Documentos de Académico
Documentos de Profesional
Documentos de Cultura
__________________________
Firma Presidente del Jurado
__________________________
Firma del Jurado
__________________________
Firma del Jurado
De manera innegable dedico este título por el cual opto a DIOS, a mi familia y
especialmente a mi esposa los cuales siempre están apoyándome y deseándome
lo mejor.
AGRADECIMIENTO
Pág.
INTRODUCCIÓN ..................................................................................................... 7
TITULO DEL PROYECTO ....................................................................................... 8
1. FORMULACIÓN DEL PROBLEMA ................................................................... 9
1.1 PRESENTACIÓN ....................................................................................... 9
1.2 PLANTEAMIENTO DEL PROBLEMA ....................................................... 10
2. JUSTIFICACIÓN ............................................................................................. 11
3. OBJETIVOS .................................................................................................... 12
3.1 OBJETIVO GENERAL .............................................................................. 12
3.2 OBJETIVOS ESPECÍFICOS ..................................................................... 12
4. ALCANCE Y DELIMITACIÓN.......................................................................... 13
4.1 ALCANCE ................................................................................................. 13
4.2 DELIMITACIÓN ........................................................................................ 13
5. MARCO REFERENCIAL ................................................................................. 14
5.1 ANTECEDENTES ..................................................................................... 14
5.2 MARCO TEÓRICO ................................................................................... 15
5.2.1 Seguridad Informática.. ...................................................................... 16
5.2.2 Seguridad de la Información.. ............................................................ 16
5.2.3 Sistema de Gestión de Seguridad de la Información (SGSI).. ........... 16
5.2.4 Metodología de gestión de riesgo.. .................................................... 18
5.2.5 Análisis de activo................................................................................ 19
5.3 MARCO CONCEPTUAL ........................................................................... 19
5.3.1 Seguridad.. ......................................................................................... 19
5.3.2 Amenazas.. ........................................................................................ 19
5.3.3 Vulnerabilidades.. ............................................................................... 19
5.3.4 Ataques. ............................................................................................. 20
5.3.5 Confidencialidad. ................................................................................ 20
5.3.6 Autenticación. ..................................................................................... 20
5.3.7 Integridad.. ......................................................................................... 20
5.3.8 Control de acceso. ............................................................................. 20
5.3.9 Base de datos. ................................................................................... 21
5.3.10 Activo de información. ..................................................................... 21
5.3.11 Disponibilidad.................................................................................. 21
5.4 MARCO LEGAL ........................................................................................ 21
5.4.1 ISO 27000. ......................................................................................... 21
5.4.2 ISO/IEC 27001 ................................................................................... 21
5.4.3 ISO/IEC 27005 ................................................................................... 22
5.4.4 ISO/IEC 27002 ................................................................................... 22
5.4.5 Ley 1273 del 2009 .............................................................................. 22
5.4.6 Ley 1581 del 2012 .............................................................................. 23
5.4.7 Decreto 1377 del 2013 ....................................................................... 23
5.5 MARCO CONTEXTUAL ........................................................................... 23
6. DISEÑO METODOLÓGICO ............................................................................ 25
6.1 METODOLOGÍA DE APLICACIÓN .......................................................... 25
6.2 POBLACIÓN Y MUESTRA ....................................................................... 25
6.3 TÉCNICAS DE RECOLECCIÓN DE INFORMACIÓN .............................. 25
6.4 METODOLOGÍA DE DESARROLLO ........................................................ 26
7. APLICACIÓN DE LA METODOLOGÍA ............................................................ 27
7.1 METODOLOGÍA DE GESTIÓN DE RIESGO ........................................... 27
7.2 ALCANCE DEL ANÁLISIS ........................................................................ 28
7.3 FASE 1 ..................................................................................................... 29
7.3.1 Identificación y clasificación de activos. ............................................. 29
7.3.2 Descripción de los activos. ................................................................. 32
7.3.3 Dependencia de Activos. .................................................................... 33
7.3.4 Valoración de activos. ........................................................................ 38
7.4 FASE 2. .................................................................................................... 41
7.4.1 Clasificación de amenaza a los activos. ............................................. 41
7.4.2 Identificación de las amenazas de los activos. ................................... 43
7.4.3 Matriz de riesgos. ............................................................................... 47
7.4.4 Evaluación del riesgo.. ....................................................................... 56
7.4.5 Análisis de resultados de la matriz de riesgos. .................................. 74
7.5 FASE 3 ..................................................................................................... 76
7.5.1 Plan tratamiento de riesgo. ................................................................ 76
7.5.2 Declaración de aplicabilidad. ............................................................ 100
Pág.
Pág.
7
TITULO DEL PROYECTO
8
1. FORMULACIÓN DEL PROBLEMA
1.1 PRESENTACIÓN
El Sena Regional Guanina es una institución que dentro de su misión esta impartir
formación titulada, complementaria y virtual. Actualmente cuenta dentro de su
organigrama con la dependencia de formación profesional integral, que es donde
se realiza todo el proceso de registro, inscripción y matrícula de los aprendices a
los programas que el SENA contempla dentro de su catálogo. Lo que ha
propiciado un flujo o producción de información tanto impresa como digital, y que,
al no contar con políticas definidas de seguridad de información, ha propiciado
malas prácticas con relación a la manipulación, cadena de custodia o acceso a la
información de manera oportuna, riesgos que de no ser controlados llegarían a
afectar la integridad y disponibilidad de la información. Por otra parte, No se
cuenta dentro de la dependencia con políticas de seguridad claras que permitan
proteger la información de extravíos, accesos no autorizados tanto a equipos de
cómputo, medios extraíbles y hasta archivos impresos que quedan en la bandeja
de la impresora. Lo que afecta la propiedad de confidencialidad de la información
producida.
10
2. JUSTIFICACIÓN
11
3. OBJETIVOS
12
4. ALCANCE Y DELIMITACIÓN
4.1 ALCANCE
4.2 DELIMITACIÓN
13
5. MARCO REFERENCIAL
5.1 ANTECEDENTES
Según los autores Jhon Alexander López y Andrés Fabián Zuluaga Tamayo. Los
cuales presentaron la tesis de grado denominada “Desarrollo De Una Metodología
Para El Control De Riesgos Para Auditoria De Base De Datos”. Para optar al título
de Ingeniería De Sistemas y Computación de la Universidad Tecnológica de
Pereira en el año 20131. Permite dar soporte a los auditores de sistemas de
información especializados en auditorias de bases de datos, logren identificar,
analizar y controlar los riesgos que pueden afectar la información de las centrales
de datos. Dicha investigación presenta relación con este estudio. Toda vez, que
incorporan la metodología de análisis de riesgo MEGERIT y reconocen la
importancia de valoración de amenazas a los que pueden estar inmersa las bases
de datos dentro una empresa y como establecer medidas tendientes a
salvaguardar la información contenidas en ella.
1
LOPEZ, Jhon Alexander y ZULUAGA TAMAYO, Andrés Fabián. Desarrollo De Una Metodología Para El
Control De Riesgos Para Auditoria De Base De Datos. Tesis de Grado Ingeniería De Sistemas y
Computación. Pereira.: Universidad Tecnológica de Pereira. 2013. 5-51p.
2
ALVAREZ SOSA, Yenny Maribel. Diseño De Una Metodología Para El Análisis De Riesgo En Los Sistemas
De Gestión De Seguridad De Información (Marisgsi) En Las Universidades De Barquisimeto Estado Lara.
Trabajo de Grado Magister Scientiarum En Ciencias De La Computación. Barquisimeto: Universidad
Centroccidental “Lisandro Alvarado”. 2013. 2-34p.
14
Según la autora Karina del Rocio Vásquez Gaona. La cual presento la tesis de
grado denominada “Aplicación De La Metodología MAGERIT Para El Análisis Y
Gestión De Riesgos De La Seguridad De La Información Aplicado A La Empresa
Pesquera E Industrial Bravito S.A En La Ciudad De Machala”. Para optar al título
de Ingeniera de sistemas en la universidad Politécnica Salesina. Sede cuenca en
el año 20133. Define apartes importantes en la identificación y valoración de los
riesgos a los que puede estar sujeta la información. Si no se toman medidas
tendientes a protegerlos de ataque que afecte su integridad. Dicha investigación
se relaciona con este trabajo, que se coindice en el establecimiento de una
metodología que proporcione los elementos de juicio necesario encaminados a la
protección de la información mitigando las amenazas a las que pueden estar
expuestas.
3
VÁSQUEZ GAONA, karina del Rocio. APLICACIÓN DE LA METODOLOGÍA MAGERIT PARA EL ANALISIS
Y GESTIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN APLICADO A LA EMPRESA
PESQUERA E INDUSTRIAL BRAVITO S.A EN LA CIUDAD DE MACHALA. Tesis de grado para la obtención
del título Ingeniera de sistemas. Cuenca: Universidad Politécnica Salesina. Sede cuenca. Facultad de
Ingeniería. 2013. 53-79p.
4
DUARTE MARTINEZ, Maria Carolina. DISEÑO DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN
PARA LA UNIDAD DE TECNOLOGÍA DE LA CÁMARA DE COMERCIO DE CÚCUTA. Trabajo de grado
presentado como requisito para optar al título de: Especialista en Seguridad Informática. Cúcuta: Universidad
Nacional Abierta y a Distancia. Escuela de Ciencias Básicas, Tecnología e Ingeniería. 2019. 29-56p.
15
5.2.1 Seguridad Informática. La seguridad Informática abarca procedimientos
meticulosos destinados a proteger contra intrusos externos e internos los activos
de infraestructura tecnología (Hardware, Software, redes de datos y sistemas de
información) con la que cuentas las empresas y son utilizados diariamente para
almacenar y procesar la información5.
5
NECTEC.COM. ¿Qué es seguridad informática? (En línea) (Citado el 15 de abril de 2020). Disponible en:
https://www.netec.com/que-es-seguridad-informatica
6
NORMAS-ISO.COM. ISO 27001 SEGURIDAD DE LA INFORMACIÓN. (En línea) (Citado el 15 de abril de
2020). Disponible en: https://www.normas-iso.com/
7 NORMAS-ISO.COM. ISO 27001 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (En línea) (Citado el
15 de abril de 2020). Disponible en: https://www.normas-iso.com/iso-27001/
16
Una vez definido el SGSI se debe contar con un proceso de auditoria constante,
basado en el ciclo PHVA, el cual permitirá de manera oportuna establecer
acciones de mejora a que haya lugar. Teniendo como premisa la protección de la
información.
17
5.2.4 Metodología de gestión de riesgo. El análisis y gestión de riesgo es de vital
importancia8 dentro de la implementación de un SGSI en la toda organización que
valore y sepa, que la información es un recurso invaluable para la toma de
decisiones y transacciones. Ya que proporciona a través de la utilización de una
metodología permite el tratamiento e identificación de los riesgos, amenazas y
vulnerabilidades a los que puede llegar a estar expuesta los activos información en
la empresa. Por otra parte, una adecuada y oportuna gestión del riesgo provee las
herramientas necesarias para minimizar o en su defecto eliminar los peligros que
rodean no solo la información, sino también demás activos hardware y software
con los que cuenta la organización.
Dentro del proceso investigativo se abordan diferentes conceptos, los cuales son
importantes tener claridad:
5.3.1 Seguridad. Definida por la Real Academia Española (RAE)13 como “cualidad
de seguro” y seguro como “libre y exento de todo peligro, daño o riesgo”; por lo
que se puede decir entonces que seguridad, es la ausencia de riesgo o la
confianza en algo o alguien.
12
Publicaciones e Investigación. UNAD (2015). Revista Especializada en Ingeniería. Metodologías Para el
Análisis de Riesgos en los SGSI. (En línea) (citado el 15 de abril de 2020). Disponible en:
http://hemeroteca.unad.edu.co/index.php/publicaciones-e-investigacion/article/view/1435/1874
13
RAE.ES. Real Academia De La Lengua. Diccionario de la lengua española. (En línea) (Citado el 15 de abril
de 2020). Disponible en: https://dle.rae.es/seguridad?m=form
14
SEGURIDADINFORMACTICA.UNLU.EDU.CO. Universidad Nacional de Luján. Departamento de seguridad
Informática. Amenazas a la seguridad de la Información. (En línea) (Citado el 15 de abril de 2020). Disponible
en: http://www.seguridadinformatica.unlu.edu.ar/?q=node/12
15
SEGURIDADINFORMACTICA.UNLU.EDU.CO. Universidad Nacional de Luján. Departamento de seguridad
Informática. Amenazas a la seguridad de la Información. (En línea) (Citado el 15 de abril de 2020). Disponible
en: http://www.seguridadinformatica.unlu.edu.ar/?q=taxonomy/term/15
19
5.3.4 Ataques. Un ataque es un evento exitoso o no, que atenta sobre el buen
funcionamiento del sistema. En el flujo normal de la información no debe existir
ningún tipo de obstáculos para que la información llegue al destinatario 16.
16 ECURED.COM. Ataque Informático. (En línea) (Citado el 15 de abril de 2020). Disponible en:
https://www.ecured.cu/Ataque_inform%C3%A1tico
17
IBM.COM. Identificación y Autenticación. (En línea) (Citado el 16 de abril de 2020). Disponible
en:https://www.ibm.com/support/knowledgecenter/es/SSFKSJ_7.5.0/com.ibm.mq.sec.doc/q009740_.htm
18
IBM.COM. Integridad de datos. (En línea) (Citado el 15 de abril de 2020). Disponible en:
https://www.ibm.com/support/knowledgecenter/es/SSFKSJ_7.5.0/com.ibm.mq.sec.doc/q009780_.htm
19
TECNOSeguro.com. ¿Qué es un Sistema de Control de Acceso? (En línea) (Citado el 15 de abril de 2020).
Disponible en:https://www.tecnoseguro.com/faqs/control-de-acceso/que-es-un-control-de-acceso
20
5.3.9 Base de datos. Es una colección de archivos interrelacionados que son
creados con un Sistema Manejador de Bases de Datos (DBMS) 20. El contenido
de una base de datos engloba la información concerniente de una organización.
20
TICPORTAL.ES. Base de datos. (En línea) (Citado el 15 de abril de 2020). Disponible en:
https://www.ticportal.es/glosario-tic/base-datos-database
21
NORMAS-ISO.COM. ISO 27001 seguridad de la información .ISO 27001 gestión de la seguridad de la
información. (En línea) (Citado el 15 de abril de 2020). Disponible en: https://www.normas-iso.com/iso-27001/
22
INFOSEGUR.COM. Seguridad Informática. Objetivos de la seguridad informática. (En línea) (Citado el 15
de abril de 2020). Disponible en: https://infosegur.wordpress.com/tag/confidencialidad/
23
ISO27000.ES. Temas relacionados con los SGSI y la seguridad de la información. (En línea) (Citado el 15
de abril de 2020). Disponible en: http://www.iso27000.es/
21
sistema de Gestión de la seguridad de la información24. Fue originaria de la BS
7799-2:2002, siendo identificada actualmente como norma ISO 27001:2013, se
enuncian los objetivos de control y controles, a ser seleccionadas por las
empresas que desean implantar el SGS.
5.4.5 Ley 1273 del 2009. Se crea un nuevo bien jurídico tutelado - denominado
“de la protección de la información y de los datos27. Publicada el 5 de enero de
2009 esta ley modifica el código penal LEY 599 del 2000. La cual crea un nuevo
bien jurídico tutelado - denominado “de la protección de la información y de los
datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la
información y las comunicaciones, entre otras disposiciones. Lo anterior permite
tipificar como delitos informáticos acciones que atenten contra la integridad de la
información y se haga un uso inadecuado de las herramientas TIC.
24
ISO27000.ES. Serie "27000". Requisitos de la norma ISO/IEC 27001. (En línea) (Citado el 15 de
abril de 2020). Disponible en: http://www.iso27000.es/iso27000.html
25
ISO27000.ES. Serie "27000". Guías de referencia útiles para la implantación, mantenimiento, auditoría y
certificación de los Sistemas de Gestión de la Seguridad de la Información. (En línea) (Citado el 15 de abril de
2020). Disponible en: http://www.iso27000.es/iso27000.html
26
ISO27000.ES. Serie "27000". Guías de referencia útiles para la implantación, mantenimiento, auditoría y
certificación de los Sistemas de Gestión de la Seguridad de la Información. (En línea) (Citado el 15 de abril de
2020). Disponible en: http://www.iso27000.es/iso27000.html
27
COLOMBIA. CONGRESO DE LA REPUBLICA. LEY 1273 (5, enero, 2009). Por medio de la cual se
modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la
información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la
información y las comunicaciones, entre otras disposiciones. Diario Oficial. Bogotá D.C., 2009. No. 47223. p.
1-2.
22
5.4.6 Ley 1581 del 2012. Por la cual se dictan disposiciones generales para la
protección de datos personales28 Sancionada el 17 de octubre de 2012 esta ley
ratifica los derechos que tiene todas las personas de conocer, actualizar y
rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o
archivos. Igualmente darle un tratamiento adecuado a dicha información, bajo
protocolos de seguridad y confidencialidad.
5.4.7 Decreto 1377 del 2013. Por el cual se reglamenta parcialmente la Ley 1581
de 2012. Emitido el 23 de junio de 2013 este decreto provee los lineamientos para
poder implementar la LEY 1581 de 2012. Con relación a la política de tratamiento
de datos personales, de los encargados y responsables que se involucran en la
cadena de la protección de los datos personales29.
TIPO DE DESCRIPCIÓN
ACTIVO
Activo de Archivo físico con documentos producidos en la oficina
28
COLOMBIA. CONGRESO DE LA REPUBLICA. LEY 1273 (17, octubre, 2012). Por la cual se dictan
disposiciones generales para la protección de datos personales. Diario Oficial. Bogotá D.C., 2012. No. 48.587.
p. 1-5.
29
COLOMBIA. MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO. Decreto 1377 (23, junio, 2013). Por
el cual se reglamenta parcialmente la Ley 1581 de 2012. Bogotá D.C. El Ministerio. 2013. 11 p.
23
Información
PC 11 computadores lenovo, con sistema operativo Windows 10, 4
GB de memoria RAM, 500 BG de HDD.
PC 3 computadores iMAC
Impresora Impresora Samsung
Tabla 1. (Continuación)
24
6. DISEÑO METODOLÓGICO
25
6.4 METODOLOGÍA DE DESARROLLO
26
7. APLICACIÓN DE LA METODOLOGÍA
27
Figura 2. Pasos aplicación metodología MAGERIT
• Identificación de Amenazas
2. Caracterización de • valoracion de Amenaza
Amenazas
• Identificación de Salvaguardas
3. Caracterización de las • Valoracion de Salvaguardas
salvaguardas
28
7.3 FASE 1
29
Tabla 2. (Continuación)
TIPO NOMBRE DEL ACTIVO
19. [SI_SIAF] Sistema Integrado de Administración
Financiera (SIAF).
En la tabla 2 se puede observar cómo se clasifican los activos dentro una empresa
teniendo en cuanta lo dispuesto por la metodología MAGERIT.
30
Tabla 3. Tabla de identificación de los activos de Formación.
31
7.3.2 Descripción de los activos. A continuación, se describen los diferentes tipos
acticos de información identificados dentro de la dependencia de formación.
Aplicando la metodología MAGERIT, y a la vez el responsable asignado al
mismo.
32
Tabla 4. (Continuación)
ACTIVO DESCRIPCIÓN RESPONSABLE
Recepción y respuesta de Encargado de PQRS
PQRS a usuarios
externos e internos.
[S] Servicio Administración de Coordinador académico
materiales de formación.
Registro, inscripción, Funcionario encargado
matricula a programas de de Ingreso
formación SENA.
[SW] Antivirus Programa informático Soporte en Sitio
destinado a proteger los
PC de archivos
maliciosos.
[SW] Aplicativo de Sofía Plus gestiona los DG a través de la oficina
Gestión. procesos formativos. de sistema.
[COM] Gabinete de red Distribución donde se
organizan dispositivos de
interconexión. Soporte en Sitio
[COM] Cableado de red Tendido de cables para
conexión a los equipos de
cómputo.
Fuente. Dependencia de Formación Profesional Integral SENA Regional Guainía
33
Figura 3: Dependencia de activos tipo datos / información
34
Figura 5. Dependencia de activos tipo servicios 2
35
Figura 7. Dependencia de activos tipo equipamiento informático
36
Figura 9. Dependencia de activos tipo equipamiento auxiliar
37
Figura 11. Dependencia de activos tipo personal
[D] disponibilidad
[I] integridad de los datos
[C] confidencialidad de los datos
[A_S] autenticidad de los usuarios del servicio
[A_D] autenticidad del origen de los datos
[T_S] trazabilidad del servicio
[T_D] trazabilidad de los datos
7.3.4.2 Criterios de valoración.
Valor Criterio
10 Muy alto MA Daño muy grave a la organización.
7-9 Alto A Daño grave a la organización.
4-6 Medio M Daño importante a la organización.
1-3 Bajo B Daño menor a la organización.
38
Tabla 5. (Continuación)
Valor Criterio
0 Despreciable D Irrelevante a efectos prácticos.
Fuente. 2012_Magerit_v3_libro2_catalogo-de-elementos_es_NIPO_630-12-
171-8
Dimensiones de Seguridad
Activo
Tipo D I C A_S A_D T_S T_D
DATOS / [BD_TRADOC] Archivo
INFORMACION físico donde se
guarda información 5 5 5 3
producida por la
dependencia.
[SERV_ADQUISI]
SERVICIOS Distribución
materiales de
formación a los 3 5 4
4
instructores de cada
programa en
ejecución.
[SERV_INFOR]
Atención a clientes
internos y externos 3 8 5
sobre PQRS y 5 3
solicitudes de
formación.
[POR_WEB] Portal
web con la que se
APLICACIONES tramitan los 10
programas de 8 5 4
formación.
39
Tabla 6. (Continuación)
Dimensiones de Seguridad
Activo
Tipo D I C A_S A_D T_S T_D
[SO] Sistema
operativo con lo que 9 5 3
cuentan los PC. 10
APLICACIONE
[ANT_VIR] Software
S
antivirus con los que 6 5
cuentan algunos PC. 3
40
7.4 FASE 2.
41
Tabla 7. (Continuación)
[N] Desastres [I] De origen [E] Errores y fallos [A]Ataques deliberados
naturales industrial no intencionados
[N.1] Fuego [I.9] Interrupción [E.16] Introducción [A.15] Modificación de
de otros servicios de falsa información información
[N.2] Daños por o suministros
agua esenciales [E.17]Degradación [A.16] Introducción de
de la información falsa información
[N.3] Desastres [I.10]Degradación
naturales de los soportes [E.18] Destrucción [A.17] Corrupción de la
de de la información información
almacenamiento
[E.19] Divulgación [A.18] Destrucción de la
[I.11] de información información
Emanaciones
electromagnética [E.20] [A.19] Divulgación de
s Vulnerabilidades de información
los programas
(software) [A.22] Manipulación de
programas
[E.21] Errores de
mantenimiento / [A.24] Denegación de
actualización de servicio
programas
(software) [A.25] Robo de equipos
Fuente. 2012_Magerit_v3_libro2_catalogo-de-elementos_es_NIPO_630-12-171-8
42
7.4.2 Identificación de las amenazas de los activos. Se procede a asociar
las amenazas más prominentes identificadas sobre cada activo de
información de la dependencia de formación.
43
Tabla 8. (Continuación)
44
Tabla 8. (Continuación)
[ADSL] La
REDES DE dependencia [I.8] Fallo de servicios de
COMUNICACIONES cuenta con una comunicaciones.
conexión a
internet.
EQUIPAMIENTO [I.8] Fallo de servicios de
AUXILIAR [CAB_RED] comunicaciones.
Tendido del cable [I.7] Condiciones inadecuadas de
de Red. temperatura o humedad.
45
Tabla 8. (Continuación)
46
7.4.3 Matriz de riesgos. A continuación, se relacionan las vulnerabilidades, amenazas y riesgos. Prominentes
asociadas a los diferentes activos de información y la infraestructura tecnológica con la que cuenta la
dependencia de formación.
47
Tabla 9. (Continuación)
No sé suministre la Pérdida de
información confianza y
apropiada y de acceso a la
manera pertinente información
48
Tabla 9. (Continuación)
49
Tabla 9. (Continuación)
50
Tabla 9. (Continuación)
51
Tabla 9. (Continuación)
52
Tabla 9. (Continuación)
53
Tabla 9. (Continuación)
54
Tabla 9. (Continuación)
55
7.4.4 Evaluación del riesgo. Posterior a la identificación de las amenazas y
riesgos asociados a cada activo de información. Se realiza a través de la
metodología MAGERIT la valoración de riesgos.
IMPACTO
MA Muy Alto 5
A Alto 4
M Medio 3
B Bajo 2
MB Muy Bajo 1
56
Tabla 11. Tabla probabilidad de ocurrencia del riesgo
MA Prácticamente seguro 5
A Probable 4
Probabilidad
M Posible 3
B Poco probable 2
MB Muy raro 1
57
Tabla 12. Tabla formula del riesgo
MA 5 10 15 20 25
A 4 8 12 16 20
IMPACTO
M 3 6 9 12 15
B 2 4 6 8 10
MB 1 2 3 4 5
RIESGO MB B M A MA
PROBABILIDAD
Fuente. Curso de Análisis y gestión de Riesgos – Especialización en
Seguridad Informática – UNAD. Año 2019
58
Tabla 13. Tabla valoración del riesgo
MA Crítico 21 a 25
A Importante 16 a 20
Valoración del riesgo
M Apreciable 10 a 15
B Bajo 5a9
MB Despreciable 1a4
59
Tabla 14. Valoración de riesgos sobre los activos
Robo, pérdida o
[A.19] Divulgación
adulteración de 4 5 20 A
de información
información.
Falta de
mecanismos
control de
acceso
[BD_TRADOC] [A.11] Acceso no Perdida de
5 4 20 A
Archivo Central autorizado Información
[I.7] Condiciones
Inadecuada
inadecuadas de Deterioro de los
ubicación del 5 5 25 MA
temperatura o archivos
archivo físico
humedad
60
Tabla 14. (Continuación)
Mala ubicación
donde se Robo de
[A.11] Acceso no
guardan los materiales de 4 4 16 A
autorizado
materiales de formación
[SERV_ADQUISI] formación.
Administración de
materiales de
Algunos
formación. Falta de
programas no
mecanismos de [A.28]
reciben la
control durante Indisponibilidad del 2 4 8 B
totalidad de
la asignación al personal
materiales de
instructor.
formación
[SERV_INFOR] No sé suministre
Pérdida de
Atención a la información [E.26]
confianza y
usuarios internos apropiada y de Indisponibilidad del 2 5 10 M
acceso a la
o externos y manera personal
información
respuesta PQRS. pertinente
61
Tabla 14. (Continuación)
Falta de
[E.26]
Perdida de eficiencia para
Indisponibilidad del 4 5 20 A
radicados. generar las
personal
[SERV_INFOR] respuestas
Atención a
usuarios internos
o externos y
respuesta PQRS.
[I.7] Condiciones
Inadecuada Inadecuada
inadecuadas de
ubicación del prestación del 3 4 12 M
temperatura o
funcionario servicio
humedad
[POR_WEB]
Ataques de
Plataforma Web [E.4] Errores de
inyección de Caída del sistema 3 5 15 M
para la gestión de configuración
SQL
la formación.
62
Tabla 14. (Continuación)
[I.5] Avería de
Denegación al Falta de acceso
origen físico o 3 4 12 M
acceso al aplicativo
lógico
63
Tabla 14. (Continuación)
Falta de
instalación de
parches de [E.21] Errores de
seguridad. mantenimiento /
[SO] Sistema actualización de 2 5 10 M
operativo que Acceso no programas
administra los PC. autorizado por la (software)
inadecuada Robo, pérdida o
administración adulteración de
de los puertos información.
64
Tabla 14. (Continuación)
Habilitación de Inadecuada
[E.4] Errores de
brechas de utilización de las 4 4 16 A
[SO] Sistema configuración
seguridad opciones del
operativo que
sistema o
administra los PC.
herramientas de
Mal
[E.1] Errores de los software
funcionamiento 3 4 12 M
usuarios
del sistema
[E.21] Errores de
Inoperancia del
mantenimiento /
programa
actualización de 3 4 12 M
dejando
programas Robo, perdida o
expuesto el PC.
[ANT_VIR] (software) adulteración de
Software Antivirus información o del
sistema
[E.20]
Acceso no Vulnerabilidades
3 4 12 M
autorizado de los programas
(software)
65
Tabla 14. (Continuación)
No contar con
Robo, perdida o
politicas de [N.3] Desastres
adulteración de 1 5 5 B
respaldo de la naturales
información
información
[PC] Equipo de
Computo Intermitencia en
[I.5] Avería de Indisponibilidad
el desarrollo de
origen físico o en el uso del 3 4 12 M
las actividades a
lógico equipo
cargo.
66
Tabla 14. (Continuación)
[A.15] Modificación
3 4 12 M
de información
[A.19] Divulgación
2 5 10 M
de información
[E.21] Errores de
Instalación o Inadecuado
mantenimiento /
habilitación de funcionamiento
actualización de 3 4 12 M
software del Equipo de
programas
malicioso computo
(software)
67
Tabla 14. (Continuación)
Inoperancia del
[E.23] Errores de Deficiencia en la
equipo de
mantenimiento / prestación de un
cómputo y 4 4 16 A
actualización de servicio por el no
acceso a
equipos (hardware) uso del PC
información.
[PC] Equipo de
Computo Daño en
Daño parcial o
componentes
permanente en [I.6] Corte del
físicos o 2 5 10 M
el equipo de suministro eléctrico
corrupción de
cómputo.
archivos
Afectación en la
Acceso no [E.8] Difusión de
integridad de los 3 4 12 M
autorizado software dañino
archivos
68
Tabla 14. (Continuación)
Se represan los
documentos [E.14] Fugas de Robo o Pérdida de
3 4 12 M
impresos en la información Información.
bandeja de salida
Propagación de
Cuando se códigos maliciosos a
imprime por USB [E.8] Difusión de los equipos de
4 5 20 A
puede llegarse a software dañino cómputo, ocasionando
Impresora de infectar con virus pérdida o alteración en
Red la información
[I.7] Condiciones
Indisponibilidad
inadecuadas de
en el 3 5 15 M
temperatura o
funcionamiento
humedad
Afectación en el uso
del servicio
[I.6] Corte del
Interrupción en el
suministro 2 5 10 M
Servicio
eléctrico
69
Tabla 14. (Continuación)
El tendido de
cable no cumple Afectación en el
[CAB_RED] [I.8] Fallo de
con lo emanado tránsito de la
Tendido del servicios de 2 3 6 B
en la información y acceso a
cable de Red. comunicaciones
normatividad internet
vigente.
70
Tabla 14. (Continuación)
71
Tabla 14. (Continuación)
72
Tabla 14. (Continuación)
73
7.4.5 Análisis de resultados de la matriz de riesgos. A continuación, se
presenta el análisis realizado con respecto a aquellos riesgos de tipo crítico,
importante y medio.
74
actualización y mantenimiento por el personal de soporte en sitio y poder subsanar
las deficiencias que se han presentado.
Por otra parte, se evidencia en algunos momentos indisponibilidad de algunos
funcionarios para realizar las acciones asignadas en ciertas ocasiones, aduciendo
condiciones de temperatura inadecuadas que afectan su concentración y que han
generado enfermedades gripales. Es de allí que se debe regular la temperatura a
través de un consenso que permita que todos estén cómodos y puedan desarrollar
sus actividades bajo protocolos de seguridad de la información conforme lo exige
la normatividad.
75
7.5 FASE 3
7.5.1 Plan tratamiento de riesgo. Ya previa identificación de las amenazas a los que están expuestos los
activos de información y la infraestructura tecnológica de la dependencia de Formación Profesional Integral
del Sena Regional Guainía. A través de la gestión del riesgo realizada, se procede a realizar el plan de
tratamiento de riesgo donde se asigna una salvaguarda sobre cada activo de información.
76
[A.11] Perdid 5 4 20 A cia a
Acceso a de través de
no Inform mecanism
autoriz ación os
ado eficientes
que
permita el
ingreso
solo a
personal
autorizad
o. Según
su cargo
Inadec [I.7] Deterio 5 5 25 MA Mitiga 11.1.4 Controlar
uada Condici ro de r el Protec el exceso
ubicaci ones los Riesg ción de
ón del inadec archivo o contra temperatu
archiv uadas s amena ra
o físico de zas producto
temper extern de la
atura o as y humedad.
humed del
ad ambie Reubicar
nte el archivo
central en
otro sitio
77
SERVICI [SERV_ DistribuciónMala [A.11] Robo 4 4 16 A 11.1.2 Establece
OS ADQUI de ubicaci Acceso de Contro r medidas
SI] materiales ón no materi les de control
Adminis de donde autoriz ales de físicos para el
tración formación a se ado formaci de acceso al
de los guarda ón entrad sitio
material instructoresn los a donde se
es de de cadamateri guarda
formaci programa ales los
ón. en de materiales
ejecución. formac
ión.
Falta [A.28] Alguno 2 4 8 B Mitiga 12.1.1 Establece
de Indispo s r el Docu r plan de
mecan nibilida progra Riesg menta asignació
ismos d del mas no o ción n n y/o
de person reciben de distribució
control al la proced n de los
durant totalida imient materiales
e la d de o s de
asigna materi operac formación
ción al ales de ionale .
instruc formaci s
tor. ón
[SERV_ Atención a No sé [E.26] Pérdid 2 5 10 M 7.2.2 Definir un
INFOR] clientes sumini Indispo a de Conci plan de
Atenció internos y stre la nibilida confian encia, capacitaci
n a externos inform d del za y educa ón al
usuario sobre ación person acceso ción y personal
s PQRS y apropi al a la entren sobre
internos solicitudes ada y inform amient seguridad
78
o de de ación o de de la
externo formación. maner seguri informació
s y a dad de n y
respues pertine la continuida
ta nte inform d del
PQRS. ación negocio.
Perdid Falta 4 5 20 A Mitiga 16.1.3 Definir
a de de r el Report protocolos
radica eficien Riesg e de de
dos. cia o debilid atención
para ades al cliente
genera de y custodia
l las seguri de los
respue dad de document
sta la os
inform
ación
Inadec [I.7] Inadec 3 4 12 M 11.1.4 Establece
uada Condici uada Protec r plan de
ubicaci ones prestac ción control
ón del inadec ión del contra con
funcio uadas servici amena relación al
nario de o zas aire
temper extern acondicio
atura o as y nado y al
humed del exceso de
ad ambie luz natural
nte
79
APLICAC [POR_ Se cuenta Ataque [E.4] Caída 3 5 15 M Mitiga 12.3.1Definir
IONES WEB] con un s de Errores del r el Respa plan de
Platafor aplicativo inyecci de sistem Riesg ldo derespaldo
ma llamado ón de configu a o informde la
Web Sofia Plus SQL ración ación informació
para la www.senas n e
gestión ofiaplus.edu incorpora
de la .co ción de un
formaci WAF
ón. Deneg [I.5] Falta 3 4 12 M 11.2.4 Plan de
ación Avería de Mante mantenimi
al de acceso nimien ento y
acceso origen al to de verificació
físico o aplicati equipo n de los
lógico vo s dispositiv
os, para
prevenir
fallas y
deterioro.
Ataque [I.8] Inadec 3 4 12 M Mitiga 14.1.2 Instalar
s de Fallo uada r el Asegu IPS
deneg de prestac Riesg ramien
ación servicio ión del o to o de Instalar y
de s de servici servici configurar
servici comuni o os de adecuado
os cacione aplica firewall y
s ción Router.
en
redes
públic
as
80
[A.24] Indispo 3 4 12 M 13.1.1
Deneg nibilida Contro
ación d de les de
de servici redes
servicio o.
81
Falta [E.21] Robo, 2 5 10 M Mitiga Definir
de Errores pérdid r el plan de
instala de a o Riesg mantenimi
ción manten adulter o ento y
de imiento ación actualizac
parche / de ión del
s de actualiz inform sistema
seguri ación ación. operativo
dad. de
Acces progra 9.1.1 Implemen
o no mas Polític tar
autoriz (softwa a de politicas
ado re) control de control
por la de de acceso
inadec acces y
uada os. configurac
admini ión del
stració firewall
n de
los
puerto
s
Acces [E.8] 3 4 12 M Mitiga 12.2.1 Instalar
o no Difusió r el Contro software
autoriz n de Riesg les antivirus,
ado softwar o contra Antispywa
e softwa re y
dañino re mantener
malici actualizad
oso a la base
de datos.
82
Habilit [E.4] Inadec 4 4 16 A 7.2.2 Plan de
ación Erroresuada Conci capacitaci
de de utilizaci encia,ón sobre
brecha configuón de educa el uso
s de ración las ción yadecuado
seguri opcion entrende los
dad es del amientrecursos
Mal [E.1] sistem 3 4 12 M Mitiga o de informátic
funcio Errores a o r el segurios y
namie de los herram Riesg dad de aplicación
nto del usuario ientas o la de
sistem s de informpoliticas
a softwar ación de
e seguridad
[ANT_V Programa Inoper [E.21] Robo, 3 4 12 M 11.2.4 Definir
IR] para la ancia Errores perdid Mante plan de
Softwar detección del de a o nimien mantenimi
e de archivos progra manten adulter to de ento,
Antiviru maliciosos ma imiento ación equipo actualizac
s dejand / de s ión del
o actualiz inform sistema
expue ación ación o operativo
sto el de del y
PC. progra sistem programa
mas a s
(softwa asociados
re)
83
Acces [E.20] 3 4 12 M Mitiga 11.2.4 Definir
o no Vulnera r el Mante plan de
autoriz bilidade Riesg nimien actualizac
ado s de los o to de ión y
progra equipo verificació
mas s n de su
(softwa correcto
re) funcionam
iento
Desha [E.4] 2 4 8 M 7.2.2 Definir
bilitar Errores Conci plan de
el de encia, capacitaci
escan configu educa ón sobre
eo a ración ción y la
página entren adopción
s de amient de
interne o de politicas
t seguri de
Equipo [E.1] 3 4 12 M Mitiga dad de seguridad
expue Errores r el la para
sto a de los Riesg inform proteger
la usuario o ación la
difusió s informació
n de n y los
softwa equipos.
84
re
malicio
so y
acceso
no
autoriz
ados
EQUIPA Equipo de No [N.3] Robo, 1 5 5 B Mitiga 12.3.1 Realizar
MIENTO [PC] cómputo de contar Desastr perdid r el Respa plan de
Equipo cada con es a o Riesg ldo de respaldo
INFORM de funcionario politica natural adulter o inform de la
ATICO Comput de la s de es ación ación informació
o dependenci respal de n
a de do de inform producida
formación. la ación en la
inform dependen
ación cia de
formación
.
Intermi [I.5] Indispo 3 4 12 M 11.2.4 Plan de
tencia Avería nibilida Mante mantenimi
en el de d en el nimien ento y
desarr origen uso del to de verificació
ollo de físico o equipo equipo n de los
las lógico s dispositiv
activid os, para
ades a prevenir
cargo. fallas y
deterioro
85
Fallos [I.7] 4 4 16 A Mitiga 11.1.4 Plan de
en la Condici r el Protec mitigación
operati ones Riesg ción por el
vidad inadec o contra exceso de
del uadas amena luz natural
equipo de zas que
temper extern afecta los
atura o as y equipos
humed del
ad ambie
nte
Falta [A.15] Robo, 3 4 12 M 9.2.3 Establece
de Modific perdid Gestió r politicas
politica ación a o n de de control
s de de adulter derech de acceso
control informa ación os de y
de ción de acces privilegios
acceso inform o . Según
ación privile Rol del
giados funcionari
[A.17] 3 5 15 M Mitiga 9.1.1 o
Corrup r el Polític
ción de Riesg a de
la o control
informa de
ción acces
o
86
[A.19] 2 5 10 M
Divulga
ción de
informa
ción
87
Inoper [E.23] Deficie 4 4 16 A Mitiga Plan de
ancia Errores ncia en r el mantenimi
del de la Riesg ento y
equipo manten prestac o verificació
de imiento ión de n de los
cómpu / un dispositiv
to yactualiz servici os, para
acceso ación o por prevenir
a de el no fallas y
inform equipo uso del deterioro
ación. s PC
(hardw
are)
Daño [I.6] Daño 2 5 10 M 11.2.2 Instalar
parcial Corte en Servici UPS o
o del compo os de sistema
perma suminis nentes sumini regulado
nente tro físicos stro para
en el eléctric o garantizar
equipo o corrup el fluido
de ción de eléctrico y
cómpu archivo no sé
to. s presente
perdida
de
informació
n y
afectacion
es a los
equipos
de
88
computo
89
de la
impresora
90
Indisp [I.7] Afecta 3 5 15 M 11.1.4 Definir un
onibilid Condici ción en Protec plan para
ad en ones el uso ción controlar
el inadec del contra la baja
funcio uadas servici amena temperatu
namie de o zas ra
nto temper extern producido
atura o as y humedad
humed del
ad ambie
nte
Interru [I.6] 2 5 10 M Mitiga 11.2.2 Conectar
pción Corte r el Servicia una
en el del Riesg os de UPS o al
Servici suminis o sumini sistema
o tro stro regulado
eléctric para
o evitar
afectación
por fallas
en el
fluido
eléctrico
Falta [I.5] 2 3 6 B 11.2.4 Definir
de Avería Mante plan de
mante de nimien mantenimi
nimien origen to de ento y
to físico o equipo verificacio
preven lógico s nes del
tivo hardware
para
91
supervisar
su buen
fruncimien
to y
controlar
averías
de
presentar
se
Vulner [A.11] 3 3 9 B Mitiga Definir
abilida Acceso r el politicas
d de no Riesg de
tipo autoriz o actualizac
OpenS ado ión del
SL software y
controles
de
seguridad
para
evitar este
tipo
vulnerabili
dad
REDES [ADSL] La Lentitu [I.8] Afecta 3 3 9 B 15.1.1 Negociar
DE Internet dependenci d en el Fallo ción en Polític con el
a cuenta servici de la a de proveedor
COMUNI con una o de servicio calidad seguri una
CACION conexión a comun s de y dad de ampliació
ES internet. icación comuni pertine la n en el
. cacione ncia inform ancho de
92
Intermi s del Mitiga ación banda, el
tencia servici r el en las cual
en el o y/o la Riesg relacio permita
servici inform o nes mejorar el
o. ación. con el tiempo de
provee cargue de
dor las
Caída aplicacion
en es web y
parcial dar
o total respuesta
en el eficiente a
servici las tarea
o. asignadas
que
dependen
de este
servicio
EQUIPA [CAB_R Tendido de El [I.8] Afecta 2 3 6 B Mitiga 11.2.3 Garantiza
MIENTO ED] cable de tendid Fallo ción en r el Seguri r una
AUXILIA Tendido Red, para la o de de el Riesg dad distribució
R del conexión a cable servicio tránsito o del n del
cable internet de no s de de la cablea tendido
de Red. los PC. cumpl comuni inform do de cable
e con cacione ación y conforme
lo s acceso lo exige la
emana a norma.
do en interne Para
la t garantizar
normat un
ividad servicio
93
vigent adecuado
e. .
94
Deteri [I.7] Funcio 4 5 20 A 11.1.4 Definir un
oro en Condici namien Protec plan que
la vida ones to ción determine
útil de inadec inadec contra las
los uadas uado amena condicion
compo de de los zas es de
nentes temper compo extern seguridad
físicos atura o nentes as y para que
humed que lo del no sé
ad integra ambie afecte el
n nte gabinete
por la
humedad
Caída [N.3] Afecta 1 5 5 B Mitiga 17.1.1 Definir un
total o Desastr ción en r el Planifi plan de
parcial es la Riesg cación contingen
del natural prestac o de la cia para el
servici es ión del contin acceso a
o de servici uidad la
interne o que de la informació
t depen seguri n y
de de dad de continuida
interne la d del
t. inform negocio
ación
95
Deficie [E.4] Acceso 1 5 5 B 7.2.2 Establece
ncia Errores limitad Conci r un plan
en el de o a la encia, de
acceso configu inform educa configurac
a las ración ación y ción y ión,
platafo deterio entren actualizac
rmas ro en amient ión y
web. la o de verificació
prestac seguri n de
ión del dad de buenas
servici la prácticas
o inform para el
ación acceso a
la
informació
n a través
de
politicas
de
seguridad
y acceso
a la
informació
n.
PERSON [ESP_A Personal Uso [A.7] Ineficie 2 4 8 B Mitiga 9.2.3 Establece
AL DM_IV] administrati inadec Uso no ncia en r el Gestió r plan de
Funcion vo que uado previst el uso Riesg n de capacitaci
arios labora en la de los o de los o derech ón al
dependenci permis recurs os de personal
a. os os acces de la
otorga o dependen
96
dos y privile cia sobre
de los giados politicas
recurs de
os seguridad
disponi y uso
ble adecuado
de los
recursos
TIC
Acced [A.11] Robo, 2 4 8 B 9.1.1 Definir
er sin Acceso perdid Polític politicas
contar no a o a de de control
con los autoriz adulter control de acceso
privileg ado ación de y
ios a de acces otorgamie
equipo inform o nto de
s de ación privilegios
cómpu en función
to o al Rol.
inform
ación
física
Instala [A.22] 3 3 9 B Mitiga 7.2.2 Establece
ción y Manipu r el Conci r plan de
uso de lación Riesg encia, capacitaci
progra de o educa ón al
mas progra ción y personal
no mas entren de la
autoriz amient dependen
ados o de cia sobre
que seguri politicas
97
puede dad de de
n la seguridad
habilita inform y uso
r el ación adecuado
ingres de los
o de recursos
archiv TIC
os
malicio
sos o
acceso
no
autoriz
ados
No [A.28] Afecta 3 3 9 B Establece
asumir Indispo ción en r plan de
su Rol nibilida la capacitaci
frente d del prestac ón al
a la person ión del personal
protec al servici de la
ción o, dependen
de la manipu cia sobre
inform lación politicas
ación. de de
inform seguridad
ación. de la
98
Acces [A.30] Robo, 3 2 6 B Mitiga informació
o de Ingenie perdid r el n y uso
Inform ría a o Riesg adecuado
ación social adulter o de los
confid (picare ación recursos
encial sca) de TIC.
por inform Igualment
parte ación e la
de normativid
tercero ad sobre
s no la
autoriz protección
ados de los
datos
personale
s
Fuente: Elaboración Propia
99
7.5.2 Declaración de aplicabilidad. A continuación, se relacionan los controles que teniendo en cuanta la
norma ISO 27001:2013 son necesarios a aplicarse dentro de la dependencia de formación, con el objetivo de
mitigar todos y cada uno de las brechas de seguridad detectados a través de la tabla 14 matriz de riesgo.
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Políticas para la Control: Se debe definir X Definir a través de la estructuración de un documento.
seguridad de la un conjunto de políticas Políticas de seguridad con buenas prácticas para la
información para la seguridad de la protección de los activos de información y la
información, aprobada por infraestructura tecnología de la dependencia de
la dirección, publicada y formación.
comunicada a los
empleados y a las partes
externas pertinentes.
Revisión de las Control: Las políticas para X Establecer a partir del modelo PHVA auditoria a las
políticas para la la seguridad de la políticas de seguridad implantadas, para medir su
seguridad de la información se deben efectividad y tomar acciones de mejora a que haya
información. revisar a intervalos lugar.
planificados o si ocurren
cambios significativos,
para para asegurar su
conveniencia, adecuación
y eficacia continuas.
100
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Roles y Control: Se deben definir X De acuerdo al manual de funciones se debe asumir un
responsabilidades y asignar todas las grado de responsabilidad con relación al tratamiento y
para la seguridad de responsabilidades de la activos de información. Por parte del personal.
la información seguridad de la
información.
Separación de Control: Los deberes y X Definir con relación a las responsabilidades de cada
deberes áreas de responsabilidad funcionario su rol frente a la adopción de políticas para
en conflicto se deben proteger la información.
separar para reducir las
posibilidades de
modificación no
autorizada o no
intencional, o el uso
indebido de los activos de
la organización.
Contacto con las Control: Se deben X Definir los canales de comunicación para el reporte de
autoridades mantener contactos incidentes de seguridad detectados al personal de
apropiados con las soporte de soporte técnico.
autoridades pertinentes.
101
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Contacto con grupos Control: Se deben mantener X No se evidencia grupos de interés, no se registra
de interés especial contactos apropiados con notificaciones de seguridad, vulnerabilidades y
grupos de interés especial u parches
otros foros y asociaciones
profesionales especializadas en
seguridad
Términos y Control: Los acuerdos X Implementar un formato con cláusulas y/o
condiciones del contractuales con empleados y acuerdos de confidencialidad y actas de entrega
empleo contratistas deben establecer de cargos que registren la entrega de
sus responsabilidades y las de credenciales y demás.
la organización en cuanto a la
seguridad de la información.
Responsabilidades Control: La dirección debe X Aunque se envían correos con recomendaciones
de la dirección exigir a todos los empleados y de seguridad. No sé evidencia un compromiso por
contratista la aplicación de la parte de la directiva del centro destinados
seguridad de la información de politicas de seguridad para proteger los activos de
acuerdo con las políticas y información.
procedimientos establecidos
por la organización.
102
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Toma de conciencia, Control: Todos los empleados de X Definir un plan de capacitación al personal de la
educación y la organización, y en donde sea dependencia de formación. Sobre politicas de
formación en la pertinente, los contratistas, deben seguridad informática y su importancia dentro de
seguridad de la recibir la educación y la formación una empresa.
información. en toma de conciencia apropiada,
y actualizaciones regulares sobre
las políticas y procedimientos de
la organización pertinentes para
su cargo.
Proceso disciplinario Control: Se debe contar con un X Firmar acuerdos de confidencialidad por parte del
proceso formal, el cual debe ser talento humano cuando ingresa a la dependencia,
comunicado, para emprender y realizar las acciones a que haya lugar por la
acciones contra empleados que violación de las políticas de seguridad
hayan cometido una violación a la implantados.
seguridad de la información.
Terminación o Control: Las responsabilidades y X Definir clausulas en los contratos, relacionados a
cambio de los deberes de seguridad de la la seguridad informática. Evitando la divulgación
responsabilidades información que permanecen de información confidencial.
de empleo validos después de la terminación
o cambio de empleo de deben
definir, comunicar al empleado o
contratista y se deben hacer
cumplir.
103
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Inventario de activos Control: Se deben identificar los X Establecer un documento que permita mantener
activos asociados con información actualizado los activos de la dependencia de
e instalaciones de procesamiento formación.
de información, y se debe
elaborar y mantener un inventario
de estos activos.
Propiedad de los Control: Los activos mantenidos X Asignación con base al rol de cada funcionario los
activos en el inventario deben tener un activos de información necesarios para el
propietario. desarrollo de sus actividades.
104
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Etiquetado de la Control: Se debe desarrollar e X Definir protocolos de identificación de la
información implementar un conjunto información. Según políticas de seguridad y
adecuado de procedimientos para manejo de la información.
el etiquetado de la información, de
acuerdo con el esquema de
clasificación de información
adoptado por la organización.
Manejo de activos Control: Se deben desarrollar e X Definir políticas de seguridad informática para
implementar procedimientos para definir el procedimiento y buenas prácticas para el
el manejo de activos, de acuerdo manejo adecuado de los activos de información.
con el esquema de clasificación
de información adoptado por la
organización.
Gestión de medio Control: Se deben implementar X Definir buenas prácticas para el uso adecuado de
removibles procedimientos para la gestión de memorias USB y dispositivos móviles.
medio removibles, de acuerdo con
el esquema de clasificación
adoptado por la organización.
Disposición de los Control: Se debe disponer en X Definir a través de protocolos filtros evitando
medios forma segura de los medios accesos no autorizados.
cuando ya no se requieran,
utilizando procedimientos
formales.
105
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Política de control Control: Se debe establecer, X Implementar políticas de control de acceso a los
de acceso documentar y revisar una política activos de información existentes en la
de control de acceso con base en dependencia de formación.
los requisitos del negocio y de la
seguridad de la información.
Gestión de derechos Control: Se debe restringir y X Definir políticas de control de acceso y asignación
de acceso controlar la asignación y uso de de privilegios según funciones asignadas al
privilegiado derechos de acceso privilegiado personal.
Gestión de Control: La asignación de X Asignar credenciales cumpliendo una serie de
información de información de autenticación características específicas.
autenticación secreta se debe controlar por
secreta de usuarios medio de un proceso de gestión
formal.
Uso de información Control: Se debe exigir a los X Definir un plan de tratamiento adecuado de la
de autenticación usuarios que cumplan las información. Según normatividad legal vigente.
secreta prácticas de la organización para
el uso de información de
autenticación secreta.
Restricción de Control: El acceso a la X Establecer privilegios a los funcionarios de
acceso a la información y a las funciones de acuerdo a las políticas de control de acceso a
información los sistemas de las aplicaciones definir.
se debe restringir de acuerdo con
la política de control de acceso.
106
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Procedimiento de Control: Cuando lo requiere la X Definir durante el acceso a la información
ingreso seguro política de control de acceso, el preguntas de seguridad como filtros, para que
acceso a sistemas y aplicaciones solo el usuario tenga acceso a la información,
se debe controlar mediante un buscando el ingreso seguro.
proceso de ingreso seguro.
Sistema de gestión Control: Los sistemas de gestión X Establecimiento de claves seguras. Que incluyan
de contraseñas de contraseñas deben ser grado de complejidad.
interactivos y deben asegurar la
calidad de las contraseñas.
Uso de programas Control: Se debe restringir y X Ingreso a funcionarios autorizados al archivo
utilitarios controlar estrictamente el uso de central y a equipos de cómputo de la dependencia
privilegiados programas utilitarios que podrían de formación.
tener capacidad de anular el
sistema y los controles de las
aplicaciones.
Perímetro de Control: Se deben definir y usar X Implementar sistemas de seguridad dentro del
seguridad física perímetros de seguridad, y perímetro como: cámaras de seguridad dentro del
usarlos para proteger áreas que archivo central.
contengan información
confidencial o critica, e
instalaciones de manejo de
información.
107
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Controles de acceso Control: Las áreas seguras deben X Implementar sistemas de seguridad dentro del
físicos estar protegidas con controles de perímetro como: cámaras de seguridad dentro del
acceso apropiados para asegurar archivo central.
que sólo se permite el acceso a
personal autorizado.
Seguridad de Control: Se debe diseñar y aplicar
oficinas, recintos e la seguridad física para oficinas,
instalaciones. recintos e instalaciones.
Protección contra Control: Se deben diseñar y X Definir protocolo para la instalación de sistemas
amenazas externas aplicar protección física contra de ventilación, detectores de humo, extintores y
y ambientales. desastres naturales, ataques así mitigar la afectación de los activos de
maliciosos o accidentes. información de presentarse dicho fenómeno.
Ubicación y protección Control: Los equipos deben de estar X Ubicar los equipos de cómputo e impresora en un
de los equipos ubicados y protegidos para reducir espacio adecuado, para que no los afecte la humedad
los riesgos de amenazas y peligros y el exceso de luz natural.
del entorno, y las posibilidades de
acceso no autorizado.
108
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Servicios de Control: Los equipos se deben X Instalar UPS y sistemas regulados para todos los
suministro proteger contra fallas de energía y equipos de cómputo, impresora y el IDF. Lo
otras interrupciones causadas por anterior para proteger los equipos contra fallas
fallas en los servicios de producidos por fluido eléctrico.
suministro.
Seguridad en el Control: El cableado de energía X Organizar el cableado en canaletas para
cableado. eléctrica y de telecomunicaciones protegerlo contra deterioro y condiciones
que porta datos o brinda soporte a inadecuadas de temperatura producido por la
los servicios de información se humedad.
debe proteger contra
interceptación, interferencia o
daño.
Mantenimiento de Control: Los equipos se deben X Definir por parte soporte técnico un plan de
los equipos. mantener correctamente para mantenimiento preventivos y correctivos
asegurar su disponibilidad e periódicos para prolongar el buen funcionamiento
integridad continuas. de los quipos y evitar mal funcionamiento
Retiro de activos Control: Los equipos, información X Establecer un mecanismo de control para el retiro
o software no se deben retirar de de activos pertenecientes a la dependencia de
su sitio sin autorización previa formación.
109
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Política de escritorio Control: Se debe adoptar una X Según las políticas del Sistema de Gestión de
limpio y pantalla política de escritorio limpio para Seguridad Ocupacional, se opta por tener los
limpia los papeles y medios de puestos de trabajo, limpio.
almacenamiento removibles, y
una política de pantalla limpia en
las instalaciones de
procesamiento de información.
Controles contra Control: Se deben implementar X Definir un plan de actualización del antivirus y el
códigos maliciosos controles de detección, de sistema operativo para prevenir los archivos
prevención y de recuperación, maliciosos en equipos de cómputo e impresora.
combinados con la toma de
conciencia apropiada de los
usuarios, para proteger contra
códigos maliciosos.
Respaldo de la Control: Se deben hacer copias X Definir dentro de las políticas un mecanismo para
información de respaldo de la información, efectuar copias de respaldo de la información
software e imágenes de los física y digital.
sistemas, y ponerlas a prueba
regularmente de acuerdo con una
política de copias de respaldo
acordadas.
110
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Registro de eventos Control: Se deben elaborar, X Establecer por parte del responsable de soporte
conservar y revisar regularmente técnico la revisión de los logs de: equipos,
los registros acerca de actividades antivirus y registros de actividades por usuario.
del usuario, excepciones, fallas y
eventos de seguridad de la
información.
Instalación de Control: Se deben implementar X Definir restricciones sobre la instalación de
software en procedimientos para controlar la software de terceros, configurar privilegios y
sistemas operativos instalación de software en capacitar al personal sobre políticas de seguridad.
sistemas operativos.
Gestión de las Control: Se debe obtener X Implementar procedimiento de reporte de
vulnerabilidades oportunamente información incidentes. Igualmente definir un plan de
técnicas acerca de las vulnerabilidades contingencia diseñado de acuerdo a las
técnicas de los sistemas de condiciones del centro y la dependencia de
información que se usen; evaluar formación.
la exposición de la organización a
estas vulnerabilidades, y tomar las
medidas apropiadas para tratar el
riesgo asociado.
111
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Restricciones sobre Control: Se deben establecer e X Definir restricciones sobre la instalación de
la instalación de implementar las reglas para la software de terceros de acuerdo a configurar
software instalación de software por parte permisos de usuarios y roles.
de los usuarios.
Controles de redes Control: Las redes se deben X Contar con un plan de auditoria para evaluar el
gestionar y controlar para proteger funcionamiento de la red de datos, velando por
la información en sistemas y condiciones óptimos de ubicación, ambientales y
aplicaciones. de suministro de fluido eléctrico regulado.
Acuerdos de Control: Se deben identificar X Implementación de protocolo de confidencialidad
confidencialidad o revisar regularmente y para el manejo de información.
de no divulgación. documentar los requisitos para los
acuerdos de confidencialidad o no
divulgación que reflejen las
necesidades de la organización
para la protección de la
información.
Responsabilidades y Control: Se deben establecer las X Definir dentro de las políticas de seguridad de
procedimientos responsabilidades y información los roles y responsabilidades
procedimientos de gestión para asignados a cada funcionario de la dependencia
asegurar una respuesta rápida, de formación.
eficaz y ordenada a los incidentes
de seguridad de la información.
112
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Reporte de eventos Control: Los eventos de seguridad X
de seguridad de la de la información se deben
información informar a través de los canales
de gestión apropiados, tan pronto
como sea posible.
Reporte de Control: Se debe exigir a todos los X Reportar incidentes de seguridad detectadas por
debilidades de empleados y contratistas que los funcionarios por los canales definidos para tal
seguridad de la usan los servicios y sistemas de acción al responsable de soporte técnico.
información información de la organización,
que observen y reporten cualquier
debilidad de seguridad de la
información observada o
sospechada en los sistemas o
servicios.
Verificación, revisión Control: La organización debe X Plan de auditoria para evaluar la efectividad de
y evaluación de la verificar a intervalos regulares los los controles implementados.
continuidad de la controles de continuidad de la
seguridad de la seguridad de la información
información establecidos e implementados,
con el fin de asegurar que son
válidos y eficaces durante
situaciones adversas.
113
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Protección de Control: Los registros se deben X Definición de políticas claras, buscando así los
registros proteger contra perdida, registros de protección de extravío, destrucción,
destrucción, falsificación, acceso falsificación y/o liberación no autorizada. De
no autorizado y liberación no acuerdo con los requisitos legislativos
autorizada, de acuerdo con los
requisitos legislativos, de
reglamentación, contractuales y
de negocio.
Privacidad y Control: Se deben asegurar la X Implementar políticas seguridad para asegurar la
protección de privacidad y la protección de la privacidad y la protección de la información de
información de información de datos personales, datos personales, como se exige e la legislación.
datos personales como se exige e la legislación y la
reglamentación pertinentes,
cuando sea aplicable.
Revisión Control: El enfoque de la X Definir un plan de auditoria fundamentado en el
independiente de la organización para la gestión de la modelo PHVA y tomar acciones de mejora de ser
seguridad de la seguridad de la información y su necesario.
información implementación (es decir los
objetivos de control, los controles,
las políticas, los procesos y los
procedimientos para seguridad de
la información), se deben revisar
independientemente a intervalos
planificados o cuando ocurran
cambios significativos.
114
Tabla 16. (Continuación)
Control
Seleccionado
Objetivo del Descripción del Control si no Justificación
Control
Cumplimiento con Control: Los directores deben X Alinear todas las acciones al cumplimiento de la
las políticas y revisar con regularidad el normatividad para la protección de la información,
normas de cumplimiento del procesamiento y tratamiento de datos personales y activos de
seguridad procedimientos de información información.
dentro de su área de
responsabilidad, con las políticas
y normas de seguridad
apropiadas, y cualquier otro
requisito de seguridad.
Revisión del Control: Los sistemas de X Definir un plan de revisión u auditoria y velar por
cumplimiento información se deben revisar el cumplimiento de las políticas de seguridad de la
técnico periódicamente para determinar el información.
cumplimiento con las políticas y
normas de seguridad de la
información.
Fuente: Materia Riesgo y Controles Informáticos. Especialización en seguridad informática. UNAD. Año 2019
Cabe anotar que hubo controles que por la dinámica de las actividades que se realizan dentro de la dependencia de
formación y su tamaño no están relacionados dentro del documentos de aplicabilidad como son: controles
criptográficos y controles relacionados a desarrollo de software.
115
8. CONCLUSIÓN
Una apropiada y eficiente aplicación de la gestión del riesgo provee los insumos
necesarios para minimizar o en su defecto eliminar los peligros que rodean no solo
la información, sino también demás activos hardware y software con los que
cuenta la dependencia de formación.
116
Siendo la información un activo valioso para la dependencia de formación. Debe
en la medida de lo posible adoptar todos y cada una de las recomendaciones
planteadas con el desarrollo de este proyecto. Ya que van orientadas a garantizar
la confiabilidad e integridad de la información producida allí bajo estándares de
seguridad internacional a través de los controles definidos en la ISO 27001:2013.
117
9. RECOMENDACIONES
118
10. BIBLIOGRAFÍA
120
UNIVERSIDAD NACIONAL DE LUJÁN. Departamento de seguridad Informática.
Amenazas a la seguridad de la Información; Argentina. [Sitio Web]; [Consultado el
15 de abril de 2020]; Disponible en:
http://www.seguridadinformatica.unlu.edu.ar/?q=node/12
121
ORGANIZACIÓN INTERNACIONAL DE NORMALIZACIÓN. Temas relacionados
con los SGSI y la seguridad de la información. Suiza: ISO. [Sitio Web];
[Consultado el 15 de abril de 2020]. Disponible en: http://www.iso27000.es/
122
ANEXOS
123
124
125
126
127
128
Anexo B. Formato solicitud de autorización
129
130
131
Anexo C. Formato FUS
132
Anexo D. Formato RAE
133
y las comunicaciones, entre otras disposiciones. En: Diario Oficial. Bogotá D.C.,
2009. No. 47223. p. 1-2.
134
5.3 Marco Conceptual
5.3.1 Seguridad.
5.3.2 Amenazas.
5.3.3 Vulnerabilidades.
5.3.4 Ataques.
5.3.5 Confidencialidad.
5.3.6 Autenticación.
5.3.7 Integridad.
5.3.8 Control De Acceso.
5.3.9 Base De Datos.
5.3.10 Activo De Información.
5.3.11 Disponibilidad.
5.4 Marco Legal
5.4.1 ISO 27000.
5.4.2 ISO/IEC 27001
5.4.3 ISO/IEC 27005
5.4.4 ISO/IEC 27002
5.4.5 Ley 1273 Del 2009
5.4.6 Ley 1581 Del 2012
5.4.7 Decreto 1377 Del 2013
5.5 Marco Contextual
6. Diseño Metodológico
6.1 Metodología De Aplicación
6.2 Población Y Muestra
6.3 Técnicas De Recolección De Información
6.4 Metodología De Desarrollo
7. Aplicación De La Metodología
7.1 Metodología De Gestión De Riesgo
7.2 Alcance Del Análisis
7.3 Fase 1
7.3.1 Identificación Y Clasificación De Activos.
7.3.2 Descripción De Los Activos.
7.3.3 Dependencia De Activos.
7.3.4 Valoración De Activos.
7.4 Fase 2.
7.4.1 Clasificación De Amenaza A Los Activos.
7.4.2 Identificación De Las Amenaza De Los
Activos.
7.4.3 Matriz De Riesgos.
7.4.4 Evaluación Del Riesgo.
7.4.5 Análisis De Resultados De La Matriz De
Riesgos.
7.5 Fase 3
7.5.1 Plan Tratamiento De Riesgo.
135
7.5.2 Declaración De Aplicabilidad.
8. Conclusión
9. Recomendaciones
10. Bibliografía
Anexos
Marco Para poder solución a cada una de las actividades inmersas
Metodológico: dentro de los objetivo definidos y en función al problema
planteado. Se trabajó aplicando la secuencia de actividades que
contempla la metodología MAGERIT. Proporcionado los
insumos que permitieron a partir del hacer, hallar los resultados
esperados para el aseguramiento de los activos de información
asociados a la dependencia de Formación Profesional Integral
del SENA Regional Guainía.
Conceptos Con el desarrollo de este proyecto aplicado se abordaron
adquiridos : procedimientos que permitieron clarificar conocimientos con
relación a los controles de la norma ISO 27002:2013 para la
protección de los activos de información, la gestión de riesgo
para la identificación de amenazas. Igualmente se trabajaron
conceptos relacionados con la integridad, la confidencialidad y
disponibilidad de los datos, ataques y salvaguardas que los
afectan.
Conclusiones: Una vez desarrollado el proyecto aplicado. “Análisis de
vulnerabilidades de la infraestructura tecnológica en la
dependencia de formación profesional integral del Sena regional
Guainía, para el diseño de una propuesta de aseguramiento de
la información basada en la metodología MAGERIT”. Se puede
concluir la necesidad de establecer las condiciones de
seguridad necesarias para proteger los activos de información
con los que la dependencia de Formación Profesional Integral
del SENA Regional Guainía. Utiliza diariamente para el
cumplimiento de la meta institucional asignada por Dirección
General. Lo anterior identificando las vulnerabilidades,
amenazas y riesgos asociados a cada activo y de allí definir las
salvaguardas y controles pertinentes que permitan realizar un
tratamiento adecuado a dicha riesgo.
Las medidas de seguridad adoptadas se recomiendan en el
entendido de garantizar la continuidad del negocio, a partir de
velar porque no sé afecte la integridad, confidencialidad y
disponibilidad de los activos de información asociados a la
dependencia de formación.
Una apropiada y eficiente aplicación de la gestión del riesgo
provee los insumos necesarios para minimizar o en su defecto
eliminar los peligros que rodean no solo la información, sino
136
también demás activos hardware y software con los que cuenta
la dependencia de formación.
Definir un plan de auditoria que basada en el modelo PHVA
permita evaluar la eficiencia de los controles y salvaguardas
adoptados, para mitigar el riesgo sobre cada activo de
información. Determinar si el control adoptado fue o no el
apropiada permitirá de manera temprana realizar las acciones
de mejora a que haya lugar.
Establecer un plan de capacitación a los funcionarios de la
dependencia de formación sobre los protocolos de seguridad de
la información y su importancia. Los cuales fueron definidos en
las políticas de seguridad de la información, con el ánimo que
estos sean aplicados contribuyendo al tratamiento adecuado de
los datos personales de los aprendices, instructores y
funcionarios, basados en la normatividad legal vigente.
Siendo la información un activo valioso para la dependencia de
formación. Debe en la medida de lo posible adoptar todos y
cada una de las recomendaciones planteadas con el desarrollo
de este proyecto. Ya que van orientadas a garantizar la
confiabilidad e integridad de la información producida allí bajo
estándares de seguridad internacional a través de los controles
definidos en la ISO 27001:2013.
137