DISEÑO DE UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

PARA LA EMPRESA WELL DONE MARKETING Y PROMOCION

SERGIO ANDRÉS ARÉVALO

JAIME ALBERTO ARÉVALO
ROGER EDUARD ROZO

FUNDACION UNIVERSITARIA LOS LIBERTADORES

FACULTAD DE INGENIERÍA
ESPECIALIZACION EN SEGURIDAD DE LA INFORMACION
BOGOTÁ, D.C.
2021
 DISEÑO DE UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
PARA LA EMPRESA WELL DONE MARKETING Y PROMOCION

SERGIO ANDRÉS ARÉVALO

JAIME ALBERTO ARÉVALO
ROGER EDUARD ROZO

Trabajo de investigación presentada(o) como requisito para optar al tı́tulo de: Especialista
en Seguridad De La Información

Asesorado(a) por:
WILMAR JAIMES FERNANDEZ

FUNDACION UNIVERSITARIA LOS LIBERTADORES

FACULTAD DE INGENIERÍA
ESPECIALIZACION EN SEGURIDAD DE LA INFORMACION
BOGOTÁ, D.C.
2021
Índice
1. PLANTEAMIENTO DEL PROBLEMA 7
1.1. DESCRIPCIÓN DEL PROBLEMA . . . . . . . . . . . . . . . . . . . . . . . 7

2. CONTEXTUALIZACIÓN 7

3. OBJETIVO 7
3.1. OBJETIVO GENERAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.2. OBJETIVOS ESPECÍFICOS . . . . . . . . . . . . . . . . . . . . . . . . . . 7

4. CAPITULO 1 RECOLECCIÓN DE INFORMACIÓN 8

4.1. DESCRIPCIÓN DE LA EMPRESA . . . . . . . . . . . . . . . . . . . . . . 8
4.2. DESCRIPCIÓN ÁREA DE SISTEMAS Y ENTORNO DE LAS APLICA-
CIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
4.3. INFRAESTRUCTURA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.3.1. DIAGRAMA RED LAN WELL DONE . . . . . . . . . . . . . . . . . 9
4.3.2. DIAGRAMA DE PROCESOS Y RELACIÓN AREAS / APLICATIVOS 10
4.4. IDENTIFICACIÓN DE ACTIVOS . . . . . . . . . . . . . . . . . . . . . . . 10
4.4.1. ACTIVOS FÍSICOS . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.4.2. ACTIVOS LÓGICOS Y DE INFORMACIÓN . . . . . . . . . . . . . 13

5. CAPITULO 2 ANALISIS E IDENTIFICACION DE LOS RIESGOS Y

VULNERABILIDADES 14
5.1. SOLUCIÓN A LA PROBLEMÁTICA IDENTIFICADA . . . . . . . . . . . 14
5.2. ALCANCE DE LA POLÍTICA A DESARROLLAR . . . . . . . . . . . . . . 14
5.3. EVALUACION DE RIESGOS POR AREAS . . . . . . . . . . . . . . . . . . 15
5.3.1. FOCALIZACION DE RIESGOS . . . . . . . . . . . . . . . . . . . . 15
5.4. MATRIZ DE RIESGOS Y CONTROLES . . . . . . . . . . . . . . . . . . . 16
5.4.1. RESULTADOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

6. CAPITULO 3 POLITICA DE SEGURIDAD EN LA INFORMACIÓN 18

7. ANEXO A 19

8. DESCRIPCIÓN DE LA POLÍTICA 22
8.1. OBJETIVOS DE LA POLITICA DE SEGURIDAD EN LA INFORMACION 22

1
 8.2. ALCANCE DE LA POLITICA EN SEGURIDAD DE LA INFORMACION 22
8.3. COMITÉ PARA LA SEGURIDAD DE LA INFORMACIÓN (CSI) . . . . . 22
8.4. SANCIONES POR INCUMPLIMIENTO A LA POLÍTICA . . . . . . . . . 23

9. POLÍTICAS DE SEGURIDAD A IMPLEMENTAR 23

9.1. POLÍTICA DE CLASIFICACIÓN DE LA INFORMACIÓN . . . . . . . . . 23
9.1.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
9.1.2. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
9.2. POLÍTICA DE ADMINISTRACIÓN DE REDES . . . . . . . . . . . . . . . 24
9.2.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
9.2.2. Adquisición e implementación de equipos . . . . . . . . . . . . . . . . 24
9.2.3. Utilización de los servicios de red . . . . . . . . . . . . . . . . . . . . 24
9.2.4. Autenticación para conexiones externas . . . . . . . . . . . . . . . . . 25
9.2.5. Subdivisión de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
9.2.6. Acceso a Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
9.3. POLÍTICA DE ADMINISTRACIÓN DE PERFILES Y CONTROL DE AC-
CESO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
9.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
9.3.2. Registro de Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
9.3.3. Privilegios de Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . 26
9.3.4. Contraseñas de Usuario . . . . . . . . . . . . . . . . . . . . . . . . . 26
9.3.5. Derechos de acceso a los Usuarios . . . . . . . . . . . . . . . . . . . . 26
9.3.6. Uso de Contraseñas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
9.4. POLITICA DE BACKUPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
9.4.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
9.4.2. Procedimiento de generación y restauración de copias de respaldo . . 27
9.5. POLÍTICA DE SEGURIDAD PARA EL USO DE CORREO ELECTRONICO 27

10.CONCLUSIONES 29

11.RECOMENDACIONES 30

2
RESUMEN
En las últimas décadas las tecnologı́as de la información y comunicación han ido en una
constante evolución lo cual ha traı́do grandes beneficios para la humanidad sin embargo los
métodos delictivos también han ido evolucionando frente a los temas de robo de información,
el presente trabajo idéntico la necesidad de la empresa Well Done Marketing Y Promoción,
de implementar una polı́tica de seguridad en la información que contribuyan a minimizar los
riesgos en la información relacionada con la operación del negocio.
Ya que la empresa Well Done carece actualmente de esta polı́tica de seguridad en la infor-
mación y se ha notado riesgos sobre aplicativo QSD-clientes presentando un estado crı́tico
de exposición a riesgos asociados tanto a la operación, como a las áreas que convergen con
este sistema. El objetivo de este estudio es diseñar una polı́tica de seguridad de información
para una entidad del sector privado, dedicada a la comercialización de productos,
Se realizo un proceso de observación y entrevistas iniciales que identificaron vulnerabilidades
que ponen en riesgo y comprometen el área financiera de la empresa y que pueden mitigarse
con el diseño e implementación de controles.
Para obtener la polı́tica en seguridad de la información planteada, se desarrolló en tres
capı́tulos como son, Recolección de información, Análisis e identificación los riesgos y vulne-
rabilidades y Diseño plan de mitigación que serı́a como resultado la Polı́tica de seguridad de
la información.

ABSTRACT
In recent decades, information and communication technologies have been in constant evo-
lution which has brought great benefits for humanity, however criminal methods have also
evolved in the face of information theft issues, the present work identifies the need of the
company Well Done Marketing Y Promoción, to implement an information security policy
that contributes to minimizing the risks in the information related to the operation of the
business.
Since the Well Done company currently lacks this information security policy and risks
have been noted on the QSD-clients application presenting a critical state of exposure to
risks associated with both the operation and the areas that converge with this system. The
objective of this study is to design an information security policy for a private sector entity,
dedicated to the commercialization of products.
A process of observation and initial interviews was carried out that identified vulnerabilities
that put at risk and compromise the financial area of the company and that can be mitigated
with the design and implementation of controls.
In order to obtain the proposed information security policy, it was developed in three chap-
ters, such as: Information collection, Analysis and identification of risks and vulnerabilities,
and Design mitigation plan that would result in the Information Security Policy.

3
PALABRAS CLAVES
Vulnerabilidades, Mitigación de riesgos, Hardening, Seguridad de la información, Polı́ticas
de seguridad.

KEY WORDS
Vulnerabilities, risk mitigation, hardening, information security, security policies

4
INTRODUCCIÓN
En las últimas décadas las tecnologı́as de la información y comunicación han ido en una cons-
tante evolución, (Distéfano et al., 2015; Loarte Cajamarca Maldonado Soliz, 2019; Orozco
Torres et al., 2019; Valdiviezo Abad Abendaño, 2019),lo cual ha traı́do grandes beneficios
para la humanidad sin embargo los métodos delictivos también han ido evolucionando frente
a los temas de robo de información,(el Universo, 2020; Gavilánez Zambrano, 2017; Trejo et
al., 2016), por esta razón se ha visto la necesidad de adoptar nuevas medidas, polı́ticas y con-
troles que permitan proteger a las organizaciones de nuevas amenazas. (Enterprise Security
and Risk Management Office, 2015; Fontes Balloni, 2015)
Hoy en dı́a la información está definida como uno de los activos más importantes de las
organizaciones, la cual es de vital importancia para cada una de las actividades propias de
su negocio,(López, 2017; Medina Cerquera, 2019), la información solo tiene sentido cuando
está disponible, asegurada y se utiliza de forma responsable y oportuna, lo que obliga a
las organizaciones a redoblar sus esfuerzos con el fin de establecer procesos que garanticen
una adecuada gestión de sus recursos y activos de información con el objetivo de asegurar
y controlar el debido acceso, tratamiento y uso de la información. (González Cano, 2019;
Nieves-Lahaba Ponjuan-Dante, 2021; VÁSQUEZ RODRÍGUEZ, 2020)
El aseguramiento y la protección de la información de las compañı́as, es de vital importancia
para cada una de ellas, cada una debe velar por garantizar su confidencialidad, integridad,
disponibilidad y privacidad, (Dorozhko et al., 2021; Holtsnider Jaffe, 2012; Shivashankarap-
pa et al., 2012), esta tarea se ha convertido en una de las mayores preocupaciones de las
corporaciones razón por la cual, la seguridad de la información se ha convertido en uno de
los aspectos de mayor importancia a nivel mundial.(De Humanitario, 2020; Gamboa, 2020;
Suárez Luis, 2020; Ticse Capcha et al., 2019)
Todas las organizaciones sin importar su tamaño, naturaleza o razón social deben ser cons-
cientes de que existen infinidad de amenazas que actualmente atentan contra la seguridad y
privacidad de la información, representan un riesgo que al materializarse no sólo les puede
acarrear costos económicos, sanciones legales, afectación de su imagen y reputación, sino que
pueden afectar la continuidad del negocio. En la medida que las organizaciones tomen con-
ciencia de los riesgos que pueden afectar la seguridad de la información, podrán establecer
controles y las medidas necesarias con el fin de salvaguardar la integridad, disponibilidad y
confidencialidad tanto de la información del negocio como los datos de carácter personal de
sus empleados y usuarios.
Este proyecto va a estar enmarcado en una entidad del del sector privado que cuenta con pro-
cesos como importación, nacionalización, distribución y venta que constituyen la operación
diaria de la empresa. Donde se maneja información de tipo comercial y financiero fundamen-
tal tanto en los procesos ejecutados como en la proyección y estabilidad de la empresa. En el
área comercial la información se maneja por módulos dependiendo las necesidades de cada
usuario mediante el aplicativo principal QSD-Clientes de vital importancia ya que soporta
la ejecución de la mayor parte de procesos.
En estos procesos se evidenciaron riesgos que comprometen la información encontrando vul-

5
nerabilidades como la intrusión a la red por wifi, riesgos por capacidad limitada de alma-
cenamiento de información, instalación permitida de software espı́a, riesgos fı́sicos, falta de
capacitación y concientización del personal, entre otros. Dicha observación se realizó por
medio de entrevistas realizadas y visitas en sitio donde se identificaron vulnerabilidades que
pueden mitigarse con el diseño e implementación de controles. El objetivo de este proyecto
de grado busca diseñar una polı́tica de seguridad de información para una entidad del sector
privada, dedicada a la comercialización de productos de oficina con sede operacional en la
ciudad de Bogotá D.C
Teniendo en cuenta que la información para la organización debe contemplarse como el activo
de mayor importancia ya que cada proceso parte de la información contenida en las bases de
datos que incluyen clientes, productos e información comercial en general, se debe garantizar
que esta se encuentre segura dentro de los sistemas de información que la administran y
gestionan. Ası́ como en el entorno donde se encuentra.
Para obtener como producto final la polı́tica en seguridad de la información planteada, se
desarrollará un proyecto que constará de tres capı́tulos (3) como son, Recolección de infor-
mación, Análisis e identificación los riesgos y vulnerabilidades y Diseño plan de mitigación
que seria como resultado la Polı́tica de seguridad de la información
En la primera sección se Identificarán los activos de información tanto fı́sicos como lógicos,
mediante visitas de campo, que permiten la identificación de riesgos referentes al aplicativo
QSD-Clientes
El siguiente capitulo estará enfocado en analizar e identificar los riesgos y vulnerabilidades
de la información a los cuales se ve expuesta la empresa Well Done Marketing Y Promoción
con base en la norma ISO 27001, esto acuerdo a los datos recolectados en las visitas hechas
en campo, realizando la validación de los resultados en las encuestas y de los hallazgos
encontrados.
En el ultimo capitulo se hará el diseño de la Polı́tica de seguridad de la información de acuerdo
con los procesos internos de la organización y que lleven a reducir los riesgos identificados

6
1. PLANTEAMIENTO DEL PROBLEMA

1.1. DESCRIPCIÓN DEL PROBLEMA

La empresa Well Done carece actualmente de una polı́tica de seguridad en la información
y se ha notado riesgos sobre aplicativo QSD-clientes presenta un estado crı́tico de exposi-
ción a riesgos asociados tanto a la operación, como a las áreas que convergen con este sistema.

¿Por qué las organizaciones deben implementar procesos de seguridad que ayuden a fortale-
cer la confidencialidad, integridad y disponibilidad de su información?

¿Cuál es la mejor forma de ayudar a la empresa Well Done para crear una Polı́tica de Segu-
ridad de la Información?

2. CONTEXTUALIZACIÓN
Well Done Marketing y Promoción, es una empresa del sector comercial fundada en el año
2010. Lı́der en el mercado de la comercialización e importación de artı́culos promocionales,
material publicitario y regalos corporativos, maneja también el diseño y la producción de
material POP. Son representantes exclusivos en Colombia de la Lı́nea de Regalos Corpora-
tivos de Marcas de Lujo como Hugo Boss, Cerruti, Ungaro. Maneja también en exclusiva la
comercialización de productos publicitarios alemanes de la marca PSL Design, ası́ como la
comercialización de productos Post-it de 3M.

3. OBJETIVO

3.1. OBJETIVO GENERAL

Diseñar una polı́tica de seguridad en la información para la empresa Well done, que contri-
buya a minimizar los riesgos evidenciados durante el análisis realizado al aplicativo QSD-
clientes y a elementos del entorno que manipulan información relacionada con la operación
del negocio.

3.2. OBJETIVOS ESPECÍFICOS

1. Identificar los activos de información tanto fı́sicos como lógicos, mediante visitas de
campo, que permiten determinar los riesgos referentes al aplicativo QSD-Clientes.

2. Analizar e identificar los riesgos y vulnerabilidades de la información con base en la

norma ISO 27001 y de acuerdo con los datos recolectados en las visitas de campo,

7
 validando los resultados en los hallazgos encontrados

3. Diseñar la Polı́tica de seguridad de la información de acuerdo con los procesos internos

de la organización, proponiendo controles y seguimientos a las actividades que lleven
a reducir los riesgos identificados.

4. CAPITULO 1 RECOLECCIÓN DE INFORMACIÓN

4.1. DESCRIPCIÓN DE LA EMPRESA

Well Done, Se dedica principalmente a la importación y Distribución de Regalos Corporativos
y Artı́culos Publicitarios manejando la lı́nea Luxury Brands encaminada a los Regalos Cor-
porativos, Cuenta con una sede principal ubicada en la Cra 48 N 150 A - 40 Of 4 localidad de
Suba de la ciudad de Bogotá. En esta sede se encuentra la gerencia y los departamentos que
conforman la empresa como son administración, contabilidad, sistemas, bodega y ventas. Ası́
como el centro de cómputo. Esta sede es centro de operación para personal administrativo
y punto de acoplo para los agentes de venta.

4.2. DESCRIPCIÓN ÁREA DE SISTEMAS Y ENTORNO DE

LAS APLICACIONES
Dentro de la infraestructura tecnológica de la empresa Well Done, se identificó un centro de
cómputo donde se encuentra el Gabinete de telecomunicaciones y la mesa de pruebas con
equipo de cómputo asignado al administrador del sistema. Gabinete de telecomunicaciones
contiene el servidor principal conocido como APPSERVER con sistema operativo Windows
server 2016 donde se realiza el hospedaje server SYSTEMBYFSERVER, ası́ como de las
aplicaciones automáticas como vendedor virtual y correos automáticos; este servidor contie-
ne un servidor remoto interno con sistema operativo Windows server 2012, el cual permite el
acceso a la aplicación principal por medio del remoto donde se contemplan las aplicaciones a
las cuales puede acceder cada usuario del sistema. Un servidor FIRREWALL que sirve como
enrutador principal para el dominio byfcolombia.co, con un sistema Operativo PFSENSE
2.0.1. En la actualidad el soporte a puntos de venta, sedes y equipos asignados a los agentes
de venta se realiza mediante la utilización de aplicaciones remotas y un WEBSERVER donde
se alojan los aplicativos para tracking y páginas web de la empresa. En el RAC se encuentran
incluida la distribución de cableado para telefonı́a voz-ip y para distribución de internet a
equipos de la empresa, ası́ como los enrutadores principales y de proveedor de servicio de
internet. Este servicio en la actualidad lo provee ETB COLOMBIA, en fibra óptica con un
canal dedicado para voz-ip y datos. El sistema principal de la empresa se denomina QSD
CLIENTES y Consiste en un aplicativo desarrollo propio de la empresa conectado a tres
bases de datos diseñadas en SQL, de caracterı́sticas similares adaptables al punto de explo-
tación donde se ejecutan. Este sistema soporta los procesos vinculados a los departamentos
internos de la compañı́a como son administración, ventas, contabilidad, sistemas y bodega.

8
Adicionalmente para la operación de la empresa se cuenta con una aplicación llamada vende-
dor virtual que enlaza los pedidos desde los puntos de venta por medio del correo corporativo
a la aplicación, para generar pedidos solicitados directamente por clientes.

4.3. INFRAESTRUCTURA
A continuación, se describen los principales elementos que conforman la infraestructura tec-
nológica utilizada por la empresa WELL DONE Marketing Y Promoción para la ejecución
diaria de su actividad comercial, con el cual interactúan todas las áreas de la misma.

4.3.1. DIAGRAMA RED LAN WELL DONE

La figura No 2, muestra el esquema de la Red LAN de la empresa Well Done, donde se

identifica la distribución de elementos tecnológicos que la conforman como son cada uno de
los servidores con sus caracterı́sticas especı́ficas; tipo de sistema operativo, marca y capacidad
de almacenamiento. De igual manera se indica los servicios y aplicaciones alojadas en cada
servidor. Se identifica también la dirección Ip para el acceso a cada servidor y la distribución
en el acceso de internet por medio del enrutador del proveedor de servicio y el enrutador de la
empresa. A esta red central acceden 10 equipos instalados dentro de la empresa con conexión
local e inalámbrica, y cerca de 5 equipos adicionales asignados a vendedores externos quienes
acceden desde redes particulares vı́a remoto.

Figura No 2: Diagrama Red LAN Well Done marketing y promoción.

Fuente: Diseñado por el equipo de trabajo

9
4.3.2. DIAGRAMA DE PROCESOS Y RELACIÓN AREAS / APLICATIVOS

Teniendo en cuenta que la organización no cuenta con un diagrama de procesos fue nece-
sario realizar el levantamiento de información y posterior construcción del diagrama, para
identificar la distribución de procesos y relación entre áreas y aplicativos involucrados en
la operación. Como se muestra en la figura No 3. Se identificaron los principales frentes de
operación para la empresa como son bodega ingreso, central y ventas, ubicada en la loca-
lidad de Suba, de igual manera se puede evidenciar la relación que se presenta entre las
diferentes áreas de trabajo que constituyen la empresa y los aplicativos del sistema como son
(QSD clientes, Siigo, vendedor virtual y plataforma dian.gov.co) con los que tiene relación
cada área, esta relación se representa teniendo en cuenta los procesos ejecutados durante la
operación de la empresa. Los procesos tomados como referencia se describen más adelante.

Figura No 3: Diagrama de procesos y relación áreas/aplicativos (Well Done)

Fuente: Diseñado por el equipo de trabajo.

4.4. IDENTIFICACIÓN DE ACTIVOS

Mediante solicitud realizada al departamento de sistemas de la empresa Well Done, se obtuvo
el listado de elementos tecnológicos con los que cuenta la empresa, a los cuales referenciamos
como activos fı́sicos. Sobre estos activos es necesario realizar una revisión fı́sica en una visita

10
programada a las instalaciones de la empresa para validar que la información suministrada
corresponda al tipo de elemento, nombre, área y responsable de cada uno de los activos
listados. De igual manera se identificaron los activos lógicos de la empresa, los cuales no se
encontraban relacionados en la documentación aportada por la empresa.

Figura No 4: Rack de Comunicaciones

Figura No 5: Area de Trabajo

11
4.4.1. ACTIVOS FÍSICOS

En las figuras No 6 presentada a continuación se presenta la relación de activos fı́sicos

identificados en el análisis realizado, estos listados pertenecen a la documentación de soporte
con que cuenta la empresa.

Figura No 6: inventario de equipos tecnológicos de la organización.

Fuente: Departamento de sistemas Well Done y Diseño equipo de trabajo

12
4.4.2. ACTIVOS LÓGICOS Y DE INFORMACIÓN

En la figura No 7 presentada a continuación, se relacionan los activos lógicos que hacen parte
de la empresa Well Done, son activos que a la fecha no se consideran como activos de gran
importancia dentro de la proyección del negocio.
Figura No 7: inventario de activos lógicos Well Done

Fuente: Departamento de sistemas Well Done y Diseño equipo de trabajo

13
5. CAPITULO 2 ANALISIS E IDENTIFICACION DE
LOS RIESGOS Y VULNERABILIDADES

5.1. SOLUCIÓN A LA PROBLEMÁTICA IDENTIFICADA

Para llevar a cabo la construcción de la polı́tica de seguridad en la información para la empre-
sa Well Done, se ejecutarán actividades como levantamiento de información, determinación
del alcance a nivel de red y a nivel de proceso, desarrollo e implementación de programas
y pruebas de auditoria, diseño de matriz de riesgo y controles y por último el diseño de la
polı́tica a implementar. Con la ejecución de la presente planeación su busca presentar una
polı́tica de seguridad en la información a la organización Well Done, que contenga la des-
cripción de los riesgos obtenidos basados en un análisis soportado en normas de control y
seguridad en información, con recomendaciones y controles que la empresa puede adoptar y
aplicar a corto o largo plazo con el fin de minimizar la exposición de la información a vulne-
rabilidades en seguridad. Proporcionando una base de recuperación y respuesta en caso de
presentarse un ataque identificado dentro de los contemplados en la polı́tica.

5.2. ALCANCE DE LA POLÍTICA A DESARROLLAR

La polı́tica de seguridad en la información para la empresa Well Done, se construye con el
fin de mitigar posibles ataques o vulnerabilidades en la información que se puedan presentar
y que generen riesgo en la operación de la empresa, ya que el 100 porciento de los procesos
están soportados en el sistema de información implementado. por eso es importante identi-
ficar el alcance en seguridad que se obtiene al aplicar la polı́tica diseñada y los activos que
se blindan al minimizar la exposición a riesgos y vulnerabilidades.

Para la aplicación de la polı́tica a desarrollar se tomó como base la norma iso 27001 anexo
a con los siguientes controles:

- Análisis de deficiencias

- Alcance del SGSI

- Evaluación de riesgos

- Selección de controles

- Tratamiento de riesgos

14
5.3. EVALUACION DE RIESGOS POR AREAS
5.3.1. FOCALIZACION DE RIESGOS

La Focalización de riesgos o área donde fue identificado el riesgo durante el analisis de

la gerencia, el area de TI y los consultores, se realiza con el fin de direccionar la polı́tica
de seguridad desarrollada hacia las áreas donde se identificó la presencia del riesgo o por
lo menos de donde proviene el mismo. El criterio establecido para generar este análisis se
basa en la información obtenida tanto del personal que labora en la empresa, como en la
información obtenida como evidencias y el análisis realizado.
Figura No 8. ACTIVOS LOGICOS IDENTIFICADOS

Fuente: Diseñado por el equipo de trabajo

Figura No 9. ANALISIS RIESGOS POR AREA

Fuente: Diseñado por el equipo de trabajo

15
5.4. MATRIZ DE RIESGOS Y CONTROLES
A través de una matriz de riesgos se identifica y clasifican los riesgos según su nivel de
impacto en la empresa. Sobre los riegos identificados se proponen controles, sugerencias o
recomendaciones para una adecuada administración de la información y los sistemas que la
soportan. Los cuales ayudan a minimizar el efecto que puedan tener sobre la información
de la empresa. Para el diseño de la matriz de riesgos y controles se tiene en cuenta la
clasificación del riesgo por niveles de 1 a 5 según su impacto en la empresa y su operación.
Esta clasificación se muestra a continuación en la figura No 10.

Figura No 10. NIVELES DE RIESGO

Fuente: Diseñado por el equipo de trabajo

Teniendo en cuenta la clasificación del riesgo, En la Figura No 11 se presenta la matriz de
riesgos elaborada, donde se describen los riesgos encontrados durante el análisis realizado a
las evidencias encontradas, identificando e indicando el activo sobre el cual se presenta el
riesgo, ası́ como la descripción e impacto del riesgo encontrado y el nivel sobre el cual se
cataloga, referencia o papel de trabajo, referencia al ı́tem de la polı́tica de seguridad donde
se trata determinado riesgo, ası́ como las recomendaciones o controles sugeridos a la empresa
WELL DONE Marketing y Promoción.

16
FIGURA No 11: MATRIZ DE RIESGOS Y CONTROLES – Diseño de la matriz de riesgos
y controles

Fuente: Diseñado por el equipo de trabajo

17
5.4.1. RESULTADOS

Después de la identificación de riesgos y proponer una serie de recomendaciones o controles

que permitan a la empresa Well Done, minimizar los riesgos encontrados; ası́ como blindar
sus activos y la información contra posibles ataques derivados de los riesgos analizados en
este estudio, se procede a realizar un análisis a los resultados obtenidos en la matriz de
riesgos.

6. CAPITULO 3 POLITICA DE SEGURIDAD EN

LA INFORMACIÓN
Se realiza el diseño de la Politica de seguridad de la Informacion para la empresa Well Done
Marketing Y Promocion de acuerdo al trabajo realizado y conforme con los procesos internos
de la organización, proponiendo los controles para poder dar seguimiento a las actividades
que conlleve a reducir los riesgos identificados
Se anexa a continuación la POLITICA DE SEGURIDAD EN LA INFORMACIÓN deta-
llando las actividades a realizar

18
7. ANEXO A
POLITICA DE SEGURIDAD EN LA INFORMACIÓN

BOGOTÁ, D.C.
2021

19
INTRODUCCION

Well Done es una empresa importadora y comercializadora de Regalos Corporativos,

Artı́culos Promocionales y material POP que, a través de una organización sólida con
excelencia operativa, herramientas tecnológicas idóneas y un equipo humano altamente
calificado, comprometido y alineado con nuestros principios y valores, busca satisfacer
las necesidades de sus clientes y aportar valor y bienestar a sus empleados y socios.
Con el fin de minimizar los riesgos a los cuales puede estar expuesta la información de
la empresa al ejecutar sus procesos, se diseña la presente polı́tica de seguridad alineada
con la norma de ISO - 27001. La cual se debe implementar integrando a todo el recurso
humano vinculado a la empresa.

20
DEFINICIONES
Información

Hace referencia al conjunto de datos organizados para la trasmisión de un mensaje

en un contexto especı́fico con el fin de incrementar el conocimiento

Tecnologı́a de Información
Conjunto de tecnologı́as de información que permiten administrar el uso de los datos
de una manera funcional.

Sistema de información
El sistema de información es un conjunto de elementos, los cuales se encuentran dis-
puestos para el tratamiento, administración y gestión de los datos o información.

Seguridad de la información
La información, procesos, sistemas y redes de apoyo son activos comerciales impor-
tantes. Definir, lograr, mantener y mejorar la seguridad de la información puede ser
esencial para mantener una ventaja competitiva, rentabilidad, cumplimiento legal e
imagen comercial.

Riesgo
Es la probabilidad de ocurrencia sobre un evento en el sistema de información con
consecuencias negativas. Control

Se refiere a la manera como son fiscalizados los sistemas y sus procesos a través de
acciones para mitigar vulnerabilidades y riesgos.

21
8. DESCRIPCIÓN DE LA POLÍTICA
Esta polı́tica recoge los siguientes aspectos que incluyen normas sobre:

• Aseguramiento de la información
• Control de acceso a las instalaciones de la empresa
• Seguridad de Redes
• Perfiles de Usuario y contraseñas
• Clasificación de la información
• Backup
• Documentación de procesos
• Correo electrónico

8.1. OBJETIVOS DE LA POLITICA DE SEGURIDAD EN

LA INFORMACION
Son objetivos de la polı́tica:

Proteger los recursos de la empresa ante posibles riesgos y amenazas internas y ex-
ternas, con el fin de mantener la integridad, confidencialidad y disponibilidad sobre la
información. Implementar controles sobre todos los procesos que tienen relación con
los sistemas de información y su debido uso. Garantizar la actualización periódica de
la polı́tica como medio para la protección del Sistema de Información ante nuevas
amenazas

8.2. ALCANCE DE LA POLITICA EN SEGURIDAD DE

LA INFORMACION
La polı́tica aplica para todas las áreas de la empresa Well Done, dado que todas se
relacionan con el sistema de información al ejecutar los procesos de la empresa a los
cuales están asignados.

8.3. COMITÉ PARA LA SEGURIDAD DE LA INFORMA-

CIÓN (CSI)
Se creará el comité para la Seguridad de la Información (CSI) como autoridad en la
administración y divulgación de esta polı́tica de seguridad y los sistemas que la sopor-
tan.

El comité estará integrado por los siguientes miembros:

22
Gerente General
Gerente administrativo
Administrador de la red
Jefe de personal

Tendrá entre sus funciones principales:

Supervisar la ejecución y cumplimiento de la polı́tica, sus controles y procedimien-

tos que aseguran la información en todos los niveles.

Vigilar cambios sobre riesgos a partir de nuevas amenazas y vulnerabilidades en la

información.

Controlar diferentes incidentes de seguridad sobre la información. Coordinar la im-

plementación de controles especı́ficos sobre nuevos sistemas o servicios.

Promover la difusión de la polı́tica de seguridad de información a todos los empleados,

clientes internos y externos de la empresa.

8.4. SANCIONES POR INCUMPLIMIENTO A LA POLÍTI-

CA
Es responsabilidad de todos los empleados de la empresa es salvaguardar la información
a partir de las funciones asignadas, por cuanto el incumplimiento de esta polı́tica tendrá
sanciones de tipo administrativo y legal, condicionadas por la gravedad de los aspectos
infringidos, previa evaluación del Comité para la seguridad de la información (CSI).

9. POLÍTICAS DE SEGURIDAD A IMPLEMEN-

TAR
A continuación, se describen las polı́ticas a implementar en la empresa

9.1. POLÍTICA DE CLASIFICACIÓN DE LA INFORMA-

CIÓN
9.1.1. Generalidades

Con el fin de asegurar la confidencialidad, integridad y disponibilidad de la información,

se establecen los siguientes criterios para su control a partir de la siguiente clasificación:

• Información pública

23
• Información privada
• Información reservada
• Información confidencial

9.1.2. Responsabilidades

• Es responsabilidad de cada empleado como propietario de la información establecer

o modificar el nivel de clasificación de la información en términos de criticidad a partir
de los siguientes requisitos:
• Asignar una fecha lı́mite para proporcionar el nivel asignado
• Comunicarlo a las personas y áreas que trabajan con las herramientas de información
• Efectuar los cambios necesarios en procesos con el fin de dar a conocer la clasificación
nueva y vigente
• Ası́ mismo, el Comité para la Seguridad de la Información (CSI) debe garantizar la
adecuada clasificación sobre la información con el fin de llevar control sobre la misma,
ası́ como darla a conocer a todos los empleados.

9.2. POLÍTICA DE ADMINISTRACIÓN DE REDES

9.2.1. Generalidades

Para garantizar la integridad y seguridad en los datos, se hace necesario implementar

controles para el acceso a la red de la empresa, de este modo pueden ser utilizados de
forma correcta todos los recursos de red y ası́ prevenir fugas, intrusiones, riesgos, entre
otros, sobre la información gestionada diariamente.
Es responsabilidad del área encargada configurar y controlar los accesos para los usua-
rios debidamente identificados y registrados. Para este fin deben diseñados los proce-
dimientos adecuados para el acceso a los puntos de red de forma fı́sica y lógica.

9.2.2. Adquisición e implementación de equipos

El área de gerencia junto con el comité para la seguridad de la información debe

garantizar la adquisición e implementación de equipos y hardware necesarios para
garantizar la operación diaria.

9.2.3. Utilización de los servicios de red

Serán controlados los servicios de red internos y externos, es responsabilidad del área
encargada otorgar los accesos a servicios y recursos de red, solamente a solicitudes
formales hechas por los jefes de área, con el fin de llevar control sobre los ingresos.

24
9.2.4. Autenticación para conexiones externas

El área encargada junto al Comité para la Seguridad de la Información tendrá la

responsabilidad de asignar según corresponda, conexiones y medios de autenticación a
terceros con el fin de salvaguardar la información de la empresa.

9.2.5. Subdivisión de redes

Estará definido el marco de seguridad a través de la configuración del firewall con el

fin de filtrar el tráfico entre dominios, ası́ como bloquear accesos no autorizados a la
red.

9.2.6. Acceso a Internet

El acceso a internet debe ser usado para propósitos autorizados. El área encargada
junto al Comité para la Seguridad de la Información determinarán los procedimientos
para la aprobación de accesos a Internet, ası́ como los parámetros para su uso por los
usuarios.

9.3. POLÍTICA DE ADMINISTRACIÓN DE PERFILES Y

CONTROL DE ACCESO
9.3.1. Generalidades

Esta polı́tica establece los aspectos referentes a los procedimientos para controlar el
ingreso a los sistemas de información, bases de datos y otros servicios a partir de perfiles.
Es importante crear conciencia en todos los empleados sobre el uso de los perfiles y
accesos sobre los sistemas de información para prevenir intrusiones no autorizadas y
fugas de información
Esta polı́tica a su vez está dirigida al personal que administra las redes de datos con el
fin de crear los perfiles necesarios para el ingreso a la red y herramientas que dependen
de ella.

9.3.2. Registro de Usuarios

Las personas encargadas del área de sistemas deben especificar los procesos para el
registro de nuevos usuarios en todos los sistemas, bases de datos y herramientas de
información multiusuario.

25
9.3.3. Privilegios de Usuario

Deben ser limitados y controlados los perfiles de usuario ya que el uso indebido de los
mismos permite que existan fallos en los sistemas de información por accesos inade-
cuados. Todos los sistemas multiusuario que requieran protección contra accesos no
permitidos deben tener procedimientos para la asignación de privilegios a través de
autorizaciones entregadas por el área encargada.

9.3.4. Contraseñas de Usuario

La administración de las contraseñas de usuario debe ser administrada y controlada por

el área encargada a través de un procedimiento formal de asignación, estas contraseñas
deben tener una estructura que proporcione un nivel máximo de seguridad.

9.3.5. Derechos de acceso a los Usuarios

El área encargada junto al Comité para la Seguridad de la Información debe garantizar

una revisión periódica de los privilegios de acceso en todos los usuarios del sistema de
información, con el fin de actualizar accesos y perfiles sobre todas las herramientas
informáticas.

9.3.6. Uso de Contraseñas

Es responsabilidad de todos los usuarios seguir buenas prácticas en la selección y uso

de las contraseñas. Estas constituyen un medio para la autenticación de acceso a las
instalaciones, servicios y herramientas de información de la empresa, por cuanto su
mal uso conlleva sanciones administrativas y demás que estén contempladas dentro del
reglamento interno.

9.4. POLITICA DE BACKUPS

9.4.1. Generalidades

El proceso de copias de seguridad se convierte en parte fundamental para administrar

el sistema de información de la empresa, esto garantiza mantener la información segura
ante riesgos internos y externos.
El área encargada junto al Comité para la Seguridad de la Información tiene la tarea
de implementar controles para generar backups bajo los estándares necesarios a partir
de una frecuencia determinada.

26
9.4.2. Procedimiento de generación y restauración de copias de respaldo

Con el fin de proteger la información sobre todos los procesos de la entidad deben ser
tenidos en cuenta los siguientes aspectos:

Establecer como medida de seguridad la realización de copias de respaldo (backups)

sobre todos los equipos de cómputo de la empresa.
Es responsabilidad de cada usuario generar sus propias copias de respaldo, ası́ como
pedir formalmente asistencia para su realización.
El área encargada debe conocer y utilizar adecuadamente software para la generación
de copias de respaldo, ası́ como generar rótulos para almacenamiento fı́sico y lugares
de custodia.
Las copias de seguridad deben realizar con una frecuencia definida por el área encar-
gada, este procedimiento debe ser registrado con el fin de dar seguimiento periódico.

9.5. POLÍTICA DE SEGURIDAD PARA EL USO DE CO-

RREO ELECTRONICO
Esta polı́tica hace referencia a normas concernientes al manejo de la información a
través del correo electrónico, ası́ como el uso de herramientas de encriptación y el ma-
nejo de archivos log en las diferentes aplicaciones utilizadas por la empresa.

Es responsabilidad de todos los usuarios del sistema de información seguir las nor-
mas básicas para el envı́o y recibo de la información, ası́ como llevar una bitácora de
las transacciones realizadas.

Las siguientes consideraciones están relacionadas con las normas a tener en cuenta
para el uso del correo electrónico:

Debe ser actualizado el directorio activo de cuentas para correo electrónico de to-
dos los funcionarios de la empresa. Esto será administrado por el área encargada e
inspeccionadas por el Comité para la Seguridad de la Información.
Los usuarios de las cuentas de correo no deben usar cuentas de otras personas, ası́
como leer sus mensajes.
Un usuario ausente esta en obligación de redireccionar el correo a otra cuenta interna
de alguien relacionado a su proceso, esta persona debe cumplir con perfiles similares
para el manejo y clasificación de la información.
Todos los mensajes enviados y recibidos por usuarios del correo deben ser tratados co-
mo información privada, no pueden ser enviados mensajes a personas ajenas al negocio.

27
ACUERDO DE CONFIDENCIALIDAD
Todos los empleados de la empresa sin excepción deberán firmar un acuerdo de confi-
dencialidad el cual establece las condiciones para un adecuado manejo de la información
y su divulgación no autorizada. Este documento deberá estar archivado en el área de
Recursos Humanos como parte del contrato laboral firmado al inicio de su labor, es
importante resaltar que el acuerdo señala al empleado conocer y aceptar la existencia
de actividades que pueden ser objeto de monitoreo y control, detalladas con el fin de
no vulnerar su derecho a la privacidad.

28
10. CONCLUSIONES
• Durante el desarrollo de este trabajo fueron estudiados diferentes conceptos y métodos para
el diseño de una polı́tica de seguridad en la información que contribuye en la minimización
de exposición a riesgos en la información presentados en la empresa Well Done.

• La polı́tica de seguridad diseñada exigió un amplio conocimiento sobre la empresa y sus

procesos con el fin de implementar sobre los principales lineamientos normas consecuentes
con el objeto del negocio.

• Se realizó un análisis sobre las principales vulnerabilidades en cuanto a seguridad de la

información basada en la norma ISO - 27001 entre otros conceptos relacionados con seguri-
dad informática, gestión del riesgo y auditoria de sistemas con el fin de garantizar niveles de
confidencialidad, integridad y disponibilidad sobre la información.

• La polı́tica de seguridad en la información garantiza el adecuado manejo y administración

de la información de la empresa aplicando las recomendaciones generadas con el fin de tener
un sistema de información confiable y alineado a los intereses de la organización y de todos
sus colaboradores.

• La ejecución del proyecto se obtuvo como producto una polı́tica de seguridad de la in-
formación, la cual debe ser implementada o tenida en cuenta para garantizar el adecuado
funcionamiento del Sistema de Información y las herramientas que lo soportan.

29
11. RECOMENDACIONES
Las siguientes son las recomendaciones que este trabajo entrega sobre diferentes aspectos
desarrollados:

• Generar documentación sobre los procesos Internos de la empresa.

• Implementar la polı́tica de seguridad en Well Done, integrando y responsabilizando a todos

sus empleados de la correcta implementación de la misma.

• Well Done debe nombrar al Comité para la Seguridad de la Información (CSI) para que
sea el organismo que implemente en su totalidad las polı́ticas de seguridad, ası́ como tener
el visto bueno y apoyo del Gerente de la misma.

• La empresa debe diseñar e implementar continuamente campañas de sensibilización sobre

los temas descritos en la polı́tica de seguridad para dar a conocer a todos los empleados el
uso correcto de los sistemas de información en busca de un mayor conocimiento y concien-
tización sobre el tema.

• Realizar un análisis similar en otras áreas de la empresa y en los demás componentes del
sistema de información.

30
Referencias
De, E. O., Humanitario, A. (2020). Seguridad De La Tenencia. Boletin Institucional Instituto
Nacional de Salud, 26.

Distéfano, M. J., O’Conor, J., Mongelo, M. C., Lamas, M. C. (2015). Tecnologı́a positi-
va. El uso de la tecnologı́a para mejorar el bienestar personal y las interacciones sociales.
Psicodebate, 15(1). https://doi.org/10.18682/pd.v15i1.485

Dorozhko, H., Romashko, A., Kravets, L., Poladko, O. (2021). Modern approaches to the
protection of scientific and technical information as a result of intellectual creative activity.
Theory and Practice of Intellectual Property, 3. https://doi.org/10.33731/32021.239581

el Universo. (2020). Delitos informáticos o ciberdelitos. El Universo. Enterprise Security and

Risk Management Office. (2015). Business Continuity and Risk Management. Enterprise
Security and Risk Management Office.

Fontes, E., Balloni, A. J. (2015). Information security policy: The regulatory basis for the
protection of information systems. In Web Design and Development: Concepts, Methodolo-
gies, Tools, and Applications (Vols. 1–3). https://doi.org/10.4018/978-1-4666-8619-9.ch003

Gamboa, J. (2020). Importancia de la Seguridad Informática y Ciberseguridad en el Mundo

Actual. Investigacion Cientifica, I.

Gavilánez, R., Zambrano, D. (2017). Análisis de los ataques de hackers a entidades finan-
cieras: Una revisión post-literaria. Journal of Economics and Management, 1.

González Cano, M. I. (2019). Cesión y tratamiento de datos personales en el proceso penal.

Avances y retos inmediatos de la directiva (UE) 2016/680. Revista Brasileira de Direito
Processual Penal, 5(3). https://doi.org/10.22197/rbdpp.v5i3.279

Holtsnider, B., Jaffe, B. D. (2012). Chapter 8 - Security and Compliance. IT Manager’s

Handbook (Third Edition).

Loarte Cajamarca, B. G., Maldonado Soliz, I. F. (2019). Desarrollo de una aplicación web
y móvil en tiempo real, una evolución de las aplicaciones actuales. Ciencia Digital, 3(1).
https://doi.org/10.33262/cienciadigital.v3i1.282

López, R. A. (2017). Sistema de Gestión de la Seguridad. In Fundación Universitaria del

Área Andina. Medina Cerquera, B. A. (2019). Metodologı́a para la prevención de riesgos in-
formáticos en una Pyme de la ciudad de Cali. Revista de Ingenierı́a, Innovación y Desarrollo,
1(1). https://doi.org/10.18041/2539-3359/riid.1.5277

Nieves-Lahaba, Y. R., Ponjuan-Dante, G. (2021). Tratamiento de datos personales y acceso

a la información. Visiones a partir de la academia. Universitas, 35.

31
https://doi.org/10.17163/uni.n35.2021.08.

Orozco Torres, L. M., López Cortés, E., Torres Santiago, G. J. (2019). El uso de las tec-
nologı́as de la información en estudiantes de nivel bachillerato de comunidades en desarrollo
/ The Use of Information Technologies in High School Students at Developing Communi-
ties. RIDE Revista Iberoamericana Para La Investigación y El Desarrollo Educativo, 9(18).
https://doi.org/10.23913/ride.v9i18.429

Shivashankarappa, A. N., Smalov, L., Dharmalingam, R., Anbazhagan, N. (2012). Imple-

menting it governance using COBIT: A case study focusing on critical success factors. World
Congress on Internet Security, WorldCIS-2012.

Suárez, G., Luis, J. (2020). Informática Y Ciberseguridad En El Mundo Actual. Universidad

Piloto de Colombia, Gamboa, Seguridad Informática y Ciberseguridad.

Ticse Capcha, R. O., Maquera Quispe, H. G., Meza Quintana, C. (2019). EVALUACIÓN
DEL DESARROLLO DE POLÍTICAS DE SEGURIDAD DE INFORMACIÓN. Ciencia
Desarrollo, 18. https://doi.org/10.33326/26176033.2014.18.469

Trejo, C. A., Alvarez, G. A. D., Chimbo, K. M. O. (2016). La Seguridad Jurı́dica Frente a

Los Delitos Informáticos. Avances, 10(12).

Valdiviezo Abad, K. C., Abendaño, M. (2019). Comunicación 2.0 en Ecuador. Análisis de

las principales empresas del sector industrial. INNOVA Research Journal, 4(3.2).
https://doi.org/10.33890/innova.v4.n3.2.2019.1226.

VÁSQUEZ RODRÍGUEZ, R. (2020). EL CONSENTIMIENTO PARA TRATAMIENTO

DE DATOS PERSONALES DE SALUD EN TIEMPOS DEL COVID-19. YachaQ Revista
de Derecho, 11. https://doi.org/10.51343/yq.vi11.366

32