración de las claves
c) Establecimiento de procedimientos de gestión de claves
d) Establecimiento de estándares de implantación de tecnología criptográfica
e) Cumplimiento normativo
a) Desarrollo de la Política
Corresponde la aprobación de la Política de seguridad criptográfica al CSI de la empresa TUX
Srl.
Esta política de seguridad criptográfica debe desarrollarse mediante las siguientes normativas:
 Política de gestión de claves criptográficas de la TUX Srl.

 Política de autenticación de la TUX Srl.
 Política de cifrado de la TUX Srl.
Corresponde al Área de Tecnología de TUX Srl. el desarrollo de la Política de seguridad

criptográfica por medio de los instrumentos indicados.
b) Establecimiento de plazos de duración de las claves
De manera general, una clave se utilizará durante un plazo concreto, o período criptográfico,
por los motivos siguientes:
 Se limita la cantidad de información protegida por una clave que está disponible por
análisis criptográfico.
 Se limita la exposición en caso de compromiso de una clave.
 Se limita el uso de un algoritmo particular a su período estimado de uso eficiente.
 Se limita el tiempo disponible para intentar penetrar los mecanismos de acceso lógico,
físico y de procedimiento que protegen una clave de su divulgación no autorizada.
 Se limita el período durante el cual la información puede comprometerse por
divulgación accidental de claves o material criptográfico a entidades no autorizadas.

31
Tabla - 16 Periodos Criptográficos.
Para la decisión concreta de los períodos de aplicación, debe hacerse un análisis de riesgo,
considerando los siguientes factores:
 La fortaleza de los mecanismos criptográficos empleados

 La protección de los mecanismos empleando equipamiento criptográfico
seguro.
 El entorno de operación (instalaciones de acceso controlado, equipamiento de
oficina o terminal de acceso público)
 El volumen de información o el número de transacciones que hay que proteger.
 La clasificación de seguridad de los datos.
 La función de seguridad involucrada (cifrado de datos, firma digital, producción,
negociación o protección de claves)
 El método de regeneración de las claves.
 El método de actualización o de derivación de las claves
 El número de nodos de red que eventualmente comparten una clave
 El número de copias de una clave y de distribución de las copias
 Las amenazas a la seguridad de las claves.
Hay que considerar también de manera particular las restricciones derivadas de las normas y
políticas de las entidades de certificación externas, ya que en muchos casos son las entidades
de certificación las que fijan los períodos criptográficos.
En este sentido, se autoriza la aceptación de períodos criptográficos superiores a los

recomendados, siempre que se trate de claves garantizadas en certificados reconocidos.
c) Establecimiento de procedimientos de gestión de claves
Se establecerán los siguientes procedimientos en relación con los siguientes aspectos:

 Generación de claves para diferentes sistemas criptográficos y aplicaciones.
 Generación y obtención de certificados de clave pública.
 Distribución de claves a los usuarios, incluyendo la activación una vez hayan
sido recibidas.
 Cambio o actualización de claves, incluyendo normas sobre cuándo deben
cambiarse o actualizarse, y cuál es el procedimiento aplicable.
 Gestión de claves comprometidas.
 Revocación de claves, incluyendo su retirada o desactivación.
 Archivo de claves, especialmente en caso de información cifrada que haya sido
archivada.
 Destrucción de claves.
 Registro y auditoría de operaciones relativas a la gestión de claves.

32
Deben definirse períodos de activación y desactivación de las claves para reducir el riesgo de
compromiso, de modo que las claves solo puedan utilizarse durante un plazo concreto, de
acuerdo con las circunstancias y el análisis de riesgo.
El departamento de tecnologías definirá procedimientos para garantizar la autenticidad de las

claves públicas, mediante el uso de las entidades de certificación que sean adecuadas. En
caso de que haya terceros prestadores de servicios relacionados con la criptografía, se
establecerán acuerdos de nivel de servicio que consideren de manera específica.
d) Establecimiento de estándares de implantación de tecnología criptográfica
Debe definirse e implantarse una infraestructura común y adecuada de tecnología criptográfica

que preste servicios criptográficos identificados en esta política a las diferentes aplicaciones de
TUX Srl., considerando al menos las siguientes.
 La sede electrónica de TUX Srl.

 La realización de actos automatizados basados en el uso de sellos de ATUX Srl. y de
sus órganos.
 La realización de actos manuales y otras acciones que tengan plasmación documental,
por parte del personal de ATUX Srl. Cuando utilicen firma electrónica.

e) Cumplimiento normativo
Los servicios criptográficos tienen que emplearse de acuerdo con la legislación vigente en cada
momento.
6.7.5 Seguridad física ambiental
Este es un proceso que se apoya en la tecnología para lograr sus objetivos a lo largo de toda la
entidad. La seguridad debe ser un enfoque sistémico realizado por profesionales en la materia,
que propongan una serie de actividades, procesos y productos para que todos funcionando de
manera sincronizada ejerzan un control, factores disuasivos, e información; que en su conjunto
garanticen que la entidad pueda lograr sus objetivos de manera oportuna y productiva.
La seguridad física en Bolivia es y ha sido un aspecto muy importante de la forma como las
empresas protegen sus activos económicos. Se requiere contar con una metodología que
permite evaluar qué tan efectivos son los controles existentes en la infraestructura de la
empresa con el fin de actuar como factor disuasivo y control, contra eventos que pongan en
peligro la disponibilidad, confidencialidad e integridad de la información.
Es importante considerar que factores como el control de variables ambientales, tecnologías de

control de acceso, y sistemas de CCTV, permiten implementar los controles. Estos controles
deben ser el resultado del análisis de riesgo, en donde se determinan las prioridades de cada
uno de los elementos anteriormente mencionados.
Zonas de mejora o posibles proyectos (mejora de controles de acceso y protección contra

amenazas naturales).
 Centros de Procesamiento normales o de emergencia.

 Áreas con servidores, ya sean de procesamiento o dispositivos de
comunicación.
 Áreas donde se encuentren concentrados dispositivos de información.
 Áreas donde se almacenen y guarden elementos de respaldo datos (CD,
Discos Duros, Cintas etc.)
 Áreas donde se deposite salidas de impresoras o fax

33
6.7.6 Seguridad de las operaciones
El objetivo de este dominio consiste en asegurar las operaciones correctas y seguras de las
instalaciones de procesamiento de información. Para ello, el proceso se divide en 2
subdominios que se tratarán individualmente:
1) Procedimientos Operacionales Y Responsabilidades
Para este subdominio se debe:
Tener procedimientos documentados de cada uno de los elementos de procesamiento de

información, como servicios, aplicativos, dispositivos de red y de infraestructura. La
documentación por cada elemento debería incluir como mínimo:
 Instalación y configuración de los sistemas

 Procedimientos de encendido y apagado
 Procedimientos de respaldo tanto de los datos como de la configuración
Contar con un procedimiento de gestión de la capacidad. El principio fundamental consiste en

monitorear todos los recursos de procesamiento y comunicación, tales como ancho de banda
de los canales, memoria, capacidad de almacenamiento, capacidad de cálculo, entre otros, y
alertar cuándo lleguen a valores críticos con el fin de gestionar la capacidad de cómputo, bien
sea optimizando o adquiriendo más capacidad.
Contar con separación de ambientes, la norma se refiere a que el ambiente de desarrollo debe
ser diferente al ambiente de producción. Cuando se refiere a ambientes, lo ideal sería que
fuesen ambientes totalmente independientes. En lo posible, se debe procurar cinco ambientes
como se describen a continuación:
 Terceros: cuando se desarrolla software por terceros y es necesario que tengan acceso
a los sistemas de la entidad, es recomendable construir un ambiente independiente
para el proveedor que no interfiera con la entidad ni afecte la seguridad de la misma.
La información con la que se realiza estos desarrollos debe ser información de prueba,
nunca con datos reales.
 Desarrollo: El ambiente de desarrollo es un ambiente diseñado para este fin no debe
tener acceso directo a los sistemas de producción. Debería brindarle a los
desarrolladores una infraestructura lo más similar posible a la que se tiene para
producción. La información con la que se realiza estos desarrollos debe ser información
de prueba, nunca con datos reales.
 Pruebas y Calidad de Software: Es un ambiente destinado para todas las pruebas de
software: funcionales, no funcionales y pruebas de seguridad. Debería tener una
infraestructura lo más similar posible a la que se tiene para producción. La información
con la que se realiza estos desarrollos debe ser información de prueba, nunca con
datos reales.
 Producción: Es el ambiente productivo, donde se realizan las operaciones reales de la
empresa.
 Contingencia: Es el ambiente de respaldo que se analiza en detalle en la gestión de
continuidad, debe ser lo suficientemente robusto para soportar los servicios mínimos
requeridos por la entidad.
2) Registro Y Seguimiento
Para este subdominio se debe:

34
Dejar rastro de los eventos y evidencia de todas las operaciones relevantes con el fin de que
sirvan de apoyo en una investigación de seguridad en un momento dado. Se debe tener en
cuenta para estos registros que contengan entre otros la siguiente información:
 Identificación de usuarios
 Actividades del sistema
 Fechas, horas y detalles de los eventos clave, por ejemplo, entrada y salida
 Identidad del dispositivo o ubicación, si es posible, e identificador del sistema
 Registros de intentos de acceso al sistema exitosos y rechazados
 Registros de datos exitosos y rechazados y otros intentos de acceso a recursos
 Cambios a la configuración del sistema
 Uso de privilegios
 Uso de utilidades y aplicaciones del sistema
 Archivos a los que se tuvo acceso, y el tipo de acceso
 Direcciones y protocolos de red
 Alarmas accionadas por el sistema de control de acceso
 Activación y desactivación de los sistemas de protección, tales como sistemas antivirus
y sistemas de detección de intrusión
 Registros de las transacciones ejecutadas por los usuarios en las aplicaciones
6.7.7 Seguridad de las comunicaciones
La transferencia de información está expuesta a múltiples riesgos, por ello la empresa debe
implementar medidas preventivas para evitar su divulgación o modificación. Para lograr esto se
debe:
Asegurar la protección de la información en las redes, y sus instalaciones de procesamiento de

información de soporte y mantener la seguridad de la información transferida dentro de la
entidad y con cualquier entidad externa.
1) Reporte e investigación de incidentes de seguridad
El personal de la empresa debe reportar con diligencia, prontitud y responsabilidad presuntas

violaciones de seguridad a través de su jefe de dependencia de Sistemas o jefe de TI o al RSI.
En casos especiales dichos reportes podrán realizarse directamente al área de Sistemas, la
cual debe garantizar las herramientas informáticas para que formalmente se realicen
tales denuncias.
El Comité de Seguridad de la Información debe preparar, mantener y difundir las normas,

procesos y guías para el reporte e investigación de incidentes de seguridad.
En conformidad con la ley, la empresa podrá interceptar o realizar seguimiento a

las comunicaciones por diferentes mecanismos previa autorización del CSI y en todo
caso notificando previamente a los afectados por esta decisión.
El departamento de Sistemas mantendrá procedimientos escritos para la operación de

sistemas cuya no disponibilidad suponga un impacto alto en el desarrollo normal de
actividades. A dichos sistemas se debe realizar seguimiento continuo del desempeño para
asegurar la confiabilidad del servicio que prestan.
2) Protección contra software malicioso y hacking.
Todos los sistemas informáticos deben ser protegidos.

35
El CSI elaborará y mantendrá un conjunto de políticas, normas, estándares, procedimientos y
guías que garanticen la mitigación de riesgos asociados a amenazas de software malicioso y
técnicas de hacking.
En todo caso y como control mínimo, las estaciones de trabajo de la empresa deben estar
protegidas por software antivirus con capacidad de actualización automática. Los usuarios de la
estaciones no están autorizados a deshabilitar este control.
El departamento de sistemas deberá hacer un seguimiento al tráfico de la red cuando se tenga

evidencias de actividad inusual. La dependencia que realice dicho seguimiento deberá
informar al a su inmediato superior o al RSI a través de correo electrónico o noticias en la
intranet, de la ejecución de esta tarea.
El departamento de Sistemas debe mantener actualizada una base de datos con alertas de
seguridad reportadas por organismos competentes y actuar en conformidad cuando una
alerta pueda tener un impacto considerable en el desempeño de los sistemas
informáticos.
3) Copias de Seguridad
Toda información que pertenezca a la matriz de activos de información de la empresa o que

sea de interés para un proceso operativo o de misión crítica debe ser respaldada por copias de
seguridad tomadas de acuerdo a los procedimientos documentados por el Comité
de Seguridad de la Información. Dicho procedimiento debe incluir las actividades de
almacenamiento de las copias en sitios seguros.
Los departamentos de la empresa deben realizar pruebas controladas para asegurar que las
copias de seguridad pueden ser correctamente leídas y restauradas.
Los registros de copias de seguridad deben ser guardados en una base de datos creada para
tal fin.
El departamento de Sistemas debe proveer las herramientas para que las dependencias
puedan administra la información y registros de copias de seguridad. Se deberá tener un
Control Interno para efectuar auditorías aleatorias que permitan determinar el correcto
funcionamiento de los procesos de copia de seguridad.
Las copias de seguridad de información crítica deben ser mantenidas de acuerdo a

cronogramas definidos y publicados por el departamento de Sistemas.
La creación de copias de seguridad de archivos usados, custodiados o producidos por usuarios

individuales es responsabilidad exclusiva de dichos usuarios. Los usuarios deben
entregar al respectivo jefe de departamento las copias de seguridad para su registro y
custodia.
4) Administración de Configuraciones de Red
La configuración de enrutadores, switches, firewall, sistemas de detección de

intrusos y otros dispositivos de seguridad de red; debe ser documentada, respaldada por
copia de seguridad y mantenida el departamento de sistemas y su responsable de Redes de
Datos.
Todo equipo de TI debe ser revisado, registrado y aprobado por el encargado de Red de datos
para conectarse a cualquier nodo de la Red de comunicaciones y datos empresarial. Dicha
dependencia debe desconectar aquellos dispositivos que no estén aprobados y reportar tal
conexión como un incidente de seguridad a ser investigado.

36
5) Intercambio de Información con empresas Externas
Las peticiones de información por parte de entes externos de control deben ser aprobadas por
la Gerencia y el departamento de sistemas y el área con el cual se está realizando el
intercambio.
6) Internet y Correo Electrónico
Las normas de uso de Internet y de los servicios de correo electrónico serán elaboradas,
mantenidas y actualizadas por el Comité de Seguridad de la Información y en todo caso este
comité debe velar por el cumplimiento del código de ética institucional y el manejo responsable
de los recursos de tecnologías de la información.
7) Instalación de Software
Todas las instalaciones de software deben ser aprobadas por el departamento de de Sistemas.
No se permite la instalación de software que viole las leyes de propiedad intelectual y derechos
de autor en especial la ley 23 de 1982 y relacionadas. La Oficina Asesora de Sistemas y la Red
de Datos UDNET deben desinstalar cualquier software ilegal y registrar este hecho como un
incidente de seguridad que debe ser investigado.
Corresponde al departamento de Sistemas mantener una base de datos actualizada que

contenga un inventario del software autorizado para su uso e instalación en los sistemas
informáticos empresariales.
6.7.8 Desarrollo, mantenimiento y adquisición de sistemas
La seguridad en los procesos de desarrollo de software debe estar a lo largo de cada parte del
ciclo de desarrollo de software, las recomendaciones por cada parte son:
Análisis de Requerimientos
 Definir claramente con el usuario final el alcance de los requerimientos.

 Determinar la confidencialidad de la información que se maneja
 Definir el control de autenticación requerido
 Definir los roles y los privilegios de cada rol
Diseño
 Acceso a componentes y administración del sistema

 Logs para auditoría
Gestión de sesiones
 Datos históricos
 Manejo apropiado de errores
 Segregación de funciones
 Defina adecuadamente la administración de identidades
- Exija el uso de contraseñas seguras
- En el caso de que se produzca un error en la autenticación, devuelva la mínima
información posible
 Compruebe siempre la validez de los datos de entrada
- Suponga que todos los datos especificados por los usuarios tienen mala intención
- Compruebe la validez del tipo, longitud e intervalo de los datos

37
 Administración de la configuración y las sesiones
 Datos confidenciales y criptografía
 Auditoría y registro, siempre dejar registro de las actividades sensibles del aplicativo,
(login y log-out, Tiempo de sesión, accesos a la base de datos)
Codificación
 Aseguramiento de los ambientes de desarrollo
 Mantener documentación técnica
 Seguridad en las interfaces de comunicación
 Buenas prácticas de codificación:
- Validación de entradas
- Codificación de las salidas
- Estilo de programación limpio
- Código autodocumentado
- Control de código fuente (log de cambios)
- Buena utilización de recursos (memoria, acceso a base de datos)
- Estandarización y reutilización de código
Pruebas
 Controles de calidad en controles de seguridad

 Inspección de código por fases
 Comprobación de gestión de configuraciones
Instalación, actualización y parches
Tener en cuenta control de cambios
Documentación de sistemas de información
 Toda la documentación asociada al ciclo de construcción y/o mantención de sistemas

de información debe tener procedimientos de control de versionamiento.

 El acceso a la documentación de sistemas de información, bibliotecas de códigos
fuentes y programas ejecutables, debe estar restringida sólo a funcionarios
autorizados. La excepción a esta política, son los manuales de usuario, manuales de
capacitación, u otros documentos destinados a los usuarios del o los sistemas de
información.
Especificación de requerimientos de seguridad
 Para la construcción de nuevos sistemas de información o mejoras a los existentes, se

debe especificar los controles de seguridad desde la etapa de levantamiento de
requerimientos, tales como encriptación de claves, de mensajes, de configuración;
auditoria de trazabilidad; entre otros.
 En la identificación de controles de seguridad deben participar las áreas de
administración, monitoreo, contabilidad y otros que serán usuarios del sistema de
información en construcción o proceso de mantención.
 El diseño e implementación de controles de seguridad, deben ser preferentemente de
tipo automático, evitando procesos o intervención manuales.
 Las excepciones deben ser aprobadas por la CSI.
Adquisición de sistemas

38
 Atux Srl. Tiene como componente principal en sus herramientas de trabajo el sistema
de gestión de información del cliente SOFTGUAR, este deberá seguir las siguientes
normas al momento de realizar la renovación de contrato con el proveedor. También se
aplicara a la adquisición de cualquier otro sistema.
 En el proceso de análisis y adquisición de paquetes de software a terceros, deben
considerarse aspectos y atributos de seguridad de la información, y el impacto en la
seguridad frente eventuales cambios o modificaciones para su implementación
 Las modificaciones a los paquetes de software o sistemas adquiridos a terceros, que
surjan producto de su explotación y tengan relación con las seguridad de la
información, deben ser aprobados por el CSI.
 Se prohíbe el uso y/o copia de cualquier paquete de software, por parte de los
funcionarios del TUX Srl. del cual no se disponga de su respectiva licencia que lo
autorice.
 La puesta en producción de los Sistemas de Información, sean éstos construidos
internamente o adquiridos a terceros, deben siempre considerar la realización de
actividades de capacitación dirigida.
6.7.9 Gestión De Incidentes De Seguridad De La Información
Se deberá construir un proceso consistente para gestionar los incidentes de seguridad de la

información, el cual debe contener como mínimo:
 Reporte de incidente de seguridad de la información

 Investigación de incidente de seguridad de la información
 Adecuado control de cadena de custodia para gestión de evidencias
La adecuada gestión de los incidentes de seguridad de la información permite proteger los tres
pilares de la seguridad: la confidencialidad, la integridad y la disponibilidad de la información.
La implementación de estos controles permite asegurar un enfoque coherente y eficaz para la
gestión de incidentes de seguridad de la información, incluida la comunicación sobre eventos
de seguridad y debilidades.
6.7.10 Cumplimiento
Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentación o

contractuales relacionadas con seguridad de la información, y de cualquier requisito de
seguridad, es importante para no incurrir en demandas, multas u otra clase de afectación a la
imagen o a las finanzas de la empresa.
Definir procedimientos apropiados para asegurar el cumplimiento de los requisitos legislativos,

de reglamentación y contractuales relacionados con los derechos de propiedad intelectual y el
uso de productos de software patentados.
Establecer una política de privacidad y protección de la información de datos personales y

mantener una capacitación continua sobre estas leyes con expertos en el tema.
Adicionalmente, como parte del ciclo de mejoramiento continuo del PISI, la empresa debe
garantizar que la seguridad de la información se implementa y opera de acuerdo con las
políticas y procedimientos organizacionales.
6.7.11 Sanciones
El incumplimiento de las obligaciones emanadas de esta Política, de las políticas específicas

del sistema, procedimientos u otros documentos que se deriven de estos, serán sancionados

39
en los términos de las leyes vigentes y aplicaciones bajo el Estatuto Administrativo para los
funcionarios de la empresa. Cuando el incumplimiento se trate de personas que no tengan
responsabilidad administrativa o empresas que se encuentren dentro del alcance de esta
política, se procederá al término anticipado de contrato, por incumplimiento de obligaciones, sin
perjuicio de las responsabilidades civiles y penales que se deriven de tales infracciones.
SE ESTABLACE la obligación del departamento de Recursos Humanos de la empresa TUX

Srl. De difundir la política fijada en este instrumento y al departamento de Sistemas, de velar
por su estricto cumplimiento.
INSTRUYASE al Jefe del Departamento de Sistemas y a los encargados de seguridad de la

información, que realicen las acciones tendientes a la implementación de la presente política en
materias a su competencia.
6.8 Histórico de Cambios

Versión Fecha Modificación Principales cambios efectuados
0 10/09/19 Comité de Seguridad de la Creación del documento
Información
1.0 15/09/19 Comité de Seguridad de la Versión inicial
Información
1.1 24/09/19 Comité de Seguridad de la Se precisa la definición de activo de
Información información. Se especifican las
actividades de cada proceso asociado
a los activos de información. Se acota
definición de incidente de seguridad
para incluir los conceptos personas y
documentos.
1.1 25/09/19 Encargado de Seguridad Ingreso de nuevos registros
de la Información concernientes a los activos de
información
1.2 30/09/19 Comité de Seguridad de la Se incluyen las responsabilidades de
Información otros agentes participantes del
proceso de seguridad de la
información.
1.3 2/10/19 Encargado de Seguridad Se agrega un nuevo punto en la
de la Información sección de cumplimiento y una nueva
tarea en la sección de responsabilidad
2.0 11/10/19 Encargado de Seguridad Se ajustan detalles menores al
de la Información contenido de la Política y se actualiza
los nombres de los responsables en
los puntos de políticas de la seguridad
2.1 16/10/19 Encargado de Seguridad Conclusión del documento
de la Información
Tabla - 17 histórico de cambios

40
7 Plan de Contingencias Tecnológicas
El plan aplica a las actividades necesarias para mantener en operatividad los sistemas de
información considerados como críticos en la empresa TUX SRL.
Para su implementación es necesario tener en cuenta aspectos técnicos, humanos y de

logística que permitan a la empresa, estar preparada para afrontar la contingencia.
7.1.1 Variables técnicas a tener en cuenta en la implementación del plan

de contingencias de TI
Los componentes de hardware, software o conectividad que aplican son:
- Servidor de aplicaciones de contingencia son el sistema de vigilancia SoftGUARD

- Servidor de Bases de Datos con replica de datos de la base de datos original
- Servidor Web para monitoreo interno
- Conectividad alterna
a) Técnicos
 Recursos Técnicos
 Servidor
 Hardware
- Memoria: 16 GB
- Disco Duro : 1000 GB
- Procesador XION Core
 Software
- Servidor de Base de Datos : WINDOWS SERVER 2012/
SQL Server 2012
- Servidor ISS : WINDOWS SERVER 2012
- Software de respaldo del sistema
 Backups de Base de Datos

b) Humanos
 Un administrador de Base de Datos

 Un administrador de sistemas operativos.
 Un administrador de redes.
Se requiere contar con un profesional que tenga conocimientos claros de la

administración de las bases de datos, sistema operativo WINDOWS SERVER 2012 y
conectividad LAN. Lo anterior con el fin de dar soporte a las tareas de
implementación de la puesta en marcha del sistema de información crítico que se
encuentra en contingencia.
8 Plan de Respuesta ante incidentes informáticos

8.1 Introducción

41
La creación y puesta en marcha de la implementación de un plan de respuesta a incidentes
Informáticos, exige a las empresas, emprender un proceso de transformación que permita
afrontar de manera eficiente y oportuna con propuestas profesionales en momentos de crisis o
en momentos normales de avances tecnológicos.
Es así como la empresa que cada día emprende nuevos ciclos para alcanzar grandes logros en
medio de nuevas transformaciones tecnológicas con sus amenazas, deben implementar entre
otras, políticas de seguridad informática y procedimientos de seguridad ante incidentes
inclusive naturales o del entorno que permitan una consolidación económica y socialmente
rentable.
8.2 Pasos para una respuesta a incidente informático

a) Definir una guía de procedimientos
De manera sistemática y realizando los pasos necesarios y en el orden adecuado con el fin de
evitar errores por la improvisación mediante indicadores de incidentes con herramientas y
filtros que faciliten su clasificación.
b) Análisis de los incidentes
Que permita determinar el alcance en equipos, redes, servicios y aplicaciones que se puedan
ver afectados así como la identificación del tipo teniendo en cuenta el posible impacto dentro de
la organización.
c) Identificación del atacante
Con el fin de poder emprender actuaciones legales para exigir responsabilidades e

indemnizaciones a que hubiere lugar por intermedio de las instituciones legalmente autorizadas
para el manejo de este tipo de incidentes.
d) Documentación del incidente
Reflejar de manera clara y precisa todos los aspectos relacionados, mediante una lista de
parámetros previamente definidos para tal fin.
8.3 Tratamiento de los incidentes informáticos

La seguridad informática corresponde a un tema de reciente importancia dentro del ámbito de
la informática debido a la nueva tendencia de la utilización indebida y para fines destructivos y
en caso más extremos delictivos a nivel de personas u organizaciones que se dedican a la
piratería a través de las redes de comunicación con fines de vulnerar sistemas de información
privados.
El tema importante de un ataque a los sistemas de información radica en la importancia de la

identificación del atacante con el fin de emprender las acciones legales exigir responsabilidades
o reclamar indemnizaciones, sin embargo es más común identificar la maquina usada para el
incidente que el mismo individuo.
La mayor preocupación para una entidad corresponde a la manera como se debe manejar un
incidente informático no solo a nivel de la perdida material en información que se puede
presentar en estas situaciones, sino el buen nombre que podría afectar a una empresa en caso
de filtrarse este tipo de información públicamente lo que podría afectar la reputación.

42
La norma ISO 27001 establece como objetivo de la gestión de los incidentes de seguridad de
la información la necesidad de “asegurar que los eventos y las debilidades de la seguridad
asociados con los sistemas de información se comunican de forma tal que permiten tomar las
acciones correctivas oportunamente…”.
En materia de incidentes informáticos, descritos en en la norma ISO 27001 se invita a que las
organizaciones realicen la recolección de la evidencia con el fin de establecer acciones y
seguimiento contra personas u organización que han cometido un ilícito de incidente de
seguridad de la información contra la entidad o personas lo que conllevar a tomar acciones
disciplinarias, legales, civiles o penales adecuadamente.
Con el fin de comprobar un ilícito cometido contra la seguridad de la información las evidencias
se debe recolectar, retener y custodiar adecuadamente con el fin de presentarlas como
evidencias validas ante un ente judicial y/o fiscal competente.
Ante un incidente informático el equipo seguridad informática debe reaccionar siguiendo un

esquema de recolección y custodia de la información teniendo en cuenta los siguientes pasos,
con el fin de que permita establecer el tratamiento probatorio conforme a la ley:
1) Identificación y captura de las evidencias

2) Preservar la evidencia de los daños accidentales o intencionales, efectuando
una copia o imagen adecuada.
3) Examinar la imagen de la copia original, con el fin de encontrar evidencias o
información sobre el incidente ocurrido.
4) Elabora un informe haciendo referencia de los hallazgos y las posibles
responsabilidades de las persona involucradas en el incidente.
Las actividades mencionadas anteriormente se debe realizar con la participación de un equipo

de profesionales capacitados en este tipo de incidentes con técnicas de ingeniería forense
correspondientes a la protección de la escena, recolección, embalaje, transporte, análisis,
almacenamiento, preservación, recuperación y disponibilidad ﬁnal de éstos lo que nos podrá
permitir identificar al responsable en cada una de sus etapas y determinar los elementos que
correspondan al caso investigado lo que permitirá realizar las acciones legales de un incidente
informático.
8.4 Informes de incidentes informáticos

El llamado a un incidente informático puede llegar de varias maneras como pueden ser
anónimos, correos electrónicos, llamada telefónica o reportes de las empresas e incluso de
reportes de auditoria, lo anterior puede llegar de manera especulativa o información verificada
lo que nos previene de los elementos y herramientas que debemos preparar para la atención
debida del incidente.
El resultado de una respuesta a un incidente informático se debe fundamentar en la generación

de un documento que permita establecer las actividades y los procedimientos ejecutados así
como los procedimientos empleados para el manejo de la investigación.
Los informes se pueden sustentar con diferentes registros tales como descripción escrita
determinando la fecha y la hora y alguna prueba digital o grafica que pueda verificar lo
enunciado.
Los registros fotográficos y videográficos representan una prueba que permite igualmente la
sustentación de los procedimientos seguidos en la respuesta al incidente informático
permitiendo la validación del resultado que debe ser anexo al informe del procedimiento.
El acta de la diligencia se debe realizar en el lugar de la escena exponiendo claramente la
descripción de del lugar describiendo clara y detalladamente todo hallazgo y procedimiento
realizado así como las personas que intervienen en la actividad.
a) Cadena de Custodia

43
Es un proceso documentado donde se recolecta toda la información referente a las evidencias
recaudadas resaltando como características especiales lo relacionado con el material
probatorio recaudado como son la Mismidad, Autenticidad e integridad.
Con el fin de garantizar la adecuada cadena de custodia se debe elaborar un adecuado

formato de rotulación de los elementos previa verificación de la existencia de pruebas que
permitan sustentar un procedimiento de incautación de electos probatorios.
Se deben tener en cuenta para la elaboración de un formato de cadena de custodia información

relacionada como identificación del caso con tipos de codificación nemotécnica que permita su
clara identificación entre otros caso que puedan existir, la fecha y hora final de la recolección,
el número de elementos en custodia describiendo claramente las unidad es de medida, la
descripción física del lugar donde ocurrió el incidente informático, la descripción detallada y
precisa de cada uno de los elementos sin omitir toda la información relacionada, si existe en el
lugar y el momento la persona a quien se le encontró el elemento identificarla en el formato con
nombres completos y en lo posible con documento de identificación.
La importancia del primer registro de cadena de custodia se fundamenta en el registro de cada

una de las personas que hacen parte del proceso relacionado con la custodia de los elementos
así:
1)Persona que halla el elemento de evidencia física.

2)Persona que recolecta el elemento de evidencia física.
3)Persona que embala el elemento de evidencia física.
La identificación clara, los nombres y apellidos completos hacen parte de una buena cadena de
custodia así como los elementos utilizados para el almacenamiento de los elementos
encontrados en la escena de un incidente informático tales como el tipo de bolsas, frascos, u
otro tipo de elementos que permitan el adecuado embalaje.
El registro de continuidad de los elementos de pruebas o evidencias constituyen una de los

procedimientos de mayor relevancia en un adecuado manejo de la cadena de custodia
teniendo en cuenta que es importante registrar la información más relevante de quien solicita o
a quien se le hace entrega del material en custodia de tal forma que no quede indicio de un
manejo inadecuado, para lo cual debe quedar claramente registrado la siguiente información:
1.) La hora y fecha, la hora militar por razonas de exactitud y claridad horaria.
2.) Nombres y apellidos completos de quien está recibiendo el material de prueba o evidencia.
3.) Identificación como la cedula de ciudadanía.
4.) Entidad o dependencia que representa.
5.) Calidad en la que actúa, tal como custodio, perito o transportador.
6.) Propósito del traslado o traspaso como puede ser la entrega de almacén, el
almacenamiento, para análisis, presentación como prueba, consulta o para disposición final.
7.) observaciones del estado en que se encuentra el material de la evidencia.
8.) firma de quien recibe el material y firma de quien entrega dicho material.
b) Informe de actividades consolidadas

Es un proceso documentado donde se recolecta toda la información referente a las evidencias
recaudadas resaltando producto de la respuesta al incidente informático donde se evidencia
las características especiales lo relacionado con el material probatorio recaudado como son la
Mismidad, Autenticidad e integridad.

44
9 Indicadores y Métricas
ID de la Métrica 1
Nombre del indicador Organización de seguridad de la información.
Propósito del indicador Determinar y hacer seguimiento, al compromiso de la
dirección, en cuanto a seguridad de la información,
en lo relacionado con la asignación de personas y
responsabilidades relacionadas a la seguridad de la
información al interior de la empresa
Objetivo de control o controles Hacer un seguimiento a la asignación de recursos y
asociados responsabilidades en gestión de seguridad de la
información, por parte de la gerencia
Destinatario Gerencia, responsables de control
Formula Procesos propuestos / Procesos ejecutados
Escala Porcentaje
Nivel para el cumplimiento 80%
Frecuencia de medición Anual
Fuente de datos Acta de Gerencia
Tabla - 18 Métrica 1
ID de la Métrica 2
Nombre del indicador Cubrimiento de PISI en activos de información
Propósito del indicador El indicador permite determinar y hacer seguimiento
al cubrimiento que se realiza a nivel de activos
críticos de información de la empresa y los controles
aplicados.
Objetivo de control o controles Hacer un seguimiento a la inclusión de nuevos
asociados activos críticos de información y su control, dentro
del marco de seguridad y privacidad de la
información.
Destinatario Dep. de sistemas, encargados IT
Formula Número de controles propuestos / Número de
controles implementados
Escala Porcentaje
Fuente de datos Dep. de sistemas
ID de la Métrica 3
Nombre del indicador Tratamientos de eventos relacionados a la seguridad
y privacidad de la información
Propósito del indicador Permite determinar la eficiencia en el tratamiento de
eventos relacionados la seguridad de la información.
Los eventos serán reportados por los usuarios
Objetivo de control o controles Reflejar la gestión y evolución del modelo de
asociados seguridad y privacidad de la información al interior de
la empresa
Destinatario Dep. de sistemas, encargados IT, RSI
Formula Número de tratamientos propuestos / Número de
tratamientos implementados
Escala Porcentaje

45
Fuente de datos Dep. de sistemas, Administración
ID de la Métrica 4
Nombre del indicador Plan de sensibilización
Propósito del indicador El indicador permite medir la aplicación de los temas
sensibilizados en seguridad de la información por
parte de los usuarios finales.
Objetivo de control o controles El objetivo del indicador es establecer la efectividad
asociados de un plan de capacitación y sensibilización
previamente definido como medio para el control de
incidentes de seguridad.
Destinatario Dep. de sistemas, encargados IT, RSI, RRHH, ADM
Formula Número de personal capacitados / Número de
personal no capacitado
Escala Porcentaje
Nivel para el cumplimiento 70 %
Fuente de datos Dep. de sistemas, Administración, RRHH
ID de la Métrica 5
Nombre del indicador Cumplimiento de políticas de seguridad de la
información en la entidad
Propósito del indicador Cumplimiento de políticas de seguridad de la
información en la entidad
Objetivo de control o controles Busca identificar el nivel de estructuración de los
asociados procesos de la entidad orientados a la seguridad de
la información.
Destinatario Gerencia, Dep. de sistemas, encargados IT, RSI,
RRHH
Formula Número de personal que cumple / Número de
personal que no cumple
Escala Porcentaje
Nivel para el cumplimiento 90 %
Fuente de datos Gerencia, Dep. de sistemas, Administración, RRHH

46
47
10 Cronograma de Implementación
Tabla - 23 Diagrama Gantt de implementación

Pisi Tux

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Pisi Tux

Cargado por

Copyright:

Formatos disponibles

PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACION

Gráfico - 1 Mapa de interesados TUX Srl.___________________________________________________4

En atención a lo anterior, la empresa asumió el reto de implementar el PISI (Plan Institucional

Plan Institucional de Seguridad de la Información - TUX S.R.L.

Plan Institucional de Seguridad de la Información - TUX S.R.L.

• El aspecto positivo de esta metodología es que el resultado se expresa en valores

El PISI TUX contempla la gestión de riesgos en el ámbito de la seguridad de la información,

a) Identificación, clasificación y valoración de activos de información. Los activos de

Plan Institucional de Seguridad de la Información - TUX S.R.L.

5.1.1 Identificación de Interesados Internos

5.1.2 Identificación de Interesados Externos

5.2 Mapa de Interesados

Gráfico - 1 Mapa de interesados TUX Srl.

Partes interesadas Intereses

Plan Institucional de Seguridad de la Información - TUX S.R.L.

Tabla - 1 Tabla de interés

5.3 Contexto para la Gestión de Riesgos

5.3.1 Análisis FODA

FORTALEZAS OPORTUNIDADES DEBILIDADES AMENAZAS

Plan Institucional de Seguridad de la Información - TUX S.R.L.

Tabla - 2 Análisis FODA

5.3.2 Situación Actual

a) Seguridad en recursos humanos

5.3.3 Test para determinar el nivel de madures

¿Se realizan los procesos ad-hoc sin documentación?

Dominio Nivel de Madures

Plan Institucional de Seguridad de la Información - TUX S.R.L.

Tabla - 3 Test de madurez en activos de información

5.4 Identificación de Riesgos

IDENTIFICACIÓN DEL ACTIVO DE INFORMACIÓN

CONTENEDOR Y/O ACTIVO DE

Software de control de versiones

GD - A15 Interfaz de desarrollo (Netbeans con Alto

GD - A4 Servidor de aplicaciones Alto

GD - A5 Servidor de bases de datos Alto Servidores

GD - A19 Sistemas de gestión de bases de datos Alto

GD - A6 Servidor de imágenes Alto

GD - A14 Servicio de File Systems Alto

GD - A9 Dispositivos de red Alto CPD

GD - A10 Cuarto de equipos Alto

GD - A12 Red de área local - LAN Alto

GD - A17 Antivirus Alto Antivirus

Medios de almacenamiento electrónico Unidades de almacenamiento de

GD - A11 Desarrolladores Medio Talento humano

Plan Institucional de Seguridad de la Información - TUX S.R.L.

Teniendo presente los objetivos de la empresa, se describe a continuación la metodología a

Las actividades que comprende la metodología son:

 Identificación de vulnerabilidades y amenazas sobre los activos asociados a la

5.4.1 Identificación de vulnerabilidades y amenazas

Plan Institucional de Seguridad de la Información - TUX S.R.L.

• El aplicativo no encripta la información para su transmisión a • Divulgación de información no autorizada por

Plan Institucional de Seguridad de la Información - TUX S.R.L.

• El software no cuenta con lineamientos de seguridad que

• Visualización del código fuente del sistema de gestión

Plan Institucional de Seguridad de la Información - TUX S.R.L.

• No existen configuraciones de seguridad establecidas en los

Plan Institucional de Seguridad de la Información - TUX S.R.L.

• Hurto y/o daño de la infraestructura

Plan Institucional de Seguridad de la Información - TUX S.R.L.

Plan Institucional de Seguridad de la Información - TUX S.R.L.

Plan Institucional de Seguridad de la Información - TUX S.R.L.

• No hay lineamientos claros de seguridad orientados al

Tabla - 5 Análisis de riesgos en activos de la información seleccionados