Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Diseno de Una Politica de Seguridad de La Informacion
Diseno de Una Politica de Seguridad de La Informacion
Trabajo de investigación presentada(o) como requisito para optar al tı́tulo de: Especialista
en Seguridad De La Información
Asesorado(a) por:
WILMAR JAIMES FERNANDEZ
2. CONTEXTUALIZACIÓN 7
3. OBJETIVO 7
3.1. OBJETIVO GENERAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.2. OBJETIVOS ESPECÍFICOS . . . . . . . . . . . . . . . . . . . . . . . . . . 7
7. ANEXO A 19
8. DESCRIPCIÓN DE LA POLÍTICA 22
8.1. OBJETIVOS DE LA POLITICA DE SEGURIDAD EN LA INFORMACION 22
1
8.2. ALCANCE DE LA POLITICA EN SEGURIDAD DE LA INFORMACION 22
8.3. COMITÉ PARA LA SEGURIDAD DE LA INFORMACIÓN (CSI) . . . . . 22
8.4. SANCIONES POR INCUMPLIMIENTO A LA POLÍTICA . . . . . . . . . 23
10.CONCLUSIONES 29
11.RECOMENDACIONES 30
2
RESUMEN
En las últimas décadas las tecnologı́as de la información y comunicación han ido en una
constante evolución lo cual ha traı́do grandes beneficios para la humanidad sin embargo los
métodos delictivos también han ido evolucionando frente a los temas de robo de información,
el presente trabajo idéntico la necesidad de la empresa Well Done Marketing Y Promoción,
de implementar una polı́tica de seguridad en la información que contribuyan a minimizar los
riesgos en la información relacionada con la operación del negocio.
Ya que la empresa Well Done carece actualmente de esta polı́tica de seguridad en la infor-
mación y se ha notado riesgos sobre aplicativo QSD-clientes presentando un estado crı́tico
de exposición a riesgos asociados tanto a la operación, como a las áreas que convergen con
este sistema. El objetivo de este estudio es diseñar una polı́tica de seguridad de información
para una entidad del sector privado, dedicada a la comercialización de productos,
Se realizo un proceso de observación y entrevistas iniciales que identificaron vulnerabilidades
que ponen en riesgo y comprometen el área financiera de la empresa y que pueden mitigarse
con el diseño e implementación de controles.
Para obtener la polı́tica en seguridad de la información planteada, se desarrolló en tres
capı́tulos como son, Recolección de información, Análisis e identificación los riesgos y vulne-
rabilidades y Diseño plan de mitigación que serı́a como resultado la Polı́tica de seguridad de
la información.
ABSTRACT
In recent decades, information and communication technologies have been in constant evo-
lution which has brought great benefits for humanity, however criminal methods have also
evolved in the face of information theft issues, the present work identifies the need of the
company Well Done Marketing Y Promoción, to implement an information security policy
that contributes to minimizing the risks in the information related to the operation of the
business.
Since the Well Done company currently lacks this information security policy and risks
have been noted on the QSD-clients application presenting a critical state of exposure to
risks associated with both the operation and the areas that converge with this system. The
objective of this study is to design an information security policy for a private sector entity,
dedicated to the commercialization of products.
A process of observation and initial interviews was carried out that identified vulnerabilities
that put at risk and compromise the financial area of the company and that can be mitigated
with the design and implementation of controls.
In order to obtain the proposed information security policy, it was developed in three chap-
ters, such as: Information collection, Analysis and identification of risks and vulnerabilities,
and Design mitigation plan that would result in the Information Security Policy.
3
PALABRAS CLAVES
Vulnerabilidades, Mitigación de riesgos, Hardening, Seguridad de la información, Polı́ticas
de seguridad.
KEY WORDS
Vulnerabilities, risk mitigation, hardening, information security, security policies
4
INTRODUCCIÓN
En las últimas décadas las tecnologı́as de la información y comunicación han ido en una cons-
tante evolución, (Distéfano et al., 2015; Loarte Cajamarca Maldonado Soliz, 2019; Orozco
Torres et al., 2019; Valdiviezo Abad Abendaño, 2019),lo cual ha traı́do grandes beneficios
para la humanidad sin embargo los métodos delictivos también han ido evolucionando frente
a los temas de robo de información,(el Universo, 2020; Gavilánez Zambrano, 2017; Trejo et
al., 2016), por esta razón se ha visto la necesidad de adoptar nuevas medidas, polı́ticas y con-
troles que permitan proteger a las organizaciones de nuevas amenazas. (Enterprise Security
and Risk Management Office, 2015; Fontes Balloni, 2015)
Hoy en dı́a la información está definida como uno de los activos más importantes de las
organizaciones, la cual es de vital importancia para cada una de las actividades propias de
su negocio,(López, 2017; Medina Cerquera, 2019), la información solo tiene sentido cuando
está disponible, asegurada y se utiliza de forma responsable y oportuna, lo que obliga a
las organizaciones a redoblar sus esfuerzos con el fin de establecer procesos que garanticen
una adecuada gestión de sus recursos y activos de información con el objetivo de asegurar
y controlar el debido acceso, tratamiento y uso de la información. (González Cano, 2019;
Nieves-Lahaba Ponjuan-Dante, 2021; VÁSQUEZ RODRÍGUEZ, 2020)
El aseguramiento y la protección de la información de las compañı́as, es de vital importancia
para cada una de ellas, cada una debe velar por garantizar su confidencialidad, integridad,
disponibilidad y privacidad, (Dorozhko et al., 2021; Holtsnider Jaffe, 2012; Shivashankarap-
pa et al., 2012), esta tarea se ha convertido en una de las mayores preocupaciones de las
corporaciones razón por la cual, la seguridad de la información se ha convertido en uno de
los aspectos de mayor importancia a nivel mundial.(De Humanitario, 2020; Gamboa, 2020;
Suárez Luis, 2020; Ticse Capcha et al., 2019)
Todas las organizaciones sin importar su tamaño, naturaleza o razón social deben ser cons-
cientes de que existen infinidad de amenazas que actualmente atentan contra la seguridad y
privacidad de la información, representan un riesgo que al materializarse no sólo les puede
acarrear costos económicos, sanciones legales, afectación de su imagen y reputación, sino que
pueden afectar la continuidad del negocio. En la medida que las organizaciones tomen con-
ciencia de los riesgos que pueden afectar la seguridad de la información, podrán establecer
controles y las medidas necesarias con el fin de salvaguardar la integridad, disponibilidad y
confidencialidad tanto de la información del negocio como los datos de carácter personal de
sus empleados y usuarios.
Este proyecto va a estar enmarcado en una entidad del del sector privado que cuenta con pro-
cesos como importación, nacionalización, distribución y venta que constituyen la operación
diaria de la empresa. Donde se maneja información de tipo comercial y financiero fundamen-
tal tanto en los procesos ejecutados como en la proyección y estabilidad de la empresa. En el
área comercial la información se maneja por módulos dependiendo las necesidades de cada
usuario mediante el aplicativo principal QSD-Clientes de vital importancia ya que soporta
la ejecución de la mayor parte de procesos.
En estos procesos se evidenciaron riesgos que comprometen la información encontrando vul-
5
nerabilidades como la intrusión a la red por wifi, riesgos por capacidad limitada de alma-
cenamiento de información, instalación permitida de software espı́a, riesgos fı́sicos, falta de
capacitación y concientización del personal, entre otros. Dicha observación se realizó por
medio de entrevistas realizadas y visitas en sitio donde se identificaron vulnerabilidades que
pueden mitigarse con el diseño e implementación de controles. El objetivo de este proyecto
de grado busca diseñar una polı́tica de seguridad de información para una entidad del sector
privada, dedicada a la comercialización de productos de oficina con sede operacional en la
ciudad de Bogotá D.C
Teniendo en cuenta que la información para la organización debe contemplarse como el activo
de mayor importancia ya que cada proceso parte de la información contenida en las bases de
datos que incluyen clientes, productos e información comercial en general, se debe garantizar
que esta se encuentre segura dentro de los sistemas de información que la administran y
gestionan. Ası́ como en el entorno donde se encuentra.
Para obtener como producto final la polı́tica en seguridad de la información planteada, se
desarrollará un proyecto que constará de tres capı́tulos (3) como son, Recolección de infor-
mación, Análisis e identificación los riesgos y vulnerabilidades y Diseño plan de mitigación
que seria como resultado la Polı́tica de seguridad de la información
En la primera sección se Identificarán los activos de información tanto fı́sicos como lógicos,
mediante visitas de campo, que permiten la identificación de riesgos referentes al aplicativo
QSD-Clientes
El siguiente capitulo estará enfocado en analizar e identificar los riesgos y vulnerabilidades
de la información a los cuales se ve expuesta la empresa Well Done Marketing Y Promoción
con base en la norma ISO 27001, esto acuerdo a los datos recolectados en las visitas hechas
en campo, realizando la validación de los resultados en las encuestas y de los hallazgos
encontrados.
En el ultimo capitulo se hará el diseño de la Polı́tica de seguridad de la información de acuerdo
con los procesos internos de la organización y que lleven a reducir los riesgos identificados
6
1. PLANTEAMIENTO DEL PROBLEMA
¿Por qué las organizaciones deben implementar procesos de seguridad que ayuden a fortale-
cer la confidencialidad, integridad y disponibilidad de su información?
¿Cuál es la mejor forma de ayudar a la empresa Well Done para crear una Polı́tica de Segu-
ridad de la Información?
2. CONTEXTUALIZACIÓN
Well Done Marketing y Promoción, es una empresa del sector comercial fundada en el año
2010. Lı́der en el mercado de la comercialización e importación de artı́culos promocionales,
material publicitario y regalos corporativos, maneja también el diseño y la producción de
material POP. Son representantes exclusivos en Colombia de la Lı́nea de Regalos Corpora-
tivos de Marcas de Lujo como Hugo Boss, Cerruti, Ungaro. Maneja también en exclusiva la
comercialización de productos publicitarios alemanes de la marca PSL Design, ası́ como la
comercialización de productos Post-it de 3M.
3. OBJETIVO
7
validando los resultados en los hallazgos encontrados
8
Adicionalmente para la operación de la empresa se cuenta con una aplicación llamada vende-
dor virtual que enlaza los pedidos desde los puntos de venta por medio del correo corporativo
a la aplicación, para generar pedidos solicitados directamente por clientes.
4.3. INFRAESTRUCTURA
A continuación, se describen los principales elementos que conforman la infraestructura tec-
nológica utilizada por la empresa WELL DONE Marketing Y Promoción para la ejecución
diaria de su actividad comercial, con el cual interactúan todas las áreas de la misma.
9
4.3.2. DIAGRAMA DE PROCESOS Y RELACIÓN AREAS / APLICATIVOS
Teniendo en cuenta que la organización no cuenta con un diagrama de procesos fue nece-
sario realizar el levantamiento de información y posterior construcción del diagrama, para
identificar la distribución de procesos y relación entre áreas y aplicativos involucrados en
la operación. Como se muestra en la figura No 3. Se identificaron los principales frentes de
operación para la empresa como son bodega ingreso, central y ventas, ubicada en la loca-
lidad de Suba, de igual manera se puede evidenciar la relación que se presenta entre las
diferentes áreas de trabajo que constituyen la empresa y los aplicativos del sistema como son
(QSD clientes, Siigo, vendedor virtual y plataforma dian.gov.co) con los que tiene relación
cada área, esta relación se representa teniendo en cuenta los procesos ejecutados durante la
operación de la empresa. Los procesos tomados como referencia se describen más adelante.
10
programada a las instalaciones de la empresa para validar que la información suministrada
corresponda al tipo de elemento, nombre, área y responsable de cada uno de los activos
listados. De igual manera se identificaron los activos lógicos de la empresa, los cuales no se
encontraban relacionados en la documentación aportada por la empresa.
11
4.4.1. ACTIVOS FÍSICOS
12
4.4.2. ACTIVOS LÓGICOS Y DE INFORMACIÓN
En la figura No 7 presentada a continuación, se relacionan los activos lógicos que hacen parte
de la empresa Well Done, son activos que a la fecha no se consideran como activos de gran
importancia dentro de la proyección del negocio.
Figura No 7: inventario de activos lógicos Well Done
13
5. CAPITULO 2 ANALISIS E IDENTIFICACION DE
LOS RIESGOS Y VULNERABILIDADES
Para la aplicación de la polı́tica a desarrollar se tomó como base la norma iso 27001 anexo
a con los siguientes controles:
- Análisis de deficiencias
- Evaluación de riesgos
- Selección de controles
- Tratamiento de riesgos
14
5.3. EVALUACION DE RIESGOS POR AREAS
5.3.1. FOCALIZACION DE RIESGOS
15
5.4. MATRIZ DE RIESGOS Y CONTROLES
A través de una matriz de riesgos se identifica y clasifican los riesgos según su nivel de
impacto en la empresa. Sobre los riegos identificados se proponen controles, sugerencias o
recomendaciones para una adecuada administración de la información y los sistemas que la
soportan. Los cuales ayudan a minimizar el efecto que puedan tener sobre la información
de la empresa. Para el diseño de la matriz de riesgos y controles se tiene en cuenta la
clasificación del riesgo por niveles de 1 a 5 según su impacto en la empresa y su operación.
Esta clasificación se muestra a continuación en la figura No 10.
16
FIGURA No 11: MATRIZ DE RIESGOS Y CONTROLES – Diseño de la matriz de riesgos
y controles
17
5.4.1. RESULTADOS
18
7. ANEXO A
POLITICA DE SEGURIDAD EN LA INFORMACIÓN
BOGOTÁ, D.C.
2021
19
INTRODUCCION
20
DEFINICIONES
Información
Tecnologı́a de Información
Conjunto de tecnologı́as de información que permiten administrar el uso de los datos
de una manera funcional.
Sistema de información
El sistema de información es un conjunto de elementos, los cuales se encuentran dis-
puestos para el tratamiento, administración y gestión de los datos o información.
Seguridad de la información
La información, procesos, sistemas y redes de apoyo son activos comerciales impor-
tantes. Definir, lograr, mantener y mejorar la seguridad de la información puede ser
esencial para mantener una ventaja competitiva, rentabilidad, cumplimiento legal e
imagen comercial.
Riesgo
Es la probabilidad de ocurrencia sobre un evento en el sistema de información con
consecuencias negativas. Control
Se refiere a la manera como son fiscalizados los sistemas y sus procesos a través de
acciones para mitigar vulnerabilidades y riesgos.
21
8. DESCRIPCIÓN DE LA POLÍTICA
Esta polı́tica recoge los siguientes aspectos que incluyen normas sobre:
• Aseguramiento de la información
• Control de acceso a las instalaciones de la empresa
• Seguridad de Redes
• Perfiles de Usuario y contraseñas
• Clasificación de la información
• Backup
• Documentación de procesos
• Correo electrónico
Proteger los recursos de la empresa ante posibles riesgos y amenazas internas y ex-
ternas, con el fin de mantener la integridad, confidencialidad y disponibilidad sobre la
información. Implementar controles sobre todos los procesos que tienen relación con
los sistemas de información y su debido uso. Garantizar la actualización periódica de
la polı́tica como medio para la protección del Sistema de Información ante nuevas
amenazas
22
Gerente General
Gerente administrativo
Administrador de la red
Jefe de personal
• Información pública
23
• Información privada
• Información reservada
• Información confidencial
9.1.2. Responsabilidades
Serán controlados los servicios de red internos y externos, es responsabilidad del área
encargada otorgar los accesos a servicios y recursos de red, solamente a solicitudes
formales hechas por los jefes de área, con el fin de llevar control sobre los ingresos.
24
9.2.4. Autenticación para conexiones externas
El acceso a internet debe ser usado para propósitos autorizados. El área encargada
junto al Comité para la Seguridad de la Información determinarán los procedimientos
para la aprobación de accesos a Internet, ası́ como los parámetros para su uso por los
usuarios.
Esta polı́tica establece los aspectos referentes a los procedimientos para controlar el
ingreso a los sistemas de información, bases de datos y otros servicios a partir de perfiles.
Es importante crear conciencia en todos los empleados sobre el uso de los perfiles y
accesos sobre los sistemas de información para prevenir intrusiones no autorizadas y
fugas de información
Esta polı́tica a su vez está dirigida al personal que administra las redes de datos con el
fin de crear los perfiles necesarios para el ingreso a la red y herramientas que dependen
de ella.
Las personas encargadas del área de sistemas deben especificar los procesos para el
registro de nuevos usuarios en todos los sistemas, bases de datos y herramientas de
información multiusuario.
25
9.3.3. Privilegios de Usuario
Deben ser limitados y controlados los perfiles de usuario ya que el uso indebido de los
mismos permite que existan fallos en los sistemas de información por accesos inade-
cuados. Todos los sistemas multiusuario que requieran protección contra accesos no
permitidos deben tener procedimientos para la asignación de privilegios a través de
autorizaciones entregadas por el área encargada.
26
9.4.2. Procedimiento de generación y restauración de copias de respaldo
Con el fin de proteger la información sobre todos los procesos de la entidad deben ser
tenidos en cuenta los siguientes aspectos:
Es responsabilidad de todos los usuarios del sistema de información seguir las nor-
mas básicas para el envı́o y recibo de la información, ası́ como llevar una bitácora de
las transacciones realizadas.
Las siguientes consideraciones están relacionadas con las normas a tener en cuenta
para el uso del correo electrónico:
Debe ser actualizado el directorio activo de cuentas para correo electrónico de to-
dos los funcionarios de la empresa. Esto será administrado por el área encargada e
inspeccionadas por el Comité para la Seguridad de la Información.
Los usuarios de las cuentas de correo no deben usar cuentas de otras personas, ası́
como leer sus mensajes.
Un usuario ausente esta en obligación de redireccionar el correo a otra cuenta interna
de alguien relacionado a su proceso, esta persona debe cumplir con perfiles similares
para el manejo y clasificación de la información.
Todos los mensajes enviados y recibidos por usuarios del correo deben ser tratados co-
mo información privada, no pueden ser enviados mensajes a personas ajenas al negocio.
27
ACUERDO DE CONFIDENCIALIDAD
Todos los empleados de la empresa sin excepción deberán firmar un acuerdo de confi-
dencialidad el cual establece las condiciones para un adecuado manejo de la información
y su divulgación no autorizada. Este documento deberá estar archivado en el área de
Recursos Humanos como parte del contrato laboral firmado al inicio de su labor, es
importante resaltar que el acuerdo señala al empleado conocer y aceptar la existencia
de actividades que pueden ser objeto de monitoreo y control, detalladas con el fin de
no vulnerar su derecho a la privacidad.
28
10. CONCLUSIONES
• Durante el desarrollo de este trabajo fueron estudiados diferentes conceptos y métodos para
el diseño de una polı́tica de seguridad en la información que contribuye en la minimización
de exposición a riesgos en la información presentados en la empresa Well Done.
• La ejecución del proyecto se obtuvo como producto una polı́tica de seguridad de la in-
formación, la cual debe ser implementada o tenida en cuenta para garantizar el adecuado
funcionamiento del Sistema de Información y las herramientas que lo soportan.
29
11. RECOMENDACIONES
Las siguientes son las recomendaciones que este trabajo entrega sobre diferentes aspectos
desarrollados:
• Well Done debe nombrar al Comité para la Seguridad de la Información (CSI) para que
sea el organismo que implemente en su totalidad las polı́ticas de seguridad, ası́ como tener
el visto bueno y apoyo del Gerente de la misma.
• Realizar un análisis similar en otras áreas de la empresa y en los demás componentes del
sistema de información.
30
Referencias
De, E. O., Humanitario, A. (2020). Seguridad De La Tenencia. Boletin Institucional Instituto
Nacional de Salud, 26.
Distéfano, M. J., O’Conor, J., Mongelo, M. C., Lamas, M. C. (2015). Tecnologı́a positi-
va. El uso de la tecnologı́a para mejorar el bienestar personal y las interacciones sociales.
Psicodebate, 15(1). https://doi.org/10.18682/pd.v15i1.485
Dorozhko, H., Romashko, A., Kravets, L., Poladko, O. (2021). Modern approaches to the
protection of scientific and technical information as a result of intellectual creative activity.
Theory and Practice of Intellectual Property, 3. https://doi.org/10.33731/32021.239581
Fontes, E., Balloni, A. J. (2015). Information security policy: The regulatory basis for the
protection of information systems. In Web Design and Development: Concepts, Methodolo-
gies, Tools, and Applications (Vols. 1–3). https://doi.org/10.4018/978-1-4666-8619-9.ch003
Gavilánez, R., Zambrano, D. (2017). Análisis de los ataques de hackers a entidades finan-
cieras: Una revisión post-literaria. Journal of Economics and Management, 1.
Loarte Cajamarca, B. G., Maldonado Soliz, I. F. (2019). Desarrollo de una aplicación web
y móvil en tiempo real, una evolución de las aplicaciones actuales. Ciencia Digital, 3(1).
https://doi.org/10.33262/cienciadigital.v3i1.282
31
https://doi.org/10.17163/uni.n35.2021.08.
Orozco Torres, L. M., López Cortés, E., Torres Santiago, G. J. (2019). El uso de las tec-
nologı́as de la información en estudiantes de nivel bachillerato de comunidades en desarrollo
/ The Use of Information Technologies in High School Students at Developing Communi-
ties. RIDE Revista Iberoamericana Para La Investigación y El Desarrollo Educativo, 9(18).
https://doi.org/10.23913/ride.v9i18.429
Ticse Capcha, R. O., Maquera Quispe, H. G., Meza Quintana, C. (2019). EVALUACIÓN
DEL DESARROLLO DE POLÍTICAS DE SEGURIDAD DE INFORMACIÓN. Ciencia
Desarrollo, 18. https://doi.org/10.33326/26176033.2014.18.469
32