Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESUMEN
La empresa COMFAMILIAR HUILA es la caja de compensación familiar que presta sus
servicios en el departamento del Huila, cuyo propósito central es brindar bienestar y
felicidad a la población afiliada y sus familias.
La finalidad de este proyecto es sustentar la importancia de construir un documento que
contenga el análisis de riesgos de seguridad de la empresa COMFAMILIAR HUILA; y
como base para el estudio se tiene el trabajo GAP ANÁLISIS COMFAMILIAR HUILA
(análisis de brechas de seguridad), presentado por los profesionales Carlos Andres Cruz,
Sergio Alejandro Diaz, Jose Bayardo Malaver y Luz Mery Zambrano en el año 2022, y en
el cual se ha realizado observación de necesidades que permite evidenciar que este proceso
no ha sido generado y por lo tanto existe un bajo porcentaje de cumplimiento En el estudio
de Carlos Andres Cruz, Sergio Alejandro Diaz, Jose Bayardo Malaver Y Luz Mery
Zambrano (2022) relacionado con políticas de la seguridad de la información para
establecer la forma más adecuada de tratar los aspectos de seguridad mediante la
conjugación de los recursos humanos y técnicos, respaldados por medidas administrativas,
que garanticen la instauración de controles efectivos para lograr el nivel de seguridad
necesario en correspondencia con los objetivos de la organización, de manera que se
mantenga siempre el riesgo por debajo del nivel asumible por la propia entidad. En la
actualidad esta compañía presenta grandes falencias de seguridad de todo lo relacionado
con la información en las diferentes áreas de la entidad, por lo tanto, es preciso revisar las
diferentes vulnerabilidades, sus causas y las consecuencias que éstas generan para poder
crear los mecanismos que mitiguen o eliminen el daño a la empresa. Por esta razón se hace
necesario implementar un análisis de riesgos de seguridad de la información que permita
evaluar los diferentes problemas que se puedan presentar en la entidad y el desarrollo de
mecanismos que ayuden a mitigar los impactos de estos.
Palabras claves: riesgo, información, seguridad, análisis, vulnerabilidad, mejora.
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL
ABSTRACT
The purpose of this project is to support the importance of building a document that
contains the analysis of security risks of the company COMFAMILIAR HUILA and within
this process of continuous improvement of the entity there is a GAP ANÁLISIS
COMFAMILIAR HUILA work (analysis of security gaps), presented by the professionals
Carlos Andres Cruz, Sergio Alejandro Diaz, Jose Bayardo Malaver and Luz Mery
Zambrano in the year 2022, and in which a needs analysis has been carried out, showing
that this process has not been generated and in which there is evidence of a low percentage
of compliance related to information security policies in order to define an information
security policy. At present, this company presents great deficiencies in information security
in the different areas of the entity, therefore, it is necessary to review the different
vulnerabilities that appear in information security. Due to the above, it is necessary to
implement an information security risk analysis in order to evaluate the different problems
that may arise in the entity in terms of information security and the development of
mechanisms that help mitigate its impacts.
CONTENIDO
RESUMEN..............................................................................................................................2
ABSTRACT............................................................................................................................3
CONTENIDO.........................................................................................................................4
INTRODUCCIÓN..................................................................................................................5
PROBLEMA Y JUSTIFICACIÓN.........................................................................................6
PLANTEAMIENTO DEL PROBLEMA...........................................................................6
JUSTIFICACION...............................................................................................................6
OBJETIVOS...........................................................................................................................8
OBJETIVO GENERAL......................................................................................................8
OBJETIVOS ESPECÍFICOS..............................................................................................8
ESTADO DEL ARTE.............................................................................................................9
CRONOGRAMA:.................................................................................................................14
PRESUPUESTO...................................................................................................................15
Presupuesto Resumido:.....................................................................................................15
Presupuesto Detallado:......................................................................................................16
MARCO METODOLÓGICO...............................................................................................17
TIPO Y DISEÑO DE LA INVESTIGACIÓN.................................................................17
POBLACION Y MUESTRA............................................................................................17
VARIABLES................................................................................................................18
TECNICAS DE INVESTIGACION.................................................................................18
DESCRIPCION DE LOS INSTRUMENTOS..................................................................19
ENCUESTAS................................................................................................................19
ENTREVISTAS............................................................................................................19
BIBLIOGRAFIA..................................................................................................................20
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL
INTRODUCCIÓN
PROBLEMA Y JUSTIFICACIÓN
OBJETIVOS
OBJETIVO GENERAL
1. Evaluar el estado actual mediante una auditoría del sistema de gestión de seguridad
de la información de la empresa CONFAMILIAR HUILA.
2. Definir un plan de del sistema de gestión de riesgos basado en la Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información MAGERIT Versión 3.
3. Determinar los activos relevantes para la Organización, su interrelación y su valor,
mediante Magerit y su catálogo de elementos.
4. Establecer mediante una matriz DOFA las diferentes vulnerabilidades de la
compañía generando una matriz de impacto que caracterice las diferentes vulnerabilidades
en una escala de valor que permita identificar en que escala se encuentran los riesgos,
valorándolos del más grave al de menor impacto.
5. Identificar mediante una tabla de control de riesgos las recomendaciones o controles
que se deben hacer como parte de los resultados.
6. Generar un plan de tratamiento de gestión de riesgos para evaluación y control de
los mismos.
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL
Para la auditoria y como base del primer objetivo específico se tomarán como base los
siguientes trabajos:
En el trabajo (Basaldúa, 2005) Seguridad en informática (auditoría de sistemas), se toma
como una referencia el capítulo IV de auditoria en sistemas donde se reflejan las bases que
debe llevar dicha auditoria para su aplicación en la empresa COMFAMILIAR HUILA.
En el estudio de (ESAP, 2020) Plan de tratamiento de riesgos de seguridad de la
información hecho por la Oficina de Sistemas e Informática, se referenciarán tanto el
modelo de auditoria como el mapa de calor de ubicación de los riesgos mostrado en las
páginas 6 y 7 del estudio.
En la guía técnica (MINTIC, 2016), Guía para la Implementación de Seguridad de la
Información en una MIPYME, basaremos los pasos para definir como realizar un
inventario de activos de información, así como la identificación de amenazas que puede
tener la compañía.
En cuanto a las metodologías de gestión de riesgos que comprende el proceso de
identificación, análisis, tratamiento y monitoreo de los riesgos que debe realizarse en toda
organización con el fin de determinar su probabilidad de ocurrencia y el impacto que
generaría a los activos (hardware y software) y a la organización una materialización del
mismo.
Para cumplir con nuestro segundo objetivo específico existen diversas metodologías y
normas que brindan una guía para la correcta implementación de la gestión de riesgos en
una organización, a continuación, se describen 3 de ellas que fueron elegidas como
referencia para la elaboración de este proyecto:
METODOLOGIA 1: NTC ISO 31000 (ISO 31000, 2018)
Es la metodología más reconocida y utilizada ya que brinda los principios y las directrices
genéricas sobre la gestión del riesgo.
Esta metodología puede ser utilizada por cualquier tipo de empresa y no es específica para
ninguna industria o sector, además se puede aplicar en toda la organización y a un amplio
rango de actividades que va desde las estrategias hasta productos, servicios y activos.
Además, se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza, bien sea
que tenga consecuencias positivas o negativas.
El marco de referencia ayuda a la gestión eficaz del riesgo a través de la aplicación del
proceso para la gestión del riesgo en los diversos niveles y en contextos específicos de la
organización.
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL
El proceso para la gestión del riesgo debería: ser parte integral de la gestión, estar incluido
en la cultura y las prácticas, y estar adaptado a los procesos de negocio de la organización.
Aunque es muy utilizada su metodología de proceso por estar enfocada al ámbito social y
relacional, no tiene gran enfoque y adaptabilidad a la gestión de activos que es base para el
proceso de la identificación y análisis de riesgos y, aunque se tendrá en cuenta para
referencia, no se tendrá como metodología base.
METODOLOGIA 2: MAGERIT
(RAE, 2012)
Responde a lo que se denomina “Proceso de Gestión de los Riesgos”, sección 4.4
(“Implementación de la Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos
de ISO 31000.
Magerit propone dos grandes tareas a realizar:
1. Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo
que podría pasar.
2. Tratamiento de los riesgos, que permite organizar la defensa concienzuda y
prudente, para que no pase nada malo y al tiempo estar preparados para atajar las
emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones;
como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección
asume.
Ambas actividades, análisis y tratamiento se combinan en el proceso denominado Gestión
de Riesgos.
El análisis de riesgos considera los siguientes elementos:
1. ACTIVOS: que son los elementos del sistema de información (o estrechamente
relacionados con este) que soportan la misión de la Organización
2. AMENAZAS: que son cosas que les pueden pasar a los activos causando un
perjuicio a la Organización
3. SALVAGUARDAS (o contra medidas): que son medidas de protección desplegadas
para que aquellas amenazas no causen daño.
Con los elementos mencionados se puede estimar el impacto: lo que podría pasar y el
riesgo: lo que probablemente pase; basados en el trabajo (Universidad de Murcia, 2015), el
método Magerit, para el análisis de riesgos esta metodología recomienda una seria de pasos
a seguir que son:
Determinar los activos relevantes para la Organización, su interrelación y su valor,
en el sentido de qué perjuicio (coste) supondría su degradación.
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL
Y por último para el sexto objetivo se toman como referencias el documento (de
Buenaventura, 2022) PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN se tomará como referencia para realizar el plan de
tratamiento de gestión de riesgos de acuerdo a las opciones que se indican en la página 18
para poder tratar los riesgos focalizados para la empresa Comfamiliar Huila.
En el documento (Universidad de Murcia, 2015) El método MAGERIT. en el capítulo 4
describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de
gestión de riesgos que sirva como referencia para el plan de tratamiento que se formulará
en la empresa Comfamiliar Huila.
Del trabajo (Lorena Garibello Brand, Elkin Alexander Oviedo Ruiz, Dairo Yesid, Sierra
Joiro, 2020) Análisis de riesgos informáticos en la implementación de un plan de
contingencias para el software de atención al cliente en una empresa de
telecomunicaciones, se tendrá en cuenta la tabla de lecciones aprendidas en donde se
categorizan los riesgos, con nombre de problema, impacto y recomendación; ya que como
indican en su trabajo “Estas lecciones son categorizadas por área de conocimiento
describiendo su impactos y las recomendaciones se ofrecen para su la consideración en
proyectos futuros”.
De la referencia (Análisis de Riesgos Informáticos, 2018) se tomará referencia que debe
incluir un plan de recuperación de desastres que incluye una serie de medidas que ayuda a
las empresas a contrarrestar los efectos de algún tipo de desastre tecnológico o natural que
interrumpa o paralice parcial o completamente el funcionamiento de una empresa.
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL
CRONOGRAMA:
DURACION FECHA DE AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE ENERO FEBRERO MARZO ABRIL
ID TAREA A REALIZAR FECHA FIN
EN DIAS COMIENZO
1 1 Analisis GAP 20 3/08/2022 23/08/2022
2 1.1 Verificacion de los controles encontrados 10 3/08/2022 13/08/2022
3 1.2 Validacion de las observaciones dadas 10 13/08/2022 23/08/2022
4 2 Inventario 40 24/08/2022 3/10/2022
5 2.1 Verificacion de los datos entregados por la entidad - Recoleccion 15 24/08/2022 8/09/2022
6 2.2 Revision y clasificacion de acuerdo al Catalogo MAGERIT 25 8/09/2022 3/10/2022
7 3 Auditoria 60 4/10/2022 3/12/2022
8 3.1 Diagnostico 25 4/10/2022 29/10/2022
9 3.2 Entrevista 5 29/10/2022 3/11/2022
10 3.3 Encuesta 10 3/11/2022 13/11/2022
11 3.4 Revision fisica 20 13/11/2022 3/12/2022
12 4 Analisis de datos 45 4/12/2022 18/01/2023
13 4.1 Identificacion de Vulnerabilidades, amenazas y riesgos 20 4/12/2022 24/12/2022
14 4.2 Analisis de vulnerabilidades 25 24/12/2022 18/01/2023
15 5 Analisis de riesgos 75 19/01/2023 4/04/2023
16 5.1 Catalogacion de los riesgos 10 19/01/2023 29/01/2023
17 5.2 Analisis cuantitativo 15 29/01/2023 13/02/2023
18 5.3 Analisis Cualitativo 20 13/02/2023 5/03/2023
19 5.4 Identificacion del riesgo puro y el riesgo residual 15 5/03/2023 20/03/2023
20 5.5 Controles y salvaguardas validados para los activos 15 20/03/2023 4/04/2023
21 6 Verificacion de los resultados 20 5/04/2023 25/04/2023
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL
PRESUPUESTO
Presupuesto Resumido:
VALOR TOTAL EN
DESCRIPCION DE COSTOS POR FASES COSTO DE INVERSION
PESOS
Presupuesto Detallado:
PRESUPUESTO GENERAL ANALISIS DE RIESGOS COMFAMILIAR
FASE I: ANALISIS GAP E INVENTARIO
Verificacion de los controles Validacion de las observaciones Verificacion de los datos entregados Revision y clasificacion de acuerdo
ACTIVIDADES
encontrados dadas por la entidad - Recoleccion al Catalogo MAGERIT
ITEMS TOTAL ITEMS FASE I
UNIDAD DE COSTO COSTO COSTO COSTO
CANT. TOTAL CANT. TOTAL CANT. TOTAL CANT. TOTAL
MEDIDA UNITARIO UNITARIO UNITARIO UNITARIO
SUMINISTRO RECURSOS MATERIALES
Copias Hoja 50 $ 100 $ 5.000 50 $ 100 $ 5.000 30 $ 100 $ 3.000 30 $ 100 $ 3.000 $ 16.000
Impresiones Hoja 410 $ 400 $ 164.000 100 $ 400 $ 40.000 60 $ 400 $ 24.000 15 $ 400 $ 6.000 $ 234.000
Scanner Hoja $ - $ - $ - $ - $ - $ - $ - $ - $ -
TRANSPORTE Y VIATICOS
Transporte Persona 7 $ 12.000 $ 84.000 3 $ 12.000 $ 36.000 3 $ 12.000 $ 36.000 3 $ 12.000 $ 36.000 $ 192.000
Alimentacion Persona 2 $ 14.000 $ 28.000 3 $ 14.000 $ 42.000 3 $ 14.000 $ 42.000 3 $ 14.000 $ 42.000 $ 154.000
SERVICION Y ALQUILER DE EQUIPOS
Internet Hora 12 $ 2.200 $ 26.400 8 $ 4.500 $ 36.000 6 $ 4.500 $ 27.000 1 $ 4.500 $ 4.500 $ 93.900
Telefonia Recarga 3 $ 10.000 $ 30.000 $ - $ - 3 $ 10.000 $ 30.000 $ - $ - $ 60.000
Equipo PC Hora 2 $ 12.000 $ 24.000 5 $ 3.500 $ 17.500 8 $ 3.500 $ 28.000 $ - $ - $ 69.500
RECURSOS HUMANOS (ANTICIPO DE 50%)
Honorarios Personal
Tecnico 2 Personas x 1
2 $ 1.800.000 $ 3.600.000 $ - $ - $ - $ - $ - $ - $ 3.600.000
$ 1.800.000 x Mes Meses
c/u 240 Hrs x Mes
Copias Hoja 15 $ 100 $ 1.500 60 $ 100 $ 6.000 69 $ 100 $ 6.900 39 $ 100 $ 3.900 $ 18.300
Impresiones Hoja 5 $ 400 $ 2.000 20 $ 400 $ 8.000 23 $ 400 $ 9.200 13 $ 400 $ 5.200 $ 24.400
Scanner Hoja $ - $ - 30 $ 1.900 $ 57.000 30 $ 1.900 $ 57.000 30 $ 1.900 $ 57.000 $ 171.000
TRANSPORTE Y VIATICOS
Transporte Persona 3 $ 12.000 $ 36.000 6 $ 12.000 $ 72.000 13 $ 12.000 $ 156.000 5 $ 12.000 $ 60.000 $ 324.000
Alimentacion Persona 3 $ 14.000 $ 42.000 6 $ 14.000 $ 84.000 13 $ 14.000 $ 182.000 5 $ 14.000 $ 70.000 $ 378.000
SERVICION Y ALQUILER DE EQUIPOS
Internet Hora 6 $ 4.500 $ 27.000 9 $ 4.500 $ 40.500 9 $ 4.500 $ 40.500 9 $ 4.500 $ 40.500 $ 148.500
Telefonia Recarga $ - $ - 3 $ 10.000 $ 30.000 1 $ 10.000 $ 10.000 3 $ 10.000 $ 30.000 $ 70.000
Equipo PC Hora 4 $ 3.500 $ 14.000 9 $ 3.500 $ 31.500 9 $ 3.500 $ 31.500 9 $ 3.500 $ 31.500 $ 108.500
Identificacion de Vulnerabilidades, Analisis Cualitativo y cuantitativo de Identificacion del riesgo puro, el Controles y salvaguardas validados
ACTIVIDADES amenazas, riesgos por cada activo y los riesgos riesgo residual y los riesgos para los activos y Validacion de los
ITEMS Analisis de vulnerabilidades adicionales resultados TOTAL ITEMS FASE III
Transporte Persona 2 $ 12.000 $ 24.000 1 $ 12.000 $ 12.000 3 $ 12.000 $ 36.000 3 $ 12.000 $ 36.000 $ 108.000
Alimentacion Persona 2 $ 14.000 $ 28.000 1 $ 14.000 $ 14.000 3 $ 14.000 $ 42.000 3 $ 14.000 $ 42.000 $ 126.000
SERVICION Y ALQUILER DE EQUIPOS
Internet Hora 6 $ 4.500 $ 27.000 3 $ 4.500 $ 13.500 1 $ 4.500 $ 4.500 1 $ 4.500 $ 4.500 $ 49.500
Telefonia Recarga $ - $ - $ - $ - $ - $ - $ - $ - $ -
Equipo PC Hora 6 $ 3.500 $ 21.000 6 $ 3.500 $ 21.000 9 $ 3.500 $ 31.500 $ - $ - $ 73.500
MARCO METODOLÓGICO
TIPO Y DISEÑO DE LA INVESTIGACIÓN
POBLACION Y MUESTRA
VARIABLES
Los datos a tener en cuenta para el tamaño de la muestra serán los siguientes:
Tamaño de la población: 1342
Nivel de confianza: 95%
Margen de error: 5%
Se utilizará la ecuación estadística para proporciones poblacionales:
2
z ( p∗q)
n= 2
2 (z ( p∗q ) )
e+
N
Ecuación 1. ecuación estadística para proporciones poblacionales
En donde:
n = Tamaño de la muestra, el cual es el resultado de la ecuación.
z = Nivel de confianza deseado, en este caso utilizaremos un 99%
p = Es la proporción de la población con característica deseada (éxito), en este caso
utilizaremos un 50%
q = Es la proporción de la población sin la característica deseada (fracaso), en este caso
utilizaremos un 50%
e = Nivel de error dispuesto a cometer, en este caso es el 10%
N = Tamaño de la población que en este caso es
Haciendo el cálculo con la fórmula obtenemos que el tamaño de la muestra es de 299
encuestas.
TECNICAS DE INVESTIGACION
La técnica que utilizaremos se efectuará mediante análisis estadísticos y un estudio
correlacional del caso, identificando una oportunidad para entender mejor los conceptos
definidos en los estándares mencionados para gestión dándole un enfoque a los riesgos
tecnológicos. Nos brindara un mapa de ruta para la aplicación del proceso de gestión de
riesgos de 27005 evitando los vacíos y ambigüedades que tienen los estándares ISO, dando
indicaciones sobre cómo llevar a cabo las acciones que estos mencionan.
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL
ENCUESTAS
Las encuestas para los usuarios finales cuentan con 10 preguntas, cuentan con una
calificación de 1 a 5 dependiendo del contexto de la pregunta basados en nuestra matriz de
riesgos donde las tenemos especificadas para cada riesgo (hardware, origen físico, nivel de
usuario, datos, software, infraestructura, políticas y redes).
ENTREVISTAS
BIBLIOGRAFIA
Lorena Garibello Brand, Elkin Alexander Oviedo Ruiz, Dairo Yesid, Sierra Joiro. (2020).
ANÁLISIS DE RIESGOS INFORMÁTICOS EN LA IMPLEMENTACIÓN DE UN
PLAN DE CONTINGENCIAS PARA EL SOFTWARE DE ATENCIÓN AL CLIENTE
EN UNA EMPRESA DE TELECOMUNICACIONES. Edu.co.
https://repository.unimilitar.edu.co/bitstream/handle/10654/10125/
GaribelloBrandLorena2013.pdf?sequence=2&isAllowed=y
PAE. (2012, octubre). MAGERIT v.3: Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Gob.es.
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/
pae_Magerit.html
Toro, R. (2021, agosto 26). Metodología NIST SP 800 – 30 para el análisis de Riesgos en
SGSI. PMG SSI - ISO 27001. https://www.pmg-ssi.com/2021/08/metodologia-nist-sp-800-
30-para-el-analisis-de-riesgos-en-sgsi/
PROYECTO SEGURIDAD FÍSICA APLICADA
MEJORA DE SEGURIDAD FÍSICA EN EL CADE FONTIBON
SEGURIDAD FÍSICA Y AFINES
TERCER BLOQUE-PROYECTO - VIRTUAL