Implementacion Esquemas de Seguridad en Pymes Basados en Software Libre

IMPLEMENTACIÓN DE ESQUEMAS DE SEGURIDAD
EN PYMES BASADOS EN SOFTWARE LIBRE
IVAN ALEXIS ONTIBON ROJAS

EDGAR SOLANO CABARCAS
UNIVERSIDAD PILOTO DE COLOMBIA

DIRECCIÓN DE POSTGRADOS
ESPECIALIZACIÓN SEGURIDAD INFORMÁTICA - V COHORTE
BOGOTÁ – COLOMBIA
2013
IMPLEMENTACIÓN DE ESQUEMAS DE SEGURIDAD
EN PYMES BASADOS EN SOFTWARE LIBRE
IVAN ALEXIS ONTIBON ROJAS

EDGAR SOLANO CABARCAS
Trabajo de grado presentado como requisito para

Optar al título de Especialistas en Seguridad Informática
Asesor,
Ingeniero Cesar Rodríguez
UNIVERSIDAD PILOTO DE COLOMBIA

DIRECCIÓN DE POSTGRADOS
ESPECIALIZACIÓN SEGURIDAD INFORMÁTICA - V COHORTE
BOGOTÁ – COLOMBIA
2013
Notas de Aceptación
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
Firma Presidente del Jurado
______________________________________
Firma del Jurado
_______________________________________
Firma del Jurado
Bogotá, 1 de Marzo 2013

AGRADECIMIENTOS
Agradecemos a todas las personas que han estado juntos a nosotros durante el
desarrollo como profesionales.
A todos los docentes durante el proceso de nuestro ciclo, pues sin su ayuda,
conocimiento y experiencia no hubiéramos podido terminar con éxito y alcanzando
los resultados esperados. Al ingeniero Cesar Rodríguez por sus consejos y apoyo
durante el transcurso del proyecto, que no solo nos guio como especialistas sino
como mejores personas y profesionales, de la misma manera por sus aportes
como docente y persona para el desarrollo de este documento.
A nuestras familias, colegas, amigos y compañeros por el apoyo, acompañamiento

y paciencia, en todo momento.
Para todos Gracias…

CONTENIDO
pág.
1. TÍTULO 15
2. INTRODUCCIÓN 16
3. PLANTEAMIENTO DEL PROBLEMA 17
4. JUSTIFICACIÓN 20
4.1 ¿POR QUE IMPLEMENTAR ESQUEMAS DE SEGURIDAD BASADOS EN SOFTWARE LIBRE? 20

4.2 ¿QUÉ TAN FÁCIL ES IMPLEMENTAR UN SISTEMA DE SEGURIDAD DE LA INFORMACION BASADO
EN SOFTWARE LIBRE? 21
4.3 ¿QUÉ SE DEBE TENER ENCUENTA PARA IMPLEMENTAR ESQUEMAS DE SEGURIDAD BASADOS
EN SOFTWARE LIBRE? 22
5. OBJETIVOS 23
5.1 OBJETIVO GENERAL 23

5.2 OBJETIVOS ESPECÍFICOS 23
6. MARCO TEÓRICO 24
6.1 SOFTWARE LIBRE 24

6.2 SOFTWARE PRIVATIVO 25
6.3 SOFTWARE DE DOMINIO PÚBLICO 26
6.4 SOFTWARE DE LICENCIA PERMISIVA 27
6.5 SOFTWARE BAJO COPYLEFT 27
6.6 SOFTWARE BAJO GPL 28
6.7 SOFTWARE PRIVATIVO 28
6.8 INCIDENTES DE SEGURIDAD 28
6.9 APLICACIÓN DEL SOFTWARE LIBRE EN LAS COMPAÑÍAS 32
7. MARCO HISTÓRICO 33
6
8. DISEÑO METODOLÓGICO 35
8.1 INTRODUCCIÓN 35
8.2 DESCRIPCIÓN DEL ESTUDIO CUANTITAVO 36
8.2.1 Los Estudios Cuantitativos 36
8.2.2 Investigación Analítica 36
8.2.3 Estudio Exploratorio 37
8.3 OBJETOS DE ESTUDIO 38
8.4 INSTRUMENTOS A UTILIZAR Y FUENTES DE DATOS 38
8.4.1 Fuentes de Datos Primarios 39
8.4.2 Fuentes de Datos Secundarios 39
8.5 RECOLECCIÓN DE DATOS 39
8.5.1 Instrumento de Medición 39
8.6 MÉTODOLOGIA DE RECOLECCIÓN DE DATOS 41
8.7 VARIABLES 43
8.7.1 Clases de Variables 43
8.8 SELECCIÓN Y MUESTRA DE LA POBLACIÓN 44
8.8.1 Objeto de Estudio #1 44
9. RESULTADOS OBTENIDOS Y PROCESO DE IMPLEMENTACIÓN 49
10. ANÁLISIS DE DATOS 50
10.1 ENCUESTA: 50
10.1.1 Departamento de Sistemas 50
10.1.2 Infraestructura e Inversión 52
10.1.3 Software Libre 57
10.1.4 Esquemas de Seguridad 62
10.1.5 Incidentes de Seguridad 68
10.2 AUTODIAGNÓSTICO ISO/IEC 27001:2005 74
7
10.2.2 Objeto de Estudio # 2 75
10.3 ANÁLISIS DE RIESGO 78
10.4 PROCESO DE IMPLANTACIÓN DE CONTROLES BASADOS EN SOFTWARE LIBRE. 85
10.4.1 Disminución de Riesgo con Software Libre sin Área de Sistemas Existente 85
10.4.2 Disminución de Riesgo con Software Libre con Área de Sistemas Existente 92
10.5 ANÁLISIS DE DATOS POST-IMPLEMENTACIÓN DE CONTROLES 109
10.5.1 Objeto #1 109
10.5.2 Objeto #2 110
10.5.3 Objeto #3 111
10.5.4 Objeto #4 112
10.6 BENEFICIOS POR EMPRESA 114
10.7 ENCUESTA DE SATISFACCIÓN 118
10.8 GRAFICAS RESUMEN GERENCIAL SOBRE SATISFACCIÓN 124
11 LISTADO DE SOFTWARE LIBRE 135
11.1 FIREWALL LIBRES PARA PYMES 135

11.1.1 Endian 135
11.1.2 ClearOS 135
11.1.3 Zentyal 136
11.2 DISPOSITIVOS DE ALMACENAMIENTO (NAS) 136
11.2.1 OpenFiler 136
11.2.2 FreeNas 137
11.3 BASES DE DATOS 137
11.3.1 MySql 137
11.3.2 PostgreSQL 138
11.3.3 MariaDB 138
11.4 TELEFONÍA 139
8
11.4.1 Asterisk 139
11.4.2 Elastix 139
11.5 MONITOREO DE REDES 140
11.5.2 Ossim 140
11.5.3 Nagios 141
11.6 INVENTARIO DE ACTIVOS 141
11.6.1 Glpi 141
11.6.2 KmKey 142
11.6.3 GenOs 142
12. RESULTADOS Y CONCLUSIONES 144
12.1 BENEFICIOS OBTENIDOS 144

12.2 EFECTIVIDAD DEL SOFTWARE LIBRE 145
12.3 RIESGOS Y VULNERABILIDADES 145
12.4 ¡LO IMPORTANTE NO ES EL SOFTWARE ES EL CONOCIMIENTO! 146
13. TERMINOS Y DEFINICIONES 148
BIBLIOGRAFIA 159
9
ÍNDICE DE FIGURAS
Figura 1. Categorías de software libre 26

Figura 2. Encuesta incidentes 29
Figura 3. ¿Cuenta con departamento de sistemas? 51
Figura 4. Si la respuesta en el ítem 1 fue no seleccione la razón por la cual no cuenta con
departamento de sistemas. 51
Figura 5. ¿La persona encargada de los sistemas es? 52
Figura 6. ¿Cuenta con servidor corporativo? 53
Figura 7. Si la respuesta en el ítem 4 fue no seleccione la razón por la cual no cuenta con
equipo servidor. 54
Figura 8. ¿Qué sistema operativo tiene en el servidor? 54
Figura 9. ¿Qué sistema operativo maneja para las estaciones cliente? 55
Figura 10. ¿Que software de ofimática utiliza? 55
Figura 11. ¿Que software utiliza para comprimir archivos? 56
Figura 12. ¿Cuántas estaciones de trabajo poseen su empresa en la actualidad? 56
Figura 13. ¿Cuánto es promedio de inversión en tecnología que realiza anualmente? 57
Figura 14. ¿Sabe que es el software libre? 58
Figura 15. ¿Usan software libre en la organización? 58
Figura 16. ¿Cuál es el motivo para no evaluar la opción de software libre en la
organización? (puede seleccionar máximo 3 opciones) 59
Figura 17. ¿Experiencia en la adopción de software libre? 60
Figura 18. De las siguientes ventajas que proporciona el software libre, señale las que
considere más interesantes: (puede seleccionar varias opciones) 61
Figura 19. ¿Estaría dispuesto a probar una aplicación libre como alternativa a la privativa
que usa? 62
Figura 20. ¿Maneja usted una política de seguridad informática? 63
Figura 21. ¿Controla de alguna manera los inventarios de equipos tecnológicos? 64
Figura 22. ¿Cuenta con antivirus? 64
Figura 23. ¿Existe alguna plataforma que administre la seguridad de red? 65
Figura 24. ¿Existe alguna plataforma que administre la seguridad de red? 66
Figura 25. ¿Cuenta con esquemas de seguridad física? 66
Figura 26. ¿Cuenta con software que administre y gestione RRHH? 67
Figura 27. ¿Cuenta con software que administre y gestione la información y la gestión
empresarial? 67
Figura 28. ¿Sabe que es un incidente de seguridad? 68
Figura 29. ¿Documenta los procedimientos correspondientes al servicio del departamento
de sistemas? 69
Figura 30. ¿Cuál de los siguientes es el incidente más recurrente? 70
Figura 31. ¿Cuál es la consecuencia más recurrente por los incidentes presentados? 71
Figura 32. ¿Son documentados los incidentes de seguridad? 72
10
Figura 33. ¿Se le realiza seguimiento a los incidentes de seguridad? 72
Figura 34. ¿Se tiene registro de los incidentes de seguridad? 73
Figura 35. De acuerdo a los incidentes descritos en el punto 3 de esta sección, ¿cuantos
incidentes de seguridad ha tenido en el último año? 74
Figura 36. Autodiagnóstico general #1 75
Figura 40. Análisis de factores de riesgo objeto #1 81
Figura 44. Asignación dinámica de direcciones ip 94
Figura 45. Direccionamiento interno hacia servidores de la empresa 94
Figura 46. Proxy para navegación de usuarios 94
Figura 47. Implementación de conexiones remotas de usuarios 95
Figura 48. Directorio de carpetas compartidas con samba 96
Figura 49. Estadística rendimiento de red 97
Figura 50. Herramientas administración de red 97
Figura 51. Esquema estructura de red 102
Figura 52. Openvpn 103
Figura 53. Diagrama DMZ 105
Figura 54. Squid 106
Figura 55. Controles de acceso 107
Figura 56. Interfaz GLPI 108
Figura 57. Interfaz GLPI (continuación) 109
Figura 58. Autodiagnóstico general post-implementación 110
Figura 59. Autodiagnóstico general post-implementación #2 111
Figura 62. ¿Cree usted que el servicio de internet ha mejorado? (1 = muy pobre 5 =
excelente) 118
Figura 63. ¿Cree usted que mejoro el acceso a la información en la red local? (1 = muy
pobre 5 = excelente) 119
Figura 64. ¿Considera seguro el almacenamiento de los archivos en el servidor? (1 = muy
pobre 5 = excelente) 119
Figura 65. ¿La plataforma de reporte de incidentes técnicos es fácil de manejar (GLPI) (si
aplica)? (1 = muy pobre 5 = excelente) 120
Figura 66. ¿La gestión del servicio de sistemas ha mejorado? (1 = muy pobre 5 =
excelente) 120
Figura 67. ¿Ha experimentado perdida de información? 121
Figura 68. ¿Ha evidenciado eventos atípicos en la maquina (virus)? 122
11
Figura 69. ¿Ha experimentado caídas de internet? 122
Figura 70. ¿Considera que los cambios realizados fueron funcionales para la compañía?
123
Figura 71. Resultado Satisfacción Empresa 1 125
Figura 72. Resultado Satisfacción Empresa 1 (continuación) 126
Figura 79. Resultado General de satisfacción 133
Figura 80. Resultado General de Satisfacción (continuación) 134
12
ÍNDICE DE TABLAS
Tabla 1. Inversión en hardware 87

Tabla 2. Comparación inversión entre software privativo y libre 88
Tabla 3. Comparación en costos de implementación entre software privativo y libre 88
Tabla 4. Inversión en hardware 91
Tabla 5. Comparación inversión entre software privativo y libre 91
Tabla 6. Comparación en costos de implementación entre software privativo y libre 91
Tabla 7. Reducción de los costos de implementación 98
Tabla 8. Relación de costos internet mensual 99
Tabla 9. Costos nueva implementación 104
Tabla 10. Reducción de costos con la nueva implementación 105
Tabla 11. Beneficios empresa #1 114
Tabla 15. Resultado satisfacción empresa 1 124
Tabla 16. Resultado satisfacción empresa 1 (continuación) 125
Tabla 23. Resultado general de satisfacción 133
Tabla 24. Resultado general de satisfacción (continuación) 134
13
ÍNDICE DE ANEXOS
Pág.
Ver Anexo A. Modelo de Encuesta Aplicada .................................................................. 165

Ver Anexo B. Escala de Medición de Controles ISO/IEC 27001:2005. .......................... 171
Ver Anexo C. Matriz de Riesgo. ................................................................................... 1741
Ver Anexo D. Encuesta Satisfacción.............................................................................. 175
Ver Anexo E. Autodiagnóstico #1 ................................................................................ 1775
Ver Anexo F. Autodiagnóstico #2................................................................................... 180
Ver Anexo G. Autodiagnóstico #3 .................................................................................. 183
Ver Anexo H. Autodiagnóstico #4 .................................................................................. 186
Ver Anexo I. Matriz de Riesgo Objeto #1 ....................................................................... 189
Ver Anexo J. Matriz de Riesgo Objeto #2 ...................................................................... 190
Ver Anexo K. Matriz de Riesgo Objeto #3 ...................................................................... 191
Ver Anexo L. Matriz de Riesgo Objeto #4 ...................................................................... 192
Ver Anexo M. Autodiagnóstico objeto #1 post-implementación ...................................... 193
Ver Anexo N. Autodiagnóstico objeto #2 post-implementación ...................................... 196
Ver Anexo O. Autodiagnóstico objeto #3 post-implementación ...................................... 196
Ver Anexo P. Autodiagnóstico objeto #4 post-implementación ...................................... 202
14
1. TÍTULO
Implementación de esquemas de seguridad en pymes basados en software libre.
15
2. INTRODUCCIÓN
La seguridad informática, es un tema que crece de forma acelerada en el mundo,

debido al incremento de sistemas computacionales y distribuidos que cada día
toman más fuerza a nivel empresarial, transacciones, redes complejas y
distribución de sucursales en diferentes ciudades y hasta países, hacen de este
tema una necesidad.
Entidades expertas en el campo de la tecnología y seguridad de la información

han generado reglamentos, modelos de aseguramiento y gestión del riesgo en la
información con base en normas y protocolos existentes, para poder mantener la
disponibilidad, confidencialidad e integridad de los datos que a diario viajan por las
redes ya sean locales o externas.
En Colombia es un tema que está tomando fuerza en la actualidad, los ingenieros

se preparan para la lucha constante frente a todos los inconvenientes que implica
tener conexiones remotas o vpn’s entre sus sucursales o con el simple hecho de
tener una conectividad de internet se generan riesgos que deben ser mitigados,
pero como tal estos no son los únicos problemas, también se cuentan con riesgos
a nivel de infraestructura, personal, legal, software, etc.1., ampliando el margen de
riesgos para la información en las compañías.
Las grandes compañías por reglamentación o por sentido común realizan

esfuerzos para mitigar al máximo estos riesgos a los que están expuestos
aplicando controles, evaluando constantemente sus aplicativos, realizando
jornadas de pruebas y capacitando a los componentes de su grupo de trabajo
generando conciencia para disminuir el nivel de riesgo tanto como sea posible.
1
ISO/IEC 27001:2005 Information technology
16
3. PLANTEAMIENTO DEL PROBLEMA
¿Qué beneficios se obtienen con la implementación de esquemas de seguridad

basados en software libre vs el software privativo?
A través de los años se ha sostenido la infraestructura tecnológica solo con fines

de prestar y mantener un servicio a usuarios dando el mejor soporte a ellos, pero
realmente los intentos realizados por conservar el mismo modelo, ya no son lo
suficientemente amplios para almacenar y preservar de forma segura la
información, pues los riesgos se han incrementado de manera exponencial2,
evolucionando conforme con la tecnología y nuevas herramienta existentes.
Es ideal la implementación de nuevos esquemas de seguridad, pues el activo más

importante en toda entidad es la información y las consecuencias de algún
3
incidente de seguridad pueden conllevar a tener grandes pérdidas, que a su vez
en la mayoría de los casos su impacto se verá reflejado en el factor económico.
En los principios básicos de un sistema de seguridad se encuentran algunos

parámetros esenciales a tener en cuenta:
¿Cuáles son las debilidades del sistema informático a proteger?

¿Cómo se deben resguardar los datos?
¿Los controles son los adecuados?
Son algunas preguntas que debes ser resueltas por la alta gerencia y el
encargado del área de sistemas, aunque es un trabajo en equipo y todas las áreas
deben estar involucradas, son los responsables directos por el análisis, evaluación
2
Tomado del artículo “5 cifras espeluznantes de la inseguridad informática” Disponible en internet:
http://www.enter.co/seguridad/5-cifras-espeluznantes-de-la-inseguridad-informatica-disi-2010/
3 Tomado del artículo “Consecuencias derivadas de los incidentes de seguridad” Disponible en internet:
http://www.inteco.es/indicators/Segurtasuna/Behatokia/Adierazleak/Indicador_INT164
17
y creación de lo referente a la parte de seguridad, es en este caso donde se
plantean algunos interrogantes:
¿Qué riesgos existen?

¿Qué herramientas son necesarias para la mitigación de esos riesgos?
¿Cuánto cuesta disminuir el riesgo?
Son algunos cuestionamientos que se presentan en las compañías en el momento

de pensar en seguridad de la información; pues la implementación de esquemas
de seguridad puede tener un costo elevado dependiendo de los componentes a
utilizar; es aquí donde interviene de forma significativa el uso del software libre
pues existen plataformas para la adecuada gestión y aseguramiento de la
información como alternativa a ser utilizadas, realizando pequeñas inversiones y
obteniendo excelentes resultados a nivel de seguridad. Caso contrario ocurre con
el software privativo pues aunque maneja niveles altos de seguridad el costo
puede ser elevado y hasta puede sobre pasar el costo del activo a proteger.
Independientemente del sistema a implementar (software libre o privativo) existen

factores a tener en cuenta en el momento de tomar la decisión sobre que controles
aplicar, algunos de ellos son:
Costo.
Efectividad.
Capacitación.
Documentación existente.
Casos de éxito.
Inversión adicional en herramientas y equipos.
Aprovechamiento de la infraestructura existente.
Administración de las herramientas a utilizar.
Tiempo de implementación.
Soporte.
18
Actualizaciones disponibles.
Son algunos elementos a tener en cuenta para realizar la implementación, pero

sobre todo es importante tener un panorama de riesgos creado, porque indiferente
a la herramienta que se utilice bien sea privativo o libre el control puede o no ser
eficaz si no es aplicado según las necesidades corporativas.
19
4. JUSTIFICACIÓN
En la actualidad la seguridad en la información, es uno de los factores para

mantener una sostenibilidad corporativa. En Colombia, es un tema que crece
conforme con el paso del tiempo y nuevas herramientas tecnológicas existentes 4,
por ello la inversión que se debe realizar en el mejoramiento de la infraestructura
tecnológica debe ser ideal y acorde a esta evolución, debido a que el costo en la
mayoría de los casos es elevado y fuera del alcance para algunas entidades, se
decide aceptar el riesgo y no realizar inversión pues el capital disponible para una
cantidad de implementaciones basadas en herramientas privativas puede estar
fuera del alcance para un gran número de entidades, generando como
consecuencia la debilidad en sus esquemas de seguridad y aceptación del riesgo
a un nivel muy alto.
4.1 ¿POR QUE IMPLEMENTAR ESQUEMAS DE SEGURIDAD BASADOS

EN SOFTWARE LIBRE?
En los esquemas de red existen varios implementos necesarios para el

funcionamiento y distribución de los servicios de internet a los usuarios, hace
algunos años esto era lo único que interesaba, pero en la actualidad y con base en
la evolución tecnológica se han generado nuevas herramientas para mantener los
parámetros ideales de seguridad: disponibilidad, integridad y confidencialidad.
En la distribución de las redes se generaron controladores de dominio,

llevándonos a mantener y agilizar más el proceso y gestión de usuarios, a nivel
comercial se reconoce una marca la cual contiene esta herramienta, pero a su vez
4
Articulo IV Encuesta Latino Americana de Seguridad de la Información 2012 Disponible en internet::
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/PresentacionJeimyCano-
IVELSI.pdf
20
su costo es elevado y debe ser cancelado de forma anual, lo que para cualquier
empresa será un valor que debe ser incluido en su presupuesto y si a esto se le
agrega costo por licencias de ofimática en estaciones cliente, antivirus y
plataformas adicionales finalmente se ve reflejado de manera significativa en el
capital empresarial; Por tal razón en la actualidad existen herramientas que con un
estado óptimo de configuración mitiga el riesgo, genera servicios iguales y con un
costo reducido5.
4.2 ¿QUÉ TAN FÁCIL ES IMPLEMENTAR UN SISTEMA DE SEGURIDAD

DE LA INFORMACION BASADO EN SOFTWARE LIBRE?
Las complicaciones existentes en la actualidad se basan básicamente en la falta

de recursos físicos o tecnológicos, capacitación en el personal encargado y
desconocimiento de las herramientas libres existentes y en general con temas
relacionados a todo lo que conlleva esta clase de implementación en una
compañía.6
La implementación de esquemas de seguridad basados en software libre requiere

como en todo proceso de implementación un experto en la materia o sobre la
herramienta a utilizar. Para estas evoluciones corporativas siempre se deberá
disponer de un capital a invertir. En el caso del software libre será mucho más
reducida en comparación a otra clase de soluciones, sin embargo pueden surgir
gastos inesperados no solo en infraestructura también en recurso humano ya que
es un factor fundamental a la hora de obtener resultados satisfactorios, pues el
compromiso, colaboración y dedicación de los miembros del grupo de trabajo debe
ser constante.
5 Portal oficial GNUDisponible en internet:http://www.gnu.org/philosophy/free-sw.es.html

6 Blog seguridad informática Febrero 2010 Disponible en Internet :
http://seguridadinformacioncolombia.blogspot.com/2010/02/experiencia-personal-dificultades-en-la.html
21
Otro de los aspectos importantes que dificulta la implementación es el cambio de
políticas, normas, reglas y procedimientos, pues por lo general existe la resistencia
al cambio.
4.3 ¿QUÉ SE DEBE TENER ENCUENTA PARA IMPLEMENTAR

ESQUEMAS DE SEGURIDAD BASADOS EN SOFTWARE LIBRE?
Para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI)

sobre software libre, es importante mantener un esquema de implementación bajo
parámetros generados a través de metodologías existentes. Como primera medida
es esencial tener claro, que será un sistema constante, es decir, se mantiene en
frecuente retro alimentación y cada tarea realizada será medida y respectivamente
revisada para iniciar tareas nuevas, mejorando de forma continua, para esto se
7
deben considerar algunos parámetros que exige la norma ISO/TEC 27001:2005
para la aplicación, sostenibilidad e implementación; adicionalmente para los
procesos de implantación es ideal basarse en alguna de las metodologías
existentes para la gestión de riesgos (magerit, octave , cobit 8) pues de esta
manera después de verificar y calcular los riesgos existentes se podrá tomar
decisiones respecto a las herramientas necesarias, la inversión económica y las
respectivas implantaciones a realizar sobre un periodo de tiempo específico.
7 Disponible en Internet: http://www.iso27000.es/iso27000.html#section3c

8Metodologías Análisis de Riesgo 2008 Disponible en Internet:
http://secugest.blogspot.com/2008/11/metodologias-de-analisis-de-riesgos.html
22
5. OBJETIVOS
5.1 OBJETIVO GENERAL
Implementar esquemas de seguridad basados en software libre y analizar los

beneficios que se obtienen.
5.2 OBJETIVOS ESPECÍFICOS
Verificar la efectividad de implementar software libre en los procesos de

aseguramiento de información.
Analizar los beneficios obtenidos al implementar esquemas de seguridad de la
información basados en software libre.
Crear listado de herramientas libres disponibles para la implementación de
esquemas de seguridad de la información aplicable como controles según la
norma ISO/IEC 27001:2005
23
6. MARCO TEÓRICO
Es ideal iniciar por determinar la definición concreta de software según el IEEE “la
suma total de los programas de cómputo, procedimientos, reglas,
documentación y datos asociados que forman parte de las operaciones de
un sistema de cómputo.”(IEEEestándar 729)9. Al basarnos en esta definición se
puede inferir que el software es la parte intangible en el funcionamiento de un
sistema computacional.
Al partir del concepto anterior se puede definir las dos clases de software, libre y
propietario.
6.1 SOFTWARE LIBRE
“Significa que el software respeta la libertad de los usuarios y la comunidad.

En términos generales, los usuarios tienen la libertad de copiar, distribuir,
estudiar, modificar y mejorar el software. Con estas libertades, los usuarios
(tanto individualmente como en forma colectiva) controlan el programa y lo
10
que hace” , entonces de acuerdo a la definición se deduce que el software libre
son todas aquellas plataformas que pueden ser descargadas y aplicadas sin
autorización del desarrollador, pues este software es creado por diversos usuarios
que dan aporte de forma voluntaria ya que su código es abierto y está disponible
para realizar las modificaciones que sean consideradas solo con el fin de dar una
mejor calidad en el producto 11.
9IEEE Standard Glossary of Software Engineering Terminology 1990 Disponible en internet:

http://www.idi.ntnu.no/grupper/su/publ/ese/ieee-se-glossary-610.12-1990.pdf pag 66
10 Portal oficial GNUDisponible en internet: http://www.gnu.org/philosophy/free-sw.es.html
11 Stallman, Richard M. Software libre para una sociedad libre. Ed. Traficantes de Sueños. España. 2004.
p.99
24
6.2 SOFTWARE PRIVATIVO
“El Software Privativo es la antítesis del Software Libre, estando su uso,

distribución o modificación prohibidos, o sujetos a los términos que su tipo
de licencia implique. Generalmente estos términos conllevan la prohibición
de acceder al código fuente, con las consecuentes limitaciones en el uso y
para la libertad del usuario”12. Según la definición dada el software privativo es
todo aquel que requiera un pago de licencia por el uso, adicionalmente las
entidades que adquieran esta clase de producto no tendrán accesos a su código
fuente, no podrán realizar instalaciones fuera de lo establecido en contratos
previos realizados en el momento de la adquisición y el soporte será realizado por
consultores autorizados por la entidad distribuidora, al igual que las capacitaciones
a usuarios.
Dadas las anteriores definiciones ahora se debe establecer las diversas clases de
licencias existentes pues por lo general se conocen licencias libres y privadas mas
no su clasificación.
12 Diccionario definiciones Online Disponible en Internet: http://potlatch.wikidot.com/definiciones:software-

privativo
25
Figura1. Categorías de software libre
Fuente:http://www.gnu.org/philosophy/categories.es.html
6.3 SOFTWARE DE DOMINIO PÚBLICO
“ Es la denominación del software que respeta la libertad de los usuarios

sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado,
13
copiado, estudiado, modificado, y redistribuido libremente” . En esta clase
de licencia el usuario podrá hacer uso del software según lo contemple o de
acuerdo a sus necesidades, es muy frecuente ver este caso con distribuciones
13 Enciclopedia online Disponible en Internet: http://es.wikipedia.org/wiki/Software_libre
26
Linux (ubuntu, debían, suse, etc.), así mismo también es aplicable el concepto a
plataformas web (CMS) existentes como lo es el caso de Joomla, Mambo, Drupal.
6.4 SOFTWARE DE LICENCIA PERMISIVA
“Aplicaciones, que deben ser de acceso libre para todos y solamente se protegen
los derechos morales de los autores (por la simple obligación de mantener los
avisos de titularidad: el copyright notice)”14. Este licenciamiento se aplica
básicamente a aplicaciones creadas en ambientes educativos y grupos dedicados
al mejoramiento e implementación de software. En este grupo se encuentran
desde sistemas operativos hasta aplicaciones móviles en la actualidad. Las
modificaciones son aceptadas pero el nombre del autor debe estar presente.
6.5 SOFTWARE BAJO COPYLEFT
“son las que exigen el uso de la misma licencia para cualquier redistribución
del programa y de las modificaciones que se realicen del mismo, así como a
programas que lo utilizan o incorporan (en forma de librerías, etc.).”15este es
un caso puntual, pues sobre esta variedad se implementan diversas distribuciones
las cuales son derivadas de algunas existentes y que deben ser mantenidas en
código abierto para que sean accesadas ya sea por otros usuarios o por el mismo
creador. Estos códigos no pueden ser privatizados, es decir en caso de ser
incluido en plataformas privadas. Esto no implica que no se puedan crear o vender
aplicaciones bajo licencia copyleft.
14 Guía del derecho de software, Cenatic 2009 disponible en internet:http://oca.usal.es/documentos/guia-

juridica-20090701.pdf pg. 22
15Educational Community License Disponible en internet: http://opensource.org/licenses/ecl2.php
27
6.6 SOFTWARE BAJO GPL
“Su propósito es declarar que el software cubierto por esta licencia

es software libre y protegerlo de intentos de apropiación que restrinjan esas
libertades a los usuarios”16. El usuario tendrá la obligación de publicar toda
modificación realizada, sobre la aplicación en la cual desempeñe su labor, es
decir que las modificaciones realizadas en su código fuente, librerías y
compilaciones deberán ser liberadas ya sea como repositorios o nuevas versiones
y a su vez deberá ser publicada bajo la misma licencia (copy left).
6.7 SOFTWARE PRIVATIVO
Esta variedad de software implica que cada una de las aplicaciones que está bajo
esta licencia no será distribuida, modificada o comercializada sin la respectiva
autorización de su autor o la respectiva firma comercializadora del producto, pues
está protegida bajo derechos de autor y cualquier incumplimiento podrá acarrear
acciones legales por parte de su autor1718.
6.8 INCIDENTES DE SEGURIDAD
Se define como “cualquier evento que atente contra la confidencialidad,

integridad y disponibilidad de la información”19. Es decir que se incluye
cualquier clase de riesgo ya sea físico o lógico que afecte los datos corporativos;
16 Portal oficial GNUDisponible en internethttp://www.gnu.org/licenses/agpl-3.0.html

17Artículo “El Derecho de Autor en la Era Digital” 2012 Disponible en Internet:
http://www.iered.org/miembros/ulises/representacion-ideas/Derechos-
Autor/propiedad_intelectual_en_la_legislacin_colombiana.html
18Disponible en Internet: https://www.regmurcia.com/servlet/s.Sl?sit=c,98,m,2141&r=ReP-9899-
DETALLE_REPORTAJES
19
Artículo “¿Que es un incidente Informático?” Disponible en internet: http://www.caescr.com/que-es-un-
incidente-informatico
28
dentro de ellos se encuentran algunas categorías con las que frecuentemente los
departamentos de sistemas y seguridad deben confrontar y a su vez verificar la
forma de mitigar.
La infección por malware es uno de los casos más comunes en Latinoamérica con
un porcentaje aproximado 46.69%, algunos otros con porcentajes menores pero
no menos importantes son:
Figura2.Encuesta incidentes
Fuente:http://seguridad-informacion.blogspot.com/
Esta estadística no indica la falta de recursos de seguridad a nivel corporativo,

solo son datos recolectados que indican las posibles vulnerabilidades que pueden
ser explotadas en las compañías.
En la actualidad para mitigar riesgos es necesario primero conocer y ejecutar un

plan de levantamiento de información para determinar el nivel de exposición en el
29
cual se encuentra la compañía, este levantamiento de información costa de un
estudio basado en alguna metodología de análisis de riesgo corporativo. Existen
metodologías aplicables según el sector (público o privado20).
Es importante que se aplique alguna de las metodologías o algún método de

diagnóstico para verificar el nivel de riesgo con el que se cuenta. Al terminar esta
fase de levantamiento de información inicia la fase de implementación de
controles, es de resaltar que si el análisis de riesgos es superficial la aplicación
de controles no será efectiva pues se dejaran a la deriva vulnerabilidades en los
sistemas; adicional a la metodología y métrica utilizada para la medición se debe
aplicar un estándar para la GENERACION de controles (ISO/IEC 27002:2005) 21
En otros estudios realizados se observa que la materialización de los riesgos en

un porcentaje muy alto (62%) da como resultado la perdida de la productividad y el
22
40% la perdida de datos lo que indica que el resultado puede ser devastador,
pues no solo la seguridad se trata de impedir todo tipo de riesgo o ataque, se trata
también de estar preparados para la recuperación de desastres y mantener la
continuidad del negocio (DRP BCP23) pues se debe contemplar nos solo los
ataques a nivel físico, lógicos, accesos no autorizados o fugas de información sino
también se deben incluir desastres naturales, actos vandálicos, terrorismo, daños
físicos etc.
A través de acontecimientos ocasionados y problemas presentados en otros

países, riesgos detectados, amenazas latentes y bajo nivel de controles se inician
20
Articulo metodologías análisis de riesgo, marzo 2009 Disponible en Internet:
http://seguinfo.wordpress.com/2009/03/05/metodologias-de-analisis-de-riesgo-2/
21
Documento controles ISO/IEC 27002 Disponible en Internet:
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
22
Encuesta “Sobre preparación ante desastres en la PYMES” Symantec, 2012, Disponible en Internet
”http://www.symantec.com/content/es/mx/enterprise/images/theme/smb-disaster-recovery/Reporte-
2012-Disaster-Preparedness-Survey-SPA-LAM.pdf pag 9
23
Artículo “Plan de continuidad de negocios” Junio 2010 Disponible en Internet:
http://seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-continuidad-de-negocios-o.html
30
los procesos de implementación de directrices y políticas de seguridad que
apunten de forma directa al mejoramiento continuo en los sistemas de gestión de
información. En la actualidad es una constante y realidad tener que estar a la
vanguardia con los nuevos esquemas de seguridad para mitigar las amenazas
existentes, con el fin de implementar el instrumento adecuado a las exigencias de
la empresa.
El problema de selección del método adecuado para alcanzar los objetivos

trazados es constante por la variedad y complejidad de cada uno de ellos, de igual
manera se une a este inconveniente la ausencia de capital intelectual para realizar
estas funciones aproximadamente el 28.21%24 de las compañías carecen de este
recurso, falta de presupuesto pues para el año 2009 las empresas en Colombia no
invierten más del 11% de su recurso monetario disponible en esquemas de
seguridad25 y gestión de los riesgos; por lo tanto dadas las condiciones en el
contexto empresarial deben ser adoptadas las políticas, controles y en general
todo lo aplicable, para la mitigación de los riesgos; pero existe la mayor
complicación “la falta de recurso monetario” pues las empresas no realizan
grandes inversiones en esquemas de seguridad tal como se ve en la encuesta
realizada26.
El software libre juega un papel fundamental en los esquemas de aseguramiento

de la información corporativa como estrategia para la reducción de costos pues la
disminución puede llegar al 60% de inversión27.
24
Revista de la Asociación Colombiana de Ingenieros, 2010 Disponible en Internet:
http://www.acis.org.co/fileadmin/Revista_115/investigacion.pdf pag 43
25
26
27
Artículo, Diario el mundo, “El software libre en Colombia”, abril de 2011 Disponible en internet:
http://www.elmundo.com/portal/resultados/detalles/?idx=176377
31
6.9 APLICACIÓN DEL SOFTWARE LIBRE EN LAS COMPAÑÍAS
La variedad en aplicativos libres, pueden ser implementados en cualquier campo

empresarial pues se cuenta con herramientas de toda clase y disponibles para ser
implantadas según sea el caso o necesidad. Entre las distribuciones se pueden
encontrar posibilidades para administración de personal, gestión documental,
seguridad de red, telefonía VOIP, seguridad perimetral, CMS, UTM, controles de
acceso, sistemas de cifrado para mensajes de correo electrónico entre otros. Esta
gran variedad de distribuciones no es nada inferior a los productos existentes
privativos en el mercado, por el contrario de cada una de las categorías
enunciadas existen posibilidades según sea la necesidad.
32
7. MARCO HISTÓRICO
En los últimos tiempos, las compañías a nivel mundial se han venido preocupando
cada vez más en mejorar la calidad de los productos o servicios que ofrecen,
logrando con ello, ser un factor diferenciador en los mercados donde operan y de
la misma manera poder extenderse a otras regiones o países. Es así, que han
desarrollado sistemas de medición para tomar decisiones en sus operaciones y
con ello alcanzar mejoras en costos, tiempos, posicionamiento en el mercado, etc.
Aproximadamente hace 20 años se crean e implementan los conceptos de normas
ISO, el cual da a conocer los requisitos para establecer las mejores prácticas de
aseguramiento de calidad en las organizaciones independiente del tipo de
compañía siendo este un estándar de facto. Con ello, las organizaciones buscan
dar mayor confianza a sus clientes, motivar a su personal, trabajar en equipo,
mejorar la imagen y sobre todo la “mejora continua de las organizaciones y su
permanencia en el tiempo”.
Era normal llegar a cualquier organización y no encontrar documentado los

procesos, procedimientos, fórmulas de negocio. Cada vez que un funcionario era
remplazado transmitir el conocimiento era complicado, ya que se hacía de forma
verbal.
Las aéreas de sistemas, son fundamentales en el desarrollo del negocio, en ellas

se establecen las comunicaciones, se adquieren equipos soporte de la operación,
se desarrolla o implementa el software de acuerdo a las necesidades de la
empresa.
Por otra parte, en los últimos tiempos a nivel global hemos sido testigos de los
incidentes que se han presentado en algunas compañías por daños causados por
desastres naturales. De igual manera, a diario escuchamos o leemos los
inconvenientes que tienen las organizaciones cuando son víctimas de ataques
cibernéticos o peor aún, de robo de información por parte de sus empleados. Y
33
qué decir cuando se presentan fallas de software o hardware en los equipos
principales de las organizaciones y no se cuenta con algún respaldo de
información o de los mismos equipos para poner en funcionamiento el sistema.
Todos estos temas solo se tienen en cuenta cuando se presentan los
inconvenientes, mientras los servicios estén funcionando así sea a media
máquina, los usuarios se olvidan de la importancia de tener planes de
contingencia y pasa a un segundo plano, una vez que se presenta la situación
nuevamente se vuelve una moda en las compañías. Lastimosamente esto es algo
cultural, ya que se convierten en actores reactivos a las cosas y no proactivos a
las mismas.
34
8. DISEÑO METODOLÓGICO
8.1 INTRODUCCIÓN
En este capítulo se pretende dar a conocer la metodología que sustenta este

estudio. A continuación se procederá a definir los diversos componentes y la
metodología a utilizar.
Existen diversas clases de investigación dependiendo de la metodología y de los

objetivos que se deseen alcanzar. La investigación, según lo plantea Sabino
(2000), se define como “un esfuerzo que se emprende para resolver un problema,
claro está, un problema de conocimiento” (p. 47).
Por su lado Cervo y Bervian (1989) la definen como “una actividad encaminada a
la solución de problemas. Su Objetivo consiste en hallar respuesta a preguntas
mediante el empleo de procesos científicos” (p. 41), por lo tanto, la investigación
es un proceso donde se Realizan actividades intelectuales y experimentales de
modo sistemático con el propósito de aumentar los conocimientos sobre una
determinada materia o tema según lo plantea la real academia de la lengua
española28.
28
Diccionario online RAE, Disponible en internet: http://lema.rae.es/drae/?val=investigacion
35
8.2 DESCRIPCIÓN DEL ESTUDIO CUANTITAVO
8.2.1 Los Estudios Cuantitativos
Consiste en conocer mediante la aplicación de herramientas a un grupo objetivo

(encuestas, cuestionario, etc.), la percepción, el conocimiento u opinión de sobre
un tema específico a analizar.
Este estudio se sustenta sobre partes fundamentales en su desarrollo como:

diseño de cuestionarios, procesamiento y análisis de datos obtenidos.
Tal como lo define Edelmira G. La Rosa (1995) “para que exista Metodología
Cuantitativa debe haber claridad entre los elementos de investigación desde
donde se inicia hasta donde termina, el abordaje de los datos es estático, se le
asigna significado numérico”. El objetivo primordial de este estudio es obtener
datos o indicadores que permitan ser analizados para proporcionar una visión
general sobre el tema a investigar, de tal forma con el análisis posterior a la
recolección, permita extraer información necesaria para la generación de nuevo
conocimiento, solución de requerimientos o solo como preámbulo para futuros
estudios.
8.2.2 Investigación Analítica
Permite establecer la comparación de variables entre grupos de estudio sin aplicar

o manipular las variables, para ser analizadas y están ligadas de forma directa con
la proposición de hipótesis que el investigador trata de probar o negar.
36
8.2.3 Estudio Exploratorio
Existen varias clases de investigación, depende del sentido que se le desee dar se
puede clasificar de distintas maneras, Siguiendo la metodología de Hernández,
Fernández y Baptista (2007), hay estudios exploratorios, descriptivos,
correlaciónales y explicativos.
Este es un estudio de clase exploratoria con enfoque cuantitativo, se manejara

una metodología de recolección de datos o componentes sobre diferentes
aspectos que involucran los factores que interactúan con el entorno de los
esquemas de seguridad, aplicando herramientas estándar de diagnóstico según
los controles de la norma ISO/IEC 27001:2005 y una matriz de riesgos genérica.
Al ser una investigación de clase exploratoria indica la poca información existente
sobre la relación de beneficios que se obtienen con la implementación de
esquemas de seguridad basados en software libre, en comparación con el
software propietario es decir, en la actualidad no sean realizado estudios a nivel
empresarial sobre los avances a nivel organizacional y tecnológico, que se pueden
obtener en las empresas a través de la implementación de software libre como
alternativa a implementaciones o solución de requerimientos en un entorno
corporativo.
Tal como es señalado por Hernández, Fernández y Baptista (2007) “está dirigido a
encontrar las causas de los eventos, sucesos y fenómenos físicos o sociales”.
En la actualidad algunas fuentes señalan los niveles de seguridad en aplicaciones

o marcas específicas, pero como tal no dan datos exactos ni comprobables sobre
los beneficios que se obtienen a nivel empresarial con la implementación de
esquemas de seguridad basados en software libre o software privativo.
37
El objetivo del presente estudio es determinar los beneficios que se obtienen a
nivel de aseguramiento con el software libre, aplicado a empresas Colombianas.
8.3 OBJETOS DE ESTUDIO
Las empresas a tener en cuenta para el presente estudio equivalen a cuatro (4),
de diversos sectores productivos en Colombia. La razón principal de las
diferencias de sectores entre las empresas seleccionadas, es ver la aplicabilidad
del software libre indiferente del sector productivo y así mismo observar la similitud
de los incidentes, riesgos y problemas de gestión en un contexto general entre un
sector y otro.
Por lo tanto los datos extraídos será un punto de partida para futuras
implementaciones no solo en las empresas estudiadas sino como punto de
referencia para generar estrategias para impulsar el software libre en los entornos
corporativos en Colombia como alternativa para la gestión y aseguramiento de la
información.
8.4 INSTRUMENTOS A UTILIZARY FUENTES DE DATOS
Para el desarrollo de esta investigación se recolectaran datos por medio de 3

(tres) instrumentos: encuesta, diagnostico de controles basado en la norma
ISO/TEC 27001:2005 y matriz de análisis de riesgo.
38
8.4.1 Fuentes de Datos Primarios
Los datos de fuentes primarias que se obtendrán de esta investigación con la

respectiva aplicación de los instrumentos que se realizarán a miembros del grupo
administrativo sobre cada uno de los objetos de estudio.
8.4.2 Fuentes de Datos Secundarios
Dentro de los datos secundarios se encuentran fuentes bibliográficas y artículos

especializados en el tema de seguridad en la información, implementación de
seguridad en red, seguridad física, administración y gestión de riesgo informático,
normas y demás recursos existentes.
8.5 RECOLECCIÓN DE DATOS
Recolectar los datos implica tres actividades estrechamente vinculadas entre sí:
seleccionar un instrumento de recolección de los datos, aplicar ese instrumento y
preparar observaciones, registros y mediciones obtenidas (Hernández, Fernández
y Baptista, 2007).
8.5.1 Instrumento de Medición
Se aplicaran 4 (cuatro) instrumentos para la recolección de los datos:
39
8.5.1.1Encuesta inicial
Se pretende con esta herramienta determinar:

Promedio de inversión en esquemas de seguridad.
Conocimiento sobre herramientas libres.
Número de incidentes de seguridad aproximado en el año.
Gestión departamento de sistemas
Conocimiento en aseguramiento de la información.
Conocer las preferencias en selección de software
Identificar la causa por la cual existe mayor inclinación por el software
privativo.
Determinar a groso modo las implementaciones existentes relacionadas
con esquemas de seguridad.
Reconocer el proceso de gestión existente en cada una de las muestras, en
lo relacionado con los temas de gestión y aseguramiento de la información.
Ver Anexo A. Modelo de Encuesta Aplicada
8.5.1.2 Diagnostico controles ISO/IEC 27001:2005
El objetivo de esta herramienta es determinar el nivel de controles y

aseguramiento actual de cada uno de las empresas a estudiar. De una manera
porcentual se extraerá información sobre cuales controles podrían aplicar para la
implementación o migración a software libre y determinar que otras soluciones
técnicas operativas o administrativas pueden ser requeridas.
40
Ver Anexo B. Escala de Medición de Controles ISO/IEC 27001:2005.
8.5.1.3 Matriz de Análisis de Riesgos
Es necesario conocer el nivel de riesgo al que está expuesta la entidad antes de la

implementación de alguna herramienta, para así mismo definir el nivel de
aceptación de riesgo con el que desea convivir la entidad.
Ver Anexo C. Matriz de Riesgo.
8.5.1.4 Encuesta Satisfacción
Este instrumento será aplicado en la fase de seguimiento para determinar la

efectividad de los controles aplicados y las opiniones de los usuarios sobre el
funcionamiento de la infraestructura luego de la implementación de los controles
basados en software libre; esta herramienta está dividida en 2 parte. La parte #1
pretende medir la experiencia con los servicios de red y soporte, a su vez la parte
2 mide la satisfacción y la frecuencia de eventos ocurridos sobre virus, caídas de
red y perdida de la información.
Ver Anexo D. Encuesta Satisfacción
8.6 MÉTODOLOGIA DE RECOLECCIÓN DE DATOS
El método que se empleará para llevar a cabo la recolección de datos, se realizara

en 2 (dos) fases
Fase 1: Se aplicará la encuesta y los dos diagnósticos existentes al iniciar

el proceso con cada una de los objetos de estudio.
41
Fase 2: luego de terminado el proceso de implementación se aplicará
nuevamente los dos modelos de diagnóstico (Anexo B y Anexo C) para
determinar el nivel de aseguramiento y riesgo residual. De igual forma se
utilizará una encuesta (Anexo D) para percibir las opiniones de los usuarios
luego de la fase de aplicación de controles.
Al extraer los datos aplicados en estas fases se iniciará la fase de análisis de los
datos recolectados en los procesos desarrollados; así se extraerá información
sobre los resultados obtenidos en el estudio realizado.
La encuesta será aplicada a 1 (una) persona por cada empresa (gerente), si existe
área de sistemas se incluirá y se aplicará al encargado de la misma, de lo
contrario será seleccionado la persona que tenga mayor contacto con tecnología
en el lugar.
Los modelos de diagnóstico se aplicarán luego de la realización de la encuesta,

estos serán aplicados reuniendo al personal que dirija o coordine cada una de las
áreas.
Los datos que se obtendrán por medio de los cuestionarios servirán para medir o
saber si el personal administrativo de la empresa acepta o no y se involucra en un
sistema de planeación de carrera y vida en la organización.
Luego de determinar el porcentaje de controles existentes y la medición de los
riesgos se iniciara el proceso de mitigación por medio de algunas herramientas
basadas en software libre, es clave resaltar que se le realizara el procesos de
instalación y respectivo seguimiento a las herramientas implementadas para
verificar su correcto funcionamiento y así mismo observar los objetos de estudio y
poder contrastar los resultados iniciales con los finales y extraer las posibles
conclusiones de presente estudio.
42
Por último se iniciará el proceso de recolección de datos final a 4 (cuatro) usuarios
por empresa de diversas áreas para observar la opinión sobre las
implementaciones realizadas y así poder determinar si las herramientas fueron
efectivas o no.
De igual forma se realizará un cuadro que resuma las labores adelantadas para
las cuatro empresas analizando los resultados obtenidos en la fase de
levantamiento de información y posterior implementación, que permita extraer la
información correspondiente a resultados sobre los beneficios obtenidos en cada
uno de los procesos de implementación.
8.7 VARIABLES
8.7.1 Clases de Variables
Las variables que serán medidas en el presente estudio las cuales refieren
aspectos necesarios para la mitigación de riesgos son:
1. Nivel de aceptación de riesgo en la población seleccionada.
2. Beneficios que se obtienen con la implementación y aseguramiento basado
en herramientas libres.
3. Establecer un comparativo de los costos de implementación en las
empresas estudiadas, entre software propietario y software libre
4. Mitigar riesgos mediante la implementación de controles basados en
software libre para las empresas de estudio.
Luego de determinar de forma concreta las variables de estudio y el objetivo de la

realización del análisis se pretende establecer los niveles de seguridad que se
obtienen, los beneficios (económicos, tiempo, recursos) y el promedio de inversión
con esquemas de aseguramiento sobre software libre.
43
8.8 SELECCIÓN Y MUESTRA DE LA POBLACIÓN
Las organizaciones a investigar pertenecen a diversos sectores empresariales en

Colombia, diversidad en tamaño de población, infraestructura física, tecnológica y
recursos económicos.
8.8.1 Objeto de Estudio #1
Pertenece al sector educativo, con aproximadamente 47 años de historia, ubicado

en la ciudad de Bogotá cuenta con más de 1600 personas distribuidas entre
estudiantes, docentes y personal administrativo.
A través de los años ha mantenido su infraestructura tecnológica sobre un sistema

operativo privativo al igual que sus estaciones cliente.
8.8.1.1 Características de infraestructura tecnológica.
Sin servidor no cuentan con sistema de DNS, DHCP, AD, GPO’s; se mantiene la
información de los estudiantes, docentes y administración en cada una de las
estaciones, adicional posee software en que registra y se mantienen transacciones
administrativas de los estudiantes, desarrollado con Foxpro instalado en una
maquina cliente que hace las veces de equipo central para el acceso a esta
aplicación.
Actualmente dispone de 95 estaciones cliente, con servicio wifi abierto para

estudiantes y usuarios visitantes todos sobre la misma red; los sistemas de
inventarios y documentación de personal solo están soportados de modo físico, no
se cuenta con servicios de seguridad lógica (FIREWALL, IDS, IPS, PROXY),
antivirus de uso privativo, no cuentan CCTV, personal de seguridad 1, cableado
44
estructurado sin marcar y sin canaleta; no existe documentación sobre políticas de
seguridad, registros de Backus ni carpetas de registro de incidentes sobre los
equipos y red.
Está ubicada en el sector de diseño, publicidad y medios impresos a gran escala,

ubicado en la ciudad de Bogotá cuenta con un número aproximado de 50
trabajadores incluyendo planta de pre-ofset y post-ofset. Su personal
administrativo está distribuido entre diseñadores, publicistas, administradores de
empresa, asistentes contables y administrativas.
Esta empresa fue creada en el año 2001 aproximadamente, ha mantenido su

infraestructura tecnológica, sin servidores y esquemas de seguridad de red sobre
sistemas operativos privativos sin licenciamiento.
8.8.2.1 Características de infraestructura tecnológica
No se cuenta con servidor, el direccionamiento de red, es dado por el dispositivo

del ISP, generando intermitencia en la señal, baja cobertura y ausencia de
seguridad en la red.
Actualmente dispone de 35 estaciones cliente, con servicio wifi protegido con

sistema de cifrado WPA para el personal y usuarios visitantes todos sobre la
misma red; no se cuenta con sistemas de inventarios, la documentación de
personal solo está soportada de modo físico, no se cuenta con servicios de
seguridad lógica (FIREWALL, IDS, IPS, PROXY), antivirus de uso privativo sin
licencia, sin CCTV ni personal de seguridad, no cuentan con personal competente
ni capacitado para la estructuración del departamento de sistemas lo cual da como
45
resultado ausencia total de documentación sobre políticas de seguridad, registros
de backup, carpetas de registro de incidentes sobre los equipos y red y
aplicaciones adicionales en tecnología.
Pertenece al sector del transporte logístico, ejerciendo su labor en el transporte

masivo de líquidos, sólidos y carga seca; ubicado en la ciudad de Bogotá cuenta
con un número aproximado de 150 trabajadores incluyendo operarios logísticos y
zona de carga. Su personal administrativo está distribuido entre, administradores
de empresa, ingenieros industriales, técnicos en sistemas, asistentes contables y
administrativas.

infraestructura tecnológica, sin servidores y esquemas de seguridad de red sobre
sistemas operativos privativos sin licenciamiento.
No se cuenta con servidor, el direccionamiento de red es dado por el dispositivo

del ISP y ausencia de seguridad en la red.

sistema de cifrado WPA para usuarios y visitantes todos sobre la misma red; no se
cuenta con sistemas de inventarios, la documentación de personal solo está
soportada de modo físico, no se cuenta con servicios de seguridad lógica
(FIREWALL, IDS, IPS, PROXY), antivirus de uso privativo no licenciado, sin
CCTV, 3 (tres) personas a cargo de la seguridad física con turnos rotativos de 8
horas, personal técnico a cargo del soporte de los equipos y del funcionamiento de
46
la red, sin conocimiento estructurado sobre gestión del departamento de sistemas
lo cual da como resultado ausencia total de documentación sobre políticas de
seguridad, registros de backup, carpetas de registro de incidentes sobre los
equipos y red y aplicaciones adicionales en tecnología.
Pertenece al sector logístico de transporte, almacenamiento y acondicionamiento

de mercancías del sector farmacéutico; ubicado en la ciudad de Bogotá cuenta
con un número aproximado de 2000 trabajadores incluyendo operarios logísticos y
zona de carga. Su personal administrativo está distribuido entre, administradores
de empresa, ingenieros industriales, ingenieros de sistemas, asistentes contables
y administrativas, químicos farmacéuticos, ingenieros logísticos entre otros.
infraestructura tecnológica, con servidores y esquemas de seguridad de red sobre
sistemas operativos privativos licenciados.
Se cuenta con servidores, AD y DNS, Bases de datos, Seguridad de red,

Comunicaciones, CCTV, el direccionamiento de red es estático dado por el
administrador de red.
sistema de cifrado WPA2 para usuarios, no se cuenta con servicio para visitantes;
no existe sistemas de inventarios, la documentación de personal solo está
soportada de modo físico, se cuenta con una estructura de personal con
conocimiento sobre gestión del departamento de sistemas lo cual da como
47
resultado la implementación y estructuración de modelos de aseguramiento de la
información e infraestructura.
48
9. RESULTADOS OBTENIDOS Y PROCESO DE IMPLEMENTACIÓN
Luego de la aplicación de las herramientas y respectivo análisis de los datos

recolectados, se realizaron algunas propuestas a los encargados de la toma de
decisiones en las empresas para la respectiva mitigación de algunos riesgos
existentes, con soluciones basadas en software libre y de igual manera dar inicio
en las entidades a un proceso de gestión informática adecuado. Es clave resaltar
que las ofertas fueron recibidas con un poco de desconfianza por 3 (tres) de los 4
(cuatro) objetos de estudio pues no estaban muy convencidos en su momento
sobre la posible efectividad y aplicabilidad del software libre en sus empresas.
49
10. ANÁLISIS DE DATOS
10.1 ENCUESTA:
La resultante en el análisis de datos fue satisfactoria pues los objetivos planteados

fueron alcanzados, en este caso se pretendía determinar algunos aspectos sobre
conocimiento, aseguramiento y gestión básicamente.
Si bien es cierto que las muestras fueron de diversos sectores de la economía

Colombiana, la falta de inversión, de conocimiento, gestión e indiferencia con los
temas correspondientes a tecnología son algunos de los puntos reflejados en la
primera fase de recolección de datos.
10.1.1 Departamento de Sistemas
Como se puede observar en la muestra, el 50 % de los datos recolectados indican

que en las empresas no existe área de sistemas (Figura 3), esto quizá no es un
tema económico, por lo pronto se asume como un tema de falta de necesidad o de
interés, pues independiente del número de usuarios es importante crear la
conciencia sobre un adecuado servicio procurando calidad en el mismo. En la
Figura 4 ratifica que ni el recurso económico o físico son los factores que no
permiten la incursión de un departamento de sistemas simplemente es falta de
evaluación o decisión tal como lo representa la Figura 4, de igual forma se
representa otro fenómeno en la muestra adquirida reafirmado la teoría planteada
párrafos atrás, “falta de interés” pues si el recurso monetario no es una limitante,
sería adecuado tener personal idóneo en el cargo para que dé realice las
operaciones de forma correcta o que por lo menos preste un servicio de forma
adecuada pues tal como lo indica la Figura 5 se ve que el 75% de la muestra no
50
cuenta con un ingeniero de sistemas al frente de su tecnología y el 25% no
cuenta con persona alguna que realice el soporte o que asuma el roll de líder en
tecnología.
Figura3. ¿Cuenta con departamento de sistemas?
Si No
50% 50%
Fuente: Los autores
Figura4.Si la respuesta en el ítem 1 fue no seleccione la razón por la cual no cuenta con departamento
de sistemas.
2
0% 0%
a) Recurso económico
25% b) Recursos físicos
c) Se ha evaluado y
50%
descartado
d) Se ha evaluado y hay
25% planes de introducirlo
e) N/a
Fuente: Los autores
51
Figura5. ¿La persona encargada de los sistemas es?
25% 25%
a) Ingeniero de sistemas.
b) Tecnólogo en sistemas.
c) Técnico en sistemas.
d) Ninguno
25% 25%
Fuente: Los autores
10.1.2 Infraestructura e Inversión
Se observa claramente que el 50% de la muestra recolectada (figura 6) indica que

no cuentan con un servidor empresarial, lo cual valida la teoría sobre la necesidad
de contar con personal idóneo en las empresas, pues serian recomendaciones
necesarias para iniciar con un proceso de aseguramiento y gestión de la
información, adicional a esto se observa que la tendencia indica que están en
proceso de evaluación para dar inicio a esquemas de mejoramiento informático
(Figura 7) tal vez lo único necesario seria contar con la correcta asesoría para
proceder a implementar herramientas, controles y protocolos para el mejoramiento
a nivel informático. Otro de los factores interesantes observados, es que las
empresas que cuentan con un esquema de cliente-servidor es trabajado bajo
software privativo (figura 8), a su vez se demuestra la preferencia en la adquisición
o instalación de herramientas privativas para la gestión empresarial en cuanto a
sistemas operativos de equipos cliente, ofimática y sistemas de compresión de
archivos (figuras 8, 9, 10, 11). Se recolecto información sobre estas plataformas
52
pues son las herramientas básicas más utilizadas en todo negocio para el
procesamiento de información, pero en conjunto con la pregunta 10 de la
encuesta permite generar una reflexión sobre uso de software legal en cada uno
de los sitios encuestados; tal como lo indica en el punto 10 del instrumento #1 el
número de estaciones cliente está en un rango alto y si a esto lo contrastamos con
el ítem 11 de la herramienta aplicada dará como resultado la falta de
licenciamiento sobre el software utilizado (figuras 12 y 13) este planteamiento está
basado en la poca inversión que realizan anualmente en inversión en cuanto a
tecnología se refiere.
Figura 6. ¿Cuenta con servidor corporativo?
4.
Si
50% 50%
No
Fuente: Los autores
53
Figura 7. Si la respuesta en el ítem 4 fue no seleccione la razón por la cual no cuenta con equipo
servidor.
5.
0% 0% a) Recurso económico
b) Recursos físicos
c) Se ha evaluado y
50% 50%
descartado
d) Se ha evaluado y hay
planes de introducirlo
e) N/a
Fuente: Los autores
Figura 8. ¿Qué sistema operativo tiene en el servidor?
6.
a) Windows server
(2003, 2008 o 2008 R2).
b) Linux
c) Unix
50% 50%
d) Os
e) Ninguno.
0% 0% 0%
Fuente: Los autores
54
Figura 9. ¿Qué sistema operativo maneja para las estaciones cliente?
7.
0%
0% 0%
a) Windows
(Xp, Vista, 7).
b) Linux.
c) Os.
d) Otro
100%
Fuente: Los autores
Figura 10. ¿Que software de ofimática utiliza?
8.
0%0%
0%
a) Microsoft Office 2003

o anterior
b) Microsoft Office 2007
o 2010
c) OpenOffice
d) Ninguno
100%
Fuente: Los autores
55
Figura 11. ¿Que software utiliza para comprimir archivos?
9.
0% 0% 0%
a) Winzip
b) 7zip
c) WinRAR
d) Ninguno
100%
Fuente: Los autores
Figura 12. ¿Cuántas estaciones de trabajo poseen su empresa en la actualidad?
10.
0%
25%
a) 30 - 40
b) 41 - 50
50%
c) 51 - 60
d) 61 o más
25%
Fuente: Los autores
56
Figura 13. ¿Cuánto es promedio de inversión en tecnología que realiza anualmente?
11
0% 0%
a) Entre 1'000.000 y
25% 2'000.000
b) 2'000.000 y
5'000.000
c) 5'000.000 y
10'000.000
75% d) Más de 10'000.000
Fuente: Los autores
10.1.3Software Libre
Luego de reconocer la infraestructura tecnológica de los objetos de estudio, se

analiza el conocimiento y uso de las herramientas libres. Como primera instancia
se detecta que el 50% de la muestra no conoce que es el software libre (figura 14)
siendo uno de los factores determinantes por la tendencia y preferencia al
software privativo de igual forma se visualiza que del 50% que conoce el software
libre no lo implementa en su compañía (figura 15) posiblemente por alguna
directriz empresarial, falta de conocimiento o asesoría.
57
Figura 14. ¿Sabe que es el software libre?
1.
Si
50% 50%
No
Fuente: Los autores
Figura 15. ¿Usan software libre en la organización?
2.
0% 0%
a) Si
25%
b) No
c) Se ha evaluado y
descartado
75% d) Se ha evaluado y hay
planes de introducirlo.
De acuerdo a lo planteado anteriormente sobre el interés de implementar software

libre a nivel corporativo, el estudio arrojo como resultado que las mayores causas
para realizar implementaciones de software libre son la falta de conocimiento
58
sobre la oferta y la desconfianza. Este comportamiento es frecuente pues ningún
ser pretende exponer su bienestar, integridad, trabajo o algún otro estado que le
genere comodidad y tranquilidad (figura 16 y 17). Otro factor importante es la falta
de canales de distribución y apoyo por cuenta de consultores y proveedores. Si las
empresas distribuidoras se dieran a la tarea de publicitar las opciones existentes y
sus ventajas, se disminuirían de forma rápida los niveles de desconfianza y de
manera directa aumentaría la demanda por las herramientas libres (figura 18), a
su vez esta fase de la encuesta permite visualizar de forma rápida un parámetro
importante a tener en cuenta; las empresas en caso de optar por una alternativa
libre para ser implementada la primer opción que tomarían seria iniciar un proceso
de aseguramiento de red (figura 19), es decir que se infiere de manera superficial
que han contado con algunos incidentes o visto desde otro punto de vista sería
posible que no tengan interés por el aseguramiento y pretendan realizar pruebas
con algo que no afecte el funcionamiento directo de sus labores.
Figura 16. ¿Cuál es el motivo para no evaluar la opción de software libre en la organización? (puede
seleccionar máximo 3 opciones)
3.
0%
a) Desconocimiento de
8%
la oferta
25% b) Falta de necesidad
17%
c) Desconfianza técnica
0%
8%
17% d) Desconfianza
empresarial
25% e) Desconfianza soporte

y continuidad
0%
Fuente: Los autores
59
Figura 17. ¿Experiencia en la adopción de software libre?
4.
0% 0%
25%
a) Ninguna
b) Buena
c) Regular
d) Mala
75%
Fuente: Los autores
60
Figura 18.De las siguientes ventajas que proporciona el software libre, señale las que considere más
interesantes: (puede seleccionar varias opciones)
5.
a) En general, se puede descargar e instalar de manera gratuita, puede ser

copiado y distribuido a otras personas libremente.
b) Muchos programas de software libre tienen una gran comunidad de
usuarios (foros etc); donde resolver dudas, encontrar trucos etc.
c) Los usuarios pueden sugerir o pedir nuevas funcionalidades.
d) No depende de lo que decida una sola empresa
e) Es personalizable (idioma, aspecto, instalar complementos o quitar

cosas que no son útiles)
f) En general, los programas de software libre utilizan formatos
estándares y además manejan muchos tipos de archivos diferentes
g) Al haber acceso al código fuente, los informáticos arreglan más
rápidamente los problemas que se encuentran
h) No tiene virus
i) Existe gran variedad de programas de software libre, para hacer

multitud de tareas, y complementos para ampliar sus funciones
7%
27%
27%
6%
0% 7%
13%
13%
0%
Fuente: Los autores
61
Figura 19. ¿Estaría dispuesto a probar una aplicación libre como alternativa a la privativa que usa?
6. 0% 0%
0%
0%
0% a) Firewall
b) Servidor de datos
c) Base de datos
d) Gestión documental
100%
Fuente: Los autores
10.1.4Esquemas de Seguridad
El objetivo de la recolección de estos datos específicos de esquemas de

seguridad, era verificar algunos aspectos importantes como punto de inicio en
formación sobre aseguramiento, gestión de la información y seguridad en cuanto a
controles existentes. Como ya se ha demostrado bajo los cuestionamientos en
puntos anteriores la gestión e inversión son 2 (dos) de los factores que no
permiten evolucionar de forma segura y eficaz en los entornos corporativos o por
lo menos en los objetos de estudio.
Aquí se ratifica que el interés por los aspectos de seguridad están minimizados
según algunos criterios, es decir para el 75% manejar una política de seguridad
informática no es prioritario (figura 20); por lo tanto no contar con las “reglas” de
uso sobre los recursos informáticos da inicio a una de las brecha de seguridad
62
más difíciles de controlar y si a esto se le agrega la falta de servidores de
seguridad de red, bloqueos por proxy, firewall o alguna otra serie de herramientas
ausentes en los sitios encuestados es un potencial incidente con un posible
impacto de alto nivel y si a esto se le suma la falta de inventarios, antivirus o
utilitarios no licenciados se incrementa aúnmás (figuras 21, 22, 23).
Figura 20. ¿Maneja usted una política de seguridad informática?
1.
25%
Si
No
75%
Fuente: Los autores
63
Figura 21. ¿Controla de alguna manera los inventarios de equipos tecnológicos?
2.
25%
Si
No
75%
Fuente: Los autores
Figura22.¿Cuenta con antivirus?
3.
0% 0%
a) Licenciado
b) Sin licencia
50% 50%
c) No cuenta con
antivirus
d) Licencia libre
Fuente: Los autores
64
Figura 23. ¿Existe alguna plataforma que administre la seguridad de red?
4.
25%
Si
No
75%
Fuente: Los autores
De igual manera con base en las preguntas 5, 6, 7 del apartado de esquemas de

seguridad incluidas en la encuesta, no solo se observa una falta de proyectos a
nivel de seguridad lógica, una réplica se ve en cuanto a seguridad física y gestión
en las demás áreas pues si bien es cierto que la tecnología no lo es todo, el no
contar con herramientas tecnológicas en otros grupos de las entidades permite
asumir riesgos de perdida de información por causas diversas como puede ser:
intrusiones de personal no autorizado, perdidas de documentos físicos, daño en
documentos etc. (figuras 24, 25, 26 y 27).
65
Figura 24. ¿Existe alguna plataforma que administre la seguridad de red?
4.
25%
Si
No
75%
Fuente: Los autores
Figura 25. ¿Cuenta con esquemas de seguridad física?
5.
a) CCTV
b) Controles de acceso físico (puertas electrónicas, acceso con sistemas de tarjetas

electrónicos, sistemas biométricos, etc)
c) Ninguno.
d) Todos los anteriores
25% 25%
0%
50%
Fuente: Los autores
66
Figura 26. ¿Cuenta con software que administre y gestione RRHH?
6.
25%
Si
No
75%
Fuente: Los autores
Figura 27. ¿Cuenta con software que administre y gestione la información y la gestión empresarial?
7.
25%
Si
No
75%
Fuente: Los autores
67
10.1.5Incidentes de Seguridad
Como último grupo dentro de la encuesta aplicada, se verifico los aspectos

básicos sobre conocimiento en incidentes de seguridad, esto con el fin de
determinar el conocimiento, gestión y controles para la detección y seguimiento de
incidentes de seguridad de la información; se detecta que se cuenta con claridad
sobre el concepto de un incidente de seguridad (figura 28), pero
independientemente de manejar el concepto la gestión, y esquemas de
seguimiento hacia un incidente no existen pues el 75% indica que no documenta
la gestión y procedimientos del área de sistemas; esto con claridad demuestra que
si no existe documentación correspondiente no sería posible determinar la forma
adecuada de actuar en el caso de que suceda algún evento que atente contra la
integridad, disponibilidad o confidencialidad de la información (figura 29).
Figura 28. ¿Sabe que es un incidente de seguridad?
1.
0%
Si
No
100%
Fuente: Los autores
68
Figura 29. ¿Documenta los procedimientos correspondientes al servicio del departamento de
sistemas?
2.
25%
Si
No
75%
Fuente: Los autores
Por lo pronto se manifiesta un 3 (tres) eventos con alto porcentaje en cuanto a

incidentes presentados con el 31% (figura 30) los virus (troyanos, malwares,
worms etc.) y el daño en las estaciones de trabajo por mal uso o desgaste son los
más recurrentes; como consecuencia de eso afirma el 100% (figura 31) que uno
de los efectos generados por estos es la perdida de la información, siendo este la
secuela más grave pues puede generar efectos devastadores en la entidad como
multas por las autoridades competentes29, pérdida de clientes, daño de la imagen
corporativa etc. .
29
Leyes tributarias sobre sanciones por incumplimiento, portal informativo, Disponible en Internet
http://www.estatutotributario.com/libro5-titulo3.html
69
Figura 30. ¿Cuál de los siguientes es el incidente más recurrente?
3.
a) Virus.
b) Perdida de información.
c) Perdida de documentos físicos.
d) Accesos sin autorización de personal.
e) Acceso a información a través de la red.
f) Daño en partes o piezas de equipos por desgaste, mal uso o calidad

del elemento.
g) Daño ocasionado en equipos de cómputo por fluctuación de
electricidad.
8%
31%
31%
7%
15% 8%
0%
Fuente: Los autores
70
Figura 31. ¿Cuál es la consecuencia más recurrente por los incidentes presentados?
4.
a) Perdida de la
13% información (física o
lógica).
b) Daño en piezas o
12% partes de los equipos de
computo
50%
c) Gastos económicos
innecesarios en la
compañía
25% d) Perdida de
clientes, dinero y good-
well en el mercado.
Fuente: Los autores
De la misma manera se observa que el 75% (figuras 32, 33 y 34) no documenta,

registra o realiza seguimiento a los incidentes de seguridad; al no ser
documentados estos eventos específicos limita el mejoramiento continuo y la
posibilidad de realizar mejoras en los aspectos informáticos, pues con base en
esos registros se obtiene la información precisa para realizar inversión, estructurar
estrategias, diseñar planes, implementar procesos y herramientas, verificar su
operación y recolectar nuevamente datos para la mejora continua 30.
30
Artículo “¿Qué es Itil?” 2008, Disponible en internet:
http://seguinfo.wordpress.com/2008/12/03/%C2%BFque-es-itil-2/
71
Figura 32. ¿Son documentados los incidentes de seguridad?
5.
25%
Si
No
75%
Fuente: Los autores
Figura 33. ¿Se le realiza seguimiento a los incidentes de seguridad?
6.
25%
Si
No
75%
Fuente: Los autores
72
Figura 34. ¿Se tiene registro de los incidentes de seguridad?
7.
25%
Si
No
75%
Fuente: Los autores
Por último el nivel de incidentes por año en el 50% de la muestra indica que
manejan un taza de incidentes ente 21 y 30 en el último año (figura 35);
aproximadamente entre 2 y 3 incidentes mensuales; las personas encuestadas
refieren que han generado inversiones en reparaciones correctivas de los equipos,
contratación de servicios especializados para la recuperación de datos y algunos
otros servicios adicionales que como consecuencia solo les queda pérdida de
tiempo, producción y dinero.
73
Figura 35. De acuerdo a los incidentes descritos en el punto 3 de esta sección, ¿cuantos incidentes de
seguridad ha tenido en el último año?
8.
0%
25%
a) 1-5
b) 6-10
50% c) 11-20
d) 21-30
e) Mas de 31
25%
0%
Fuente: Los autores
10.2 AUTODIAGNÓSTICO ISO/IEC 27001:2005
Como es relacionado en la norma esta herramienta trabaja básicamente sobre los

11dominios y 133 controles existentes31, es aplicada para determinar la cantidad
de instrumentos con los que cuenta la entidad en cuanto a seguridad de la
información se refiere.
31
Disponible en Internet: http://www.iso27000.es/iso27000.html#section3b
74
Se observa que no cuentan con controles existentes, su nivel de control es del 2%

sobre un 100%, es decir que de 133 controles existentes manejan
aproximadamente el 2.66% de seguridad en sus instalaciones (figura 36).
Ver Anexo E. Autodiagnóstico #1
Figura 36. Autodiagnóstico general #1
si
2%
no
98%
Fuente: Los autores
10.2.2 Objeto de Estudio # 2
Al igual que el caso anterior esta empresa maneja el mismo nivel porcentual de
controles, demostrando la falta de gestión y apoyo por cuenta de la alta gerencia
para la creación y estructuración de planes para la respectiva mitigación de
riesgos. (Figura 37).
75
Ver Anexo F. Autodiagnóstico #2
si
2%
no
98%
Fuente: Los autores
Se encuentra una corporación con algo de gestión en el área de sistemas, es

importante aclarar que allí se cuenta con un departamento creado y que vela por
funcionamiento de la infraestructura tecnológica; aun así el nivel de controles
existente está en el 11% (figura 37). Básicamente es el preámbulo para iniciar un
proceso de aseguramiento de la información e infraestructura.
76
Ver Anexo G. Autodiagnóstico #3
si
11%
no
89%
Fuente: Los autores
Está en una empresa que representa gestión y control sobre su información y

medios tecnológicos, aunque el promedio aunque no es posible definir un rango
ideal para determinar si es lo adecuado para el negocio o no (figura 38). Es
probable que esta empresa esté dando inicio a un proceso de aseguramiento o
certificación en seguridad de la información (ISO/IEC 27001:2005), pese a que se
observa niveles de seguridad y control esta herramienta demuestra la falta de
muchas herramientas que puedan subsanar algunos fallos de seguridad sean
físicos o lógicos o en su defecto la creación de nuevos planes que garanticen y
respalden la efectividad de los controles existentes y las futuras
implementaciones.
77
Ver Anexo H. Autodiagnóstico #4
si
24%
no
76%
Fuente: Los autores
10.3 ANÁLISIS DE RIESGO
Herramienta utilizada para determinar la probabilidad de las amenazas versus el

impacto que podría generar en las organizaciones, esta herramienta al igual que
las anteriores fue aplicada a cada uno de los objetos de estudio, es decir fue
aplicada esta prueba en conjunto con las personas encargadas de la toma de
decisiones (gerentes y encargados de sistemas) para iniciar un proceso de
sensibilización sobre los riesgos existentes en cada una de sus compañías.
Esta prueba se basa en detectar las amenazas existentes con base en tres
parámetros:
Riesgos originados por criminalidad común y motivación política.
Sucesos de origen físico
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones
institucionales
78
En contraste con el impacto que pude generarse a cada uno de las probabilidades
según la actividad económica, herramientas, aplicaciones y todo lo relacionado
con el área tecnológica y seguridad corporativa estos parámetros son:
Base de datos de Contraseñas empresariales
Bases de datos clientes externos
Celulares
Computadoras
Correo electrónico
Cortafuego
Datos e información no institucionales
Directorio de Contactos
Edificio (Oficinas, Recepción, Sala de espera, Sala de reunión, Bodega,
etc.)
Equipos de la red cableada (router, switch, etc.)
Equipos de la red inalámbrica (router, punto de acceso, etc.)
Impresoras
Memorias portátiles
Navegación en Internet
Página Web externa
Página Web interna (Intranet)
PBX o VOIP
Portátiles
Productos institucionales (Investigaciones, Folletos, Fotos, etc.)
Programas de administración (contabilidad, manejo de personal, etc.)
Programas de comunicación (correo electrónico, chat, llamadas telefónicas,
etc.)
Programas de manejo de proyectos
Programas de producción de datos
Respaldos
79
RR.HH
Servicios bancarios
Servidores
Vehículos
Al realizar esta prueba determina un promedio de riesgos a ser tratados; previo a

esto es necesario que la administración opte por delimitar un umbral de aceptación
de riesgo.
Tal como se visualiza en la gráfica el riesgo existente es alto, pero a su vez la

magnitud del daño no sería desastroso, pues el eje central de su negocio no se
basa en la tecnología. Las herramientas tecnológicas se perciben como un
proceso de apoyo pero a su vez no es uno de los pilares fundamentales en la
organización (figura 39).
80
Ver Anexo I. Matriz de Riesgo Objeto #1
Figura 40. Análisis de factores de riesgo objeto #1
Criminalidad y Político /
Datos, Información equipos
de computo
Sucesos de origen físico /
Magnitud de Daño

de computo
Negligencia y Institucional /
de computo
Umbral Medio Riesgo
Umbral Alto Riesgo

Probalidad de Amenaza
Fuente: Los autores
Se observa claramente (figura 40) que amento el impacto y el nivel de riesgo en

comparación con la anterior grafica (objeto de estudio #1); en este caso la
negligencia empresarial es uno de los factores que contiene el nivel mayor de
amenaza, este caso se debe probablemente al nivel de conocimiento de los
usuarios comparado con los controles existentes.
De igual forma que la probabilidad de amenaza en cuanto a riesgo por

criminalidad y sucesos de orden político se encuentra entre el umbral medio y alto,
esto es posible debido a que algunos de los contratantes posiblemente sean
entidades estatales y el sector de ubicación.
81
Ver Anexo J. Matriz de Riesgo Objeto #2
de computo
Magnitud de Daño

de computo
de computo
Umbral Medio Riesgo
Umbral Alto Riesgo
Fuente: Los autores
Se observan 3 características básicamente (figura 41):

a) Los niveles más altos provienen de las amenazas se generan por los
riesgos originados por criminalidad común y motivación política y Sucesos
derivados de la impericia, negligencia de usuarios/as y decisiones
institucionales, esto es posible en cualquier empresa pero es importante
resaltar que pasan el umbral de riesgo alto.
82
b) Las 3 (tres) clases de categorías están en un punto alto de la gráfica, esto
indica que en caso que se llegue a materializar una de estas amenazas, el
impacto en la corporación sería muy alto para la entidad.
c) Se encuentra una de las categorías por debajo del nivel intermedio de
riesgo, esto señala que la posibilidad que se dé uno de los eventos
naturales no es alta, pero a su vez el impacto pude ser determinante para el
funcionamiento del negocio.
Ver Anexo K. Matriz de Riesgo Objeto #3
de computo
Magnitud de Daño

de computo
de computo
Umbral Medio Riesgo
Umbral Alto Riesgo
Fuente: Los autores
83
Este caso es un modelo interesante debido a que sus amenazas no exceden el

umbral medio de riesgo, esta situación se debe al nivel de controles y a la gestión
adecuada por parte del departamento de sistemas. Es posible que allí sea
necesario más que la implementación de nuevos controles iniciar un
procedimiento diferente tal vez se requieran otros componentes que permitan
asegurar la información; quizá una posible alternativa sea realizar la
32
implementación de un BCP o un DRP debido a que la magnitud del daño que se
pueda presentar dado el caso hipotético de la materialización de una de las
amenazas relacionadas sería muy alto para la entidad (figura 42).
Ver Anexo L. Matriz de Riesgo Objeto #4
Figura 43.Análisis de factores de riesgo objeto #4
de computo
Magnitud de Daño

de computo
de computo
Umbral Medio Riesgo
Umbral Alto Riesgo
Fuente: Los autores
32
Presentación “¿Qué es BCP/DRP?” Asociación Colombiana de Ingenieros, Disponible en internet:
http://www.acis.org.co/fileadmin/Conferencias/DRP_BCP.pdf
84
10.4 PROCESO DE IMPLANTACIÓN DE CONTROLES BASADOS EN
SOFTWARE LIBRE.
Para fines netamente investigativos, luego del procedimiento de aplicación de

herramientas de diagnóstico, se propuso a los diversos Gerentes de los objetos de
estudio realizar implementaciones basadas en software libre con el propósito de
incrementar el nivel de gestión y seguridad en cada una de sus compañías, para
esto se presentaron alternativas de implementación, gestión administrativa a nivel
informático y seguimiento a las herramientas implementadas, además de unas
capacitaciones al personal encargado del área de sistemas; en el caso de las
entidades sin área de sistemas se acordó llevar a cabo las implementaciones y dar
inicio en estos lugares a un departamento de sistemas que vigile, supervise,
ejecute, actualice y en general que realice los procedimientos documentados y
recomendaciones para futuras mejoras.
10.4.1 Disminución de Riesgo con Software Libre sin Área de Sistemas
Existente
10.4.1.1 Objeto #1
Básicamente se enfatizó el mejoramiento de la infraestructura existente, dado que

la intención por parte de la administración era mejorar la gestión, infraestructura
tecnológica y la gestión de red se realizaron las siguientes implementaciones:
1. Como primera medida se realizó la adquisición de equipos para mejorar su
infraestructura tecnológica de la siguiente manera
Inversión en equipo servidor.
Compra de dispositivos de red (accespoint, switch).
Cable de red y conectores.
85
Ups
Gabinete de almacenamiento de dispositivos (rack).
2. Se inició el proceso de implementación y estructuración dividido en 2 fases
las cuales por orden y organización se acordaron para dar un orden lógico a
la labor.
3. Luego de implementar la parte física se procedió a la respectiva instalación
de las aplicaciones como servidor base se implementó un sistema operativo
CentOS sobre el cual por medio de la herramienta local de virtualización
KVM 33 se crearon dos máquinas virtuales las cuales una de ellas maneja la
seguridad de la red bajo un sistema operativo ENDIAN y la otra bajo
UBUNTU.
La primera herramienta es una aplicación que permite la gestión de
usuarios y red es la encargada de la administración de usuarios y accesos
a la red a través de proxy, a su vez contiene firewall, detector de intrusos
(IDS) y un preventor de intrusos (IPS), permite la generación y
administración de VLAN’s y VPN’S, antivirus de red (clamav).
34
Sobre el sistema operativo UBUNTU se implementó la infraestructura de
AD35 y políticas de acceso a usuarios por medio de SAMBA36 y LDAP37
todo lo necesario para la administración de usuarios y almacenamiento de
información.
De igual forma se realizó la instalación de VLAN para la gestión de red

abierta para usuarios estudiantes, esto con el fin de generar un segmento
diferente para evitar accesos a la información almacenada.
33
Portal oficial CentOS Disponible en Internet: http://wiki.centos.org/HowTos/KVM
34
Portal Oficial Ubuntu Disponible en Internet: http://www.ubuntu.com/
35
Portal Oficial Ubuntu Disponible en Internet: https://help.ubuntu.com/8.04/serverguide/likewise-
open.html
36
Portal Oficial Ubuntu Disponible en Internet: http://www.guia-ubuntu.org/index.php?title=Samba
37
Portal Oficial Ubuntu Disponible en Internet: https://help.ubuntu.com/community/OpenLDAPServer
86
De esta forma se estructuro, aseguro y gestiono la información permitiendo el
acceso a más de 80 usuarios internos y un promedio de 100 más a la red
inalámbrica por medio de la VLAN.
Adicional a la implementación de los servidores y la protección de red, se utilizó

38
COBIAN BACKUP para la implementación de sistema de copias de seguridad
automatizadas a estación fuera de la entidad por medio de ftp, estas copias salen
por medio de la red en formato 7zip y cifradas con formato AES de 256 bits; de tal
forma en caso de interceptación se mantendrá la confidencialidad de la
información.
10.4.1.1.1 Costos e inversión
Se realizó cotización de la misma solución bajo plataformas privativas con marcas

comerciales y los resultados en cuanto a reducción de costos fueron los
siguientes:
Tabla 1.Inversión en hardware
Ítem Articulo Costo

1 servidor y rack 12.580.000,00
dispositivos de
2 red 360.000,00
cable y
3 conectores 290.000,00
4 UPS 5kva 3'200.000
Total 13.230.000,00
Fuente: Los autores
38
Portal Oficial Cobian Disponible en Internet:http://www.cobiansoft.com/index.htm
87
Tabla 2. Comparación inversión entre software privativo y libre
Inversión Inversión
Ítem Herramienta software software
privativo libre
1 Sistema Operativo server 2.300.000,00 0,00
2 UTM 15.000.000,00 0,00
Antivirus (100 estaciones+
3 consola de administración) 11.000.000,00 0,00
4 Copias de seguridad 3.240.000,00 0,00
Total 31.540.000,00 0,00
Fuente: Los autores
Tabla 3. Comparación en costos de implementación entre software privativo y libre
Inversión total
software Software
Herramienta
privativo libre
Hardware 13.230.000,00 13.230.000,00
Software 31.540.000,00 0,00
Total 44.770.000,00 13.230.000,00
Fuente: Los autores
Como se puede ver la reducción de costos en implementación y aseguramiento en

cuanto a hardware y software fue aproximadamente de un 72% utilizando software
libre.
Adicional a la gestión en servidores y red se realizó políticas de seguridad,

documentación de uso del servidor y red y capacitaciones a los usuarios sobre el
88
buen uso y la respectiva socialización de las nuevas políticas de uso del recurso
informático.
10.4.1.2 Objeto #2
De forma similar a la entidad 1 se realizó la mitigación de riesgos por cuestión de

recurso en económico se redujo la compra de algunas herramientas pero en
contexto se aplicó la misma estructura de implementación dado que la intención
por parte de la administración era mejorar la gestión, infraestructura tecnológica y
la gestión de red se realizaron las siguientes implementaciones:
1. Como primera medida se realizó la adquisición de equipos para mejorar su
infraestructura tecnológica de la siguiente manera
Inversión en equipo servidor.
2 Ups
DVR
2. Se inició el proceso de implementación y estructuración realizando la
instalación de las aplicaciones, como servidor base se implementó un
sistema operativo UBUNTU sobre el cual al igual que en la entidad #1 se
creó una máquina virtual, esta es la encargada de la seguridad de la red
bajo un sistema operativo ENDIAN.
ENDIAN es una aplicación que permite la gestión de usuarios y red, es la

encargada de la administración de usuarios y accesos a través de proxy, a
su vez contiene firewall, detector de intrusos (IDS) y un preventor de
intrusos (IPS), permite la generación y administración de VLAN’s y VPN’S,
antivirus de red (clamav).
89
39
Sobre el sistema operativo UBUNTU se implementó la infraestructura de
40
AD y políticas de acceso a usuarios por medio de SAMBA41 y LDAP42
todo lo necesario para la administración de usuarios y almacenamiento de
información.
De igual forma se realizó la instalación de VLAN para la gestión de red

abierta para usuarios visitantes, esto con el fin de generar un segmento
diferente para evitar accesos a la información almacenada.
De esta forma se estructuro, aseguro y gestiono la información permitiendo

el acceso a númeroaproximado de 35 usuarios internos y un promedio de
15 más a la red inalámbrica por medio de la VLAN para dispositivos móviles
y visitantes protegida con sistema de cifrado WPA2.
Adicional a la implementación de los servidores y la protección de red, se utilizó

43
COBIAN BACKUP para la implementación de sistema de copias de seguridad
automatizadas a estación fuera de la entidad por medio de ftp, estas copias salen
por medio de la red en formato 7zip y cifradas con formato AES de 256 bits; de tal
forma en caso de interceptación se mantendrá la confidencialidad de la
información.
10.4.1.2.1 Costos e inversión
Se realizó cotización de la misma solución bajo plataformas privativas con marcas

comerciales y los resultados en cuanto a reducción de costos fueron los
siguientes:
39
Portal Oficial Ubuntu Disponible en Internet: http://www.ubuntu.com/
40
Portal Oficial Ubuntu Disponible en Internet: https://help.ubuntu.com/8.04/serverguide/likewise-
open.html
41
Portal Oficial Ubuntu Disponible en Internet: http://www.guia-ubuntu.org/index.php?title=Samba
42
Portal Oficial Ubuntu Disponible en Internet: https://help.ubuntu.com/community/OpenLDAPServer
43
Portal Oficial Cobian Disponible en Internet: http://www.cobiansoft.com/index.htm
90
Tabla 4. Inversión en hardware
Ítem Articulo Costo

1 servidor y rack 2.720.000,00
2 2 UPS 3kva 3'800.000
3 DVR 490.000,00
Total 7’010.000,00
Fuente: Los autores
Tabla 5. Comparación inversión entre software privativo y libre
Inversión software Inversión software

Ítem Herramienta
privativo libre
1 Sistema Operativo server 2.300.000,00 0,00
2 UTM 15.000.000,00 0,00
Antivirus (50 estaciones+ consola
3 de administración) 5.500.000,00 0,00
4 Copias de seguridad 3.240.000,00 0,00
Total 26.040.000,00 0,00
Fuente: Los autores
Tabla 6. Comparación en costos de implementación entre software privativo y libre
Inversión total
software Software
Herramienta
privativo libre
Hardware 7’010.000,00 7’010.000,00
Software 26.040.000,00 0,00
Total 33.050.000,00 7’010.000,00
Fuente: Los autores
91
Como se puede ver la reducción de costos en implementación y aseguramiento en
cuanto a hardware y software fue aproximadamente de un 79% aproximadamente
utilizando software libre.
Adicional a la gestión en servidores y red se realizó políticas de seguridad,

documentación de uso del servidor y red y capacitaciones a los usuarios sobre el
buen uso y la respectiva socialización de las nuevas políticas de uso del recurso
informático.
10.4.2 Disminución de Riesgo con Software Libre con Área de Sistemas
Existente
10.4.2.1 Objeto #3
Se encuentra una organización que cuenta con más de 15 usuarios fuera de la

ciudad los cuales acceden los aplicativos de la empresa mediante herramientas
remotas. Estas herramientas no están licenciadas lo que genera para la compañía
un riesgo muy alto en sanciones o multas por las entidades que regulan los
derechos de autor. Adicional a ello, los equipos se encuentran conectados
directamente a internet sin la protección necesaria.
Equipos con antivirus desactualizados, otros sin licencias legalmente

adquiridas.
Se detecta que la velocidad de la red al interior de la organización no es la
mejor. Los usuarios se quejan de la lentitud de los aplicativos internos.
Se cuenta con un software de control de usuarios para navegar a internet el
cual no está legalizado.
Se cuenta con un limitado presupuesto para legalización de software, pero
los servicios que tienen implementados deben continuar.
92
La página web de la organización se encuentra implementada en un
servidor Windows 2003 server, ubicada de frente hacia la web.
No se cuenta con inventario de equipos
La asignación de direcciones IP se hace mediante el dispositivo que otorga
la empresa de comunicaciones actual.
Los documentos de la organización se guardan en cada computador, no
existe una política de backup centralizada. La compartición de archivos por
área se hace mediante mail o compartiendo carpetas por equipo lo que
incrementa el riesgo de información como de virus hacia las maquinas.
La gerencia de la compañía busca una solución económica, segura y

administrable. Minimizar los riesgos de sanciones por tener software ilegal en la
empresa. Mejorar el rendimiento de la red y de los aplicativos de la organización.
Tener la posibilidad de implementar trabajo remoto de algunos usuarios. Se debe
dar una solución que permita garantizar la integridad, disponibilidad y
confidencialidad de la información.
Analizando los requerimientos iniciales de esta empresa, se inicia por la

implementación de un Firewall basado en software libre, el cual sirve de protección
tanto al interior como exterior de la compañía. Este dispositivo hará asignación
dinámica de direcciones ip, proxy para navegación hacia internet, restricciones de
horario de navegación, y direccionamiento interno para el servidor web.
93
Figura 44. Asignación dinámica de direcciones ip
Fuente: Los autores
Figura 45.Direccionamiento interno hacia servidores de la empresa
Fuente: Los autores

Figura 46. Proxy para navegación de usuarios
94
Fuente: Los autores
Figura 47.Implementación de conexiones remotas de usuarios
Fuente: Los autores
95
Como medida de protección de la red, se implementa un antivirus gratuito. El
software implementado es Clamav. Con ello, se protegen las estaciones de trabajo
y se mejora el rendimiento de la red.
10.4.2.1.1 Implementación centralizada de información corporativa
Se implementa en un servidor Centos el servicio de Samba, allí se generan

carpetas compartidas organizadas por áreas, usuarios y una carpeta compartida
de acceso total. Las carpetas se crearon así:
Carpeta De Grupos. Una por cada área de la organización.

(Contabilidad, Recursos Humanos, tecnología, etc.)
Carpeta de Usuarios. Una para cada usuario, con restricción
exclusiva.
Carpeta Todos. Para que se comparta información entre usuarios de
diferentes áreas.
Figura 48. Directorio de carpetas compartidas con samba
Fuente: Los autores
96
Figura 49. Estadística rendimiento de red
Fuente: Los autores
Figura 50. Herramientas administración de red
Fuente: Los autores
97
Tabla 7.Reducción de los costos de implementación
COSTOS DE IMPLEMENTACION SOFTWARE LICENCIADO COSTOS DE IMPLEMENTACION SOFTWARE LIBRE
Software Licenciado Cantidad V/r.Unitario V/r. Total Software Libre Cantidad V/r.Unitario V/r. Total
Windows 2003 Server -
A.DIRETORY - DHCP 1 2.300.000 2.300.000 Endian - SO 1 - -
Antivirus 50 80.000 4.000.000 Antivirus Clamav 1 - -
Isa Server 1 1.800.000 1.800.000 Endian 1
Software de Inventarios -
Invgate 1 5.400.000 5.400.000 GLPI 1
Software DFS 1 2.300.000,00 2300000 Centos - Samba 1
TOTAL 11.880.000
Fuente: Los autores
10.4.2.2 Objeto #4
La organización tiene una serie de requerimientos para soportar su operación a

nivel nacional así:
La necesidad de un Firewall, debido a que tiene una serie de servicios para

los clientes como página web, consulta de seguimiento de pedidos,
indicadores a través de la web entre otros. Esta información esta
implementada en servidores Windows y son accesados diariamente por
cerca de 700 usuarios.
Se requiere la implementación de un dispositivo de control para la
navegación de usuarios. Se identifican 400 usuarios en la red, los cuales no
tienen limitaciones de accesos a páginas web, horarios de acceso, uso de
redes sociales en horas laborales, descarga de archivos de video y música
lo cual disminuye el rendimiento de la red.
Se tienen implementados canales dedicados hacia las sucursales más
importantes de la organización generando un alto costo mes a mes.
98
Tabla 8. Relación de costos internet mensual
SUCURSAL SERVICIO - IP DATA VALOR MES

INTRANET
INTERNET DEDICADO 2 MEGAS 1.217.332

BOGOTA
CALI 1 MEGA 1.208.247
BARRANQUILLA 600 K 1.023.100
MALAMBO 600 K 1.023.100
PEREIRA 600 K 1.615.012
BUCARAMANGA 600 K 1.615.012
CARTAGENA 600 K 1.461.918
ADSL – CALI 8000 K 170.000
ADSL – PEREIRA 2000 K 140.000
ADSL – BARRANQUILLA 4000 K 180.000
Total Mes 9.653.721
Fuente: Los autores
Se identifican 12 usuarios móviles los cuales requieren conectarse a la

organización desde diferentes ubicaciones geográficas haciendo uso de
equipos móviles.
Se tienen aproximadamente 400 máquinas en funcionamiento. El inventario
de estos equipos se lleva mediante hojas de Excel.
99
Se identifica un incidente mayor en la organización en el cual en el segundo
semestre del 2011 la organización fue víctima de un ataque a su servidor
de correo. A este último, le cambiaron contraseñas de administrador,
suplantaron usuarios, bajaron los servicios corporativos. Este equipo se
encontraba de frente hacia internet.
Se identifica un segundo incidente en el primer semestre del 2012 hacia la
planta telefónica IP ubicada en la ciudad de Cali. Allí, dicha maquina fue
“hackeada“44 generando llamadas internacionales por un valor superior a $
140.000.000 de pesos durante dos días. Al igual que el incidente anterior, la
maquina se encontraba conectada directamente hacia internet.
Los servidores de Bases de datos (5), están montados bajo SQL SERVER
2005 y sistema operativos Windows 2003 Server en diferentes maquinas
debido a la carga de usuarios que cada base de datos tiene. Se han
identificado dos hechos en el último año, donde los servidores principales
de la operación han salido de funcionamiento por espacio de 4 horas 30
minutos aproximadamente debido a un incidente generado por malware 45 el
cual ha obligado a los funcionarios del área de tecnología a reinstalar el
sistema operativo y el software correspondiente a la base de datos y
restauración de backup. A pesar, que dichas maquinas contaban con un
antivirus para tal fin fueron infectadas por máquinas de usuario que
accesaban estos servidores. La indisponibilidad de estos servicios
afectaron la operación de la organización generando sobrecostos en horas
extras de sus empleados, salida tarde de sus vehículos de reparto,
incumplimiento en las entregas de sus mercancías, y daños en la imagen
corporativa ante sus clientes.
Según conversaciones sostenidas con los directivos de esta organización, para

ellos el tema de seguridad la información y red de datos es prioritaria. Sobre todo,
44
Diccionario online Disponible en Internet: http://dictionary.reference.com/browse/hacking
45
Enciclopedia Online Disponible en Internet: http://es.wikipedia.org/wiki/Malware
100
después de los incidentes mencionados anteriormente. Desean alguna solución
alterna que mitigue la probabilidad de riesgo y a su vez disminuya los costos
mensuales en comunicaciones.
Se desea garantizar que sus servidores principales no salgan de funcionamiento

por hechos aislados como son virus, troyanos, malware, etc. Adicionalmente,
preocupa a la organización ataques generados desde las sucursales que atienden.
Esto debido a que están comunicados con Bogotá mediante canales dedicados,
pero el acceso a internet se hace a través de ADSL implementados en cada
sucursal.
El uso racional de los recursos por parte de los usuarios es importante, ya que se
evidencian usuarios en horas laborales desarrollando actividades tales como:
chateo, consulta en redes sociales, descarga de videos y música en horas
laborales, descuidando sus funciones para lo cual fueron contratados.
Se toma cada uno de los puntos mencionados y se procede a buscar alternativas

de solución para sus requerimientos haciendo uso de herramientas libres, estas se
deben adaptar a la organización sin generar traumas de operación y sobre todo,
que su administración y soporte después de implementado sea fácil para el
personal de tecnología que labora en la organización. Se plantean a sus directivos
las siguientes soluciones:
Implementación de Firewall. Se propone el montaje de un UTM-Libre

(gestión unificada de amenazas), que nos permita detectar posibles
ataques desde afuera. El mismo debe permitir re direccionar puertos con el
fin de colocar en funcionamiento los servicios que se prestan a los clientes
de la organización sin afectar la seguridad de los mismos. Se busca que
tenga algún mecanismo de antivirus para filtrar el acceso de datos
potencialmente peligrosos. Maneje bitácoras de auditoria, esto permitirá
llevar a gestión sobre los servicios a implementar.
101
Figura 51. Esquema estructura de red
Fuente: Los autores
Este UTM debe brindar el servicio de conexión desde equipos móviles

mediante VPN seguras, con ello se pretende que los usuarios externos
puedan accesar los servicios provistos para su operación sin afectar la
seguridad de la organización. Se diseñan dos tipos de conexiones. Una
host to host haciendo uso de IPSEC, lo que permite interconectar las sedes
entre sí. La segunda mediante OpenVpn para los usuarios remotos.
102
Figura 52. Openvpn
Fuente: Los autores
Sin lugar a dudas, el plantear una solución de reducción de costos sin

afectar el servicio requiere garantizar calidad de servicio igual o mejor que
el actual. De tal forma que se dio a la tarea de diseñar la mejor forma de
conectar cada una de las sucursales garantizando el funcionamiento de su
operación. Para ello, se plantea la implementación de dos ADSL por
sucursal, con proveedores diferentes para cada una de las conexiones y
con un ancho de banda de 8.000 k. El objeto de implementar dos
proveedores diferentes es garantizar que ante la caída eventual de uno de
los servicios el otro oficie como backup. Se entregarían a los respectivos
operadores los canales dedicados que se tenían en su momento.
103
Tabla 9. Costos nueva implementación
SUCURSAL SERVICIO - IP DATA VALOR MES

INTRANET
INTERNET DEDICADO 2.000 k 1.217.332

BOGOTA
Se deja a solicitud del
Cliente.
CALI 8.000 k 170.000
8.000 k 235.000
BARRANQUILLA 8.000 k 170.000
4.000 k 125.000
MALAMBO 8.000 k 170.000
Solo un proveedor brinda

esta conexión.
PEREIRA 8.000 K 170.000
4.000 k 156.000
BUCARAMANGA 8.000 k 125.000
2.000 k 170.000
CARTAGENA 8.000 k 170.000
2.000 k 145.000
Total Mes 3.023.332
Total año 36.279.984
Fuente: Los autores
104
Tabla 10. Reducción de costos con la nueva implementación
Costos Comunicación Costos comunicación

antes de después de
Implementación Implementación
9.653.721 3.023.332
Total Año 115.844.652 36.279.984
Ahorro Año 79.564.668
Fuente: Los autores
Uno de los cuestionamientos que se presentó en el desarrollo del proyecto

fue como proteger los servidores de bases de datos para reducir el riesgo
de infección ocasionadas por estaciones de trabajo. Haciendo uso de las
herramientas que tiene el software instalado, se procedió a crear una zona
DMZ o zona militarizada, donde solo se encontrarían los servidores
debidamente protegidos con su antivirus así como con su firewall de
protección. Para llegar a estos servidores se haría uso de los puertos
asignados según su uso. Con ello, se garantiza un grado más de seguridad
en dichos equipos.
Figura 53. Diagrama DMZ
Fuente: Los autores
105
El siguiente punto a solucionar fue el control de la navegación de los
usuarios, para ello, se requería generar unas políticas de navegación,
donde los directivos de la organización podrían hacer uso del servicio de
internet sin restricciones. Se crearían un grupo de usuarios administrativos
los cuales tendrían acceso a las páginas que la organización considerara
necesaria sin restricción de horario. Por último, se debería crear un horario
sin restricciones para todos los usuarios, este se consideró entre las 12:00
y las 2:00 p.m. Se evaluaron diferentes herramientas de software libres
para lograr el objetivo, llegando a la conclusión que con la implementación
de Squid en un servidor CentOS se lograría parametrizar los requerimientos
de los directivos. Adicional a ello, fue necesario incorporar la herramienta
Sarg, con el fin de analizar el comportamiento de los usuarios hacia
internet.
Figura 54.Squid
Fuente: Los autores
106
Figura 55. Controles de acceso
Fuente: Los autores
Por último, se implementó el software GLPI, con el fin de tener un inventario

actualizado de las maquinas con que la organización contaba. Para ello, se
asignó un pequeño servidor donde se centralizaría la información y a cada
terminal se instalaría un pequeño software el cual nos informaría de los
cambios ocurridos con las estaciones de trabajo de la compañía. Esta es
una forma de automatizar el control de activos.
107
Figura 56. Interfaz GLPI
Fuente: Los autores
Por otra parte, se aprovechó el recurso de la herramienta de soporte Help

Desk que trae este software y se puso al servicio de los usuarios la
plataforma de requerimientos que necesiten del área de soporte técnico
informático a través de la interfaz web local.
108
Figura 57. Interfaz GLPI (continuación)
Fuente: Los autores
10.5 ANÁLISIS DE DATOS POST-IMPLEMENTACIÓN DE CONTROLES
Para este análisis se utilizó nuevamente la herramienta #2 (autodiagnóstico

ISO/IEC 27001:2005), de esta forma se verifico el aumento en los niveles de
control en cuanto a seguridad de la información se refiere.
10.5.1 Objeto #1
Con el establecimiento de un departamento de sistemas se incrementó de forma

significativa los niveles y controles es la seguridad de la información, esta tarea
fue llevada a cabo con las implementaciones e inversión realizada por parte de las
directivas de la entidad.
109
Al revisar el promedio de controles antes de iniciar el proceso se observaba un 2%
de controles existentes, en la actualidad cuenta con un 35% que aunque sigue
siendo un porcentaje bajo indica que las implementaciones fueron efectivas para
el aumento de la estadística de controles. En la fase de seguimiento ha arrojado
resultados satisfactorios no solo a nivel económico también en cuanto a
rendimiento de los equipos, reducción de incidentes de seguridad y operatividad
de los equipos y red.
Ver Anexo M. Autodiagnóstico objeto #1 post-implementación
Figura 58. Autodiagnóstico general post-implementación
Fuente: Los autores
10.5.2 Objeto #2
Al establecer y gestionar la creación de un departamento de sistemas se

diferencian los cambios en la entidad, en cuanto a rendimiento, almacenamiento,
control sobre los usuarios y conciencia sobre el correcto uso de las herramientas
informáticas.
Al revisar el promedio de controles antes de iniciar el proceso se observaba un 2%

de controles existentes, en la actualidad cuenta con un 33% indicando
110
nuevamente la efectividad del software libre como alternativa para llevar a cabo
tareas de implementación en esquemas de seguridad a bajo costo.
Ver Anexo N. Autodiagnóstico objeto #2 post-implementación
Figura 59.Autodiagnóstico general post-implementación #2
si
33%
no
67%
Fuente: Los autores
10.5.3 Objeto #3
En este caso en particular se ve reflejado un aumento de aproximadamente un

42% en cuanto a controles se refiere, pues al tener infraestructura creada se
realizaron cambios más a nivel de software con algunos componentes de
documentación, capacitación y gestión de usuarios y planta tecnológica
En la aplicación de la encuesta inicial se observaba un 11% en aplicación de

controles lo cual para una compañía con un departamento de sistemas y capital
humano no era el resultado óptimo; luego del proceso de implementación se
observa un gran avance no solo en controles también en gestión de usuarios,
satisfacción del cliente interno y la alta gerencia pues la reducción de costos con
calidad era la solución que se pretendía en este lugar.
111
Ver Anexo O. Autodiagnóstico objeto #3 post-implementación
Figura 60.Autodiagnóstico general post-implementación #3
no
42%
si
58%
Fuente: Los autores
10.5.4 Objeto #4
Ciertamente esta última compañía examinada contiene los factores necesarios

para llevar a cabo implementaciones a gran escala, posee el apoyo de la alta
dirección, recurso humano, físico y económico; estos factores son necesarios pero
sin lugar a duda lo más relevante es el nivel de conciencia que se posea sobre la
seguridad de la información.
Es en este punto donde luego del proceso de implementación de controles se ve

claramente un nivel aceptable de controles aplicados y es más satisfactorio que
muchos de los controles existentes sean realizados con base en
implementaciones de software libre.
112
Ver Anexo P. Autodiagnóstico objeto #4 post-implementación
Figura 61. Autodiagnóstico general post-implementación #4
no
38%
si
62%
Fuente: Los autores
113
10.6 BENEFICIOS POR EMPRESA
Tabla 11. Beneficios empresa #1
Software instalado Herramientas utilizadas Función Beneficios Beneficio Generales

• Reducción de costo por implementación de • Reducción de costos: en comparación
maquinas individuales. con el mismo modelo de solución de
Virtualización de sistemas • No es necesario el pago de licencia. software propietario se redujo en un
CentOS KVM
operativos • Optimización de espacio físico. 72%.
• Reducción en compra de UPS • Seguridad: se aumenta los niveles de
seguridad según el autodiagnóstico ISO
aplicado en un 35% teniendo en cuenta
Proxy Bloqueo de paginas • Seguridad en navegación. que solo fueron soluciones de seguridad
• Bloqueo de sitios aplicadas a la red y generando protocolos
Bloqueo de puertos y protección • Aceptar y denegar conexiones seguras o de gestión de la información.
firewall
de red inseguras • Incidentes: durante el transcurso de el
• Eliminación de códigos maliciosos en los periodo de observación se ha percibido
ENDIAN Eliminación de malwares (virus, equipos y red. por parte de la entidad mejoras en
Antivirus
troyanos, worms) • Creación de red inalámbrica virtual para el navegación, en los servicios de
Empresa 1
acceso de estudiantes y visitante almacenamiento y velocidad de la red.

Creación de red inalambrica
Vlan • Detecta y previene intrusiones en la red. • • Mejoramiento ambiental: se contribuye
abierta
Genera múltiples servicios de protección a nivel con la reducción de consumo de energía,
IDS / IPS Detector y preventor de intrusos de red y con una inversión mínima. ya que al implementar soluciones de
virtualización se redujo el numero de
maquinas que la entidad debía haber
Acceso a carpetas compartidas • Permite la administración de Usuarios y adquirido y con ello se evita la
Samba
desde windows a linux archivos compartidos entre maquinas Linux y adquisición de aire acondicionado y UPS
UBUNTU Windows reduciendo el costo de de alta capacidad quede cierta forma
implementación de sistemas operativos contribuye al uso de energía limpia
LDAP Creacion de directorio activo privativos de alto costo. (generada por hidroeléctricas)..
• Mantiene el respaldo de información.

7zip Compresor de archivos
• Asegura a través del cifrado la información que
luego de ser comprimida es enviada por medio
COBIAN BACKUP ftp Tranferencia de archivos del protocolo FTP.
• Los costos son mínimos en comparación al
Aseguramiento de informacion a beneficio que se obtiene.
Cifrado
traves de clave
Fuente: Los autores
114
Tabla 12.Beneficios empresa #2

• Reducción de costo por implementación de • Reducción de costos: en comparación
maquinas individuales. con el mismo modelo de solución de
Virtualización de sistemas • No es necesario el pago de licencia. software propietario se redujo en un
Virtual Box
operativos • Optimización de espacio físico. 79%.
• Reducción en compra de UPS. • Seguridad: se aumenta los niveles de
UBUNTU • Permite la administración de Usuarios y seguridad según el autodiagnóstico ISO
Acceso a carpetas compartidas archivos compartidos entre maquinas Linux y aplicado en un 33% teniendo en cuenta
Samba Windows reduciendo el costo de que solo fueron soluciones de seguridad
desde windows a linux
implementación de sistemas operativos aplicadas a la red y generando protocolos
privativos de alto costo. de gestión de la información.
LDAP Creacion de directorio activo
• Incidentes: durante el transcurso de el
periodo de observación se ha percibido
Proxy Bloqueo de paginas
por parte de la entidad mejoras en
Bloqueo de puertos y protección • Seguridad en navegación. navegación, en los servicios de
firewall almacenamiento y velocidad de la red.
de red • Bloqueo de sitios
Empresa 2
• Mejoramiento ambiental: se contribuye

• Aceptar y denegar conexiones seguras o
Eliminación de malwares (virus, inseguras con la reducción de consumo de energía,
Antivirus ya que al implementar soluciones de
troyanos, worms) • Eliminación de códigos maliciosos en los
virtualización se redujo el numero de
ENDIAN equipos y red.
maquinas que la entidad debía haber
Creación de red inalambrica • Creación de red inalámbrica virtual para el
Vlan adquirido y con ello se evita la
abierta acceso de estudiantes y visitante
adquisición de aire acondicionado y UPS
• Detecta y previene intrusiones en la red.
de alta capacidad quede cierta forma
• Genera múltiples servicios de protección a
contribuye al uso de energía limpia
nivel de red y con una inversión mínima.
IDS / IPS Detector y preventor de intrusos (generada por hidroeléctricas).
7zip Compresor de archivos • Mantiene el respaldo de información.

• Asegura a través del cifrado la información que
luego de ser comprimida es enviada por medio
COBIAN BACKUP ftp Tranferencia de archivos del protocolo FTP.
• Los costos son mínimos en comparación al
Aseguramiento de informacion a beneficio que se obtiene.
Cifrado
traves de clave
Fuente: Los autores
115

• Seguridad en navegación. • Reducción de costos: en comparación
Proxy Bloqueo de paginas • Bloqueo de sitios con el mismo modelo de solución de
• Aceptar y denegar conexiones seguras o software propietario se redujo en un
inseguras 82%.
Bloqueo de puertos y protección • Eliminación de códigos maliciosos en los • Seguridad: se aumenta los niveles de
firewall
de red equipos y red. seguridad según el autodiagnóstico ISO
• Conexión a los usuarios móviles a los sistemas aplicado en un 58% teniendo en cuenta
Eliminación de malwares (virus, de información de forma segura, aplica para que solo fueron soluciones de seguridad
ENDIAN Antivirus Gerentes y vendedores. aplicadas a la red y generando protocolos
troyanos, worms)
• Detecta y previene intrusiones en la red. de gestión de la información.
• Genera múltiples servicios de protección a • Incidentes: durante el transcurso de el
Interconectar ciudades y usuarios
VPN nivel de red y con una inversión mínima. periodo de observación se ha percibido
moviles
• Protección a servidor de portal de internet por parte de la entidad mejoras en
corporativo. navegación, en los servicios de
• Protección servidor terminal server. almacenamiento y velocidad de la red.
IDS / IPS Detector y preventor de intrusos • Mejoramiento ambiental: se contribuye
Empresa 3
con la reducción de consumo de energía,

ya que al implementar soluciones de
Virtualización de sistemas virtualización se redujo el numero de
Virtual Box • Reducción de costo por implementación de
operativos maquinas que la entidad debía haber
maquinas individuales. adquirido y con ello se evita la
• No es necesario el pago de licencia. adquisición de aire acondicionado y UPS
• Optimización de espacio físico. de alta capacidad quede cierta forma
• Reducción en compra de UPS. contribuye al uso de energía limpia
CentOS • Permite la administración de Usuarios y (generada por hidroeléctricas).
archivos compartidos entre maquinas Linux y
Acceso a carpetas compartidas
Samba Windows reduciendo el costo de
desde windows a linux
implementación de sistemas operativos
privativos de alto costo.
• Administración de los equipos tecnológicos

• Inventario de activos
Control sobre inventarios de • Plataforma de reporte de incidentes.
GLPI Inventarios
equipos tecnologicos • Seguimiento y control sobre indicadores de
gestión.
Fuente: Los autores
116

• Reducción de costos: en comparación
• Seguridad en navegación.
Proxy Bloqueo de paginas con el mismo modelo de solución de
• Bloqueo de sitios
software propietario se redujo en un
• Aceptar y denegar conexiones seguras o
68%.
inseguras
Bloqueo de puertos y protección • Seguridad: se aumenta los niveles de
• Eliminación de códigos maliciosos en los
firewall seguridad según el autodiagnóstico ISO
de red equipos y red.
aplicado en un 62% teniendo en cuenta
• Conexión a los usuarios móviles a los sistemas
que solo fueron soluciones de seguridad
de información de forma segura, aplica para
Eliminación de malwares (virus, aplicadas a la red y generando protocolos
ENDIAN Antivirus Gerentes y vendedores.
troyanos, worms) de gestión de la información e
• Detecta y previene intrusiones en la red.
inventarios.
• Genera múltiples servicios de protección a
• Incidentes: durante el transcurso de el
Interconectar ciudades y usuarios nivel de red y con una inversión mínima.
VPN periodo de observación se ha percibido
Empresa 4
moviles • Protección a servidor de portal de internet

por parte de la entidad mejoras en
corporativo.
navegación, en los servicios de
• Protección servidor terminal server.
almacenamiento y velocidad de la red.
IDS / IPS Detector y preventor de intrusos • Mejoramiento ambiental: se contribuye
con la reducción de consumo de energía,
Virtualización de sistemas • Reducción de costo por implementación de ya que al implementar soluciones de
Virtual Box maquinas individuales. virtualización se redujo el numero de
operativos
• No es necesario el pago de licencia. maquinas que la entidad debía haber
CentOS • Optimización de espacio físico. adquirido y con ello se evita la
Acceso a carpetas compartidas • Reducción en compra de UPS. adquisición de aire acondicionado y UPS
Samba
desde windows a linux • Permite la administración de Usuarios y de alta capacidad quede cierta forma
archivos compartidos entre maquinas Linux y contribuye al uso de energía limpia
• Administración de los equipos tecnológicos (generada por hidroeléctricas).
• Inventario de activos
Control sobre inventarios de • Plataforma de reporte de incidentes.
GLPI Inventarios
equipos tecnologicos • Seguimiento y control sobre indicadores de
gestión.
Fuente: Los autores
117
10.7 ENCUESTA DE SATISFACCIÓN
Luego de pasado el tiempo de seguimiento se aplicó la herramienta (encuesta)

para medir la efectividad de las implementaciones realizadas. En este caso se
seleccionaron cuatro (4) miembros de forma aleatoria de los respectivos grupos de
trabajo en cada una de las empresas para percibir las opiniones respectivas sobre
la efectividad de las implementaciones realizadas con software libre.
Los resultados fueron satisfactorios ya que los encuestados encuentran un

mejoramiento notorio en los servicios y herramientas aplicadas.
Los resultados fueron los siguientes:
En cuanto la sección 1 de la encuesta que hace parte de funcionamiento de red y

servicios prestados, los usuarios contestaron en su mayoría calificando con una
ponderación alta respecto al concepto y funcionalidad que tenían sobre los
servicios informáticos. Es de aclarar que las empresas 1 y 2 no cuentan con
personal de planta que gestionen y colaboren constantemente con estas labores lo
cual indica que la funcionalidad de las implementaciones esefectiva.
Figura 62. ¿Cree usted que el servicio de internet ha mejorado? (1 = muy pobre 5 = excelente)
0% 0% 0%
19%
R1
R2
R3
R4
R5
81%
Fuente: Los autores
118
Figura 63. ¿Cree usted que mejoro el acceso a la información en la red local? (1 = muy pobre 5 =
excelente)
0% 0%
0% 0%
R1
R2
R3
R4
R5
100%
Fuente: Los autores
Figura 64. ¿Considera seguro el almacenamiento de los archivos en el servidor? (1 = muy pobre 5 =
excelente)
0% 0% 0%
12%
R1
R2
R3
R4
R5
88%
Fuente: Los autores
119
Figura 65. ¿La plataforma de reporte de incidentes técnicos es fácil de manejar (GLPI) (si aplica)? (1 =
muy pobre 5 = excelente)
0%
0% 0%
25%
R1
R2
R3
R4
R5
75%
Fuente: Los autores
Figura 66. ¿La gestión del servicio de sistemas ha mejorado? (1 = muy pobre 5 = excelente)
0%
0% 0%
12%
R1
R2
R3
R4
R5
88%
Fuente: Los autores
120
Para la sección 2 de la encuesta se pretendía observar la repetición de eventos
los cuales eran recurrentes como se demostró en la fase de levantamiento de
información. Esta serie de eventos generaban retrasos en la producción, perdida
en la información e inconvenientes que se prestaban para todo tipo de eventos en
función de la prestación del servicio y buen nombre de las entidades. Por lo pronto
los usuarios afirmaron que los eventos disminuyeron de forma considerable y a su
vez generan confianza en el nuevo proceso que se lleva a cabo para realizar y
apoyar la iniciativa de implementaciones en cada una de las empresas.
Figura 67. ¿Ha experimentado perdida de información?
0% 0% 0%
a) 0
b) 1 a 3
c) 4 a 7
d) 8 a 10
100%
Fuente: Los autores
121
Figura 68. ¿Ha evidenciado eventos atípicos en la maquina (virus)?
0% 0%
0%
a) 0
38%
b) 1 a 3
c) 4 a 7
d) 8 a 10
62%
e) Mas de 10
Fuente: Los autores
Figura 69. ¿Ha experimentado caídas de internet?
0% 0%
0%
19%
a) 0
b) 1 a 3
c) 4 a 7
d) 8 a 10
e) Mas de 10
81%
Fuente: Los autores
122
Figura 70. ¿Considera que los cambios realizados fueron funcionales para la compañía?
0%
Si
No
100%
Fuente: Los autores
123
10.8 GRAFICAS RESUMEN GERENCIAL SOBRE SATISFACCIÓN
Tabla 15.Resultado satisfacción empresa 1
Resultado Satisfacción Empresa 1

1 ¿Cree usted que el servicio de internet ha mejorado? 4,75
2 ¿cree usted que mejoro el acceso a la información en la red local? 5
¿considera seguro el almacenamiento de los archivos en el servidor? 4,75
¿la plataforma dereporte de incidentes técnicos es fácil de manejar (GLPI) (si aplica)? 0
 ¿La gestión del servicio de sistemas ha mejorado? 4,75
Fuente: Los autores
124
Figura 71. Resultado Satisfacción Empresa 1
Resultado Satisfaccion Empresa 1
5
4
3
2
1
0
1 ¿Cree 2 ¿cree 3 ¿considera 4 ¿la 5 ¿La
usted que el usted que seguro el plataforma gestión del
servicio de mejoro el almacenami de reporte servicio de
internet ha acceso a la ento de los de sistemas a
mejorado? información archivos en incidentes mejorado?
en la red… el servidor? técnicos es…
Resultado Satisfaccion Empresa 1 4,75 5 4,75 0 4,75
Fuente: Los autores
Tabla 16. Resultado satisfacción empresa 1 (continuación)

6. ¿Ha experimentado perdida de información? 0
7. ¿A evidenciado eventos atípicos en la maquina (virus)? 0,75
8. ¿Ha experimentado caídas de internet? 0,25
9. ¿Considera que los cambios realizados fueron funcionales para la compañía? 4
Fuente: Los autores
125
Figura 72. Resultado Satisfacción Empresa 1 (continuación)
4
3
2
1
0
6. ¿A 7. ¿A 8. ¿A 9. ¿Considera
experimentad evidenciado experimentad que los
o perdida de eventos o caídas de cambios
información? atípicos en la internet? realizados
maquina fueron
(virus)? funcionales…
Resultado Satisfaccion Empresa 1 0 0,75 0,25 4
Fuente: Los autores
Tabla 17. Resultado satisfacción empresa 2

¿la plataforma de reporte de incidentes técnicos es fácil de manejar (GLPI) (si aplica)? 0
Fuente: Los autores
126
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
1 ¿Cree usted 2 ¿cree usted 3 ¿considera 4 ¿la 5 ¿La gestión
que el servicio que mejoro el seguro el plataforma de del servicio de
de internet ha acceso a la almacenamien reporte de sistemas a
mejorado? información to de los incidentes mejorado?
en la red local? archivos en el técnicos es
servidor? fácil de
manejar (GLPI)
(si aplica)?
Resultado Satisfaccion Empresa 2 4,5 5 4,75 0 4,75
Fuente: Los autores
127
Tabla 18.Resultado satisfacción empresa 2 (continuación)

Fuente: Los autores

4
3,5
3
2,5
2
1,5
1
0,5
0
6. ¿A 7. ¿A 8. ¿A 9. ¿Considera
experimentado evidenciado experimentado que los cambios
perdida de eventos atípicos caídas de realizados fueron
información? en la maquina internet? funcionales para
(virus)? la compañía?
Fuente: Los autores
128
Tabla 19.Resultado satisfacción empresa 3

1 ¿Cree usted que el servicio de internet ha mejorado? 5
¿considera seguro el almacenamiento de los archivos en el servidor? 5
¿la plataforma de reporte de incidentes técnicos es fácil de manejar (GLPI) (si aplica)? 4,5
 ¿La gestión del servicio de sistemas ha mejorado? 5
Fuente: Los autores
5
4,9
4,8
4,7
4,6
4,5
4,4
4,3
4,2
1 ¿Cree 2 ¿cree 3 ¿considera 4 ¿la 5 ¿La
usted que el usted que seguro el plataforma gestión del
servicio de mejoro el almacenamie de reporte servicio de
internet ha acceso a la nto de los de incidentes sistemas a
mejorado? información archivos en técnicos es mejorado?
en la red el servidor? fácil de
local? manejar…
Resultado Satisfaccion Empresa 3 5 5 5 4,5 5
Fuente: Los autores
129
Tabla 20. Resultado satisfacción empresa 3 (continuación)

7. ¿Ha evidenciado eventos atípicos en la maquina (virus)? 0,25
Fuente: Los autores
4
3,5
3
2,5
2
1,5
1
0,5
0
6. ¿A 7. ¿A 8. ¿A 9. ¿Considera
perdida de eventos atípicos caídas de realizados
información? en la maquina internet? fueron
(virus)? funcionales
para la
compañía?
Fuente: Los autores
130
Tabla 21. Resultado satisfacción empresa 4

1 ¿Cree usted que el servicio de internet ha mejorado? 5
¿considera seguro el almacenamiento de los archivos en el servidor? 5
¿la plataforma de reporte de incidentes técnicos es fácil de manejar (GLPI) (si aplica)? 5
 ¿La gestión del servicio de sistemas ha mejorado? 5
Fuente: Los autores
Resultado Satisfaccion Usuarios 4

Título del eje
5
4
3
2
1
0
1 ¿Cree 2 ¿cree 3 ¿considera 4 ¿la 5 ¿La gestión
usted que el usted que seguro el plataforma del servicio
servicio de mejoro el almacenamie de reporte de sistemas a
internet ha acceso a la nto de los de incidentes mejorado?
mejorado? información archivos en técnicos es
en la red el servidor? fácil de
local? manejar…
Resultado Satisfaccion Empresa 4 5 5 5 5 5
Fuente: Los autores
131
Tabla 22.Resultado satisfacción empresa 4 (continuación)

7. ¿A evidenciado eventos atípicos en la maquina (virus)? 0
8. ¿Ha experimentado caídas de internet? 0
Fuente: Los autores
Resultado Satisfaccion Usuarios Empresa 4
4
3,5
Título del eje
3
2,5
2
1,5
1
0,5
0
6. ¿A 7. ¿A 8. ¿A 9. ¿Considera
perdida de eventos atípicos caídas de realizados
información? en la maquina internet? fueron
(virus)? funcionales para
la compañía?
Resultado Satisfaccion Empresa 4 0 0 0 4
Fuente: Los autores
132
Tabla 23. Resultado general de satisfacción
Resultado Satisfacción general (4 empresas)

2 ¿cree usted que mejoro el acceso a la información en la red local? 5,00
¿la plataforma de reporte de incidentes técnicos es fácil de manejar (GLPI) (si aplica)? 4,75
Fuente: Los autores
Figura 79. Resultado General de satisfacción
Resultado Satisfaccion general (4 empresas)
5,00
4,95
Título del eje
4,90
4,85
4,80
4,75
4,70
4,65
4,60
1 ¿Cree 2 ¿cree 3 4 ¿la 5 ¿La
usted que usted que ¿considera plataforma gestión del
el servicio mejoro el seguro el de reporte servicio de
de internet acceso a la almacenam de sistemas a
ha informació iento de los incidentes mejorado?
mejorado? n en la red archivos en técnicos es
local? el servidor? fácil de…
Resultado Satisfaccion general (4 empresas) 4,81 5,00 4,88 4,75 4,88
Fuente: Los autores
133
Tabla 24.Resultado general de satisfacción (continuación)
Resultado Satisfacción general (4 empresas)

6. ¿Ha experimentado perdida de información? -
9. ¿Considera que los cambios realizados fueron funcionales para la compañía? 4,00
Fuente: Los autores
Figura 80. Resultado General de Satisfacción (continuación)
Resultado Satisfaccion general (4 empresas)
4,00
3,50
3,00
2,50
2,00
1,50
1,00
0,50
-
6. ¿A 7. ¿A 8. ¿A 9.
experimenta evidenciado experimenta ¿Considera
do perdida eventos do caídas de que los
de atípicos en la internet? cambios
información? maquina realizados
(virus)? fueron…
Resultado Satisfaccion general (4 empresas) - 0,38 0,19 4,00
Fuente: Los autores
134
11 LISTADO DE SOFTWARE LIBRE
11.1 FIREWALL LIBRES PARA PYMES
11.1.1 Endian
Excelente herramienta para implementar en pymes. Es muy estable, provee servicios de firewall,
proxy, vpn, IPS/IDS, router, reportes de accesos, logs de seguridad entre otros.
Requerimientos:
Memoria 512 o Superior
Ethernet 5 x 10/100/1000 Mbps (max 5 tarjetas)
Disco Duro 20 Gigas
Procesador Procesador x86 o superior
11.1.2 ClearOS
Filtro de contenido, detector de intrusos, control de acceso. Opera como router, proxy y/o Dns.
Permite implementar Ldap, puede funcionar como “Directorio Activo”
Requerimientos:
Memoria 1 Giga
Ethernet 4 x 10/100/1000 Mbps
Disco Duro 40 Gigas
Procesador Procesador x86 o superior
135
11.1.3 Zentyal
Completa herramienta para implementar en Pymes. Contiene active directory, dhcp, dns, ftp,
firewall, groupware, http, proxy IDS, vpn, vlan, voip, servidor de correo entre otros.
Requerimientos:
Memoria 2 Gigas
Ethernet 2 x 10/100/1000 Mbps o mas
Disco Duro 80 Gigas
Procesador Pentium 4 o equivalente
11.2 DISPOSITIVOS DE ALMACENAMIENTO (NAS)
11.2.1 OpenFiler
Es una distribución de Linux que permite el almacenamiento de datos a

través de la red. Maneja permisos mediante LDAP o contra un directorio
activo. Su instalación es muy fácil e intuitiva. Permite compartir archivos
mediante NFS, SMB/CIFS, FTP, mediante listas de control de accesos.
Requerimientos:
Memoria 1 Gigas
Disco Duro Por ser un dispositivo de almacenamiento el tamaño lo define

el administrador de sistemas. Desde 80 Gigas
136
11.2.2 FreeNas
Es un servidor NAS (Network Attached Storage), soporta CIFS, FTP, NFS.

Interface web de configuración. No requiere una configuración muy alta,
ocupa muy poco espacio, tiene una administración sencilla.
Requerimientos:
Memoria 512 Megas
Disco Duro Por ser un dispositivo de almacenamiento el tamaño lo define

el administrador de sistemas. Desde 20 Gigas
11.3 BASES DE DATOS
11.3.1 MySql
Es una de las bases de datos más empleada a nivel mundial. Su rendimiento,

estabilidad y sobre todo el ser libre, hace que esta herramienta sea considerada
como una alternativa en la implementación de un proyecto de desarrollo
tecnológico. En la actualidad pasa por una etapa donde su futuro es incierto, ya
que ha sido adquirido en los últimos años por dos compradores (Sun Microsystem
y Oracle). Se desconoce si dejara de ser software libre a privativo.
Requerimientos:
Memoria 512 Megas o superior
Sistema Operativo Preferiblemente Linux y/o Windows
Disco Duro 20 Gigas o superior
Procesador X86 o equivalente
137
11.3.2 PostgreSQL
Excelente base de datos, funciona en diferentes sistemas operativos, maneja

soporte a través de listas, muy buena documentación, por defecto es una de las
bases de datos más seguras que existe, permite generar permisos por columnas
algo que en otras bases de datos no se da. Es totalmente libre, e integra servicios
de inteligencia de negocios.
Requerimientos:
Sistema Operativo Linux, Windows, Solaris
11.3.3 MariaDB
Esta base de datos es una alternativa para aquellos desarrolladores que venían
trabajando con Mysql. A primera vista, no tiene cambios drásticos de
funcionamiento. Es de los mismos creadores de Mysql, por ello, se puede
garantizar que es un producto estable y fiable, así su nombre no sea muy
conocido.
Requerimientos:
Sistema Operativo Linux, Solaris
138
11.4 TELEFONÍA
11.4.1 Asterisk
Permite implementar funcionalidades de una central telefónica. Es Open Source,

multiprotocolo. Es empleado para uso doméstico o empresarial. Permite manejar
extensiones, Buzones de Voz, Menús IVR, soporte de video entre otros.
Requerimientos:
Sistema Operativo Linux
11.4.2 Elastix
Es una solución que se fundamente en 4 aplicativos como son Asterisk, Hylafax,

OpenFire y Postfix. Estos permiten ofrecer los servicios de PBX, Fax, Mensajería
Instantánea e Email. El sistema operativo se fundamenta en Centos. Una de las
bondades de Elastix radica en tener una interface web para facilidad de su
administración.
Requerimientos:
Memoria 512 Megas o superior según el número de usuarios requiere más

recurso.
139
11.5 MONITOREO DE REDES
11.5.1 PandoraFMS
Es una solución que permite determinar el rendimiento y disponibilidad de los

recursos de una red. Monitorea los recursos, emite alarmas por email, SMS,
pantalla entre otros. Su administración se hace mediante consola web, lo que
facilita su operación. Permite exportar la información a archivos csv.
Requerimientos:

recurso.
Se integra con un software llamado Integra para la emisión de mensajes.
11.5.2 Ossim
Se puede considerar como un framework que permite capturar información de los

dispositivos que se encuentren en una red. El objetivo es detectar anomalías,
determinar impacto de eventos, y visualizar el estado de la red. Es una solución
que integra aprox. 22 herramientas como snort, nessus, ntop, nmap, nagios entre
otros.
Requerimientos:

recurso.
140
Base de datos Mysql
Apache
11.5.3 Nagios
Software para monitorear sistemas y redes informáticos. Revisa equipos y

servicios que se especifique, informa cuando se presentan anomalías de
comportamiento. El monitoreo de red se hace mediante smtp, pop3, http, ping, etc.
Recursos de host como carga de procesador, uso de discos, memoria. Notificación
a contactos cuando se presentan alarmas mediante email, mensaje de texto,
otros.
Requerimientos:
Memoria 1 Giga. Recomendado
Sistema Operativo Linux – Unix
Base de datos MySql
11.6 INVENTARIO DE ACTIVOS
11.6.1 Glpi
Es un software que ayuda en la administración de recursos informáticos y de

software, con ello se puede lograr el control sobre los dispositivos que una
organización cuenta. Adicionalmente, cuenta con opción de soporte a usuarios,
seguimiento de incidentes, mesa de ayuda entre otros.
141
Requerimientos:
Memoria 512 Megas.
Base de Datos MySql
Software Desarrollo PHP4 o PHP5
11.6.2 KmKey
Software libre, desarrollado para ambiente web, trabaja en multi-idioma, multi-

entorno se puede trabajar con herramientas Microsoft u Open Source. Permite
manejar tanto proyectos informáticos como administración de activos.
Requerimientos:
Memoria 512 Megas.
Base de datos MySql
11.6.3 GenOs
Gestor de servicios ITIL, el cual integra módulos de gestión de incidencias, gestión

de inventario, gestión del cambio, SLA. Se integra con LDAP, active Directory.
Open Source.
142
Requerimientos:
Memoria 1 Giga. Recomendado
Sistema Operativo Linux – Unix
Base de datos MySql
143
12. RESULTADOS Y CONCLUSIONES
Los resultados del presente estudio se pueden generalizar básicamente sobre 4 aspectos
importantes que durante el proceso fueron el eje fundamental y que a su vez fue la base
para la generación de nuevas posibilidades en el proceso de aprendizaje.
12.1 BENEFICIOS OBTENIDOS
Si bien es cierto que el realizar implementaciones y proyectos en cualquier área requiere

una planeación adecuada para la ejecución de las tareas, el llevar a cabo procesos de
análisis y recolección de datos de forma imparcial permite generar una visión aplicada
sobre las necesidades corporativas, es decir que al desarrollar las actividades descritas
en este estudio permitió tener claridad sobre conceptos y herramientas como posibles
soluciones y alternativas para el campo empresarial.
En la actualidad no es indispensable disponer de un capital económico de gran volumen
para iniciar procesos de aseguramiento de la información y planta física, tal vez según los
reportes y análisis de los datos recolectados pensar en seguridad como beneficio final es
más importante que idealizar un esquema de aseguramiento solo con el fin de aplicar
controles a nivel empresarial, no obstante en la actualidad se ve reflejado que existe una
relación proporcional en el proceso de aseguramiento y la disponibilidad de recurso
económico limitando de forma significativa la evolución y puesta en marcha de planes y
proyectos.
Uno de los beneficios claves presentado en el documento actual es la importancia de

generar un análisis consiente sobre los riesgos a los que se encuentra expuesta la
organización, pues con base en esa recolección de información se obtiene la claridad del
estado de cada compañía y tomando como referencia esos datos se generaran planes y
estrategias para la mitigación de riesgos y control de las amenazas. Si bien es cierto que
para ejecutar estos planes es necesaria inversión se demostró claramente que de forma
esquemática y sencilla se pueden implementar herramientas a un mínimo coste con un
144
alto grado de efectividad reduciendo riesgos y amentando seguridad sin desplazar
grandes cantidades del presupuesto empresarial a implementaciones que quizá puedan
ser innecesarias.
12.2 EFECTIVIDAD DEL SOFTWARE LIBRE
En cuanto a este tema luego de 3 y 4 meses realizando tareas de supervisión,

capacitación, mantenimiento y observación de las herramientas implementadas da como
resultado la satisfacción de los gerentes en los respectivos campos de prueba donde
fueron implantados, pues desde el primer momento cumplieron con los requerimientos
expuestos por cada una de las personas que creyeron en la viabilidad de realizar
cambios o implementar herramientas basadas en software libre y muy posiblemente este
sea el inicio de muchas otras implementaciones sobre esta clase de plataformas para
estos lugares ya que solo con hechos se cambiara la percepción en la comunidad
empresarial sobre la efectividad y eficiencia del software libre como posible alternativa
para la estructuración de áreas de sistemas a nivel corporativo.
12.3 RIESGOS Y VULNERABILIDADES
No basta con implementar soluciones con software libre o software privativo para
asegurar la información de una organización. También se requiere crear conciencia que
estas implementaciones son cíclicas, que necesitan ser gestionadas para evidenciar el
comportamiento en un medio cambiante. La implementación es solo el primer paso,
posterior a ello es necesario generar o establecer unas métricas para evidenciar la
evolución de dicha implementación. Estos indicadores ayudaran a establecer mejoras
continuas, a tomar las medidas que se requieran para optimizar los procesos. Estas
herramientas sean libres o no, hacen más competitivas a las organizaciones en un medio
global donde la tecnología juega un papel preponderante.
145
12.4 ¡LO IMPORTANTE NO ES EL SOFTWARE ES EL CONOCIMIENTO!
Es claro que el conocimiento sobre software libre no es el suficiente en el campo

empresarial. Pero así mismo es claro que los gerentes no deben conocer a fondo que es
el software libre, en lo que si deben tener claridad las empresas, gerentes, personal
financiero, administrativo y juntas directivas es que contar con personal capacitado para
cada cargo permite tener un óptimo rendimiento y efectividad en el desempeño de las
labores y de forma sencilla podría generarse una ganancia a nivel de la organización en
sus procesos.
En el caso específico del personal de sistemas las empresas mínimo deberían contar con
una persona experta en la gestión, administración e implementación de procesos pues si
bien es cierto en los casos planteados en el presente estudio, se aplicaron herramientas
para aseguramiento de la información pero de igual manera existe un número elevado de
posibilidades y opciones listas para ser ingresadas en el campo empresarial algunas a
muy bajo costo y algunas otras sin costo alguno que pueden alterar el curso de un
departamento y por qué no de una organización como en el caso planteado para el objeto
de estudio 1 y 2.
Las grandes empresas y algunas PYMES podrán tener el presupuesto y disposición para
la realización de un número determinado de proyectos durante un periodo de tiempo
específico, pero el factor fundamental para planear y ejecutar estas inversiones son los
líderes de cada uno de los procesos corporativos, pues la alta gerencia cuenta con su
apoyo y gestión para la realización y cuidado del factor económico empresarial pero aun
así la persona encargada debe contar con un numero de posibilidades idóneas para ser
implantadas como parte de sus procesos, lo difícil es realizar implementaciones sin
conocimiento de causa o manejo de las herramientas, lo cual expone de forma
significativa el presupuesto y la información.
Muchas corporaciones realizan las inversiones con base en casos de éxito que por razón
alguna descubrieron o escucharon; pero por falta de claridad y el conocimiento de sus
necesidades específicas, permiten que caigan en el error de inversiones que no cubren
146
sus expectativas. Este a su vez es el error frecuente como lo visualizamos en el caso 3 y
4 pues sin bases comparativas realizaron esquemas e implementaciones sin observar
herramientas existentes o alguna otra alternativa que se le presentase en el momento.
Finalmente no importa el software si es privativo o libre pues uno de los resultados del
presente documento y tal vez uno de los más importantes fue que independientemente
de la clase de plataforma o esquema a implementar sea licenciado o libre lo que debe
interesar es si se cuenta con el conocimiento real para realizar las implementaciones y/o
configuraciones pues en ese proceso es donde tanto el software libre como el privativo
pierde toda validez y seguridad.
147
13. TERMINOS Y DEFINICIONES
ACCIÓN CORRECTIVA:
Medida de tipo reactivo orientada a eliminar la causa de una no conformidad
asociada a la implementación y operación del SGSI con el fin de prevenir su
repetición.
ACCIÓN PREVENTIVA:
Medida de tipo pro-activo orientada a prevenir potenciales no-conformidades
asociadas a la implementación y operación del SGSI.
ACEPTACIÓN DEL RIESGO:

Decisión de aceptar un riesgo.
ACTIVO:
En relación con la seguridad de la información, se refiere a cualquier información o
sistema relacionado con el tratamiento de la misma que tenga valor para la
organización.
ALCANCE:
Ámbito de la organización que queda sometido al SGSI. Debe incluir la
identificación clara de las dependencias, interfaces y límites con el entorno, sobre
todo si sólo incluye una parte de la organización.
ALERTA:
Una notificación formal de que se ha producido un incidente relacionado con la
seguridad de la información que puede evolucionar hasta convertirse en desastre.
148
AMENAZA:
Causa potencial de un incidente no deseado, el cual puede causar el daño a un
sistema o la organización.
ANÁLISIS DE RIESGOS:
Uso sistemático de la información para identificar fuentes y estimar el riesgo.
ANÁLISIS DE RIESGOS CUALITATIVO:

Análisis de riesgos en el que se usa una escala de puntuaciones para situar la
gravedad del impacto.
ANÁLISIS DE RIESGOS CUANTITATIVO:

Análisis de riesgos en función de las pérdidas financieras que causaría el impacto.
.
AUDITOR:
Persona encargada de verificar, de manera independiente, la calidad e integridad
del trabajo que se ha realizado en un área particular.
AUDITORÍA:
Proceso planificado y sistemático en el cual un auditor obtiene evidencias
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad
del SGSI de una organización.
AUTENTICACIÓN:
Proceso que tiene por objetivo asegurar la identificación de una persona o
sistema.
149
B
BS7799:
Estándar británico de seguridad de la información, publicado por primera vez en
1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de
buenas prácticas para la gestión de la seguridad de la información -no es
certificable- y la parte segunda especifica el sistema de gestión de seguridad de la
información -es certificable-. La parte primera es el origen de ISO 17799 e ISO
27002 y la parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya,
por la aparición de estos últimos.
BSI:
British Standards Institution. Comparable al AENOR español, es la Organización
que ha publicado la serie de normas BS 7799, además de otros varios miles de
normas de muy diferentes ámbitos.
CHECKLIST:
Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener
claros los objetivos de la auditoría, sirve de evidencia del plan de auditoría,
asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga
de trabajo. Este tipo de listas también se pueden utilizar durante la implantación
del SGSI para facilitar su desarrollo.
COMPROMISO DE LA DIRECCIÓN:
Alineamiento firme de la Dirección de la organización con el establecimiento,
implementación, operación, monitorización, revisión, mantenimiento y mejora del
SGSI.
150
CONFIDENCIALIDAD:
Acceso a la información por parte únicamente de quienes estén autorizados.
CONTROL:
Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo
del nivel de riesgo asumido. (Nota: Control es también utilizado como sinónimo de
salvaguarda o contramedida).
CONTROL CORRECTIVO:
Control que corrige un riesgo, error, o acto deliberado antes de que produzca
pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige.
CONTROL DETECTIVO:
Control que detecta la aparición de un riesgo, error, omisión o acto deliberado.
Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
CONTROL PREVENTIVO:
Control que evita que se produzca un riesgo, error, omisión o acto deliberado.
Impide que una amenaza llegue siquiera a materializarse.
DECLARACIÓN DE APLICABILIDAD:
Documento que enumera los controles aplicados por el SGSI de la organización -
tras el resultado de los procesos de evaluación y tratamiento de riesgos- además
de la justificación tanto de su selección como de la exclusión de controles incluidos
en el anexo A de la norma.
151
DESASTRE:
Cualquier evento accidental, natural o malintencionado que interrumpe las
operaciones o servicios habituales de una organización durante el tiempo
suficiente como para verse la misma afectada de manera significativa.
DIRECTIVA:
Una descripción que clarifica qué debería ser hecho y cómo, con el propósito de
alcanzar los objetivos establecidos en las políticas.
DISPONIBILIDAD:
Acceso a la información y los sistemas de tratamiento de la misma por parte de los
usuarios autorizados cuando lo requieran.
EVALUACIÓN DE RIESGOS:
Proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el
objeto de determinar la importancia del riesgo.
EVENTO:
Suceso identificado en un sistema, servicio o estado de la red que indica una
posible brecha en la política de seguridad de la información o fallo de las
salvaguardias, o una situación anterior desconocida que podría ser relevante para
la seguridad.
FASE 1 DE LA AUDITORÍA:
Fase en la que, fundamentalmente a través de la revisión de documentación, se
analiza en SGSI en el contexto de la política de seguridad de la organización, sus
152
objetivos, el alcance, la evaluación de riesgos, la declaración de aplicabilidad y los
documentos principales, estableciendo un marco para planificar la fase 2.
FASE 2 DE LA AUDITORÍA:
Fase en la que se comprueba que la organización se ajusta a sus propias
políticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de
ISO 27001 y que está siendo efectivo.
GESTIÓN DE CLAVES:
Controles referidos a la gestión de claves criptográficas.
GESTIÓN DE RIESGOS:
Proceso de identificación, control y minimización o eliminación, a un coste
aceptable, de los riesgos que afecten a la información de la organización. Incluye
la valoración de riesgos y el tratamiento de riesgos.
IMPACTO:
El coste para la empresa de un incidente de la escala que sea, que puede o no ser
medido en términos estrictamente financieros ej., pérdida de reputación,
implicaciones legales, etc.
INCIDENTE:
Evento único o serie de eventos de seguridad de la información inesperados o no
deseados que poseen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información.
153
INTEGRIDAD
Mantenimiento de la exactitud y completitud de la información y sus métodos de
proceso.
INVENTARIO DE ACTIVOS:
Lista de todos aquellos recursos (físicos, de información, software, documentos,
servicios, personas, reputación de la organización, etc.) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos
de potenciales riesgos.
ISO:
Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es
una agrupación de organizaciones nacionales de normalización cuyo objetivo es
establecer, promocionar y gestionar estándares.
ISO 17799:
Código de buenas prácticas en gestión de la seguridad de la información adoptado
por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO
27002 por cambio de nomenclatura el 1 de Julio de 2007.No es certificable.
ISO 27001:
Estándar para sistemas de gestión de la seguridad de la información adoptado por
ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera
publicación en 2005
ISO 27002:
Código de buenas prácticas en gestión de la seguridad de la información
154
N
NO CONFORMIDAD:
Situación aislada que, basada en evidencias objetivas, demuestra el
incumplimiento de algún aspecto de un requerimiento de control que permita dudar
de la adecuación de las medidas para preservar la confidencialidad, integridad o
disponibilidad de información sensible, o representa un riesgo menor.
NO CONFORMIDAD GRAVE:
Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en
evidencias objetivas, permita dudar seriamente de la adecuación de las medidas
para preservar la confidencialidad, integridad o disponibilidad de información
sensible, o representa un riesgo inaceptable.
OBJETIVO:
Declaración del resultado o fin que se desea lograr mediante la implementación de
procedimientos de control en una actividad de TI determinada.
PDCA:
Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las
actividades de planificar (establecer el SGSI), realizar (implementar y operar el
SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el
SGSI).
155
PLAN DE CONTINUIDAD DEL NEGOCIO:
Plan orientado a permitir la continuación de las principales funciones del negocio
en el caso de un evento imprevisto que las ponga en peligro.
PLAN DE TRATAMIENTO DE RIESGOS:

Documento de gestión que define las acciones para reducir, prevenir, transferir o
asumir los riesgos de seguridad de la información inaceptables e implantar los
controles necesarios para proteger la misma.
POLÍTICA DE SEGURIDAD:
Documento que establece el compromiso de la Dirección y el enfoque de la
organización en la gestión de la seguridad de la información.
RIESGO:
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información.
RIESGO RESIDUAL:
El riesgo que permanece tras el tratamiento del riesgo.
SALVAGUARDIA:
Véase: Control.
SEGREGACIÓN DE TAREAS:
Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un
mal uso de los sistemas e informaciones deliberado o por negligencia.
156
SEGURIDAD DE LA INFORMACIÓN:
Preservación de la confidencialidad, integridad y disponibilidad de la información;
además, otras propiedades como autenticidad, responsabilidad, no repudio y
fiabilidad pueden ser también consideradas.
SELECCIÓN DE CONTROLES:
Proceso de elección de los controles que aseguren la reducción de los riesgos a
un nivel aceptable.
SGSI:
Sistema de Gestión de la Seguridad de la Información. Que, basado en el análisis
de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la
seguridad de la información. (Nota: el sistema de gestión incluye una estructura de
organización, políticas, planificación de actividades, responsabilidades,
procedimientos, procesos y recursos.)
SERVICIOS DE TRATAMIENTO DE INFORMACIÓN:

Cualquier sistema, servicio o infraestructura de tratamiento de información o
ubicaciones físicas utilizados para su alojamiento.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN:

Ver SGSI.
TRATAMIENTO DE RIESGOS:
Proceso de selección e implementación de medidas para modificar el riesgo.
157
V
VALORACIÓN DE RIESGOS:
Proceso completo de análisis y evaluación de riesgos.
VULNERABILIDAD:
Debilidad en la seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo.
158
BIBLIOGRAFIA
Alvira Martín, Francisco. (2002). Perspectiva cualitativa / perspectiva cuantitativa

en la metodología sociológica. Mc Graw Hill.Mexico DF.
Cabrero García L, Richart Martínez M. (1996) El debate investigación cualitativa

frente a investigación cuantitativa Enfermería clínica, México DF.
Calero JL. (2000) Investigación cualitativa y cuantitativa. Problemas no resueltos

en los debates actuales. Rev. Cubana Endocrinol 2000; 11 (3): 192-8.
Campbell D, Stanley J. (2002)Diseños experimentales y cuasi experimentales en

la investigación social. Buenos Aires: Ammorrortu Editores; Argentina
Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Políticas de

Seguridad Informática (PSI). Universidad de los Andes, Colombia.
Cook T.D & Retechardt, Ch., (2004). Métodos Cuantitativos y Cualitativos en

investigación Educativa. Madrid – Morata
Eladio Zacarías Ortiz. Así se Investiga, Pasos para hacer una Investigación.
Clásicos Roxsil. 2000. ISBN 84-89899-30-4
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Norma

Técnica Colombiana Referencias Bibliográficas, Contenido, Forma y Estructura
NTC 5613. Bogotá: ICONTEC, 2008. 38p.
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Norma

Técnica Colombiana Referencias Documentales Para Fuentes de Información
Electrónicas NTC 4490. Bogotá: ICONTEC, 1998. 27p.
INTITUTO COLOMBIANO DE NORMALIZACION Y CERTIFICACION. Sistema de

Gestión de seguridad de la información. NTC – ISO/IEC 27001:2005. Bogotá.DC
MARGERIT – Versión 2. Medología de Análisis y Gestión de Riesgos de los

Sistemas de Información. MINISTERIO DE ADMINISTRACIONES PÚBLICAS.
Madrid, 20 de junio de 2006
Mella, Orlando. (1998). Naturaleza y orientaciones teórico – metodológicas de la

investigación cualitativa. Disponible en Internet desde:
http://www.reduc.cl/reduc/mella.pdf [con acceso el 02-09- 2006]
159
NORMA TECNICA INTERNACIONAL. Tecnología de la Información – Técnicas de
seguridad – Código para la práctica de la gestión de la seguridad de la
información. ESTÁNDAR INTERNACIONAL ISO/IEC 17799. Segunda edición
2006
NORMA TECNICA INTERNACIONAL. Information technology – Security

techniques – Information security management system implementation guidance.
INTERNATIONAL STANDAR ISO/IEC 27003. First edition 2010
Organisation for Economic Cooperation and Development (OEDC) Guidelines for

Security of Information Systems. 1992.
Popper Karl R. (2005) La lógica de la investigación científica. Barcelona: Círculo

de Lectores; España.
Reichart ChS, Cook TD. (2001) Hacia una superación del enfrentamiento entre los
métodos cualitativos y cuantitativos. En: Cook TD, Reichart ChR (ed). Métodos
cualitativos y cuantitativos en investigación evaluativa. Madrid: Morata.
Stallman, Richard M. Software libre para una sociedad libre. Ed. Traficantes de Sueños.
España. 2004. p.99
Swanson, et al. (1996) National Institute of Standard and Technology (NIST).

General Principles for Information Systems Security Policies.
Taylor, S.J. y R. Bogdan. (2004). Introducción a los métodos cualitativos de

investigación, Barcelona: Paidos. España
160
URLs
Tomado del artículo “5 cifras espeluznantes de la inseguridad informática”

http//www.enter.co/seguridad/5-cifras-espeluznantes-de-la-inseguridad-informatica-disi-
2010/
Tomado del artículo “Consecuencias derivadas de los incidentes de seguridad”

http//www.inteco.es/indicators/Segurtasuna/Behatokia/Adierazleak/Indicador_INT164
Articulo IV Encuesta Latino Americana de Seguridad de la Información 2012

http//www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/Presentaci
onJeimyCano-IVELSI.pdf
Portal oficial GNU http//www.gnu.org/philosophy/free-sw.es.html
Blog seguridad informática Febrero 2010

http//seguridadinformacioncolombia.blogspot.com/2010/02/experiencia-personal-
dificultades-en-la.html
http//www.iso27000.es/iso27000.html#section3c
Metodologías Análisis de Riesgo 2008

http//secugest.blogspot.com/2008/11/metodologias-de-analisis-de-riesgos.html
IEEE Standard Glossary of Software Engineering Terminology 1990

http//www.idi.ntnu.no/grupper/su/publ/ese/ieee-se-glossary-610.12-1990.pdf pag 66
Portal oficial GNU http//www.gnu.org/philosophy/free-sw.es.html
Diccionario definiciones Online http//potlatch.wikidot.com/definicionessoftware-privativo
Enciclopedia online http//es.wikipedia.org/wiki/Software_libre
161
Guía del derecho de software, Cenatic 2009 http//oca.usal.es/documentos/guia-juridica-
20090701.pdf pg 22
Educational Community License http//opensource.org/licenses/ecl2.php
Artículo “El Derecho de Autor en la Era Digital” 2012
http//www.iered.org/miembros/ulises/representacion-ideas/Derechos-
Autor/propiedad_intelectual_en_la_legislacin_colombiana.html
Artículo “¿Que es un incidente Informático?” http//www.caescr.com/que-es-un-incidente-

informatico
http//seguinfo.wordpress.com/2009/03/05/metodologias-de-analisis-de-riesgo-2/
Documento controles ISO/IEC 27002

http//www.iso27000.es/download/ControlesISO27002-2005.pdf
Encuesta “Sobre preparación ante desastres en la PYMES” Symantec, 2012,

”http//www.symantec.com/content/es/mx/enterprise/images/theme/smb-disaster-
recovery/Reporte-2012-Disaster-Preparedness-Survey-SPA-LAM.pdf pag 9
Artículo “Plan de continuidad de negocios” Junio 2010

http//seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-continuidad-de-
negocios-o.html
Revista de la Asociación Colombiana de Ingenieros, 2010

http//www.acis.org.co/fileadmin/Revista_115/investigacion.pdf pag 43

162
Artículo, Diario el mundo, “El software libre en Colombia”, abril de 2011

http//www.elmundo.com/portal/resultados/detalles/?idx=176377
Diccionario online RAE, http//lema.rae.es/drae/?val=investigacion
Leyes tributarias sobre sanciones por incumplimiento, portal informativo,

http//www.estatutotributario.com/libro5-titulo3.html
Artículo “¿Qué es Itil?” 2008, http//seguinfo.wordpress.com/2008/12/03/%C2%BFque-es-

itil-2/
Presentación “¿Qué es BCP/DRP?” Asociación Colombiana de Ingenieros,

http//www.acis.org.co/fileadmin/Conferencias/DRP_BCP.pdf
Portal oficial CentOS http//wiki.centos.org/HowTos/KVM
Portal Oficial Ubuntu http//www.ubuntu.com/
Diccionario online http//dictionary.reference.com/browse/hacking
http://www.enter.co/seguridad/5-cifras-espeluznantes-de-la-inseguridad-
informatica-disi-2010/
http://www.softwarelibre.cl/drupal//?q=node/717
http://oca.usal.es/documentos/guia-juridica-20090701.pdf
http://www.ibiblio.org/pub/linux/docs/LuCaS/Informes/informe-seguridad-
SL/informe-seguridad-SL-html/sw-libre.html
http://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja
&ved=0CGAQFjAB&url=http%3A%2F%2Fwww.suscerte.gob.ve%2Findex.php%2F
es%2Fla-institucion%2Fbiblioteca-suscerte%2Ftalleres-y-formacion%2F229-
presentacion-vencert%2Fdownload&ei=gpItUPPoNIi-
9QTtuYCoCg&usg=AFQjCNFTQTx0bSmp6liEtepNHH0zFcZWqA&sig2=2vUogfP9
qZIlzWekkdJybQ
163
http://www.microsoft.com/spain/technet/recursos/articulos/srsgch06.mspx
http://www.xtech.com.ar/servicios/migraciones-de-software-privativo-a-software-
libre/
http://protejete.wordpress.com/descargas/
http://seguinfo.wordpress.com/category/estadisticas/
164
ANEXOS
Anexo A. Modelo de Encuesta Aplicada
Nombre encuestado
Empresa
Fecha
DEPARTAMENTO DE SISTEMAS
1. ¿cuenta con departamento de sistemas?
Si__ No__
2. Si la respuesta en el ítem 1 fue NO seleccione la razón por la cual no cuenta con
departamento de sistemas.
c) Se ha evaluado y descartado
d) Se ha evaluado y hay planes de introducirlo
e) N/a
3. ¿La persona encargada de los sistemas es?
d) Ninguno
4. ¿Cuenta con servidor corporativo?
Si____ No____
5. Si la respuesta en el ítem 4 fue NO seleccione la razón por la cual no cuenta con
equipo servidor.
f) Recurso económico
g) Recursos físicos
h) Se ha evaluado y descartado
i) Se ha evaluado y hay planes de introducirlo
165
j) N/a
6. ¿Que sistema operativo tiene en el servidor?
a) Windows server (2003, 2008 o 2008 R2).
b) Linux
c) Unix
d) Os
e) Ninguno.
7. ¿Qué sistema operativo maneja para las estaciones cliente? (puede seleccionar
mas de 1 opción)
a) Windows (Xp, Vista, 7).
b) Linux.
c) Os.
d) Otro
8. ¿Que software de ofimática utiliza?

a) Microsoft Office 2003 o anterior
b) Microsoft Office 2007 o 2010
c) OpenOffice
d) Ninguno
9. ¿Que software utiliza para comprimir archivos?

a) Winzip
b) 7zip
c) WinRAR
d) Ninguno
10. ¿Cuanto es promedio de inversión en tecnología que realiza anualmente?
a) 1'000.000 y 2'000.000
b) 2'000.000 y 5'000.000
c) 5'000.000 y 10'000.000
d) Más de 10'000.000
11. ¿Cuántas estaciones de trabajo posee su empresa en la actualidad?
a) 30 - 40
b) 41 - 50
166
c) 51 - 60
d) 61 o más
SOFTWARE LIBRE
1. ¿Sabe que es el software libre?
Si___ No____.
2. ¿Usan Software Libre en la organización?
a) Si
b) No
d) Se ha evaluado y hay planes de introducirlo.
3. ¿Cuál es el motivo para no evaluar la opción de Software Libre en la organización?
(puede seleccionar máximo 3 opciones)
a) Desconocimiento de la oferta
b) Falta de necesidad
d) Desconfianza empresarial
e) Desconfianza soporte y continuidad
f) Inseguridad del software libre
g) No apoyada por proveedores
h) No certificación de fabricantes de sw y hw
i) Falta de soporte y mantenimiento
4. ¿Experiencia en la adopción de Software Libre?
a) Ninguna
b) Buena
c) Regular
d) Mala
5. De las siguientes ventajas que proporciona el software libre, señale las que
considere más interesantes: (puede seleccionar varias opciones)
a) En general, se puede descargar e instalar de manera gratuita, puedeser
b) Muchos programas de software libre tienen una gran comunidad de usuarios
(foros etc); donde resolver dudas, encontrar trucos etc.
c) Los usuarios pueden sugerir o pedir nuevas funcionalidades.
167
e) Es personalizable (idioma, aspecto, instalar complementos o quitar cosas que
no son útiles)
f) En general, los programas de software libre utilizan formatos estándares y
además manejan muchos tipos de archivos diferentes
g) Al haber acceso al código fuente, los informáticos arreglan más rápidamente
los problemas que se encuentran
h) No tiene virus
i) Existe gran variedad de programas de software libre, para hacer multitud de
tareas, y complementos para ampliar sus funciones
6. ¿Estaría dispuesto a probar una aplicación libre como alternativa a la privativa que
usa?
a) Firewall
c) Base de datos
e) Gestión Administrativa y de personal
f) Ninguna
ESQUEMAS DE SEGURIDAD
1. ¿Maneja usted una política de seguridad informática?
Si__ No__
2. ¿Controla de alguna manera los inventarios de equipos tecnológicos?
Si__ No__
3. ¿Cuenta con antivirus?
a) Licenciado
b) Sin licencia
c) No cuenta con antivirus
d) Licencia libre
4. ¿Existe alguna plataforma que administre la seguridad de red?
Si__ No__
5. ¿Cuenta con esquemas de seguridad física?
a) CCTV
168
b) Controles de acceso físico (puertas electrónicas, acceso con sistemas de
tarjetas electrónicos, sistemas biométricos, etc)
c) Ninguno.
6. ¿Cuenta con software que administre y gestione RRHH?
Si____No____
7. ¿Cuenta con software que administre y gestione las información y gestión
empresarial?
Si____No____
INCIDENTES DE SEGURIDAD.
1. Sabe que es un incidente de seguridad
Si__ No__
2. ¿Documenta los procedimientos correspondientes al servicio del departamento de
sistemas?
Si__ No__.
3. ¿Cual de los siguientes es el incidente más recurrente? (puede seleccionar varios,
califique entre 1 y 10, donde 10 es el mas recurrente y 1 el de menor frecuencia)
a) Virus.
f) Daño en partes o piezas de equipos por desgaste, mal uso o calidad del
elemento.
g) Daño ocasionado en equipos de cómputo por fluctuación de electricidad.
4. ¿Cual es la consecuencia más recurrente por los incidentes presentados?
a) Perdida de la información (física o lógica).
b) Daño en piezas o partes de los equipos de computo
c) Gastos económicos innecesarios en la compañía
d) Perdida de clientes, dinero y good-well en el mercado.
e) Todas las anteriores.
5. Son documentados los incidentes de seguridad.
169
Si____No____
6. Se le realiza seguimiento a los incidentes de seguridad
Si____No____
7. Se tiene registro de los incidentes de seguridad
Si____No____
8. De acuerdo a los incidentes descritos en el punto 3 de esta sección, ¿cuantos
incidentes de seguridad ha tenido en el último año?
a) 1-5
b) 6-10
c) 11-20
d) 21-30
e) Mas de 31
170
Anexo B. Escala de Medición de Controles ISO/IEC 27001:2005.
Anexo B. Escala de Medición de Controles ISOIEC 270012005
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI FALSO 0
•Existe normativa relativa a la seguridad de los SI FALSO 0
•Existen procedimientos relativos a la seguridad de SI FALSO 0
•Existe un responsable de las políticas, normas y procedimientos FALSO 0
•Existen mecanismos para la comunicación a los usuarios de las normas FALSO 0
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 0 0,00 100,00
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad FALSO 0
•Existe un responsable encargado de evaluar la adquisición y cambios de SI FALSO 0
La Dirección y las áreas de la Organización participa en temas de seguridad FALSO 0
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes FALSO 0
•Existen programas de formación en seguridad para los empleados,
FALSO 0
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. FALSO 0
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 0 0,00 100,00
•Existen un inventario de activos actualizado FALSO 0
•El Inventario contiene activos de datos, software, equipos y servicios FALSO 0
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos FALSO 0
•Existen procedimientos para clasificar la información FALSO 0
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 0 0,00 100,00
•Se tienen definidas responsabilidades y roles de seguridad FALSO 0
•Se tiene en cuenta la seguridad en la selección y baja del personal FALSO 0
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos FALSO 0
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada FALSO 0
•Informan los usuarios de las vulnerabilidades observadas o sospechadas FALSO 0
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades FALSO 0 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 0 0,00 100,00
Existe perímetro de seguridad física(una pared, puerta con llave). FALSO 0
Existen controles de entrada para protegerse frente al acceso de personal no autorizado FALSO 0
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI FALSO 0
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. FALSO 0
Existen protecciones frente a fallos en la alimentación eléctrica FALSO 0
Existe seguridad en el cableado frente a daños e intercepciones FALSO 0
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 0 0,00 100,00
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
Estan establecidas responsabilidades para controlar los cambios en equipos FALSO 0
Estan establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a
FALSO 0
incidentes de seguridad
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas FALSO 0
Existe una separación de los entornos de desarrollo y producción FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información FALSO 0
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento FALSO 0
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones FALSO 0
Controles contra software maligno FALSO 0
Realizar copias de backup de la información esencial para el negocio FALSO 0
Existen logs para las actividades realizadas por los operadores y administradores FALSO 0
Existen logs de los fallos detectados FALSO 0
Existen rastro de auditoría FALSO 0
Existe algún control en las redes FALSO 0
Hay establecidos controles para realizar la gestión de los medios informáticos.(cintas, discos, removibles,
FALSO 0
informes impresos)
Eliminación de los medios informáticos. Pueden disponer de información sensible FALSO 0
Existe seguridad de la documentación de los Sistemas FALSO 0
Existen acuerdos para intercambio de información y software FALSO 0
Existen medidas de seguridad de los medios en el tránsito FALSO 0
Existen medidas de seguridad en el comercio electrónico. FALSO 0
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información
FALSO 0
publicada si no
Existen medidas de seguridad en las transacciones en linea FALSO 0
Se monitorean las actividades relacionadas a la seguridad FALSO 0
171
CONTROL DE ACCESOS 0 0,00 100,00
Existe una política de control de accesos FALSO 0
Existe un procedimiento formal de registro y baja de accesos FALSO 0
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario FALSO 0
Existe una gestión de los password de usuarios FALSO 0
Existe una revisión de los derechos de acceso de los usuarios FALSO 0
Existe el uso del password FALSO 0
Se protege el acceso de los equipos desatendidos FALSO 0
Existen políticas de limpieza en el puesto de trabajo FALSO 0
Existe una política de uso de los servicios de red FALSO 0
Se asegura la ruta (path) desde el terminal al servicio FALSO 0
Existe una autenticación de usuarios en conexiones externas FALSO 0
Existe una autenticación de los nodos FALSO 0
Existe un control de la conexión de redes FALSO 0
Existe un control del routing de las redes FALSO 0
Existe una identificación única de usuario y una automática de terminales FALSO 0
Existen procedimientos de log-on al terminal FALSO 0
Se ha incorporado medidas de seguridad a la computación móvil FALSO 0
Está controlado el teletrabajo por la organización FALSO 0 si no
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 0 0,00 100,00
Se asegura que la seguridad está implantada en los Sistemas de Información FALSO 0
Existe seguridad en las aplicaciones FALSO 0
Existen controles criptográficos. FALSO 0
Existe seguridad en los ficheros de los sistemas FALSO 0
Existe seguridad en los procesos de desarrollo, testing y soporte FALSO 0 si no
Existen controles de seguridad para los resultados de los sistemas FALSO 0
Existe la gestión de los cambios en los SO. FALSO 0
Se controlan las vulnerabilidades de los equipos FALSO 0
ADMINISTRACIÓN DE INCIDENTES 0 0,00 100,00
Se comunican los eventos de seguridad FALSO 0
Se comunican los debilidadesde seguridad FALSO 0
Existe definidas las responsabilidades antes un incidente. FALSO 0
Existe un procedimiento formal de respuesta FALSO 0
Existe la gestión de incidentes FALSO 0
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 0 0,00 100,00
Existen procesos para la gestión de la continuidad. FALSO 0
Existe un plan de continuidad del negocio y análisis de impacto FALSO 0
Existe un diseño, redacción e implantación de planes de continuidad FALSO 0
Existe un marco de planificación para la continuidad del negocio FALSO 0
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio. FALSO 0 si no
CUMPLIMIENTO 0 0,00 100,00
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas FALSO 0
Existe el resguardo de la propiedad intelectual FALSO 0
Existe el resguardo de los registros de la organización FALSO 0
Existe una revisión de la política de seguridad y de la conformidad técnica FALSO 0
Existen consideraciones sobre las auditorías de los sistemas FALSO 0
0 0,00 100,00
RESULTADOS AUTODIAGNÓSTICO
GENERAL
si 0 85
0% 0 100
si no
no
100%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
si si
0% 0%
no no
100% 100%
CLASIFICACIÓN Y CONTROL DE
172
ACTIVOS SEGURIDAD DEL PERSONAL
si si
0% 0%
no no
100%
100%
SEGURIDAD FÍSICA Y DEL GESTIÓN DE COMUNICACIONES Y OPERACIONES
ENTORNO
1 si
0% 0%
no
100% 100%
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
CONTROL DE ACCESOS
si
si
0% 0%
no no
100%
100%
ADM. DE INCIDENTES GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
173
RR.HH
externas
Finanzas
Respaldos
Fotos, etc.)
Chat interno
Chat externo
institucionales
Correo electrónico
Servicios bancarios
(Proyectos, Planes,
Página Web externa

Datos e Información
Informática (Planes,
Llamadas telefónicas
Documentación, etc.)
Documentación, etc.)
Datos e información no
Directorio de Contactos
Navegación en Internet
Infraestructura (Planes,
Bases de datos internos
Bases de datos externos

Productos institucionales
(Investigaciones, Folletos,
Documentos institucionales
Bases de datos colaborativos

Evaluaciones, Informes, etc.)
Llamadas telefónicas internas

Página Web interna (Intranet)
Base de datos de Contraseñas

Anexo C. Matriz de Riesgo
Confidencial, Privado, Sensitivo
Obligación por ley / Contrato / Convenio

Clasificación
Costo de recuperación (tiempo,

económico, material, imagen, emocional)
Daño:
2 = Bajo
4 = Alto]
Magnitud de
3 = Mediano
[1 = Insignificante
Allanamiento (ilegal, legal)
Persecución (civil, fiscal, penal)
Orden de secuestro / Detención
Sabotaje (ataque físico y

electrónico)
Anexo C. Matriz de Riesgo.
Daños por vandalismo
Extorsión
Fraude / Estafa
Robo / Hurto (físico)
Robo / Hurto de información

electrónica
Actos originados por la criminalidad común y motivación política
Intrusión a Red interna
Infiltración
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Virus / Ejecución no autorizado de

programas
Violación a derechos de autor
Incendio
Inundación / deslave
Sismo
Sucesos de origen físico
Polvo
174
Falta de ventilación
Electromagnetismo
Sobrecarga eléctrica
Falla de corriente (apagones)
Falla de sistema / Daño disco duro
Falta de inducción, capacitación y

sensibilización sobre riesgos
Mal manejo de sistemas y

herramientas
Utilización de programas no
autorizados / software 'pirateado'
Falta de pruebas de software nuevo

con datos productivos
Perdida de datos
Infección de sistemas a través de

unidades portables sin escaneo
Manejo inadecuado de datos críticos

(codificar, borrar, etc.)
Unidades portables con información

sin cifrado
Transmisión no cifrada de datos

críticos
Manejo inadecuado de contraseñas
(inseguras, no cambiar,
compartidas, BD centralizada)
Compartir contraseñas o permisos a
terceros no autorizados
Transmisión de contraseñas por

teléfono
Exposición o extravío de equipo,

unidades de almacenamiento, etc
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Sobrepasar autoridades
Falta de definición de perfil,

privilegios y restricciones del
personal
Falta de mantenimiento físico
(proceso, repuestos e insumos)
Falta de actualización de software

(proceso y recursos)
Fallas en permisos de usuarios

(acceso a archivos)
Acceso electrónico no autorizado a

sistemas externos

sistemas internos
Red cableada expuesta para el

acceso no autorizado
Red inalámbrica expuesta al acceso

no autorizado
Dependencia a servicio técnico

externo
Falta de normas y reglas claras (no
institucionalizar el estudio de los
riesgos)
Falta de mecanismos de verificación
de normas y reglas / Análisis
inadecuado de datos de control
Ausencia de documentación
Anexo D. Encuesta Satisfacción
Nombre encuestado
Empresa
Fecha
1. Basándose en su propia experiencia, por favor valore las siguientes preguntas

siendo 1 muy pobre y 5 excelente.
¿Cree usted que el servicio de internet ha mejorado?

1__ 2__ 3__ 4__ 5__
¿cree usted que mejoro el acceso a la información en la red local?
1__ 2__ 3__ 4__ 5__
¿considera seguro el almacenamiento de los archivos en el servidor?
1__ 2__ 3__ 4__ 5__
¿la plataforma de reporte de incidentes técnicos es fácil de manejar (GLPI) (si
aplica)?
1__ 2__ 3__ 4__ 5__
¿La gestión del servicio de sistemas a mejorado?
1__ 2__ 3__ 4__ 5__
2. Basándose en su propia experiencia, por favor indique el numero de eventos en

los últimos 3 meses
¿A experimentado perdida de información?

a) 0
b) 1 a 3
c) 4 a 7
d) 8 a 10
e) Mas de 10
175
¿A evidenciado eventos atípicos en la maquina (virus)?
a) 1 a 2
b) 3 a 5
c) 5 a 7
d) 8 a 10
e) Mas de 10
¿A experimentado caídas de internet?

a) 1 a 2
b) 3 a 5
c) 5 a 7
d) 8 a 10
e) Mas de 10
3. ¿Considera que los cambios realizados fueron funcionales para la compañía?

Si __ No__
176
Anexo E. Autodiagnóstico #1
FALSO 0
clientes y terceros
FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información VERDADERO 1
FALSO 0
informes impresos)
FALSO 0
publicada si no
Existen medidas de seguridad en las transacciones en linea VERDADERO 1
177
0 0,00 100,00
GENERAL
si 2 85
2% 2,4 98
si no
no
98%
POR ÁREAS
si si
0% 0%
no no
100% 100%
178
si si
0% 0%
no no
100%
100%
ENTORNO
1
si
0% 10%
no
100% 90%
CONTROL DE ACCESOS
si
si
0% 0%
no no
100%
100%
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
179
Anexo F. Autodiagnóstico #2
La Dirección y las áreas de la Organización participa en temas de seguridad VERDADERO 1
FALSO 0
clientes y terceros
FALSO 0
FALSO 0
informes impresos)
FALSO 0
publicada si no
180
0 0,00 100,00
GENERAL
si 2 85
2% 2,4 98
si no
no
98%
POR ÁREAS
si si
0% 12%
no no
100% 88%
181
si si
0% 0%
no no
100%
100%
ENTORNO
1
si
0% 5%
no
100% 95%
CONTROL DE ACCESOS
si
si
0% 0%
no no
100%
100%
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
182
Anexo G. Autodiagnóstico #3
•Existen documento(s) de políticas de seguridad de SI VERDADERO 1
FALSO 0
clientes y terceros
•Existen un inventario de activos actualizado VERDADERO 1
•El Inventario contiene activos de datos, software, equipos y servicios VERDADERO 1
• Existe un responsable de los activos VERDADERO 1
•Se tiene en cuenta la seguridad en la selección y baja del personal VERDADERO 1
Existe perímetro de seguridad física(una pared, puerta con llave). VERDADERO 1
Las áreas de carga y expedición están aisladas de las áreas de SI VERDADERO 1
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. VERDADERO 1
Existen protecciones frente a fallos en la alimentación eléctrica VERDADERO 1

FALSO 0
Controles contra software maligno VERDADERO 1
Realizar copias de backup de la información esencial para el negocio VERDADERO 1
FALSO 0
informes impresos)
Existen medidas de seguridad en el comercio electrónico. VERDADERO 1
FALSO 0
publicada si no
Existe una gestión de los password de usuarios VERDADERO 1
Existe el uso del password VERDADERO 1
Se protege el acceso de los equipos desatendidos VERDADERO 1
Se asegura la ruta (path) desde el terminal al servicio VERDADERO 1
Existe una autenticación de los nodos
Existe un control de la conexión de redes
183 FALSO
FALSO
0
0
Está controlado el teletrabajo por la organización VERDADERO 1 si no
Se comunican los eventos de seguridad VERDADERO 1
Existe la gestión de incidentes VERDADERO 1
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas VERDADERO 1
1 20,00 80,00
GENERAL
20 85
si 24 76
24% si no
no
76%
POR ÁREAS
si
si
17% 0%
no no
83% 100%
184
si
11%
no si
50% 50%
no
89%
ENTORNO
si
1 15%
36%
64% no
85%
CONTROL DE ACCESOS
si si
31% 40%
no
no 60%
69%
si
si 0%
40%
no
60%
no
100%
CONFORMIDAD
si
20%
no
80%
185
Anexo H. Autodiagnóstico #4
Anexo H. Autodiagnóstico #4
FALSO 0
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. VERDADERO 1
Existen controles de entrada para protegerse frente al acceso de personal no autorizado VERDADERO 1
FALSO 0
FALSO 0
informes impresos)
FALSO 0
publicada si no
Existe una gestión de los password de usuarios 186 FALSO 0
0 0,00 100,00
GENERAL
si 9 85
11% 11 89
si no
no
89%
POR ÁREAS
si si
0% 12%
no no
100% 88%
187
si
si 0%
33%
no
67% no
100%
ENTORNO
si
1 10%
27%
no
73%
90%
CONTROL DE ACCESOS
si
si
6% 0%
no no
94% 100%
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
188
Anexo I. Matriz de Riesgo Objeto #1
Anexo I. Matriz de riesgo Objeto #1 Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales















Magnitud de
Daño:
Datos, Información equipos de [1 = Insignificante
(acceso a archivos)
Electromagnetismo
sistemas externos
computo 2 = Bajo
sistemas internos
Perdida de datos
Fraude / Estafa
3 = Mediano
no autorizado
herramientas
4 = Alto]
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
teléfono
riesgos)
externo
críticos
Sismo
Polvo
4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4

2 8 4 4 8 8 4 6 8 6 8 8 8 8 8 4 4 6 6 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8
empresariales
Bases de datos clientes

4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
externos
Celulares 2 8 4 4 8 8 4 6 8 6 8 8 8 8 8 4 4 6 6 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8
Computadoras 2 8 4 4 8 8 4 6 8 6 8 8 8 8 8 4 4 6 6 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8
Correo electrónico 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
Cortafuego 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
institucionales
Directorio de Contactos 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
Edificio (Oficinas, Recepción,

Sala de espera, Sala de 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
reunión, Bodega, etc.)
Equipos de la red cableada
4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
(router, switch, etc.)
Equipos de la red inalámbrica
(router, punto de acceso, 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
etc.)
Impresoras 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
Memorias portátiles 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
Navegación en Internet 2 8 4 4 8 8 4 6 8 6 8 8 8 8 8 4 4 6 6 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8
Página Web externa 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
Página Web interna (Intranet) 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
PBX o VOIP 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
Portátiles 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
(Investigaciones, Folletos, 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
Fotos, etc.)
Programas de administración
(contabilidad, manejo de 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
personal, etc.)
Programas de comunicación
(correo electrónico, chat, 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
llamadas telefónicas, etc.)
Programas de manejo de
4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
proyectos
Programas de producción de
4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
datos
Respaldos 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
RR.HH 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
Servicios bancarios 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
Servidores 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
Vehículos 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
189
Anexo J. Matriz de Riesgo Objeto #2
Anexo J. Matriz de riesgo Objeto #2 Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]















Magnitud de
Daño:
(acceso a archivos)
Electromagnetismo
sistemas externos
computo 2 = Bajo
sistemas internos
Perdida de datos
Fraude / Estafa
3 = Mediano
no autorizado
herramientas
4 = Alto]
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
teléfono
riesgos)
externo
críticos
Sismo
Polvo
4 2 2 3 4 2 3 4 4 4 4 4 4 4 2 2 3 1 3 3 3 2 4 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4

4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
empresariales

4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
externos
Celulares 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Computadoras 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Cortafuego 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
institucionales

2 8 4 4 6 8 4 6 8 8 8 8 8 8 8 4 4 6 2 6 6 6 4 8 8 8 8 8 8 8 8 8 8 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8
etc.)
Impresoras 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
PBX o VOIP 2 8 4 4 6 8 4 6 8 8 8 8 8 8 8 4 4 6 2 6 6 6 4 8 8 8 8 8 8 8 8 8 8 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8
Portátiles 2 8 4 4 6 8 4 6 8 8 8 8 8 8 8 4 4 6 2 6 6 6 4 8 8 8 8 8 8 8 8 8 8 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8
Fotos, etc.)
personal, etc.)
1 4 2 2 3 4 2 3 4 4 4 4 4 4 4 2 2 3 1 3 3 3 2 4 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4
proyectos
4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
datos
Respaldos 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
RR.HH 2 8 4 4 6 8 4 6 8 8 8 8 8 8 8 4 4 6 2 6 6 6 4 8 8 8 8 8 8 8 8 8 8 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8
Servidores 1 4 2 2 3 4 2 3 4 4 4 4 4 4 4 2 2 3 1 3 3 3 2 4 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4
Vehículos 1 4 2 2 3 4 2 3 4 4 4 4 4 4 4 2 2 3 1 3 3 3 2 4 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4
190
Anexo K. Matriz de Riesgo Objeto #3
Anexo K. Matriz de riesgo Objeto #3 Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]















Magnitud de
Daño:
(acceso a archivos)
Electromagnetismo
sistemas externos
computo 2 = Bajo
sistemas internos
Perdida de datos
Fraude / Estafa
3 = Mediano
no autorizado
herramientas
4 = Alto]
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
teléfono
riesgos)
externo
críticos
Sismo
Polvo
4 2 2 4 4 3 3 4 4 4 4 3 3 2 2 2 4 1 2 2 2 2 3 3 3 2 2 4 3 4 4 3 3 3 3 3 2 3 4 3 4 3 4 4 3 4 4 3

4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
empresariales

4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
externos
Celulares 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
Computadoras 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
Cortafuego 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
institucionales

4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
etc.)
Impresoras 2 8 4 4 8 8 6 6 8 8 8 8 6 6 4 4 4 8 2 4 4 4 4 6 6 6 4 4 8 6 8 8 6 6 6 6 6 4 6 8 6 8 6 8 8 6 8 8 6
PBX o VOIP 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Portátiles 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Fotos, etc.)
personal, etc.)
3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
proyectos
4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
datos
Respaldos 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
RR.HH 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Servidores 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Vehículos 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
191
Anexo L. Matriz de Riesgo Objeto #4
Anexo L. Matriz de riesgo Objeto #4 Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]















Magnitud de
Daño:
(acceso a archivos)
Electromagnetismo
sistemas externos
computo 2 = Bajo
sistemas internos
Perdida de datos
Fraude / Estafa
3 = Mediano
no autorizado
herramientas
4 = Alto]
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
teléfono
riesgos)
externo
críticos
Sismo
Polvo
4 1 1 4 4 4 1 4 2 2 2 1 1 1 1 2 2 2 2 2 2 2 2 2 1 1 1 4 3 4 4 3 2 3 2 2 1 1 2 1 2 2 2 3 3 3 3 3

4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
empresariales

4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
externos
Celulares 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Computadoras 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Cortafuego 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
institucionales

4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
etc.)
Impresoras 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
PBX o VOIP 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Portátiles 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Fotos, etc.)
personal, etc.)
4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
proyectos
4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
datos
Respaldos 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
RR.HH 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Servidores 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Vehículos 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
192
Anexo M. Autodiagnóstico objeto #1 post-implementación
•Existe normativa relativa a la seguridad de los SI VERDADERO 1
•Existe un responsable de las políticas, normas y procedimientos VERDADERO 1
•Existen mecanismos para la comunicación a los usuarios de las normas VERDADERO 1
FALSO 0
clientes y terceros
•Informan los usuarios de las vulnerabilidades observadas o sospechadas VERDADERO 1
Estan establecidas responsabilidades para controlar los cambios en equipos VERDADERO 1
FALSO 0
Existen logs para las actividades realizadas por los operadores y administradores VERDADERO 1
Existen logs de los fallos detectados VERDADERO 1
Existe algún control en las redes VERDADERO 1
FALSO 0
informes impresos)
FALSO 0
publicada si no
Existe una política de control de accesos VERDADERO 1
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario VERDADERO 1
Existe una política de uso de los servicios de red VERDADERO 1
Existe un control de la conexión de redes VERDADERO 1
Existe un control del routing de las redes VERDADERO 1
193
Existe seguridad en los ficheros de los sistemas VERDADERO 1
Existe el resguardo de la propiedad intelectual VERDADERO 1
1 20,00 80,00
GENERAL
30 85
si 35 65
35% si no
no
65%
POR ÁREAS
si
no 12%
33%
si
67%
no
88%
194
si si
17% 11%
no no
83% 89%
ENTORNO
si
1
36% 35%
no
64% 65%

CONTROL DE ACCESOS
si
20%
no
si
44%
56%
no
80%
si si
20% 0%
no
80% no
100%
CONFORMIDAD
si
20%
no
80%
195
Anexo N. Autodiagnóstico objeto #2 post-implementación
•Existen procedimientos relativos a la seguridad de SI VERDADERO 1
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad VERDADERO 1
FALSO 0
clientes y terceros
•Se tienen definidas responsabilidades y roles de seguridad VERDADERO 1
•Se imparte la formación adecuada de seguridad y tratamiento de activos VERDADERO 1
FALSO 0
FALSO 0
informes impresos)
VERDADERO 1
publicada si no
196
Existe una autenticación de los nodos VERDADERO 1
0 0,00 100,00
GENERAL
28 85
si 33 67
33% si no
no
67%
POR ÁREAS
no si
33% 25%
si
67%
no
75%
197
si si
17%
33%
no no
83% 67%

ENTORNO
1
si
27% 35%
no
65%
73%

CONTROL DE ACCESOS
si
0%
no si
56% 44%
no
100%
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
198
Anexo O. Autodiagnóstico objeto #3 post-implementación
•Existe un responsable encargado de evaluar la adquisición y cambios de SI VERDADERO 1
•Existen criterios de seguridad en el manejo de terceras partes VERDADERO 1
VERDADERO 1
clientes y terceros
•Se recogen los datos de los incidentes de forma detallada VERDADERO 1
Existe seguridad en el cableado frente a daños e intercepciones VERDADERO 1
FALSO 0
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas VERDADERO 1
FALSO 0
informes impresos)
FALSO 0
publicada si no
Se monitorean las actividades relacionadas a la seguridad VERDADERO 1
199
Existe un procedimiento formal de registro y baja de accesos VERDADERO 1
Existe una autenticación de usuarios en conexiones externas VERDADERO 1
Existe una identificación única de usuario y una automática de terminales VERDADERO 1
Existen procedimientos de log-on al terminal VERDADERO 1
Existe seguridad en las aplicaciones VERDADERO 1
Se controlan las vulnerabilidades de los equipos VERDADERO 1
0 0,00 100,00
GENERAL
49 85
58 42
no si no
42%
si
58%
POR ÁREAS
no
17%
no si
50% 50%
si
83%
200
si
no si
50% 50% 44%
no
56%

ENTORNO
si
45% 1 no 45%
55% 55%

CONTROL DE ACCESOS
no si
13% 20%
si no
87% 80%
si si
20% 0%
no
80% no
100%
CONFORMIDAD
si
0%
no
100%
201
Anexo P. Autodiagnóstico objeto #4 post-implementación
•Existe un responsable encargado de evaluar la adquisición y cambios de SI VERDADERO 1
•Existen criterios de seguridad en el manejo de terceras partes VERDADERO 1
VERDADERO 1
clientes y terceros
•Existen procedimientos para clasificar la información VERDADERO 1
•Se recogen los datos de los incidentes de forma detallada VERDADERO 1
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades VERDADERO 1 si no
Existe seguridad en el cableado frente a daños e intercepciones VERDADERO 1
FALSO 0
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas VERDADERO 1
FALSO 0
informes impresos)
FALSO 0
publicada si no
Se monitorean las actividades relacionadas a la seguridad VERDADERO 1
202
Existe un procedimiento formal de registro y baja de accesos VERDADERO 1
Existen políticas de limpieza en el puesto de trabajo VERDADERO 1
Existe una autenticación de usuarios en conexiones externas VERDADERO 1
Existe una identificación única de usuario y una automática de terminales VERDADERO 1
Existen procedimientos de log-on al terminal VERDADERO 1
Existe seguridad en las aplicaciones VERDADERO 1
Se controlan las vulnerabilidades de los equipos VERDADERO 1
0 0,00 100,00
GENERAL
53 85
62 38
no si no
38%
si
62%
POR ÁREAS
no
17%
no si
50% 50%
si
83%
203
no
33% no
44%
si
si
67%
56%

ENTORNO
no si
45% 1 50% 50%
55%

CONTROL DE ACCESOS
no si
6% 20%
si no
94% 80%
si si
20% 0%
no
80% no
100%
CONFORMIDAD
si
0%
no
100%
204
Anexo A. Modelo de Encuesta Aplicada
Nombre encuestado
Empresa
Fecha
1. ¿cuenta con departamento de sistemas?
Si__ No__
2. Si la respuesta en el ítem 1 fue NO seleccione la razón por la cual no cuenta
con departamento de sistemas.
d) Se ha evaluado y hay planes de introducirlo
e) N/a
d) Ninguno
4. ¿Cuenta con servidor corporativo?
Si____ No____
5. Si la respuesta en el ítem 4 fue NO seleccione la razón por la cual no cuenta
con equipo servidor.
f) Recurso económico
g) Recursos físicos
h) Se ha evaluado y descartado
i) Se ha evaluado y hay planes de introducirlo
j) N/a
a) Windows server (2003, 2008 o 2008 R2).
b) Linux
c) Unix
d) Os
e) Ninguno.
7. ¿Qué sistema operativo maneja para las estaciones cliente? (puede
seleccionar mas de 1 opción)
a) Windows (Xp, Vista, 7).
b) Linux.
c) Os.
d) Otro
8. ¿Que software de ofimática utiliza?

a) Microsoft Office 2003 o anterior
b) Microsoft Office 2007 o 2010
c) OpenOffice
d) Ninguno

a) Winzip
b) 7zip
c) WinRAR
d) Ninguno
10. ¿Cuanto es promedio de inversión en tecnología que realiza anualmente?
a) 1'000.000 y 2'000.000
b) 2'000.000 y 5'000.000
c) 5'000.000 y 10'000.000
d) Más de 10'000.000
11. ¿Cuántas estaciones de trabajo posee su empresa en la actualidad?
a) 30 - 40
b) 41 - 50
c) 51 - 60
d) 61 o más
SOFTWARE LIBRE
Si___ No____.
a) Si
b) No
d) Se ha evaluado y hay planes de introducirlo.
3. ¿Cuál es el motivo para no evaluar la opción de Software Libre en la
organización? (puede seleccionar máximo 3 opciones)
a) Desconocimiento de la oferta
b) Falta de necesidad
d) Desconfianza empresarial
e) Desconfianza soporte y continuidad
f) Inseguridad del software libre
g) No apoyada por proveedores
h) No certificación de fabricantes de sw y hw
i) Falta de soporte y mantenimiento
4. ¿Experiencia en la adopción de Software Libre?
a) Ninguna
b) Buena
c) Regular
d) Mala
5. De las siguientes ventajas que proporciona el software libre, señale las que
considere más interesantes: (puede seleccionar varias opciones)
a) En general, se puede descargar e instalar de manera gratuita, puedeser
b) Muchos programas de software libre tienen una gran comunidad de
usuarios (foros etc); donde resolver dudas, encontrar trucos etc.
c) Los usuarios pueden sugerir o pedir nuevasfuncionalidades.
e) Es personalizable (idioma, aspecto, instalar complementos o quitar cosas
que no son útiles)
f) En general, los programas de software libre utilizan formatos estándares y
además manejan muchos tipos de archivos diferentes
g) Al haber acceso al código fuente, los informáticos arreglan más
rápidamente los problemas que se encuentran
h) No tiene virus
i) Existe gran variedad de programas de software libre, para hacer multitud de
tareas, y complementos para ampliar sus funciones
6. ¿Estaría dispuesto a probar una aplicación libre como alternativa a la privativa
que usa?
a) Firewall
c) Base de datos
e) Gestión Administrativa y de personal
f) Ninguna
Si__ No__
2. ¿Controla de alguna manera los inventarios de equipos tecnológicos?
Si__ No__
a) Licenciado
b) Sin licencia
c) No cuenta con antivirus
d) Licencia libre
4. ¿Existe alguna plataforma que administre la seguridad de red?
Si__ No__
a) CCTV
b) Controles de acceso físico (puertas electrónicas, acceso con sistemas
de tarjetas electrónicos, sistemas biométricos, etc)
c) Ninguno.
6. ¿Cuenta con software que administre y gestione RRHH?
Si____No____
7. ¿Cuenta con software que administre y gestione las información y gestión
empresarial?
Si____No____
1. Sabe que es un incidente de seguridad
Si__ No__
2. ¿Documenta los procedimientos correspondientes al servicio del departamento
de sistemas?
Si__ No__.
3. ¿Cual de los siguientes es el incidente más recurrente? (puede seleccionar
varios, califique entre 1 y 10, donde 10 es el mas recurrente y 1 el de menor
frecuencia)
a) Virus.
f) Daño en partes o piezas de equipos por desgaste, mal uso o calidad del
elemento.
g) Daño ocasionado en equipos de cómputo por fluctuación de electricidad.
4. ¿Cual es la consecuencia más recurrente por los incidentes presentados?
a) Perdida de la información (física o lógica).
b) Daño en piezas o partes de los equipos de computo
c) Gastos económicos innecesarios en la compañía
d) Perdida de clientes, dinero y good-well en el mercado.
e) Todas las anteriores.
Si____No____
Si____No____
7. Se tiene registro de los incidentes de seguridad
Si____No____
8. De acuerdo a los incidentes descritos en el punto 3 de esta sección, ¿cuantos
incidentes de seguridad ha tenido en el último año?
a) 1-5
b) 6-10
c) 11-20
d) 21-30
e) Mas de 31
2. Si la respuesta en el ítem 1 fue NO seleccione la
1. ¿cuenta con departamento de sistemas? razón por la cual no cuenta con departamento de
Rta PORCENTAJE sistemas. Rta PORCENTAJE
Si 9 45,0% a) Recurso económico 6 30,0%
No 11 55,0% b) Recursos físicos 0 0,0%
20 c) Se ha evaluado y descartado 0 0,0%
d) Se ha evaluado y hay planes de introducirlo 5 25,0%
e) N/a 9 45,0%
20
1. ¿cuenta con departamento de 2. Si la respuesta en el ítem 1 fue NO seleccione la

razón por la cual no cuenta con departamento de
sistemas? sistemas.
11
12 9 10
10 8
8 6
6
4
4
2
2
0 0
Si No a) Recurso económico
b) Recursos
c) Sefísicos
d)
ha evaluado
Se ha evaluado
y descartado
y hay planes dee)introducirlo
N/a
3. ¿La persona encargada de los sistemas es? Rta PORCENTAJE 4. ¿Cuenta con servidor? Rta PORCENTAJE
a) Ingeniero de sistemas. 4 20,0% Si 9 45,0%
b) Tecnólogo en sistemas. 5 25,0% No 11 55,0%
c) Técnico en sistemas. 0 0,0% 20
d) Ninguno 11 55,0%
20

4. ¿Cuenta con servidor?
12
10
12
8 10
8
6
6
4 4
2
2
0
0 Si No
a) Ingeniero b) Tecnólogo c) Técnico en d) Ninguno
de sistemas. en sistemas. sistemas.
5. Si la respuesta en el ítem 4 fue NO seleccione la razón por la

cual no cuenta con equipo servidor. Rta PORCENTAJE Rta PORCENTAJE
a) Recurso económico 6 30,0% a) Windows server (2003, 2008 o 2008 R2). 9 45,0%
b) Recursos físicos 0 0,0% b) Linux 0 0,0%
c) Se ha evaluado y descartado 0 0,0% c) Unix 0 0,0%
d) Se ha evaluado y hay planes de introducirlo 5 25,0% d) Os 0 0,0%
e) N/a 9 45,0% e) Ninguno. 11 55,0%
20 20
5. Si la respuesta en el ítem 4 fue NO seleccione 6. ¿Que sistema operativo tiene en el servidor?

la razón por la cual no cuenta con equipo servidor.
12
9
10
8
8
7
6 6
5 4
4 2
3
0
2
Windows server (2003, 2008b)o 2008
LinuxR2). c) Unix d) Os e) Ninguno.
1
0
b) Recursos
c) Sefísicos
d)
ha evaluado
Se ha evaluado
y descartado
y hay planes de
e) introducirlo
N/a
7. ¿Qué sistema operativo maneja para las estaciones cliente? 8. ¿Que software de ofimática utiliza?
Rta PORCENTAJE Rta PORCENTAJE
a) Windows (Xp, Vista, 7). 20 100,0% a) Microsoft Office 2003 o anterior 0 0,0%
b) Linux. 0 0,0% b) Microsoft Office 2007 o 2010 20 100,0%
c) Os. 0 0,0% c) OpenOffice 0 0,0%
d) Otro 0 0,0% d) Ninguno 0 0,0%
20 20
7. ¿Qué sistema operativo maneja para las 8. ¿Que software de ofimática utiliza?
estaciones cliente?
20
20 15
15 10
10 5
5 0
0 a) Microsoft b) Microsoft c) OpenOffice d) Ninguno
Office 2003 o Office 2007 o
a) Windows b) Linux. c) Os. d) Otro
anterior 2010
(Xp, Vista, 7).
10. ¿Cuántas estaciones de trabajo posee su

Rta PORCENTAJE empresa en la actualidad? Rta PORCENTAJE
a) Winzip 0 0,0% a) 30 - 40 18 90,0%
b) 7zip 0 0,0% b) 41 - 50 2 10,0%
c) WinRAR 20 100,0% c) 51 - 60 0 0,0%
d) Ninguno 0 0,0% d) 61 o más 0 0,0%
20 20
9. ¿Que software utiliza para comprimir 10. ¿Cuántas estaciones de trabajo posee su
archivos? empresa en la actualidad?
20
20
15
15
10 10
5 5
0 0
a) Winzip b) 7zip c) WinRAR d) Ninguno a) 30 - 40 b) 41 - 50 c) 51 - 60 d) 61 o más
11. ¿Cuanto es promedio de inversión en tecnología que realiza

anualmente? Rta PORCENTAJE
a) Entre 1'000.000 y 2'000.000 5 25,0%
b) 2'000.000 y 5'000.000 6 30,0%
c) 5'000.000 y 10'000.000 5 25,0%
d) Más de 10'000.000 4 20,0%
SOFTWARE LIBRE
1. ¿Sabe que es el software libre? 2. ¿Usan Software Libre en la organización?
Rta Porcentaje Rta Porcentaje
Si 15 75,0% a) Si 5 25,0%
No 5 25,0% b) No 11 55,0%
20 c) Se ha evaluado y descartado 4 20,0%
d) Se ha evaluado y hay planes de introducirlo. 0
0,0%
20

12
15 10
8
6
10
4
2
5 0
a) Si b) No c) Se ha d) Se ha
evaluado y evaluado y hay
0 descartado planes de
Si No introducirlo.
3. ¿Cuál es el motivo para no evaluar la opción de

4. ¿Experiencia en la adopción de Software
Software Libre en la organización? (puede
Libre?
seleccionar maximo 3 opciones) Rta Porcentaje Rta Porcentaje
a) Desconocimiento de la oferta 10 16,7% a) Ninguna 15 75,0%
b) Falta de necesidad 0 0,0% b) Buena 5 25,0%
c) Desconfianza técnica 8 13,3% c) Regular 0 0,0%
d) Desconfianza empresarial 10 16,7% d) Mala 0 0,0%
e) Desconfianza soporte y continuidad 8 13,3% 20
f) Inseguridad del software libre 7 11,7%
g) No apoyada por proveedores 12 20,0%
h) No certificación de fabricantes de sw y hw 0 0,0%
i) Falta de soporte y mantenimiento 5 8,3%
60 4. ¿Experiencia en la adopción de Software Libre?
3. ¿Cuál es el motivo para no evaluar la opción de

Software Libre en la organización? (puede seleccionar 16
maximo 3 opciones) 14
12
10
12
8
10 6
4
8
2
6 0
4 a) Ninguna b) Buena c) Regular d) Mala
5. De las siguientes ventajas que proporciona el

6. ¿Estaría dispuesto a probar una aplicación
software libre, señale las que considere más
libre como alternativa a la privativa que usa?
interesantes: (puede seleccionar varias opciones)
a) En general, se puede descargar e instalar de manera
gratuita, puede ser copiado y distribuido a otras a) Firewall 5
personas libremente. 15 50,0% 25,0%
b) Muchos programas de software libre tienen una gran
comunidad de usuarios (foros etc); donde resolver b) Servidor de datos 1
dudas, encontrar trucos etc. 0 0,0% 5,0%
c) Los usuarios pueden sugerir o pedir nuevas
c) Base de datos 0
funcionalidades. 0 0,0% 0,0%
d) No depende de lo que decida una sola empresa d) Gestión documental 0
0 0,0% 0,0%
e) Es personalizable (idioma, aspecto, instalar
e) Gestión Administrativa y de personal 10
complementos o quitar cosas que no son útiles) 0 0,0% 50,0%
f) En general, los programas de software libre utilizan
formatos estándares y además manejan muchos tipos f) Ninguna 4
de archivos diferentes 0 0,0% 20,0%
g) Al haber acceso al código fuente, los informáticos
arreglan más rápidamente los problemas que se 20
encuentran 12 40,0%
h) No tiene virus 3 10,0%
i) Existe gran variedad de programas de software libre,
para hacer multitud de tareas, y complementos para
ampliar sus funciones 0 0,0%
30
6. ¿Estaría dispuesto a probar una aplicación libre

5. De las siguientes ventajas que proporciona el software libre, señale las
como alternativa a la privativa que usa?
que considere más interesantes: (puede seleccionar varias opciones)
16 10
8
14
6
12
4
10
2
8
0
6 a) Firewall
b) Servidor de
c) datos
Based)dee)
datos
Gestión
Gestión
documental
Administrativa
f) y de
Ninguna
personal
4
0
2. ¿Controla de alguna manera los
Rta Porcentaje inventarios de equipos tecnológicos? Rta Porcentaje
Si 0 0,0% Si 7 35,0%
No 20 100,0% No 13 65,0%
20 20
1. ¿Maneja usted una política de seguridad

informática? 2. ¿Controla de alguna manera los inventarios de
equipos tecnológicos?
20
15
15
10
10
5
5
0
0 Si No
Si No
4. ¿Existe alguna plataforma que administre

Rta Porcentaje la seguridad de red? Rta Porcentaje
a) Licenciado 0 0,0% Si 9 45,0%
b) Sin licencia 20 100,0% No 11 55,0%
c) No cuenta con antivirus 0 0,0% 20
d) Licencia libre 0 0,0%
20
4. ¿Existe alguna plataforma que administre la
3. ¿Cuenta con antivirus? seguridad de red?
20
15 15
10 10
5 5
0 0
a) Licenciado b) Sin licencia c) No cuenta d) Licencia Si No
con antivirus libre
6. ¿Cuenta con software que administre y

Rta Porcentaje gestione RRHH? Rta Porcentaje
a) CCTV 8 44,4% Si 7 35,0%
b) Controles de acceso físico (puertas electrónicas, acceso
con sistemas de tarjetas electrónicos, sistemas biométricos, 0 No 13
etc) 0,0% 65,0%
c) Ninguno. 5 27,8% 20
d) Todos los anteriores 5 27,8%
18
6. ¿Cuenta con software que administre y gestione
RRHH?
8 14
7
6 12
5
10
4
3 8
2
1 6
0
a) CCTV b) Controles de c) Ninguno. d) Todos los 4
acceso físico (puertas anteriores
electrónicas, acceso 2
con sistemas de
tarjetas
electrónicos, sistemas
0
biométricos, etc) Si No
7. ¿Cuenta con software que administre y gestione las

información y gestión empresarial? Rta Porcentaje
Si 0 0,0%
No 20 100,0%
20
7. ¿Cuenta con software que administre y gestione las

información y gestión empresarial?
20
18
16
14
12
10
8
6
4
2
0
Si No
2. ¿Documenta los procedimientos
1. Sabe que es un incidente de seguridad Rta Porcentaje correspondientes al servicio del Rta Porcentaje
departamento de sistemas?
Si 6 30,0% Si 4 20,0%
No 14 70,0% No 16 80,0%
20 20
1. Sabe que es un incidente de 2. ¿Documenta los procedimientos correspondientes al

servicio del departamento de sistemas?
seguridad
20
15
15
10 10
5 5
0 0
Si No Si No
4. ¿Cual es la consecuencia más

3. ¿Cual de los siguientes es el incidente más
Rta Porcentaje recurrente por los incidentes presentados? Rta Porcentaje
recurrente? (puede seleccionar varios,)
(puede seleccionar max 2 )
a) Virus. 15 a) Perdida de la información (física o lógica). 20

33,3% 100,0%
b) Daño en piezas o partes de los equipos de
b) Perdida de información. 9 0
20,0% computo 0,0%
c) Gastos económicos innecesarios en la
c) Perdida de documentos físicos. 0 0
0,0% compañía 0,0%
d) Perdida de clientes, dinero y good-well en el
d) Accesos sin autorización de personal. 6 0
13,3% mercado. 0,0%
e) Acceso a información a través de la red. 11 24,4% 20
f) Daño en partes o piezas de equipos por
4
desgaste, mal uso o calidad del elemento. 8,9%
g) Daño ocasionado en equipos de cómputo por
0
fluctuación de electricidad. 0,0%
45
4. ¿Cual es la consecuencia más recurrente por los
3. ¿Cual de los siguientes es el incidente más recurrente? (puede incidentes presentados? (puede seleccionar max 2 )
seleccionar varios)
16 20
14 15
12 10
10 5
8 0
a) Perdida de b) Daño en c) Gastos d) Perdida de
6
la información piezas o partes económicos clientes, dinero
4 (física o lógica). de los equipos innecesarios y good-well en
2 de computo en la compañía el mercado.
0
5. Son documentados los incidentes de 6. Se le realiza seguimiento a los incidentes

seguridad. de seguridad
Si 4 20,0% Si 4 20,0%
No 16 80,0% No 16 80,0%
20 20

20
20
15
15
10
10
5
5
0
0
Si No
Si No
8. De acuerdo a los incidentes descritos en

7. Se tiene registro de los incidentes de el punto 3 de esta sección, ¿cuantos
seguridad incidentes de seguridad ha tenido en el
último año?
Si 4 20,0% a) 1-5 4 20,0%
No 16 80,0% b) 6-10 3 15,0%
20 c) 11-20 13 65,0%
d) 21-30 0 0,0%
e) Mas de 31 0 0,0%
20
7. Se tiene registro de los incidentes de seguridad 8. De acuerdo a los incidentes descritos en el punto 3 de
esta sección, ¿cuantos incidentes de seguridad ha tenido en
el último año?
20
14
12
15
10
8
10 6
4
5 2
0
0 a) 1-5 b) 6-10 c) 11-20 d) 21-30 e) Mas de
Si No 31

Implementacion Esquemas de Seguridad en Pymes Basados en Software Libre

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Implementacion Esquemas de Seguridad en Pymes Basados en Software Libre

Cargado por

Copyright:

Formatos disponibles

IMPLEMENTACIÓN DE ESQUEMAS DE SEGURIDAD

EN PYMES BASADOS EN SOFTWARE LIBRE

IVAN ALEXIS ONTIBON ROJAS

UNIVERSIDAD PILOTO DE COLOMBIA

IVAN ALEXIS ONTIBON ROJAS

Trabajo de grado presentado como requisito para

UNIVERSIDAD PILOTO DE COLOMBIA

Bogotá, 1 de Marzo 2013

A nuestras familias, colegas, amigos y compañeros por el apoyo, acompañamiento

Para todos Gracias…

3. PLANTEAMIENTO DEL PROBLEMA 17

4.1 ¿POR QUE IMPLEMENTAR ESQUEMAS DE SEGURIDAD BASADOS EN SOFTWARE LIBRE? 20

5.1 OBJETIVO GENERAL 23

6.1 SOFTWARE LIBRE 24

9. RESULTADOS OBTENIDOS Y PROCESO DE IMPLEMENTACIÓN 49

10. ANÁLISIS DE DATOS 50

11 LISTADO DE SOFTWARE LIBRE 135

11.1 FIREWALL LIBRES PARA PYMES 135

12. RESULTADOS Y CONCLUSIONES 144

12.1 BENEFICIOS OBTENIDOS 144

13. TERMINOS Y DEFINICIONES 148

Figura 1. Categorías de software libre 26

Tabla 1. Inversión en hardware 87

Ver Anexo A. Modelo de Encuesta Aplicada .................................................................. 165

Implementación de esquemas de seguridad en pymes basados en software libre.

La seguridad informática, es un tema que crece de forma acelerada en el mundo,

Entidades expertas en el campo de la tecnología y seguridad de la información

En Colombia es un tema que está tomando fuerza en la actualidad, los ingenieros

Las grandes compañías por reglamentación o por sentido común realizan

¿Qué beneficios se obtienen con la implementación de esquemas de seguridad

A través de los años se ha sostenido la infraestructura tecnológica solo con fines

Es ideal la implementación de nuevos esquemas de seguridad, pues el activo más

En los principios básicos de un sistema de seguridad se encuentran algunos

¿Cuáles son las debilidades del sistema informático a proteger?

¿Qué riesgos existen?

Son algunos cuestionamientos que se presentan en las compañías en el momento

Independientemente del sistema a implementar (software libre o privativo) existen

Son algunos elementos a tener en cuenta para realizar la implementación, pero

En la actualidad la seguridad en la información, es uno de los factores para

4.1 ¿POR QUE IMPLEMENTAR ESQUEMAS DE SEGURIDAD BASADOS

En los esquemas de red existen varios implementos necesarios para el

En la distribución de las redes se generaron controladores de dominio,

4.2 ¿QUÉ TAN FÁCIL ES IMPLEMENTAR UN SISTEMA DE SEGURIDAD

Las complicaciones existentes en la actualidad se basan básicamente en la falta

La implementación de esquemas de seguridad basados en software libre requiere

5 Portal oficial GNUDisponible en internet:http://www.gnu.org/philosophy/free-sw.es.html

4.3 ¿QUÉ SE DEBE TENER ENCUENTA PARA IMPLEMENTAR

Para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI)

7 Disponible en Internet: http://www.iso27000.es/iso27000.html#section3c

5.1 OBJETIVO GENERAL

Implementar esquemas de seguridad basados en software libre y analizar los

5.2 OBJETIVOS ESPECÍFICOS

Verificar la efectividad de implementar software libre en los procesos de

6.1 SOFTWARE LIBRE

“Significa que el software respeta la libertad de los usuarios y la comunidad.

9IEEE Standard Glossary of Software Engineering Terminology 1990 Disponible en internet:

“El Software Privativo es la antítesis del Software Libre, estando su uso,

12 Diccionario definiciones Online Disponible en Internet: http://potlatch.wikidot.com/definiciones:software-

6.3 SOFTWARE DE DOMINIO PÚBLICO

“ Es la denominación del software que respeta la libertad de los usuarios

13 Enciclopedia online Disponible en Internet: http://es.wikipedia.org/wiki/Software_libre

6.4 SOFTWARE DE LICENCIA PERMISIVA

6.5 SOFTWARE BAJO COPYLEFT

14 Guía del derecho de software, Cenatic 2009 disponible en internet:http://oca.usal.es/documentos/guia-