Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Directores:
Introducción 9
Justificación 11
Objetivos 13
Alcance 13
Limitaciones 14
Marco Conceptual 15
Marco Legal 15
Marco Teórico 17
Línea De Investigación 28
Conclusiones 47
Recomendaciones 48
Bibliografía 49
Anexos 52
Lista De Tablas
Pág.
Tabla X – Valorización 40
Pág.
Based on the results obtained in the risk analysis and the evaluation of the
controls of ISO/IEC 27002: 2013, the risks will be mitigated and, in turn, their
assets will be properly managed, guaranteeing confidentiality, integrity,
availability, authenticity and traceability
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Introducción
Seminario De Profundización 9
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Capítulo I
Planteamiento Del Problema
para garantizar la operación diaria y para controlar los procesos críticos, los
cuales, hoy en día están optando por hacer uso de estándares de seguridad
de la información articuladas con las TI, según lo demuestra el reporte
entregado por el Instituto de Gobierno de TI (IT Governance Institute – IGTI)
en el Global Status Report on the Governance of Enterprise It (GEIt), en el
cual, se evidencia que la norma ISO 27000 ocupa el segundo lugar con un
21.1% de las normas más utilizadas por las organizaciones. Igualmente,
dentro de este reporte se plantea el aumento en desarrollo de auditorías
relacionadas con la infraestructura de TI.
Justificación
1
Seminario De Profundización
2
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Objetivos
Objetivo General
Objetivos Específicos
Alcance
1
Seminario De Profundización
3
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Limitaciones
1
Seminario De Profundización
4
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Capítulo II
Marco De Referencia
Marco Conceptual
Marco Legal
1
Seminario De Profundización
6
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Marco Teórico
Activos
Son los recursos que forman parte del sistema de la empresa como el
hardware, software, datos, infraestructura y personas. (Mifsud, 2012)
Amenaza
Antivirus
Autenticidad
Ciclo PDCA
1
Seminario De Profundización
8
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Planificar (Plan)
Hacer (Do)
Actuar (Act)
Por último, una vez finalizado el periodo de prueba se deben estudiar los
resultados y compararlos con el funcionamiento de las actividades antes de
haber sido implantada la mejora. Si los resultados son satisfactorios se
implantará la mejora de forma definitiva, y si no lo son habrá que decidir si
realizar cambios para ajustar los resultados o si desecharla. Una vez
1
Seminario De Profundización
9
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Confidencialidad
Datos
Disponibilidad
Hardware
Es la parte que puedes ver del computador, es decir todos los componentes
2
Seminario De Profundización
0
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Información
Integridad
Mantenimiento Correctivo
Mantenimiento Preventivo
2
Seminario De Profundización
1
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Metodología Magerit
Directos
Indirectos
2
Seminario De Profundización
2
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Norma Descripción
2
Seminario De Profundización
3
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
2
Seminario De Profundización
4
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Políticas De Seguridad
Salvaguarda
Seguridad De La Información
2
Seminario De Profundización
5
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Servidor
Software
Software Malicioso
Trazabilidad
2
Seminario De Profundización
6
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Vulnerabilidad
2
Seminario De Profundización
7
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Capítulo III
Metodología
Para la realización de este proyecto se pretende utilizar las dos primeras fases
del ciclo PDCA (Plan-Do-Check-Act) para dar cumplimiento al objetivo
principal que es la auditoria en seguridad. Además, se usará MAGERIT que
es una metodología de análisis y gestión de riesgos de los sistemas de
información elaborada por el Consejo Superior de Administración Electrónica
de España y el modelo SSE-CMM (Systems Security Engineering – Capability
Maturity Model) como parte del desarrollo de la primera etapa del ciclo PDCA,
donde se elabora y aplica los diferentes instrumentos para recopilar la
información, se evalúan los controles de seguridad existentes, y
posteriormente se crean las respectivas medidas de seguridad que permitan
proteger los activos de la Universidad caso de estudio.
Línea De Investigación
2
Seminario De Profundización
8
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
2
Seminario De Profundización
9
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Capítulo IV
Cronograma De Actividades
1 2 3 4 1 2 3 4
Planificar las distintas actividades
1
que permitan realizar el proceso de
auditoría.
Elaborar el instrumento de
4
recolección de la información.
Aplicar el instrumento de
6
recolección de la información.
3
Seminario De Profundización
0
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
3
Seminario De Profundización
1
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Capítulo V
Desarrollo Ingenieril
libro II: Catalogo de Elementos, en este se describen los tipos de activos, las
distintas dimensiones para hacer su respectiva valoración, además, en este
se presenta la clasificación de amenazas y salvaguardas.
Microtik
Parlantes
Pc’s o Estaciones De
Trabajo
Portátiles
Equipamiento Informático (Hardware)
Router’s
Servidores
Switch’s
Tv
Video Proyectores
Móviles
Internet
Red Telefónica
Aire Acondicionado
Equipamiento Auxiliar
Ups’s
3
Seminario De Profundización
3
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
3
Seminario De Profundización
4
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Ítem Descripción
1 Daño Muy bajo
2 Daño Bajo
3 Daño Medio
4 Daño alto
Abreviatura Descripción
C Confidencialidad
I Integridad
D Disponibilidad
A Autenticidad
T Trazabilidad
3
Seminario De Profundización
5
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Tabla VI
C I D A T
Servidor Vigilancia 5 5 5 5 5
Servidor Antivirus 5 5 5 5 5
Servidor Dominio 5 5 5 5 5
Servidor Digiturno 5 5 5 5 5
Servidor Cypecad 5 5 5 5 5
3
Seminario De Profundización
6
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Inexistencia de un
sistema que reduzca el
nivel de daño en caso
de un incendio.
3
Seminario De Profundización
7
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Acumulación de información.
registradas. No se atienda
eficientemente las fallas
reincidentes debido a la
inexistencia de un
registro.
3
Seminario De Profundización
8
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Niveles De Madurez
3
Seminario De Profundización
9
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
planificados, implementados y
repetibles.
Valoración
Porcentaje Escala
0% - 30% Bajo
4
Seminario De Profundización
0
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Tabla X
procesamiento de
información
100%
El inventario de
activos de
información contiene
información
precisa y
Actualizada hasta
4
Seminario De Profundización
1
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
sus
responsabilidades
4
Seminario De Profundización
2
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Gestión De Activos
Descripción De Las No Conformidades
4
Seminario De Profundización
3
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Política De Seguridad
Gestión De Activos
4
Seminario De Profundización
5
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Cumplimiento
Para dar cumplimiento a las políticas de seguridad, hay sanciones que varían
de acuerdo al nivel de afectación que le generen a la universidad, estas
pueden ser amonestaciones escritas, suspensiones, destitución y/o
sanciones de tipo legal que conllevarían al pago de multas hasta de 1.500
salarios mínimos y pena de prisión de hasta 120 meses.
4
Seminario De Profundización
6
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Conclusiones
Así mismo, se observa una adecuada gestión de los activos debido a las
prácticas para su uso adecuado, de igual manera se tienen bien definidas las
responsabilidades del personal sobre ellos, y se tienen establecidos controles
que garanticen su devolución al finalizar el contrato laboral de los funcionarios
o administrativos. Igualmente, que la infraestructura tecnológica de la
universidad es administrada por personal idóneo.
4
Seminario De Profundización
7
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Recomendaciones
Concientizar al personal sobre los distintos riesgos a los que está expuesta la
información de la universidad y enfatizar sobre la importancia que esta
representa para la universidad, exponerles las sanciones que dicta la ley
nacional en relación a la protección de la información, las cuales le pueden
generar a la universidad multas hasta de 2000 salarios mínimos, suspensión
de las actividades referentes al tratamiento de la información por un tiempo
determinado. Además, sanciones para las personas que atenten contra la
confidencialidad, la integridad y la disponibilidad de los datos y de los
sistemas informáticos con multas hasta de 1500 salarios mínimos y pena de
prisión hasta de 120 meses.
4
Seminario De Profundización
8
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Bibliografía
4
Seminario De Profundización
9
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
http://www.informaticamoderna.com/Info_dat.htm
5
Seminario De Profundización
0
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
http://iso27000.es/iso27002_8.html
5
Seminario De Profundización
1
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Anexos
EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
Unidad Responsable Persona Responsable
ITEM Activo Código Descripción Tipo Ubicación Cantidad
Mantiene Explota Responsable Operador
Anexo I
5
Seminario De Profundización
2
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
5
Seminario De Profundización
3
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
b) Extintores
c) Sistema contra incendios
d) Otro (especifíquelo en la casilla de observaciones)
6 ¿El Sistema de Cableado Estructurado está diseñado e instalado
cumpliendo las normas internacionales vigentes?
7 ¿Tienen documentado el diseño de la red?
8 ¿Tienen establecido controles para llevar a cabo el mantenimiento
preventivo y correctivo de los equipos de la empresa?
9 ¿Se tiene establecido controles para llevar a cabo el mantenimiento de
las instalaciones donde se encuentra ubicado el cuarto de
telecomunicaciones?
RED
10 ¿Se tienen documentados y/o actualizados los inventarios de activos
físico y lógicos de la red?
ORGANIZACIÓN
11 ¿El número de personas que constituyen actualmente el Área de TI son
suficientes para controlar los diferentes procesos de TI?
5
Seminario De Profundización
4
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Anexo II
CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y
SALVAGUARDAS
IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS
EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
ITEM VULNERABILIDADES AMENAZAS
Robo de información
El cuarto de telecomunicaciones no está Daños a los equipos
1 protegido del acceso de personas no Intrusión de software malicioso
autorizadas. Manipulación de la
información
No se tiene establecido Controles
Acceso de personal no
2 físicos de acceso al cuarto de
autorizado
telecomunicaciones
No se tiene establecido Controles Acceso de personal no
3
físicos de acceso al área de TI autorizado
Humedad Se genere un corto circuito
Electricidad estática Daños a los equipos
4
Disminuye rendimiento de los
Polvo
equipos
Obstáculo para reaccionar de manera Daño parcial o total de los
eficaz ante incidentes ocasionados equipos
5
Inexistencia de un sistema que reduzca
Perdida de información
el nivel de daño en caso de un incendio
Dificultad para la localización de daños
6 Perdida de información
Interferencias en la transmisión de
datos
5
Seminario De Profundización
5
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
5
Seminario De Profundización
6
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
5
Seminario De Profundización
7
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Empresa:
Funcionario:
Cargo: Fecha:
5
Seminario De Profundización
8
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
5
Seminario De Profundización
9
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
6
Seminario De Profundización
0
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
6
Seminario De Profundización
1
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
6
Seminario De Profundización
2
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
6
Seminario De Profundización
3
Universidad Cooperativa de Colombia Sede Ibagué
Ing. Nelson Tovar Callejas - Codg. 258137
Ing. Alex Fernando Salguero Rodríguez - Codg. 510888
Anexo IV
6
Seminario De Profundización
4