Auditoria Interna A Los Activos Físicos Del Área TI en La Universidad

AUDITORIA INTERNA A LOS ACTIVOS FÍSICOS DEL ÁREA DE TI
EN LA UNIVERSIDAD COOPERATIVA DE COLOMBIA SEDE

IBAGUÉ, APLICANDO EL ESTÁNDAR ISO/IEC 27002:2013
NELSON TOVAR CALLEJAS

ALEX FERNANDO SALGUERO RODRIGUÉZ
UNIVERSIDAD COOPERATIVA DE COLOMBIA

PROGRAMA DE INGENIERÍA DE SISTEMAS
TOLIMA, IBAGUÉ I – 2018
AUDITORIA INTERNA A LOS ACTIVOS FÍSICOS DEL ÁREA DE TI
EN LA UNIVERSIDAD COOPERATIVA DE COLOMBIA SEDE
IBAGUÉ, APLICANDO EL ESTANDAR ISO/IEC 27002:2013
NELSON TOVAR CALLEJAS

ALEX FERNANDO SALGUERO RODRIGUEZ
Trabajo de seminario de profundización, para optar al título

de Ingeniero de Sistemas
Directores:
IVÁN MÉNDEZ ALVARADO

Ingeniero, especialista en Cybersecurity
NELLY CLAVIJO BUSTOS

Ingeniera, coordinadora programa Ingeniería de Sistemas
UNIVERSIDAD COOPERATIVA DE COLOMBIA

PROGRAMA DE INGENIERÍA DE SISTEMAS
TOLIMA, IBAGUÉ I – 2018
Tabla De Contenido
Pág.
Introducción 9
Capítulo I: Planteamiento Del Problema 10
Descripción Del Problema 10
Formulación Del Problema 11
Justificación 11
Objetivos 13
Alcance 13
Limitaciones 14
Capitulo II: Marco De Referencia 15
Marco Conceptual 15
Marco Legal 15
Marco Teórico 17
Capitulo III: Metodología 28
Línea De Investigación 28
Técnicas De Recolección De Información 29
Capítulo IV: Cronograma De Actividades 30
Capítulo V: Desarrollo Ingenieril 32
Identificación Y Clasificación De Los Activos 32
Determinación De Activos Críticos 34
Identificación De Salvaguardas Existentes Aplicadas A Los

36
Activos Críticos
Determinación De Vulnerabilidades Y Amenazas 37
Elaboración Del Checklist En Base A La Norma ISO/IEC

38
27002:2013
Evaluación De Cumplimiento De Los Controles De La Norma 39

ISO/IEC 27002:2013
Relación De Fichas De No Conformidades Y Recomendaciones 43
Políticas De Seguridad Para La Universidad Cooperativa De

44
Colombia Sede Ibagué
Conclusiones 47
Recomendaciones 48
Bibliografía 49
Anexos 52
Lista De Tablas
Pág.
Tabla I – Norma ISO/IEC 27000 23
Tabla II – Cronograma De Actividades 30
Tabla III – Identificación Y Clasificación De Los Activos 33
Tabla IV – Determinación De Activos Críticos 34
Tabla V - Determinación De Activos Críticos 35
Tabla VI - Determinación De Activos Críticos 35
Tabla VII - Determinación De Activos Críticos 36
Tabla VIII – Determinación De Vulnerabilidades Y Amenazas 37
Tabla IX – Niveles De Madurez 39
Tabla X – Valorización 40
Tabla XI - Evaluación De Cumplimiento De Los Controles De La 41

Norma ISO/IEC 27002:2013
Tabla XII - Relación De Fichas De No Conformidades Y 43

Recomendaciones
Lista De Anexos
Pág.
Anexo I - Formato Caracterización De Los Activos 52
Anexo II – Checklist Identificación Del Riesgo De Los Activos 53
Anexo III – Formato De Identificación De Amenazas Y

55
Vulnerabilidades
Anexo IV – Herramienta De Evaluación En Base A La Norma

58
ISO/IEC 27002:2013
Resumen
Este seminario de profundización efectuado en la Universidad Cooperativa de

Colombia Sede Ibagué, tuvo como fin la realización de una auditoria de
seguridad de la infraestructura en el área de TI, con la cual se pudo identificar
los riesgos a los que se encuentran expuestos los activos físicos de la
universidad cooperativa de Colombia sede Ibagué, a causa de factores
humanos, ambientales, internos, externos, deliberados e involuntarios, entre
otros.
En este proceso de identificación de riesgos se utilizó el método de

observación y herramientas de recolección de información como diferentes
checklist, para identificar los controles o medidas existentes desplegados por
la universidad para proteger la información, a partir de estos métodos se pudo
identificar los activos físicos, sus vulnerabilidades y las amenazas bajo las
cuales se encontraban expuestos.
De igual manera, a través de la auditoria se pudo evaluar el grado de

cumplimiento de la universidad en base a los controles de la norma ISO/IEC
27002:2013, mediante la aplicación de un checklist en el cual se abordaron
algunos controles establecidos dentro de los dominios, entre ellos: políticas
de seguridad de la información, gestión de activos, seguridad física y
ambiental.
A partir de los resultados obtenidos en el análisis de riesgos y la evaluación

de los controles de la norma ISO/IEC 27002:2013, se mitigarán los riesgos y
a su vez se gestionarán adecuadamente sus activos, garantizando
confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Abstract
This deepening seminar carried out at the Cooperativa of Colombia University

Headquarters Ibagué, aimed at conducting a security audit of the infrastructure
in the IT area, with which it was possible to identify the risks to which the
physical assets are exposed of the cooperative university of Colombia Ibagué
headquarters, due to human, environmental, internal, external, deliberate and
involuntary factors, among others.
In this risk identification process, the observation method and information

collection tools were used, such as different checklists, to identify the controls
or existing measures deployed by the university to protect the information.
From these methods, physical assets could be identified., their vulnerabilities
and the threats under which they were exposed.
Similarly, through the audit it was possible to evaluate the degree of

compliance of the university based on the controls of ISO/IEC 27002: 2013,
through the application of a checklist in which some controls established within
the domains were addressed., among them: information security policies,
asset management, physical and environmental security.
Based on the results obtained in the risk analysis and the evaluation of the
controls of ISO/IEC 27002: 2013, the risks will be mitigated and, in turn, their
assets will be properly managed, guaranteeing confidentiality, integrity,
availability, authenticity and traceability
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Introducción
En la actualidad, los activos físicos apoyan en gran medida la actividad

gerencial y la toma de decisiones en las empresas o en este caso Universidad;
incluso, la propia información y el acceso a la misma, los productos y servicios
que se intercambian se han convertido en sus principales activos. Por ello, la
gestión no sigue siendo concebida como el resultado de un accionar para
preservar otros activos, sino que se ha transformado en un condicionante
estratégico para operar y/o competir en los sectores productivos y de esta
manera generar valor para la misma.
Es por eso, que cada vez existe mayor conciencia y consenso de la

importancia de la Seguridad. Sin embargo, existen estructuras que requieren
que estos temas sean analizados con una estrategia diferente, ya sea por la
criticidad de la información que manejan, su dimensión o su estructura.
Por ende, la mejor opción es establecer controles de seguridad en base a los

requerimientos de la universidad, de tal manera que se garanticen la
integridad, disponibilidad y confidencialidad para de esta manera evaluarlos
periódicamente con el objeto de evidenciar su nivel de eficiencia. Este
proceso de evaluación se puede realizar a través de una auditoria de
seguridad con la cual, se podrá determinar las vulnerabilidades del sistema y
en base a estos resultados los directivos podrán tomar decisiones y
establecer las mejores medidas para dar solución a los inconvenientes de
seguridad.
Gestionar adecuadamente la seguridad no solo permite a la universidad dar

cumplimiento a sus obligaciones y regulaciones, sino que además genera
confianza en sus administrativos y estudiantes, al garantizarles que cuentan
con la infraestructura tecnológica y las medidas de seguridad pertinentes para
proteger la información y realizar eficientemente las distintas actividades
administrativas, financieras, comerciales y operativas de la universidad.
Seminario De Profundización 9
Capítulo I
Planteamiento Del Problema
Descripción Del Problema
La infraestructura de TI, es parte vital dentro de toda organización, debido a

que son los elementos transversales a todos los procesos operativos y
funcionales. Dentro de los elementos que componen la infraestructura de TI,
se pueden mencionar todos y cada uno de los dispositivos activos necesarios
para la transmisión de la información, al igual que los distintos medios que
permiten la interacción de la misma. La infraestructura de TI soporta todos los
servicios y aplicaciones necesarias para el desarrollo de la organización,
siendo este un punto crítico a salvaguardar.
Teniendo en cuenta la importancia que la información representa para la

universidad, es necesario administrar sus riesgos con procesos y tecnologías
adecuadas que permitan salvaguardarla y garantizar su respectiva
disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad. Para
ello, es indispensable hacer uso de técnicas que permiten cuantificar el nivel
de riesgo al que están sujetos los principales activos de la universidad, de tal
manera que la inversión en seguridad se oriente a analizar los problemas que
afecten principalmente la continuidad y operación diaria de la universidad,
alcanzando así la mejor relación costo/beneficio. Estas técnicas lo que buscan
es identificar y valorar los activos, vulnerabilidades, amenazas, e identificar
los controles de seguridad ya implementados. Una vez cuantificado el nivel
de riesgo, se puede adoptar controles y medidas de seguridad que permitan
minimizar las amenazas, vulnerabilidades y disminuir los incidentes de
riesgos.
Como podemos ver el papel de la seguridad es importante y trascendente

1
Seminario De Profundización
0
para garantizar la operación diaria y para controlar los procesos críticos, los
cuales, hoy en día están optando por hacer uso de estándares de seguridad
de la información articuladas con las TI, según lo demuestra el reporte
entregado por el Instituto de Gobierno de TI (IT Governance Institute – IGTI)
en el Global Status Report on the Governance of Enterprise It (GEIt), en el
cual, se evidencia que la norma ISO 27000 ocupa el segundo lugar con un
21.1% de las normas más utilizadas por las organizaciones. Igualmente,
dentro de este reporte se plantea el aumento en desarrollo de auditorías
relacionadas con la infraestructura de TI.
Teniendo como referencia lo mencionado anteriormente y según visitas

previas en donde se evidenció que la universidad caso de estudio no realiza
periódicamente auditorias en TI que le permita identificar los distintos riesgos
a los que están expuestos continuamente sus activos. Se pretende realizar
una auditoría al área de TI que permita identificar los activos con que cuenta
la universidad, las amenazas a que están expuestos y posteriormente, se
harán las recomendaciones pertinentes que permitan salvaguardar la
información y la infraestructura de TI de la organización.
Formulación Del Problema
¿Cómo gestionar los activos físicos del área de TI de la universidad para

mejorar su eficiencia y eficacia?
Justificación
Actualmente, la seguridad de la información se ha convertido en el mayor

soporte para todas las empresas o en este caso universidad y esto se ha
generado como consecuencia de las constantes amenazas como lo son los
1
1
sucesos naturales, accidentales e intencionales a los que están expuestos

continuamente los activos de las organizaciones. Igualmente, las redes de
datos han sido factores fundamentales para el éxito de las empresas siempre
y cuando éstas estén disponibles constantemente, no presenten
interrupciones y su rendimiento sea óptimo.
Por ello, es fundamental que la universidad realice periódicamente un estudio

de riesgos basado en una metodología que permita identificar claramente los
activos, las amenazas y las salvaguardas que poseen, para posteriormente
diseñar estrategias que permitan el buen funcionamiento.
Es por eso, que en este proceso se realizará una auditoria en seguridad de la

infraestructura de TI basada en la norma ISO/IEC 27002:2013 en la
Universidad Cooperativa de Colombia Sede Ibagué. La cual tiene el propósito
de identificar los puntos débiles de la universidad y a partir de ellos establecer
medidas que mitiguen los riesgos a que está expuesta la información.
En base a lo anterior, la Universidad Cooperativa de Colombia Sede Ibagué

siendo una universidad privada que ofrece su servicio a toda la población del
Departamento de Tolima, es primordial que realice un estudio de seguridad
en el cual se identifiquen los posibles riesgos derivados del uso de las
Tecnologías de La información y la Comunicación y de esta forma establezca
medidas que le permitan proteger sus activos, especialmente la información
personal de sus funcionarios y estudiantes.
El manejo centralizado de las aplicaciones informáticas permite obtener

informes de confiabilidad y fiabilidad en el menor tiempo, permitiendo de esta
forma a los directivos y autoridades realizar de una forma más ágil los análisis
de la información. Con el mejoramiento en las comunicaciones dentro de la
universidad se facilitará la ejecución inmediata del transporte de información
y datos generando una mejora en los servicios prestados.
1
2
Objetivos
Objetivo General
Realizar una auditoría de Seguridad basada en las normas ISO/IEC

27000:2013 al área de TI de la Universidad.
Objetivos Específicos
Planificar las distintas actividades que permitan realizar el proceso de

auditoría.
Desarrollar la auditoria apoyada en una herramienta de recolección de

datos.
Informar a los miembros del área de TI los hallazgos obtenidos en el

proceso de la auditoria.
Presentar mejoras al área de TI en cuanto a la seguridad teniendo en

cuenta los hallazgos obtenidos.
Alcance
Nuestra auditoria comprende el presente periodo A-2018 y se ha realizado

especialmente al área de TI en la Universidad Cooperativa de Colombia Sede
Ibagué, de acuerdo a las normas y demás disposiciones aplicables al efecto.
Durante el desarrollo del proyecto se identificaron las técnicas y el modelo de

auditoría que se aplicó al área de TI, donde se realizó un diagnóstico
1
3
permitiendo revisar y evaluar procesos mediante el uso de normas y

estándares internacionales.
Al hablar de seguridad en la infraestructura, nos referimos específicamente al

hardware o en su defecto equipos de cómputo para ello debemos revisar
garantías, instalaciones, respaldos, planes de contingencia, políticas de
seguridad, política de mantenimiento con sus respectivos formatos de registro
e instructivos. Garantizando un impacto tecnológico, social y económico en la
universidad.
Limitaciones
Como objetivo personal está el de realizar una auditoría de seguridad no solo

de la infraestructura sino también de los activos de información estableciendo
un cronograma de actividades, para ello se requiere acompañamiento y
disposición de los involucrados, pero se tiene como limitante actual el tiempo
dando así cumplimiento a un orden de actividad diaria.
1
4
Capítulo II
Marco De Referencia
Marco Conceptual
Las auditorías se pueden realizar haciendo uso de la Norma ISO/IEC 27002

que contiene las mejores prácticas recomendadas en Seguridad de la
información para desarrollar, implementar y mantener especificaciones para
los Sistemas de Gestión de la Seguridad de la Información (SGSI).Ésta
normativa hace parte de la ISO/IEC 27000.Ésta última está compuesta por
una serie de estándares de seguridad publicados por la Organización
Internacional para la Estandarización (ISO), la cual, es reconocida por ser una
entidad no gubernamental que promueve el desarrollo de la estandarización
y las actividades con ella relacionada en el mundo con la mira en facilitar el
intercambio de servicios y bienes, y para promover la cooperación en la esfera
de lo intelectual, científico, tecnológico y económico.
La seguridad de la información, según ISO/IEC 27001, consiste en la

preservación de su confidencialidad, integridad y disponibilidad, así como de
los sistemas implicados en su tratamiento, dentro de una organización.
Por lo mismo podemos decir que la auditoria es un proceso de apoyo

estratégico a la organización a través del cual es posible medir, revisar y
evaluar el nivel de cumplimiento y desempeño de eventos, procedimientos,
actividades u objetos que se aborden.
Marco Legal
En la Constitución Política de Colombia en el Artículo 15 nos dice “Todas las

1
5
personas tienen derecho a su intimidad personal y familiar y a su buen

nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo,
tienen derecho a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bancos de datos y en archivos de entidades
públicas y privadas. En la recolección, tratamiento y circulación de datos se
respetarán la libertad y demás garantías consagradas en la Constitución. La
correspondencia y demás formas de comunicación privada son inviolables.
Sólo pueden ser interceptadas o registradas mediante orden judicial, en los
casos y con las formalidades que establezca la ley. Para efectos tributarios o
judiciales y para los casos de inspección, vigilancia e intervención del Estado
podrá exigirse la presentación de libros de contabilidad y demás documentos
privados, en los términos que señale la ley.”
Ley 1266 de 2008 en su Artículo 4: Principios de la Administración de Datos

e inciso (f): Principio de Seguridad, promulga lo siguiente: “La información que
conforma los registros individuales constitutivos de los bancos de datos a que
se refiere la ley, así como la resultante de las consultas que de ella hagan sus
usuarios, se deberá manejar con las medidas técnicas que sean necesarias
para garantizar la seguridad de los registros evitando su adulteración, pérdida,
consulta o uso no autorizado”.
Ley 1581 de 2012 en su Artículo 4: Principios para el tratamiento de datos

personales e inciso (g): Principio de Seguridad, promulga lo siguiente: “La
información sujeta a Tratamiento por el Responsable del Tratamiento o
Encargado del Tratamiento a que se refiere la presente ley, se deberá
manejar con las medidas técnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su adulteración,
pérdida, consulta, uso o acceso no autorizado o fraudulento.”
1
6
Ley 1273 de 2009 denominada “de la protección de la información y los datos”

describe las distintas sanciones por los atentados contra la confidencialidad,
la integridad y la disponibilidad de los datos y de los sistemas informáticos.
En su artículo 269C: Interceptación de datos informáticos menciona lo
siguiente: “El que, sin orden judicial previa intercepte datos informáticos en su
origen, destino o en el interior de un sistema informático, o las emisiones
electromagnéticas provenientes de un sistema informático que los transporte
incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.”
Marco Teórico
Activos
Son los recursos que forman parte del sistema de la empresa como el
hardware, software, datos, infraestructura y personas. (Mifsud, 2012)
Amenaza
Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede

producir un daño (material o inmaterial) sobre los elementos de un sistema,
en el caso de la Seguridad Informática, los Elementos de Información. (Erb,
2011)
Antivirus
Es una aplicación dedicada a la prevención, búsqueda, detección y

1
7
eliminación de programas malignos en sistemas informáticos. (Alegsa, 2009)
Autenticidad
Permite asegurar el origen de la información. La identidad del emisor puede

ser validada, de modo que se puede demostrar que es quien dice ser. (Alonso,
s.f.)
Ciclo PDCA
Según (Bernal, 2013), el ciclo PDCA, Es la sistemática más usada para

implantar un sistema de Gestión de la Seguridad de la Información. El nombre
del Ciclo PDCA (o PHVA) viene de las siglas Planificar, Hacer, Verificar y
Actuar, en inglés “Plan, Do, Check, Act”. También es conocido como Ciclo de
mejora continua o Círculo de Deming, por ser Edwards Deming su autor. Esta
metodología describe los cuatro pasos esenciales que se deben llevar a cabo
de forma sistemática para lograr la mejora continua, entendiendo como tal al
mejoramiento continuado de la calidad (disminución de fallos, aumento de la
eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos
potenciales…). El círculo de Deming lo componen 4 etapas cíclicas, de forma
que una vez acabada la etapa final se debe volver a la primera y repetir el
ciclo de nuevo, de forma que las actividades son reevaluadas periódicamente
para incorporar nuevas mejoras.
1
8
Planificar (Plan)
Se buscan las actividades susceptibles de mejora y se establecen los

objetivos a alcanzar. Para buscar posibles mejoras se pueden realizar grupos
de trabajo, escuchar las opiniones de los trabajadores, buscar nuevas
tecnologías mejores a las que se están usando ahora, etc. (Bernal, 2013)
Hacer (Do)
Se realizan los cambios para implantar la mejora propuesta. Generalmente

conviene hacer una prueba piloto para probar el funcionamiento antes de
realizar los cambios a gran escala. (Bernal, 2013)
Controlar o Verificar (Check)
Una vez implantada la mejora, se deja un periodo de prueba para verificar su

correcto funcionamiento. Si la mejora no cumple las expectativas iniciales
habrá que modificarla para ajustarla a los objetivos esperados. (Bernal, 2013).
Actuar (Act)
Por último, una vez finalizado el periodo de prueba se deben estudiar los
resultados y compararlos con el funcionamiento de las actividades antes de
haber sido implantada la mejora. Si los resultados son satisfactorios se
implantará la mejora de forma definitiva, y si no lo son habrá que decidir si
realizar cambios para ajustar los resultados o si desecharla. Una vez
1
9
terminado el paso 4, se debe volver al primer paso periódicamente para

estudiar nuevas mejoras a implantar. (Bernal, 2013).
Confidencialidad
Es una de las propiedades de los activos de información que garantiza que

solo personas autorizadas pueden acceder a esta. (Instituto Nacional de
Tecnologías de la comunicación de España, 2013)
Datos
Son todos aquellos conceptos, cifras, instrucciones que se tienen aisladas

entre sí, sin seguir una organización o un orden específico. (MasterMagazine,
2009)
Disponibilidad
Característica de los activos que implica el acceso a la información y los

sistemas de tratamiento de la misma por parte de los usuarios autorizados en
el momento que lo requieran. (Instituto Nacional de Tecnologías de la
comunicación de España, 2013)
Hardware
Es la parte que puedes ver del computador, es decir todos los componentes
2
0
de su estructura física. (GCF Community Foundation International, s.f.)
Información
Es el conjunto de datos, añadidos, procesados y relacionados, de manera que

pueden dar pauta a la correcta toma de decisiones según el fin previsto.
(Informática moderna, 2008)
Integridad
Cualidad de los activos de información donde se asegura que la información

y sus métodos de proceso se mantengan exactos y completos. (Instituto
Nacional de Tecnologías de la comunicación de España, 2013)
Mantenimiento Correctivo
“Es el proceso mediante el cual se realizan las correcciones de las averías o

fallas, de un equipo de cómputo, cuando éstas se presentan.” (Solutek, 2015)
Mantenimiento Preventivo
Es el conjunto de actividades que se desarrollan con el objeto de proteger los

equipos de posibles fallas, utilizando métodos de limpieza física y también
métodos basados en el uso de Software. (Informaticamoderna, 2008)
2
1
Metodología Magerit
El (Ministerio de Hacienda y Administraciones Públicas de España, 2012)

menciona que: Siguiendo la terminología de la normativa ISO 31000, Magerit
responde a lo que se denomina “Proceso de Gestión de los Riesgos”. En otras
palabras, MAGERIT implementa el Proceso de Gestión de Riesgos dentro de
un marco de trabajo para que los órganos de gobierno tomen decisiones
teniendo en cuenta los riesgos derivados del uso de tecnologías de la
información.
Magerit persigue los siguientes objetivos directos e indirectos, según el

(Ministerio de Hacienda y Administraciones Públicas de España, 2012):
Directos
Concienciar a los responsables de las organizaciones de información

de la existencia de riesgos y de la necesidad de gestionarlos.
Ofrecer un método sistemático para analizar los riesgos derivados del

uso de tecnologías de la información y comunicaciones (TIC).
Ayudar a descubrir y planificar el tratamiento oportuno para mantener

los riesgos bajo control.
Indirectos
Preparar a la Organización para procesos de evaluación, auditoría,

certificación o acreditación, según corresponda en cada caso.
La metodología Magerit está compuesta por tres libros; método, catálogo de

elementos y guía de técnicas. Estos presentan una serie de pasos para
analizar y tratar los riesgos, ofrecen elementos estándar que ayuda a las
organizaciones a centrarse en lo específico del sistema objeto del análisis, y
un conjunto de técnicas que se emplean habitualmente para llevar a cabo
proyectos de análisis y gestión de riesgos.
2
2
Libro I: Método: En este libro se enmarcan las actividades de análisis y

tratamiento dentro de un proceso integral de gestión de riesgos. También
describe opciones y criterios para el tratamiento adecuado de los riesgos.
Libro II: Catalogo de elementos: En este libro se presenta, una clasificación

de los activos, distintas dimensiones para valorarlos y criterios para realizar
su valoración. Además, se plantean las amenazas típicas sobre los sistemas
de información y las salvaguardas a considerar para protegerlos.
Norma ISO/IEC 27000
Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO

(International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión de la
seguridad de la información utilizable por cualquier tipo de organización,
pública o privada, grande o pequeña. (ISO/IEC 27000, 2014).
A continuación, se incorpora una relación con la serie de normas ISO/IEC

27000 y una descripción de las más significativas:
Norma Descripción
Esta Norma Internacional proporciona una visión general

de los sistemas de gestión de seguridad de la información,
ISO 27000 y los términos y definiciones de uso común en la familia de
normas de SGSI. Esta norma es aplicable a todo tipo y
tamaño de organización.
Especifica los requisitos para establecer, implementar,

operar, monitorear, revisar, mantener y mejorar los
ISO 27001
sistemas de gestión de seguridad de la información (SGSI)
formalizado dentro del contexto de los riesgos globales de
2
3
negocio de la organización. Especifica los requisitos para

la aplicación de los controles de seguridad de la
información adaptados a las necesidades de las
organizaciones o partes de las mismas.
Proporciona una lista de objetivos de control comúnmente

aceptados y las mejores prácticas para ser utilizadas como
ISO 27002
una guía de implementación en la selección y la aplicación
de controles para lograr la seguridad de la información.
Proporciona una guía práctica de implementación y

proporciona más información para establecer,
ISO 27003
implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI según ISO / IEC 27001.
Proporciona orientación y asesoramiento sobre el

desarrollo y uso de las mediciones con el fin de evaluar la
eficacia del SGSI, los objetivos de control y controles
ISO 27004
utilizados para implementar y administrar la seguridad de
la información, tal como se especifica en la norma ISO /
IEC 27001.
Proporciona directrices para la gestión de riesgos de

seguridad de la información. El método descrito en esta
ISO 27005
norma es compatible con los conceptos generales
especificados en la norma ISO / IEC 27001.
Especifica los requisitos y proporciona una guía para los

organismos que realizan la auditoría y la certificación del
SGSI según ISO / IEC 27001. Ésta norma está destinada
ISO 27006
principalmente para apoyar la acreditación de organismos
de certificación que ofrecen certificación SGSI según ISO
/ IEC 27001.
2
4
Proporciona orientación sobre la realización de auditorías

de SGSI, así como orientación sobre la competencia de
ISO 27007
los auditores de sistemas de gestión de seguridad de la
información.
Tabla I
Políticas De Seguridad
La política de seguridad es un conjunto de leyes, reglas y prácticas que

regulan la manera de dirigir, proteger y distribuir recursos en una organización
para llevar a cabo los objetivos de seguridad informática dentro de la misma.
(Universidad Nacional Autónoma de México, 2015)
Salvaguarda
Son todos aquellos procedimientos o mecanismos tecnológicos que reducen

el riesgo. (Ministerio de Hacienda y Administraciones Públicas de España,
2012)
Seguridad De La Información
Tiene como fin la protección de la información y de los sistemas de la

información del acceso, uso, divulgación, interrupción o destrucción no
autorizada. (Asociación Española para la Calidad, 2014).
2
5
Servidor
Un servidor es un equipo informático que forma parte de una red y provee

servicios a otros equipos cliente. (Anerdata, s.f.)
Sistema De Gestión De Seguridad De La Información SGSI
Según (INTECO, 2014), SGSI es una herramienta de gran utilidad y de

importante ayuda para la gestión de las organizaciones. Además del concepto
central sobre el que se construye la norma ISO/IEC 27001.
Software
Son todos los programas informáticos que hacen posible la realización de

tareas específicas dentro de un computador. (GCF Community Foundation
International, s.f.)
Software Malicioso
Es un programa diseñado para dañar la información contenida en una

computadora e incluso a esta misma. (Google, 2015)
Trazabilidad
Propiedad de los activos de información que permite asegurar que en todo

momento se podrá determinar quién realizó cierta actividad y en qué momento
2
6
lo hizo. (Ministerio de Hacienda y Administraciones Públicas de España,

2012)
Vulnerabilidad
Es la capacidad, las condiciones y características del sistema mismo

(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas,
con el resultado de sufrir algún daño. En otras palabras, es la capacitad y
posibilidad de un sistema de responder o reaccionar a una amenaza o de
recuperarse de un daño. (Erb, 2011)
2
7
Capítulo III
Metodología
Para la realización de este proyecto se pretende utilizar las dos primeras fases
del ciclo PDCA (Plan-Do-Check-Act) para dar cumplimiento al objetivo
principal que es la auditoria en seguridad. Además, se usará MAGERIT que
es una metodología de análisis y gestión de riesgos de los sistemas de
información elaborada por el Consejo Superior de Administración Electrónica
de España y el modelo SSE-CMM (Systems Security Engineering – Capability
Maturity Model) como parte del desarrollo de la primera etapa del ciclo PDCA,
donde se elabora y aplica los diferentes instrumentos para recopilar la
información, se evalúan los controles de seguridad existentes, y
posteriormente se crean las respectivas medidas de seguridad que permitan
proteger los activos de la Universidad caso de estudio.
Línea De Investigación
Para la realización de este proyecto se utiliza una investigación cuantitativa y

cualitativa. La primera de ellas permite medir la cantidad y el nivel de efectiva
de cada uno de los controles de seguridad existentes en la Universidad y en
base a este resultado generar medidas que protejan los activos. Por otra
parte, con la investigación cualitativa se puede analizar e interpretar los datos
mediante la observación del entorno y entrevistas hechas al personal que
interactúa directamente con el sistema.
2
8
Técnicas De Recolección De Información
Los instrumentos para recopilar la información son los siguientes:
El Checklist y el cuestionario, herramientas que permiten identificar los

controles existentes en la universidad y su nivel de eficiencia, están
compuestos por un conjunto sistemático de preguntas que van
dirigidas principalmente al personal de TI, quienes son los que poseen
la mayor información que interesa al presente proyecto.
Otro de los métodos a utilizar en este proceso práctico son las

entrevistas y la observación que tienen como objeto recopilar aquella
información que no es posible obtener a través de los cuestionarios y
checklist.
2
9
Capítulo IV
Cronograma De Actividades
Ítem Actividades Mes I Mes II
1 2 3 4 1 2 3 4
Planificar las distintas actividades
1
que permitan realizar el proceso de
auditoría.
Revisar información relacionada

con el área de TI, identificando los
2 activos, las amenazas a que estos
están expuestos y las respectivas
salvaguardas.
3 Analizar y valorar los riesgos.
Elaborar el instrumento de
4
recolección de la información.
Desarrollar la auditoria apoyada en

5 una herramienta de recolección de
datos.
Aplicar el instrumento de
6
recolección de la información.
Analizar la información recopilada

7
en la actividad anterior.
Informar a los miembros del área

8 de TI los hallazgos obtenidos en el
proceso de la auditoria.
3
0
Elaborar un informe con los

9
resultados obtenidos.
Comunicar a los miembros del

10 área de TI los resultados
obtenidos.
Presentar mejoras al área de TI en

cuanto a la seguridad de los
11
activos teniendo en cuenta los
hallazgos obtenidos.
Tabla II
3
1
Capítulo V
Desarrollo Ingenieril
Identificación Y Clasificación De Los Activos
La identificación de los activos se logró a través de entrevistas realizadas al

personal del Área de TI donde ellos nos informaron sobre el inventario de
activos de la universidad, igualmente, por el método de observación, a través
de las respectivas visitas al área de TI y al cuarto de Telecomunicaciones.
Para cada uno de los activos identificados se determinó una serie de
características, las cuales se plantean en la Metodología de Análisis y Gestión
de Riesgos de los Sistemas de Información – MAGERIT en el libro I: Método,
en este se describe claramente el proceso para llevar a cabo el análisis y la
gestión de los riesgos.
En la caracterización de los activos fue necesario determinar para cada uno

de ellos una serie de características que se encuentran descritas en
MAGERIT, como código, nombre, descripción, tipo (Según clasificación
propuesta por Magerit en el Libro II: Catalogo de elementos), unidad
responsable (se identifica la unidad que lo mantiene, es decir, la encargada
de que el activo funcione correctamente, y la unidad que lo explota, en otras
palabras, la que hace uso de este ), persona responsable (es necesario
identificar la persona responsable por la integridad del activo y aquella que
se encarga de operarlo), ubicación y cantidad. El formato para la
caracterización de los activos se presenta en el anexo 1, pero en este no se
consigna la información de los activos de la universidad porque ésta sólo es
de interés de la misma.
Luego de haber realizado la caracterización de los activos, se prosiguió a su

respectiva clasificación teniendo en cuenta lo planteado en MAGERIT, en el
3
2
libro II: Catalogo de Elementos, en este se describen los tipos de activos, las
distintas dimensiones para hacer su respectiva valoración, además, en este
se presenta la clasificación de amenazas y salvaguardas.
Como resultado de esta actividad se obtuvo la siguiente clasificación:
Tipo De Activo Activo

Impresora
Microtik
Parlantes
Pc’s o Estaciones De
Trabajo
Portátiles
Equipamiento Informático (Hardware)
Router’s
Servidores
Switch’s
Tv
Video Proyectores
Móviles
Internet
Redes De Comunicaciones Red Inalámbrica
Red Telefónica
Aire Acondicionado
Equipamiento Auxiliar
Ups’s
Instalaciones Cuarto De Telecomunicaciones
Personal Miembros del área de TI

Tabla III
3
3
Determinación De Activos Críticos
Después de clasificados los activos, se procedió a valorarlos teniendo en

cuenta las distintas dimensiones de valoración, definidas por (Ministerio de
Hacienda y Administraciones Públicas, 2012) como “las características o
atributos que hacen valioso un activo y se utilizan para valorar las
consecuencias de la materialización de una amenaza. La valoración que
recibe un activo en una cierta dimensión es la medida del perjuicio para la
organización si el activo se ve dañado en dicha dimensión.”, y propuestas en
la Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información – MAGERIT, en el libro II: Catalogo de Elementos, en este se
establecen las dimensiones integridad, disponibilidad, confidencialidad,
autenticidad y trazabilidad para determinar el valor que representa cierto
activo para la universidad.
La valoración de los activos, se realizó a través de una entrevista hecha al

jefe de gestión tecnológica sede Ibagué de la universidad caso de estudio, a
quien se le explico en qué consistía la actividad y seguidamente se procedió
a hacerle los interrogantes de dimensiones de valoración y como respuesta a
cada uno de ellos, él debía seleccionar uno de los niveles en la Escala de
valoración para determinar el valor de cada uno de los activos en las distintas
dimensiones.
Dimensiones De Valoración Descripción

¿Qué nivel de daño representaría
Disponibilidad para la universidad que el activo no
estuviera disponible?

Integridad para la universidad que los activos
fueran modificados fuera de control?
3
4

para la universidad que el activo
Confidencialidad
fuera conocido por personas no
autorizadas?

para la universidad que quien accede
Autenticidad
al servicio no sea realmente quien se
cree?

para la universidad que no quedara
Trazabilidad
constancia del uso del servicio o el
acceso al mismo?
Tabla IV
Ítem Descripción
1 Daño Muy bajo
2 Daño Bajo
3 Daño Medio
4 Daño alto
5 Daño muy alto

Tabla V
Abreviatura Descripción
C Confidencialidad
I Integridad
D Disponibilidad
A Autenticidad
T Trazabilidad
3
5
Tabla VI
Activos Críticos Dimensiones De Valoración
C I D A T
Servidor Vigilancia 5 5 5 5 5
Servidor Control De Acceso 5 5 5 5 5
Servidor Antivirus 5 5 5 5 5
Servidor Dominio 5 5 5 5 5
Servidor Skype Empresarial 5 5 5 5 5
Servidor Digiturno 5 5 5 5 5
Servidor Cypecad 5 5 5 5 5
Servidor Consultorio Jurídico Virtual 5 5 5 5 5

Tabla VII
El cuadro anterior presenta la valoración de los activos considerados como

críticos en cada una de las distintas dimensiones. Estos fueron identificados
como activos críticos tomando como base el resultado de la valoración
obtenida y teniendo en cuenta que estos son la fuente de almacenamiento,
procesamiento y transporte de la información, y que representan la base para
la realización de las operaciones de la universidad.
Identificación De Salvaguardas Existentes Aplicadas A Los

Activos Críticos
Las salvaguardas de los activos críticos que se identificaron a través de

entrevistas al personal de del área de TI fueron las siguientes:
Mantenimiento Preventivo de Hardware: Se tienen establecidos

determinados periodos para realizar mantenimiento a los distintos equipos de
3
6
la empresa de manera que se garantice su correcto funcionamiento.
Backup de la información: Enlace permanente con la plataforma Office 365.
Determinación De Vulnerabilidades Y Amenazas
En una de las entrevistas efectuadas jefe de gestión tecnológica sede Ibagué

de la universidad caso de estudio, se le aplicó el checklist de identificación del
riesgo mediante el cual se pudo identificar las amenazas y vulnerabilidades
asociadas a los activos.
La siguiente tabla muestra cada uno de los activos de la universidad caso de

estudio a quienes se les identifico su respectiva vulnerabilidad y se les asocio
una posible amenaza que podría afectarlos.
Activo Vulnerabilidad Amenaza

Cuarto De No son suficientes los Acceso de personal no
Telecomunicaciones controles físicos de autorizado.
acceso al cuarto de Perdida de información.
telecomunicaciones.
Inexistencia de un
sistema que reduzca el
nivel de daño en caso
de un incendio.
Área TI No se tiene Acceso de personal no

establecido Controles autorizado
físicos de acceso al
área de TI
Servidores No se implementan en No se controlen

un 100% las políticas adecuadamente los
3
7
de seguridad distintos sucesos que

informática. afectan los equipos y la
Acumulación de información.
partículas dañinas. Disminuye el
No todas las fallas que rendimiento de los
se generan son equipos.
registradas. No se atienda
eficientemente las fallas
reincidentes debido a la
inexistencia de un
registro.
Pc’s Polvo. Disminución del
Portátiles El mantenimiento de rendimiento de los
los equipos no se equipos.

Impresora
realice en el momento Fallos en los equipos.
Tv
requerido.
Tabla VIII
Elaboración Del Checklist En Base A La Norma ISO/IEC

27002:2013
Antes de iniciar la elaboración del instrumento de recolección fue necesario

seleccionar los controles de la Norma ISO/IEC 27002:2013, con los cuales,
se evaluó la seguridad en los activos de la universidad. De los 114 controles
establecidos en la norma anteriormente mencionada, se seleccionaron 20
porque son los más acordes con la funcionalidad de la universidad desde el
ámbito de activos físicos del área de TI.
Se aplicó mediante entrevista al jefe de gestión tecnológica sede Ibagué con
3
8
el objetivo de evaluar el nivel de cumplimiento de la universidad en cuanto a

controles de seguridad de la información.
Evaluación De Cumplimiento De Los Controles De La Norma

ISO/IEC 27002:2013
La evaluación de cumplimiento de cada uno de los 20 controles seleccionados

de la norma ISO/IEC 27002:2013, se realizó de acuerdo a las respuestas
obtenidas mediante la aplicación del checklist y en base a las cuales se
determinó el nivel de madurez de los controles. Además, se estableció una
valoración de bajo, medio, alto para cada uno de los dominios, objetivos de
control y controles para evidenciar cuales de los controles evaluados en la
universidad son los más críticos o que no se han gestionado de manera
adecuada.
Niveles De Madurez
Criterio Porcentaje Descripción

No hay controles de seguridad de la
No realizado 0%
información establecidos.
Existen procedimientos para llevar a

cabo ciertas acciones en
determinado momento. Estas
Realizado
20% prácticas no se adoptaron
informalmente
formalmente y/o no se les hizo
seguimiento y/o no se informaron
adecuadamente.
Los controles de seguridad de la

Planificado 40%
información establecidos son
3
9
planificados, implementados y
repetibles.

información además de planificados
Bien definido 60% son documentados, aprobados e
implementados en toda la
organización.

Cuantitativamente información están sujetos a
80%
controlado verificación para establecer su nivel
de efectividad.

información definidos son
periódicamente revisados y
Mejora continua 100%
actualizados. Estos reflejan una
mejora al momento de evaluar el
impacto.
Tabla IX
En la tabla anterior se modificó el tipo de valor para establecer el grado de

cumplimiento de los controles. En la norma se maneja una escala de 0 a 5
respectivamente para cada criterio y en la realización de esta actividad se
maneja un porcentaje de 0% a 100%.
Valoración
Porcentaje Escala
0% - 30% Bajo
31% - 74% Medio
75% - 100% Alto
4
0
Tabla X
La valoración de los controles se estableció de la siguiente manera, un

porcentaje del 0% - 30% para los controles con más bajo nivel de
cumplimiento y por ende son más críticos. Del 31% - 74% para aquellos
controles que se han desarrollado pero que en ocasiones no se documentan.
Por último, un porcentaje del 75% - 100% para identificar los controles que
además de haber sido planificados y documentados, están sujetos a revisión
y actualizaciones con cierta periodicidad.
A continuación, sólo se muestra el porcentaje de cumplimiento para los

controles del dominio gestión de activos. La evaluación realizada a los otros
controles de la norma ISO/IEC 27002:2013 fueron omitidos de este
documento a fin de mantener la confidencialidad de la información de la
universidad caso de estudio.
Norma Sección Puntos a evaluar Cumplimiento

8 Gestión De Activos
60%
8,1 Responsabilidad Sobre Los Activos
8.1.1 Inventario Existe un inventario

De Activos de todos los activos
asociados a las
instalaciones de
procesamiento de
información
100%
El inventario de
activos de
información contiene
información
precisa y
Actualizada hasta
4
1
mayo del presente

año
8.1.2 Propiedad los activos cuentas

De Los con un responsable
Activos definido que es
80%
consciente de
sus
responsabilidades
8.1.3 Uso Aunque está

Aceptable plasmado en el
De Los contrato, reglamento,
Activos firmas de actas de
asignación y además
se le hace entrega de
una cartilla de 20%
responsabilidades a
cada funcionario,
aun así, depende
mucho de la
confianza o buena fe
del personal.
8.1.4 Devolución Solo dependen de un

De Activos formato o documento
40%
físico denominado
Paz Y Salvo.
Tabla XI
4
2
Relación De Fichas De No Conformidades Y

Recomendaciones
En este apartado se relacionan los controles de la Norma ISO/IEC

27002:2013 que presentan un porcentaje de cumplimiento menor o igual al
60%.
Estos controles se consignan en una Ficha de No Conformidades, la cual

está constituida de la siguiente manera: La primera Fila corresponde al
nombre del Dominio evaluado, en la segunda fila se ubica el numeral que
identifica a cada control con su respectiva inconformidad o aspecto por el cual
la universidad no está cumpliendo la norma, y por último, en la tercera fila se
plantean las posibles soluciones o acciones que la universidad debe realizar
con el objeto de mejorar el estado de cumplimiento de cada uno de los
controles y de esta manera garantizar la seguridad de los activos.
En este numeral sólo se muestra la ficha de no conformidad del dominio

gestión de activos a manera de ejemplo, la información contenida en las
demás fichas sólo es de interés para la universidad.
Gestión De Activos
Descripción De Las No Conformidades
8.1.1 Se notó una incongruencia o falta de información en el área de TI con

respecto al inventario de los activos, puesto que, aunque todo activo físico
en responsabilidad inmediata del departamento de TI aun así ellos no tienen
conocimiento del inventario por el contrario el área encargada del ya
mencionado inventario es la coordinación de activos fijos inventarios.
8.1.2 Aunque si hay un encargado inmediato sobre los activos, también es

cierto que la universidad incursiono en la tercerización lo cual por un lado
trae muchos beneficios, pero de igual manera resta dispositivos bajo el
4
3
control o supervisión del área de TI.
8.1.3 En esta sección se basa única y exclusivamente en la buena fe, es

decir en la confianza que recae sobre cada individuo y aunque hay
sanciones que afecten este control a la fecha no se incurren en ellas por la
falta de notificación.
8.1.4 se aplica directamente la sanción pero aun así el daño queda

realizado.
Acción Correcta Propuesta
Formular unos lineamientos o recomendaciones específicas para el manejo

de los activos físicos en base a los 20 controles aplicados en esta
evaluación.
Que las revisiones a los lineamientos establecidos o por establecer generen

modificaciones a los mismos.
Tabla XII
Políticas De Seguridad Para La Universidad Cooperativa De

Colombia Sede Ibagué
Política De Seguridad
Este dominio establece como mandato la oportuna creación, aprobación,

publicación, comunicación y aplicación del conjunto de políticas de seguridad
de la información con el objeto de preservar la confidencialidad, integridad,
disponibilidad, autenticidad y trazabilidad de la información, de igual manera
recomienda su revisión con cierta regularidad ya sea una vez al año, o antes,
en caso de implementarse una nueva tecnología en la universidad o surjan
nuevos incidentes de seguridad, esto se hace con el fin de garantizar la
4
4
efectividad de las políticas.
Gestión De Activos
Ésta política conlleva a la universidad a identificar y clasificar sus activos de

información, definir las respectivas responsabilidades para su adecuada
protección, además regula las prácticas para su uso adecuado y la devolución
por parte del personal al finalizar su contrato laboral. Igualmente, reglamente
la gestión de los soportes de almacenamiento estableciendo una serie de
indicaciones para evitar el hurto, modificación, eliminación de la información
a través de la deshabilitación de los puertos usb, la activación del escaneo
automático de virus y el bloqueo de la reproducción automática de archivos
ejecutables.
Seguridad Física Y Ambiental
Regula el acceso a la universidad, las instalaciones de procesamiento de

información y a las oficinas, establece medidas para la protección de los
activos de información tales como: el uso de extintores, sistemas de alarma
contra incendios, cámaras de seguridad, el registro de ingreso y salida de los
estudiantes de la universidad y del acceso del personal autorizado a las
instalaciones donde reside el archivo, la constante revisión de los soportes
eléctricos y ambientales para garantizar el óptimo funcionamiento de los
equipos de cómputo ubicados en los cuartos de telecomunicaciones, la
instalación adecuada del cableado para evitar posibles interferencias en la
transmisión de la información, el mantenimiento preventivo y correctivo de los
dispositivos informáticos.
4
5
Cumplimiento
Para dar cumplimiento a las políticas de seguridad, hay sanciones que varían
de acuerdo al nivel de afectación que le generen a la universidad, estas
pueden ser amonestaciones escritas, suspensiones, destitución y/o
sanciones de tipo legal que conllevarían al pago de multas hasta de 1.500
salarios mínimos y pena de prisión de hasta 120 meses.
4
6
Conclusiones
Luego de realizada la auditoria en seguridad se evidenciaron una serie de

factores que ponen en riesgo los activos de la universidad, entre ellos se
encuentran los bajos controles de acceso físico desplegados para evitar el
acceso de personas no autorizadas a las áreas de procesamiento de
información, ésta incidencia aumenta la probabilidad de perdida, deterioro e
indisponibilidad de la información y los equipos de cómputo, también, la falta
de sistemas de detención de fuego y niveles de temperatura que no permiten
al personal actuar oportunamente en caso de presentarse incendios o un
aumento de calor en el cuarto de telecomunicaciones por el mal
funcionamiento de pronto de uno de los aires acondicionados.
Así mismo, se observa una adecuada gestión de los activos debido a las
prácticas para su uso adecuado, de igual manera se tienen bien definidas las
responsabilidades del personal sobre ellos, y se tienen establecidos controles
que garanticen su devolución al finalizar el contrato laboral de los funcionarios
o administrativos. Igualmente, que la infraestructura tecnológica de la
universidad es administrada por personal idóneo.
Otro de los factores que aumentan significativamente los niveles de riesgo de

los activos es el desconocimiento o la falta de conciencia por parte del
personal para evitar aquellas situaciones que pueden afectar la disponibilidad,
integridad y confidencialidad de la información.
4
7
Recomendaciones
Concientizar al personal sobre los distintos riesgos a los que está expuesta la
información de la universidad y enfatizar sobre la importancia que esta
representa para la universidad, exponerles las sanciones que dicta la ley
nacional en relación a la protección de la información, las cuales le pueden
generar a la universidad multas hasta de 2000 salarios mínimos, suspensión
de las actividades referentes al tratamiento de la información por un tiempo
determinado. Además, sanciones para las personas que atenten contra la
confidencialidad, la integridad y la disponibilidad de los datos y de los
sistemas informáticos con multas hasta de 1500 salarios mínimos y pena de
prisión hasta de 120 meses.
Por otra parte, dar a conocer las políticas de seguridad de la información al

personal de la universidad y ejecutar adecuadamente los diferentes controles
que se plantean en ella y de esta manera brindar mayor protección a los
activos de la universidad. Posteriormente, hacerles un seguimiento a esos
controles, evaluar su nivel de efectividad y hacer las respectivas mejoras ya
sea anualmente o cuando surjan determinados factores que así lo ameriten.
Además, elaborar formatos para registrar las visitas a los cuartos de

telecomunicaciones a fin de determinar quienes ingresan a estas áreas y que
te tipo de actividad realizan, tener toda la información relacionada con los
equipos de cómputo y de comunicación de propiedad de la universidad a
través del levantamiento de su respectiva hoja de vida, garantizar que los
equipos de cómputo sean devueltos luego de la terminación del contrato de
los funcionarios o administrativos y de esta manera se pueda evidenciar el
estado en que se entregan, determinar los diferentes aspectos vinculados a
la realización de pruebas de funcionamiento del software.
4
8
Bibliografía
Alegsa, L. (2009). Alegsa. Obtenido de

http://www.alegsa.com.ar/Dic/antivirus.php
Alonso, P. (s.f.). Federación de Servicios a la Ciudadanía-CCOO.

Obtenido de
http://www.fsc.ccoo.es/comunes/recursos/99922/doc28596_Segurida
d_informatica.pdf
Anerdata. (s.f.). Anerdata. Obtenido de http://www.anerdata.com/que-

es-un-servidor.html
Asociación Española para la Calidad. (2014). AEC. Recuperado el 21

de 10 de 2014, de http://www.aec.es/web/guest/centro-
conocimiento/seguridad-de-la-informacion
Bernal, J. J. (2013). pdcahome. Recuperado el 21 de 10 de 2014, de

http://www.pdcahome.com/5202/ciclo-pdca/
Erb, M. (2011). Matriz de riesgo. Recuperado el 18 de 02 de 2015, de

https://protejete.wordpress.com/gdr_principal/matriz_riesgo/
Erb, M. (2011). Amenazas y vulnerabilidades. Obtenido de

https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilida
des/
GCF Community Foundation International. (s.f.). Gcfaprendelibre.

Obtenido de
http://www.gcfaprendelibre.org/tecnologia/curso/informatica_basica/e
mpezando_a_us ar_un_computador/2.do
Google. (2015). Protéjase del software malicioso. Obtenido de

https://support.google.com/adwords/answer/2375413?hl=es-419
Informática moderna. (2008). Definición de información. Obtenido de
4
9
http://www.informaticamoderna.com/Info_dat.htm
Informaticamoderna. (2008). Mantenimiento preventivo. Obtenido de

http://www.informaticamoderna.com/Mant_comp.htm
Instituto Nacional de Tecnologías de la comunicación de España.

(2013). INCIBE. Obtenido de
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_
apoyo_SGSI.p df
INTECO. (2014). INTECO. Recuperado el 14 de 10 de 2014, de

https://www.inteco.es/Formacion_eu/SGSI_eu/Conceptos_Basicos_e
u/Normativa_SG SI_eu/
International Organization for Standardization. (2013). iso.org.

Recuperado el 07 de 03 de 2015, de iso.org:
http://www.iso.org/iso/catalogue_detail?csnumber=54533
International Organization for Standardization/International

Electrotechnical Commission. (15 de 01 de 2014). International
Standard ISO/IEC 27000. Obtenido de
http://k504.org/attachments/article/819/ISO_27000_2014.pdf
MasterMagazine. (2009). MasterMagazine. Obtenido de

http://www.mastermagazine.info/termino/4532.php
Mifsud, E. (26 de 03 de 2012). MONOGRÁFICO: Introducción a la

seguridad informática - Vulnerabilidades de un sistema informático.
Obtenido de
http://recursostic.educacion.es/observatorio/web/es/component/conte
nt/article/1040introduccion-a-la-seguridad-informatica?start=3
Solutek. (2015). Definición de mantenimiento correctivo. Obtenido de

http://www.solutekcolombia.com/servicios_tecnologicos/mantenimient
os/correctivos/
Universidad Nacional Autónoma de México. (2015). Definición de
5
0
política de seguridad. Obtenido de

http://redyseguridad.fip.unam.mx/proyectos/seguridad/DefinicionPoliti
ca.php
http://iso27000.es/iso27002_8.html
Ministerio de Hacienda y Administraciones Públicas de España. (2012).

Magerit – versión 3.0. Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información. Madrid: Ministerio de Hacienda y
Administraciones Públicas.
Ministerio de Hacienda y Administraciones Públicas, G. d. (2012).

MAGERIT-Metodología de Analisis y Gestión de Riesgos de los
Sistemas de Información. Madrid: Dirección General de Modernización
Administrativa, procedimientos e Impulso de administración
Electrónica.
5
1
Anexos
CARACTERIZACIÓN DE LOS ACTIVOS

IDENTIFICACIÓN DE LOS ACTIVOS
EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
Unidad Responsable Persona Responsable
ITEM Activo Código Descripción Tipo Ubicación Cantidad
Mantiene Explota Responsable Operador
Anexo I
5
2
CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y SALVAGUARDAS

IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS
CHECKLIST
EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
Nº PREGUNTAS SI NO NA OBSERVACIONES
FISICA
¿Están las instalaciones del data center protegidas de acceso no
1 autorizado?
¿Cuál de los siguientes controles físicos aplican para las instalaciones
2 del cuarto de telecomunicaciones?
a) Perímetro de seguridad definido
b) Sistema de detección de intrusos
c) Puertas de seguridad con sistema de acceso
d) Otro (especifíquelo en la casilla de observaciones)
3 ¿Cuál de los siguientes controles físicos aplican para acceder al Área de
TI?
a) Carnet de Identificación
b) Registro de visitantes
c) Otro (especifíquelo en la casilla de observaciones)
4 ¿La instalación donde está ubicado el cuarto de telecomunicaciones
cuenta con condiciones físicas adecuadas de acuerdo a la norma?
5 ¿Cuáles de las siguientes medidas contra incendios tienen
implementadas?
a) Alarma
5
3
b) Extintores
c) Sistema contra incendios
d) Otro (especifíquelo en la casilla de observaciones)
6 ¿El Sistema de Cableado Estructurado está diseñado e instalado
cumpliendo las normas internacionales vigentes?
7 ¿Tienen documentado el diseño de la red?
8 ¿Tienen establecido controles para llevar a cabo el mantenimiento
preventivo y correctivo de los equipos de la empresa?
9 ¿Se tiene establecido controles para llevar a cabo el mantenimiento de
las instalaciones donde se encuentra ubicado el cuarto de
telecomunicaciones?
RED
10 ¿Se tienen documentados y/o actualizados los inventarios de activos
físico y lógicos de la red?
ORGANIZACIÓN
11 ¿El número de personas que constituyen actualmente el Área de TI son
suficientes para controlar los diferentes procesos de TI?
12 ¿Existe un plan de capacitación para el personal del Área de TI en

aspectos relacionados con las TIC y procesos de certificación?
13 ¿Están claramente definidas las responsabilidades del recurso humano
para proteger los activos así como la ejecución del proceso de
seguridad?
14 ¿Existen políticas de seguridad actualizadas?
15 ¿Las políticas de seguridad están debidamente socializadas con el
personal de la empresa?
16 ¿Para ser movidos los equipos, software o información fuera de las
instalaciones requiere de una autorización?
5
4
Anexo II
CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y
SALVAGUARDAS
IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS
EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
ITEM VULNERABILIDADES AMENAZAS
Robo de información
El cuarto de telecomunicaciones no está Daños a los equipos
1 protegido del acceso de personas no Intrusión de software malicioso
autorizadas. Manipulación de la
información
No se tiene establecido Controles
Acceso de personal no
2 físicos de acceso al cuarto de
autorizado
telecomunicaciones
No se tiene establecido Controles Acceso de personal no
3
físicos de acceso al área de TI autorizado
Humedad Se genere un corto circuito
Electricidad estática Daños a los equipos
4
Disminuye rendimiento de los
Polvo
equipos
Obstáculo para reaccionar de manera Daño parcial o total de los
eficaz ante incidentes ocasionados equipos
5
Inexistencia de un sistema que reduzca
Perdida de información
el nivel de daño en caso de un incendio
Dificultad para la localización de daños
6 Perdida de información
Interferencias en la transmisión de
datos
5
5
Dificultad para el mantenimiento de la

red
Dificultad para identificar puntos
7 exactos en caso de ocurrir daños en la Paralización de actividades
red
El mantenimiento de los equipos no se
8 Fallos en los equipos
realice en el momento requerido
Disminuye el rendimiento de
9 Acumulación de partículas dañinas los equipos
Se genere un corto circuito
Inventario no tiene la información
10 completa de algunos de los activos Perdida de los activos
informáticos de la empresa
No se cuenta con el personal suficiente Deficiente funcionamiento de
11
para controlar los distintos procesos los procesos de la empresa
No se capacita al personal del área de
TI en tecnologías de la información y la Los procesos de la empresa no
12
comunicación y procesos de se desarrolla eficientemente
certificación
No se tiene establecidas las
Los activos están propensos a
13 responsabilidades del personal para la
sufrir daños
protección de los activos
No se contralan adecuadamente
No están actualizadas las políticas de los distintos sucesos que
14
seguridad afectan los equipos y la
información
No se socializa las políticas de No se protegen los activos de la
15
seguridad con el personal de la empresa información
Extracción de información
Los activos son sacados fácilmente de
16 confidencial
5
6
las instalaciones de la empresa Robo del activo

Anexo III
5
7
AUDITORIA EN SEGURIDAD DE LA INFORMACIÓN
Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013
Empresa:
Funcionario:
Cargo: Fecha:
Norma Sección Puntos a Evaluar SI NO N/A Observaciones

5 POLITICAS DE SEGURIDAD
5,1 Directrices de la Dirección en seguridad de la información
1. ¿La empresa tiene políticas de seguridad
de la información?
2. ¿Las políticas de seguridad de la

Conjunto de políticas para la seguridad información son aprobadas por la
5.1.1 administración?
de la información
información han sido publicadas y
comunicadas adecuadamente a los
empleados?
Revisión de las políticas para la 1. ¿Están las políticas de seguridad de la
5.1.2
seguridad de la información información sujetas a revisión?
2. ¿Regularmente se hacen revisiones de las
políticas de seguridad de la información?
Especifique la periodicidad en la casilla
observaciones.
5
8

información son revisadas cuando las
circunstancias lo amerita?
8 GESTION DE ACTIVOS
8,1 Responsabilidad sobre los Activos
1. ¿Existe un inventario de todos los
activos asociados a las instalaciones de
procesamiento de información?
8.1.1 Inventario de activos.
2. ¿El inventario de activos de información
contiene información precisa y
actualizada?
¿Tienen los activos de la información un
8.1.2 Propiedad de los activos. responsable definido que sea consciente de
sus responsabilidades?
1. ¿Existe una política de uso aceptable para
cada clase o tipo de activos de información?
8.1.3 Uso aceptable de los activos.
2. ¿Están los usuarios conscientes de esta
política antes de su uso?
1. ¿Existe algún proceso para asegurar que
los empleados y los contratistas hagan
devolución de los activos de información de
8.1.4 Devolución de activos.
propiedad de la empresa a la terminación de
su contrato laboral?
8,2 Clasificación de la Información

1. ¿Existe una política que rige la
clasificación de la información?
5
9
8. 2.1 Directrices de clasificación. 2. ¿Existe un proceso por el cual toda la

información se pueda clasificar de manera
adecuada?
1. ¿Existe un proceso o procedimiento que
Etiquetado y manipulado de la garantice el etiquetado y la correcta
8.2.2
información. manipulación de los activos de
información?
1. ¿Existe un procedimiento para el manejo
de cada clasificación de los activos de
información?
8.2.3 Manipulación de activos.
2. ¿Están los usuarios de los activos de
información al tanto de este
procedimiento?
8,3 Manejo de los soportes de almacenamiento
1. ¿Existe alguna política que rige el uso de
los soportes de almacenamiento?
2. ¿Existe algún proceso que diga cómo
utilizar adecuadamente los soportes de
8.3.1 Gestión de soportes extraíbles. almacenamiento?
3. ¿Existen políticas de procesos o
comunicados a los empleados que informe
el uso adecuado de los soportes de
almacenamiento?
1. Existe algún procedimiento formal que
8.3.2 Eliminación de soportes. rija como se debe eliminar los soportes de
almacenamiento?
6
0
1. ¿Existe alguna política documentada y

detallada que defina la forma cómo se debe
transportar los soportes físicos de
almacenamiento?
8.3.3 Soportes físicos en tránsito
2. ¿Están protegidos los soportes de
comunicación contra el acceso no
autorizado, mal uso o perdida durante su
transporte?
11 SEGURIDAD FISICA Y AMBIENTAL

11,1 Áreas Seguras
1. ¿existe un perímetro de seguridad
designado?
11.1.1 Perímetro de seguridad física. 2. ¿Las áreas de información sensible o
críticas se encuentran separadas y
controladas adecuadamente?
1. ¿Las áreas seguras tienen sistemas de
11.1.2 Controles físicos de entrada. control de acceso adecuado para que sólo
personal autorizado ingrese?
1. ¿Tienen las oficinas, despachos e
instalaciones seguridad perimetral?
Seguridad de oficinas, despachos y 2. ¿Realiza procesos de concientización con
11.1.3
recursos. los empleados por mantener la seguridad en
puertas, escritorios,
archivadores, etc., de las oficinas?
6
1
1. ¿Tiene diseños o medidas de protección

Protección contra las amenazas externas física para prevenir desastres naturales,
11.1.4
y ambientales. ataques maliciosos o accidentes de la
empresa?
1. ¿existen áreas seguras?
2. ¿Dónde existen, las áreas seguras
cuentan con políticas y procesos
11.1.5 El trabajo en áreas seguras.
adecuados?
3. ¿Estas políticas y procesos son aplicadas
y supervisadas?
1 ¿Las áreas de acceso público están
separadas de las áreas de carga y descarga?
2 ¿El acceso a estas áreas están
Áreas de acceso público, carga y controladas?
11.1.6
descarga
3 ¿Esta el acceso a las áreas de carga aislado
de las instalaciones de los procesos de
información?
11,2 Seguridad de los Equipos
1 ¿Están los peligros ambientales
identificados y considerados cuando se
Emplazamiento y protección de selecciona la ubicación de los equipos?
11.2.1
equipos. 2 ¿Son los riesgos de acceso no autorizado
o transeúntes considerados al
emplazamiento de equipos?
1. ¿Existe un sistema de UPS o generador
11.2.2 Instalaciones de suministro. de respaldo?
2. ¿Han sido probados en simulacros?
6
2
1. ¿se han realizado evaluaciones de riesgos

sobre la ubicación de los cables de energía y
11.2.3 Seguridad del cableado. telecomunicaciones?
2. ¿Están ubicadas para evitar
interferencias, interceptación o daños?
1. ¿Existe una programación de
11.2.4 Mantenimiento de los equipos.
mantenimiento de equipos?
1 ¿Existe un proceso de control de la salida
de activos fuera de empresa?
Salida de activos fuera de las
11.2.5 2 ¿Se aplica este proceso?
dependencias de la empresa.
3 ¿se realizan controles en sitio?
1 ¿existe una política de seguridad de
Seguridad de los equipos y activos activos fuera de la empresa?
11.2.6 2 ¿estas políticas son del conocimiento de
fuera de las instalaciones.
todos?
1. ¿existe una política que mencione que los
activos de información pueden ser
reutilizados o retirados en forma segura?
Reutilización o retirada segura de
11.2.7 2 ¿Cuándo datos o información es borrada
dispositivos de almacenamiento.
de dispositivos de almacenamiento es
debidamente comprobado antes de su
reutilización o eliminación?
1. ¿La empresa tiene una política en torno a

Equipo informático de usuario
11.2.8 cómo el equipo desatendido se debe
desatendido.
proteger?
6
3
2. ¿Existen controles técnicos para

garantizar que un equipo se ha dejado
inadvertidamente desatendido?
1. ¿Existe una política de puesto de trabajo
Política de puesto de trabajo despejado
11.2.9 despejado y bloqueo de pantalla?
y bloqueo de pantalla
Anexo IV
6
4

Auditoria Interna A Los Activos Físicos Del Área TI en La Universidad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Interna A Los Activos Físicos Del Área TI en La Universidad

Cargado por

Copyright:

Formatos disponibles

AUDITORIA INTERNA A LOS ACTIVOS FÍSICOS DEL ÁREA DE TI

EN LA UNIVERSIDAD COOPERATIVA DE COLOMBIA SEDE

NELSON TOVAR CALLEJAS

UNIVERSIDAD COOPERATIVA DE COLOMBIA

NELSON TOVAR CALLEJAS

Trabajo de seminario de profundización, para optar al título

IVÁN MÉNDEZ ALVARADO

NELLY CLAVIJO BUSTOS

UNIVERSIDAD COOPERATIVA DE COLOMBIA

Capítulo I: Planteamiento Del Problema 10

Descripción Del Problema 10

Formulación Del Problema 11

Capitulo II: Marco De Referencia 15

Capitulo III: Metodología 28

Técnicas De Recolección De Información 29

Capítulo IV: Cronograma De Actividades 30

Capítulo V: Desarrollo Ingenieril 32

Identificación Y Clasificación De Los Activos 32

Determinación De Activos Críticos 34

Identificación De Salvaguardas Existentes Aplicadas A Los

Determinación De Vulnerabilidades Y Amenazas 37

Elaboración Del Checklist En Base A La Norma ISO/IEC

Evaluación De Cumplimiento De Los Controles De La Norma 39

Relación De Fichas De No Conformidades Y Recomendaciones 43

Políticas De Seguridad Para La Universidad Cooperativa De

Tabla I – Norma ISO/IEC 27000 23

Tabla II – Cronograma De Actividades 30

Tabla III – Identificación Y Clasificación De Los Activos 33

Tabla IV – Determinación De Activos Críticos 34

Tabla V - Determinación De Activos Críticos 35

Tabla VI - Determinación De Activos Críticos 35

Tabla VII - Determinación De Activos Críticos 36

Tabla VIII – Determinación De Vulnerabilidades Y Amenazas 37

Tabla IX – Niveles De Madurez 39

Tabla XI - Evaluación De Cumplimiento De Los Controles De La 41

Tabla XII - Relación De Fichas De No Conformidades Y 43

Anexo I - Formato Caracterización De Los Activos 52

Anexo II – Checklist Identificación Del Riesgo De Los Activos 53

Anexo III – Formato De Identificación De Amenazas Y

Anexo IV – Herramienta De Evaluación En Base A La Norma

Este seminario de profundización efectuado en la Universidad Cooperativa de

En este proceso de identificación de riesgos se utilizó el método de

De igual manera, a través de la auditoria se pudo evaluar el grado de

A partir de los resultados obtenidos en el análisis de riesgos y la evaluación

This deepening seminar carried out at the Cooperativa of Colombia University

In this risk identification process, the observation method and information

Similarly, through the audit it was possible to evaluate the degree of

En la actualidad, los activos físicos apoyan en gran medida la actividad

Es por eso, que cada vez existe mayor conciencia y consenso de la

Por ende, la mejor opción es establecer controles de seguridad en base a los

Gestionar adecuadamente la seguridad no solo permite a la universidad dar

Descripción Del Problema

La infraestructura de TI, es parte vital dentro de toda organización, debido a

Teniendo en cuenta la importancia que la información representa para la

Como podemos ver el papel de la seguridad es importante y trascendente

Teniendo como referencia lo mencionado anteriormente y según visitas

Formulación Del Problema

¿Cómo gestionar los activos físicos del área de TI de la universidad para

Actualmente, la seguridad de la información se ha convertido en el mayor

sucesos naturales, accidentales e intencionales a los que están expuestos

Por ello, es fundamental que la universidad realice periódicamente un estudio

Es por eso, que en este proceso se realizará una auditoria en seguridad de la

En base a lo anterior, la Universidad Cooperativa de Colombia Sede Ibagué