Gerencia Tecnologia de Informacion

IMPLEMENTACIN DE LOS CONTROLES ASIGNADOS AL DOMINIO
GESTIN DE ACTIVOS, BAJO LOS LINEAMIENTOS ESTABLECIDOS POR

LA NORMA ISO/27001 ANEXO A, PARA LAS EMPRESAS MUNICIPALES DE
CALI, EMCALI E.I.C.E-ESP.
PAUL ROSEMBERG ENRIQUEZ ESPINOSA
UNIVERSIDAD AUTNOMA DE OCCIDENTE

FACULTAD DE INGENIERA
DEPARTAMENTO DE INGENIERA INFORMTICA Y CIENCIAS DE LA
COMPUTACIN
PROGRAMA INGENIERIA INFORMATICA
SANTIAGO DE CALI
2013
IMPLEMENTACIN DE LOS CONTROLES ASIGNADOS AL DOMINIO

GESTIN DE ACTIVOS, BAJO LOS LINEAMIENTOS ESTABLECIDOS POR
LA NORMA ISO/27001 ANEXO A, PARA LAS EMPRESAS MUNICIPALES DE
CALI, EMCALI E.I.C.E-ESP.
PAUL ROSEMBERG ENRIQUEZ ESPINOSA -
Pasanta Institucional para optar por el ttulo de Ingeniero Informtico
Director
MARIO WILSON CASTRO
Ing. De Sistemas
UNIVERSIDAD AUTNOMA DE OCCIDENTE

DEPARTAMENTO
FACULTAD DE INGENIERA INFORMTICA Y CIENCIAS DE LA
COMPUTACIN
PROGRAMA INGENIERIA INFORMATICA
SANTIAGO DE CALI
2013
Nota de aceptacin
Aprobado por el Comit de Grado
en cumplimiento de los requisitos
exigidos por
la
Universidad
Autnoma de Occidente para optar
al ttulo de Ingeniero Informtico.
ARMANDO GARCA
Jurado
Santiago de Cali, Julio de 2013

3
Agradezco a DIOS por la salud y sabidura con la que me colma cada da y por
oportunidad que me ha brindado de poder educarme en una Universidad y por
permitirles a mis padres la salud y los recursos necesarios para el pago de la
misma.
A mis padres Winston Enriquez lzate y Gloria M. Espinosa Garcs por sus
consejos y su ayuda incondicional para superar toda adversidad que se present
durante mi formacin profesional; sin ellos lo que hoy en da soy y he logrado no
hubiera podido hacerse realidad.
A la direccin acadmica de la Universidad Autnoma de Occidente, por compartir

sus conocimientos conmigo, en especial al Ing. Mario Wilson Castro por su ayuda
contribucin en mi formacin profesional y su ayuda incondicional durante m
proceso de trabajo de grado.
A las empresas pblicas de Cali EMCALI E.I.C.E-ESP, por permitirme realizar mi

pasanta institucional al interior de su organizacin; agradezco especialmente a la
Gerencia de TI por acogerme dentro de sus instalaciones y a la Ing. Luz Stella
Mora, por su apoyo incondicional y por compartir con migo el conocimiento que
hoy se ve consolidado en este documento.
A mis amigos por estar siempre a mi lado brindndome sus buenas energas y por
recordarme que este es el ltimo peldao de este sueo llamado ingeniera
informtica y que para alcanzarlo debo dar lo mejor de m.
Paul Rosemberg Enriquez Espinosa.
CONTENIDO
RESUMEN
14
INTRODUCCIN
15
1.
ANTECEDENTES
17
2.
PROBLEMA DE INVESTIGACIN
19
2.1. PLANTEAMIENTO DEL PROBLEMA
19
3.
JUSTIFICACIN
23
3.1.
JUSTIFICACIN ECONMICA
23
3.2.
JUSTIFICACIN SOCIAL
24
3.3.
JUSTIFICACIN TCNICA
24
3.4.
JUSTIFICACIN TERICA
25
4.
OBJETIVOS
27
4.1.
OBJETIVO GENERAL
27
4.2.
OBJETIVOS ESPECFICOS
27
5.
MARCO TEORICO
29
5.1.
SERIE ISO/27000
29
5.2.
ISO/27001
30
5.3.
ISO/27002
32
5.4.
ISO/27001 ANEXO A
34
5.5.
DOMINIO GESTIN DE ACTIVOS
35
5.6.
GESTIN DE RIESGO
40
5.6.1.
5.7.
5.7.1.
43
Procedimientos para la Gestin de Riesgos.

METODOLOGA PARA GESTIN DE RIESGOS
40
42
Metodologa de Gestin de riesgos Magerit
5.7.2 Magerit establece dos tipos de objetivos
43
5.8.1Planear
45
5.8.2 Hacer
45
5.8.3 Verificar
46
5.8.4 Actuar
46
6.
METODOLOGA
47
7.
DESARROLLO DEL PROYECTO
48
7.1.
LINEAMIENTOS PARA LA GESTIN DEL RIESGO
48
7.1.1.
Establecer el contexto
49
7.1.2.
Identificacin del Riesgo
60
7.1.3.
Estimacin del Riesgo
62
7.1.4.
Evaluacin Del Riesgo
64
7.1.5.
Tratamiento Del Riesgo
65
7.1.6.
Comunicacin y Consulta
66
7.1.7.
Monitoreo y Revisin
66
7.2.
ACTIVOS DE INFORMACION OBJETO DE ANLISIS
67
7.2.1.
Anlisis de Activos
67
7.2.2.
Gerencia de TI
68
7.2.3.
Departamento Operaciones
70
7.2.4.
Departamento Sistemas de Informacin
72
7.2.5.
Departamento Planeacin Tecnolgica
74
7.2.6.
Conclusin Respecto al Anlisis de Activos y Actualizacin del
Inventario
76
7.2.7.
7.3.
7.3.1
Determinar El Alcance
76
INVENTARIO DE ACTIVOS
80
Campos de informacin a asociar al inventario
80
7.2
MATRIZ DE RIESGOS
81
7.3
CONTROLES SUGERIDOS PARA MINIMIZAR EL RIESGO
81
7.3.1
Controles
81
7.4
METODOLOGA PARA LA ACTUALIZACIN DEL INVENTARIO DE
ACTIVOS
83
7.4.1
Etapa nmero uno, activos a dar de baja
84
7.4.2
Etapa nmero dos, actualizar valoracin de criticidad
84
7.4.4
Etapa nmero 1, Activos a dar de baja
86
7.4.4.1
Indagar
86
7.4.5
Etapa Numero Dos
89
7.4.5.1
Actualizar valor de Criticidad
90
7.4.5.2
Traslado de Activos de Informacin
90
7.4.5.3
Traspaso de activos de informacin
91
7.4.6
Etapa nmero tres
92
7.4.6.1
Anlisis Activos de Informacin
92
7.4.6.2
Dar de Alta
93
7.5 USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIN
95
7.5.1
95
Polticas de Seguridad de la Informacin
7.5.2
Polticas Generales
96
7.5.3
Polticas Especficas
97
7.5.3.1
Polticas Para el Uso Adecuado del Correo Electrnico
7.5.3.2
100
Polticas de Uso de Estaciones de Trabajo
7.5.3.3
Polticas de Uso de Cuentas de Usuario y Contraseas
101
7.5.3.4
Polticas de Disponibilidad de la Informacin
103
7.5.4
Etiquetado de Activos de Informacin
98
104
7.5.4.1 Propsito de Seguridad Respecto al Etiquetado de Equipos

Cmputo
105
7.5.4.2
105
Consolidacin del Etiquetado de Equipos de Cmputo
7.5.4.3
Definir Activos a Etiquetar
105
7.5.4.4
Informacin Registrada en el Inventario de Activos
106
7.5.4.5
Recaudo de informacin Adicional
108
7.5.4.6
Diseo de la Etiqueta de Marcado
109
7.5.4.7
Disposicin de Etiquetas sobre el Activo de Informacin
110
7.5.4.8
Delegacin de Responsabilidades
111
7.5.4.9
Marcado de Activos
111
7.5.4.10
Muestra de Resultados
111
7.5.5 Estrategia de Sensibilizacin al Usuario Respecto al Etiquetado de

Activos y la Importancia de los Activos de Informacin
112
7.5.5.1
Enfoque y Estrategia para la Sensibilizacin

7
113
7.5.5.2
Factores a Fortalecer en el Empleado
115
7.5.5.3
Fortalecimiento del Factor Cognitivo
115
7.5.5.4
Fortalecimiento del Factor Psicolgico
116
7.5.5.5
Fortalecimiento del Factor Laboral (Compromiso respecto a
la seguridad de la informacin)
116
7.5.5.6
7.5.5.7
Control y Seguimiento
116
Seguimiento
117
7.5.5.8
Estimacin Cronolgica y Econmica Para la Ejecucin de la
Estrategia de Concientizacin
118
8.
CONCLUSIN
119
9.
RECOMENDACIONES
121
BIBLIOGRAFA
123
ANEXOS
128
LISTA DE FIGURAS
Pg.
Figura 1 Controles Asociados a la Norma ISO/27002
33
Figura 2. Dominio gestion de activos asociado al Anexo A
35
Figura 3. Clasificacin de los activos de informacin respecto a su

confidencialidad
51
Figura 4 Clasificacin de los activos de informacin respecto a su

integridad
51

disponibilidad
52

Trazabilidad
53
Figura 7. Distribucin de Activos de informacin actualizada
68
Figura 8. Activos asociados a la Gerencia de TI, distribuidos respecto a su

valor de criticidad
69
Figura 9. Activos asociados a la gerencia de TI, que se encuentran
registrados en la matriz de riesgos
70
Figura 10. Activos asociados al departamento de operaciones, distribuidos

respecto a su valor de criticidad
71
Figura 11. Activos asociados al departamento de operaciones, que se
encuentran registrados en la matriz de riesgos
72
Figura 12. Activos asociados al departamento de sistemas de informacin,

distribuidos respecto a su valor de criticidad
73

que se encuentran registrados en la matriz de riesgoS
74
Figura 14. Activos asociados al departamento de planeacin tecnolgica,
75
que se encuentran registrados en la matriz de riesgos
76
Figura 16. Prototipo etiquetas de marcado
110
Figura 17. Prototipo Etiquetas de Marcado 2
110
10
LISTA DE CUADROS
Pg.
Cuadro 1. Niveles de valoracin de los activos de informacin
50
Cuadro 2. Ejemplo de nivel de criticidad respecto a la confidencialidad de los

activos de informacin
54
Cuadro 3. Ejemplo nivel de criticidad respecto a la integridad de los activos
de informacin
54
Cuadro 4. Ejemplo Nivel de criticidad Respecto a la disponibilidad de los
55
Cuadro 5. Ejemplo de nivel de criticidad respecto a la trazabilidad de los

55
Cuadro 6. Ejemplo Valoracin final de los activos de informacin respecto a

su criticidad
56
Cuadro 7. Ejemplo construccin de etiqueta de criticidad
56
Cuadro 8. Escala de probabilidad
62
Cuadro 9. Escala de impacto
63
Cuadro 10. Matriz de probabilidad VS Impacto
65
Cuadro 11. Activos de informacin asociados al proceso gestionar

tecnologa
77
Cuadro 12. Tipo de Baja
88
Cuadro 13. Modo de adquisicin del activo
94
Cuadro 14. Nomenclatura para identificacin de propietario de activos
11
107
Cuadro 15. Valores de criticidad a asociar a la etiqueta de marcado
107
Cuadro 16. Nomenclatura para la identificacin de atributos
107
12
LISTA DE ANEXOS
Pg.
Anexo A. Inventario de activos de informacin y matriz de riesgos
Anexo B. Formato de Baja y Alta
125
Anexo C. Formato de Traslado y Traspaso
126
Anexo D. Formato de Delegacin de Responsabilidades y Entrega

de
Recursos
127
Anexo E. Formato de Control en el Etiquetado
13
128
RESUMEN
La necesidad percibida en el estudio y anlisis de una situacin real al interior de
empresas municipales de Cali (EMCALI E.I.C.E-ESP), especficamente dentro de
la gerencia de tecnologa de la informacin, permite que el proyecto desarrollado
en modalidad de pasanta como opcin de grado - IMPLEMENTACIN DE LOS
CONTROLES ASIGNADOS AL DOMINIO GESTIN DE ACTIVOS, BAJO LOS
LINEAMIENTOS ESTABLECIDOS POR LA NORMA ISO/27001 ANEXO A,
PARA LAS EMPRESAS MUNICIPALES DE CALI, EMCALI E.I.C.E-ESP surja
como una alternativa de solucin para coadyuvar en el desarrollo del dominio
nmero siete (Gestin de Activos) de la Norma ISO/27001 Anexo A.
El proyecto se emprendi inicialmente con el diagnostico preliminar del estado de

desarrollo en el cual se encontraba el proyecto de Sistema de Gestin de
Seguridad de la Informacin (SGSI), a fin de establecer un punto de partida para
el inicio del proyecto, partiendo del avance que EMCALI haya consolidado para el
proyecto (SGSI), proyecto el cual requiere del desarrollo del dominio nmero siete
(Gestin de Activos), para encontrase conforme con las directrices establecidas
por la Norma ISO/27001 y alcanzar de esta manera la certificacin en seguridad
de la informacin.
El presente documento ostenta la posicin con la cual se proyecta una perspectiva

que permita coadyuvar en el cumplimiento del dominio Gestin de Activos de la
Norma ISO/27001 Anexo A, mediante la consecucin de cada uno de los objetivos
de control y controles asociados a este dominio, para los cuales se formaron
estrategias que permitirn a la organizacin minimizar el riesgo sobre los activos
de informacin, mediante la identificacin de activos crticos, propiedad y custodio
de los activos, polticas para el buen uso de los activos de informacin y la
generacin de cultura y hbitos de seguridad respecto a la seguridad de la
informacin en los empleados de la organizacin, garantizando de esta manera la
confidencialidad, integridad, disponibilidad y trazabilidad de los activos de
informacin.
Palabras clave: seguridad de la informacin, activos de informacin, actividad

empresarial, gestin de seguridad de la informacin.
14
INTRODUCCIN
La seguridad de la informacin son todas aquellas acciones que llevan a cabo las
organizaciones con el fin de disminuir los riesgos que recaen sobre los activos de
informacin que dichas organizaciones poseen, y de esta manera poder garantizar
la confidencialidad, disponibilidad, integridad y trazabilidad de los activos de
informacin.
El proceso de implementar la seguridad de la informacin dentro de una

organizacin es un proceso dispendioso, el cual requiere de la cooperacin y
trabajo en equipo de las diferentes reas organizacionales que componen la
organizacin, ya que cada rea organizacional cuenta con activos de informacin
valiosos para mantener la actividad empresarial de la organizacin en
competencia. Los activos de informacin deben ser asegurados por el rea
organizacional o grupo de personas encargadas de implementar la seguridad de la
informacin al interior de la organizacin, el rea o grupo de personas
responsables de llevar a cabo esta labor, deben contar con conocimiento de los
conceptos que se ven abarcados por la seguridad de la informacin, como lo es el
concepto de sistema de gestin de seguridad de la informacin (SGSI) el cual es
una herramienta clave para el desarrollo de la seguridad de la informacin.
El sistema de gestin de seguridad de la informacin (SGSI) es una herramienta

de gestin que nos permite conocer, gestionar y minimizar los riesgos a los cuales
estn expuestos los activos de informacin. El SGSI contempla la definicin de
polticas de seguridad las cuales permitan realizar un correcto uso de los activos
de informacin, sin comprometer su confidencialidad, disponibilidad, integridad, y
trazabilidad. Para la implementacin del sistema de seguridad de la informacin
(SGSI) se debe tener en cuenta la norma ISO/270001 las cual est elaborada para
orientar el proceso de implementacin de SGSI.
ISO/IEC 27000-series [en lnea]. 24 de marzo 2012 [consultado el 10 de noviembre de 2012]

Disponible en Internet: http://es.wikipedia.org/wiki/ISO/IEC_27000-series
15
La norma se compone de una serie de normas asociadas como son la norma

ISO/270012, la cual hace referencia a las buenas practicas que se deben tener en
cuenta a la hora de llevar acabo la implantacin de un SGSI, esta norma es la que
otorga la certificacin en seguridad de la informacin; la otra norma asociada es la
norma ISO/270023 la cual complementa a la norma ISO/27001, ya que la norma
ISO 27002 hace referencia a los controles para hacer efectiva las buenas
practicas contenidas en la norma ISO/27001.
La norma ISO/27002 contiene 11 dominios, 39 objetivos de control, y 133

controles, los cuales permiten el correcto aseguramiento de los activos de
informacin, en dicha norma se encuentra estipulado el dominio gestin de
activos de informacin el cual contiene los siguientes objetivos de control y
controles:
Responsabilidad sobre los activos.
Inventario de activos.
Propiedad de los activos.
Uso aceptable de los activos.
Clasificacin de la informacin.
Directrices de clasificacin
Etiquetado y manipulacin de la informacin.
El dominio anteriormente mencionado junto a sus respectivos objetivos de control

y controles, son los que se llevaran a cabo su desarrollo en este anteproyecto y
posterior desarrollo de proyecto de grado.
ISO/27001 [en lnea]. [consultado el 15 de noviembre de 2012] Disponible en Internet en

https://seguinfo.wordpress.com/category/estandares/page/6/
ISO/27002 [en lnea]. [consultado 14 de noviembre de 2012] Disponible en Internet en

http://es.wikipedia.org/wiki/ISO/IEC_17799
16
1. ANTECEDENTES
El Sistema de Gestin de Seguridad de la Informacin (SGSI) es un sistema de

gestin, el cual su estructuracin se ve basada en seguir los lineamientos de la
Norma ISO/27001 Anexo A y apropiarse de las recomendaciones establecidas en
la Norma, la Norma ISO/27002 es tambin parte importante en el establecimiento
del SGSI ya que en dicha Norma se describe en un mayor detalle los controles
sugeridos en el Anexo A de la Norma ISO/27001. El SGSI permite a travs de la
implementacin de una serie de actividades bien formadas tener un control sobre
los activos de informacin que se han identificado como importantes para las
actividades y procesos empresariales, y a partir del control obtenido poder mitigar
el riesgo que recae sobre los activos de informacin.
Debido a la efectividad del proceso de gestin que se logra obtener con el SGSI,
diversas organizacin tanto del sector pblico como del privado, a nivel mundial
como nacional, optan por la implementacin de este sistema con el fin de tener
una herramienta efectiva en la gestin del riesgo de activos de informacin dentro
de la organizacin.
Un caso puntual en el cual una organizacin ha reconocido la importancia de

establecer un proyecto de seguridad de la informacin en el cual se ha
contemplado el desarrollo de un sistema de gestin de seguridad de la informacin
(SGSI) incluyendo dentro de este, el desarrollo de los controles asociados al
dominio Gestin de Activos de Informacin. El Gobierno de la repblica de
Colombia el cual a travs de su ministerio de comunicaciones en el 2008 aprob
un documento oficial en el cual se detalla el modelo de
Seguridad de la informacin-sistema SANSI4-SGSI Modelo de seguridad de la

informacin para la estrategia de gobierno en lnea, en dicho documento el
gobierno de la repblica de Colombia ha establecido el modelo de seguridad de la
4
SANSI: El Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, se

apoya en la creacin del Sistema Administrativo Nacional de Seguridad de la Informacin SANSI,
institucin que le da la facultad al Presidente de la Repblica de conformar la Comisin Nacional
de Seguridad de la Informacin para tomar acciones estratgicas y definir los lineamientos que
permitan la implementacin, seguimiento y mantenimiento de las polticas y controles del Modelo
de Seguridad
17
informacin para la estrategia de gobierno en lnea el cual ha establecido el SGSI

partiendo de los lineamientos consolidados en la Norma ISO/27001 e ISO/27002,
haciendo caso a las recomendaciones para incluidas en dichas normas respecto al
establecimiento y estructuracin del SGSI e implementando los controles
sugeridos para la gestin del riesgo de los activos de informacin. El documento
oficializado por el ministerio de comunicaciones presenta la consolidacin del
proyecto de seguridad de la informacin que se ha establecido por parte del
gobierno nacional de la Repblica de Colombia y en el cual se detalla la
estructuracin del sistema de gestin de seguridad de la informacin SGSI que
han adelantado5.
Ministerio de Comunicaciones de la Repblica de Colombia, Gobierno en Lnea, Modelo de

Seguridad de la Informacin-Sistema SANSI-SGSI [En lnea] [Consultado 18 de octubre de 2012]
http://programa.gobiernoenlinea.gov.co/apc-aafiles/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
18
2. PROBLEMA DE INVESTIGACIN
2.1 PLANTEAMIENTO DEL PROBLEMA
EMCALI como toda organizacin cuenta con activos de informacin6 los cuales
representan una parte fundamental en el proceso empresarial que se desempea,
ya que basados en los activos de informacin que EMCALI posee se sustentan
muchas de las decisiones que se toman a nivel comercial, operativo y de
infraestructura de EMCALI.
EMCALI cuenta numerosos departamentos los cuales ayudan a mantenerlo en

operacin continua gracias a los procesos operativos que se adelantan en cada
uno de ellos. Dentro de estos departamentos se encuentra planeacin tecnolgica,
operaciones y Sistemas de Informacin los cuales se encuentran dentro de la
Gerencia Tecnologa de la Informacin, gerencia la cual cuentan con un gran
nmero de activos de informacin los cuales son de gran importancia para la
organizacin, ya que gracias a la informacin que dichos activos contienen se
toman decisiones trascendentales para mantener la organizacin en competencia.
Reconociendo la importancia de los activos de informacin para la actividad

empresarial de EMCALI se ha considero adecuada la implantacin de un sistema
de gestin de seguridad de la informacin (SGSI), el cual ayudara a EMCALI a
reducir el riesgos sobre sus activos de informacin, mediante la seleccin e
implementacin de una serie de controles y el establecimiento de polticas, normas
y procedimientos que permitan realizar una administracin del riesgo que se cierne
sobre los activos de informacin.
La Gerencia Tecnologa de la Informacin se encuentra conformada por tres

departamentos y por la Gerencia de TI, los cuales hacen uso de sus de activos de
informacin concernientes a cada una de los procesos y actividades propias de
cada departamento, y que por estar comprendidos dentro de la Gerencia
6
Realiso. Activos de Informacin [en lnea]. [consultado el 10 de julio de 2012] disponible en

Internet:
https://sites.google.com/a/realiso.com/realisms-spa/gestao-de-risco/-3-3-ativos-deinformacao
19
Tecnologa de la Informacin requieren que sobre sus activos se realice una

debida gestin del riesgo.
Los tres departamentos y la gerencia de TI los cuales son acogidos dentro de la

Gerencia Tecnologa de la informacin poseen la siguiente distribucin respecto
al nmero de activos de informacin asociados a cada departamento y a la
Gerencia de TI.
Gerencia, esta rea cuenta hasta el momento con un total de veinte y

cuatro (24) activos de informacin, identificados y registrados dentro de inventario
de activos de informacin perteneciente a esta rea.
Operaciones, esta rea cuenta hasta el momento con un total de ochenta y

cinco (85) activos de informacin, identificados y registrados dentro de inventario
de activos de informacin perteneciente a esta rea.
Sistemas de Informacin, esta rea cuenta hasta el momento con un total

de veinte y dos (22) activos de informacin, identificados y registrados dentro de
inventario de activos de informacin perteneciente a esta rea.
Planeacin, esta rea cuenta hasta el momento con un total de veinte y

dos (22) activos de informacin, identificados y registrados dentro de inventario de
activos de informacin perteneciente a esta rea.
La gestin de activos de informacin como parte del anexo A de la Norma

ISO/27001, demanda la realizacin de un estudio con el objetivo de poder
identificar, registrar, y gestionar los activos de informacin, mediante la
implementacin de cinco controles los cuales se encuentran comprendidos dentro
del dominio de GESTION DE ACTIVOS DE INFORMACION, los controles
anteriormente mencionados son los siguientes y cuentan con la siguiente
descripcin:
Inventario de activos, por medio de este control se lleva a cabo la

actividad de identificacin y registro de los activos de informacin de cada una de
los departamentos que componen la Gerencia tecnologa de la Informacin. Este
control requiere que una vez sea establecido el inventario de activos de
informacin asociado a cada departamento y a la Gerencia de TI, a cada uno de
los inventarios creados, se les realice peridicamente un proceso de actualizacin
de los inventarios con el fin de poder determinar que activos de informacin han
cumplido con su ciclo de vida dentro de EMCALI y poder de esta manera
desvincularlos del inventario, y mediante este mismo proceso de actualizacin
20
poder determinar que nuevos activos de informacin hacen parte de cada una de
las reas y poder vincular estos activos al inventario.
Propiedad de los activos, a travs de este control se realiza el proceso de

identificacin del propietario y custodio del activo de informacin, con el fin de
determinar la persona o rea en especial que hace uso del activo de informacin,
y el custodio es la persona que realiza un monitoreo del activo de informacin y
ejecuta los controles definidos para minimizar los riesgos sobre el activo de
informacin.
Uso aceptable de los activos, corresponde al establecimiento de polticas

de seguridad de la informacin las cuales promuevan el buen uso de los activos
de informacin dentro de la organizacin, haciendo uso de estos activos con fines
que contribuyan a la actividad empresarial de esta.
Directrices de clasificacin, mediante la implementacin de este control

se logra detallar la clasificacin de los activos de informacin, los activos deben
ser clasificados teniendo en cuenta la valoracin de los mismos es decir que para
ello se debe tener en cuenta su valor en confidencialidad, integridad, disponibilidad
y trazabilidad.
Etiquetado y manipulacin de la informacin, es el proceso mediante el

cual se identifican, clasifican, protegen los activos de informacin contribuyen a
que los empleados vinculados a la organizacin, identifiquen el nivel de criticidad
de los activos y a partir de ello puedan tomar las medidas preventivas en el uso de
los activos de informacin.
El desarrollo del dominio de Gestin de Activos de Informacin a partir de los

lineamientos establecidos en el Anexo A se considera como una contribucin
valiosa para el proyecto de seguridad de la informacin que se adelanta en
EMCALI, ya que El Anexo A es donde se juntan las normas ISO/27001 e
ISO/27002. Los controles de la norma ISO/27002 tienen los mismos nombres que
en el Anexo A de la norma ISO/27001; pero la diferencia se encuentra en el nivel
de detalle: la ISO/27001 slo proporciona una breve descripcin de un control,
21
mientras que la ISO/27002 ofrece lineamientos detallados sobre cmo

implementar el control7.
DEJAN Kosutic, ISO/27001 & ISO/22301 [en lnea] [consultado el 20

Internet: http://blog.iso27001standard.com/es/tag/anexo-a/
22
2010] Disponible en
3. JUSTIFICACIN
3.1.
JUSTIFICACIN ECONMICA
En la actualidad se han venido gestando diversos cambios en los rubros

comerciales generando un cambio en el paradigma de hacer negocios y en el trato
con la informacin derivada del mismo, este cambio ha surgido como efecto del
fenmeno de globalizacin mundial, ya que este fenmeno ha trado consigo
diferentes polticas y normativas con las cuales las organizaciones deben con el fin
de estas hagan una participacin activa de los procesos de los procesos de
negocio.
Con la entrada en vigencia de los diferentes tratados de libre comercio (TLC) entre
Colombia y diferentes pases como estados unidos de amrica, chile entre otros,
se ha evidenciado un surgimiento en la exigencia de mayor calidad y seguridad en
sus procesos productivos y manejo de la informacin en las empresas
colombianas.
Reconociendo las nuevas tendencias y exigencias del mercado, EMCALI como

empresa prestadora de servicios ha tomado la decisin de adelantar la
implementacin de una serie de normativas de seguridad de la informacin que
rigen a nivel internacional con el fin de hacer parte activa de los proceso de
negocios, entre la serie de normativas que brindan recomendacin en cuanto a
seguridad de la informacin se refiere EMCALI ha decidido implementar alinearse
con la Norma ISO/2700, la cual rige a nivel internacional y la cual brinda una
certificacin en seguridad de la informacin, la Norma ISO/27001 tiene como
objetivo que las compaas se apropien de las recomendaciones que se
establecen en la Norma y de esta manera puedan contar con un nivel de
seguridad aceptable para la proteccin de sus activos de informacin, la
implementacin de esta norma trata de minimizar que los activos de informacin
sufran afectaciones en cuanto a su confidencialidad, integridad, disponibilidad y
trazabilidad, ya que estas afectaciones ocasionaran perdidas econmicas para
EMCALI y para sus usuarios en caso de que la informacin que EMCALI contiene
de ellos sea vulnerada, ocasionando demandas y por ende perdidas econmicas
para la organizacin.
23
3.2.
JUSTIFICACIN SOCIAL
Con la implementacin del proyecto de seguridad de la informacin teniendo como

punto de partida el cumplimiento a las directrices establecidas por la Norma
ISO/27001 se lograra un beneficio social respecto a la confidencialidad e
integridad de los datos que los usuarios han confiado a EMCALI como requisito
para acceder a los diferentes servicios que ofrece la organizacin.
El alineamiento con la Norma ISO/27001 traer como resultado la firma de

acuerdos de negocios con otras organizaciones que reconocen que a partir de la
alineacin de los objetivos empresariales de EMCALI con la Norma, se genera un
entorno de negocios mucho ms confiable y seguro. A partir de la firma de
acuerdos de negocios se generaran muchos ms recursos para poder para
inversin social como reforestacin de bosques y sitios cercanos a afluentes de
acuferos y mejoramiento de los servicios que la empresa presta a sus usuarios.
3.3.
JUSTIFICACIN TCNICA
Se deben crear polticas, normas y procedimientos que ayuden a la gestin de los

riesgos que se acentan sobre los activos de informacin de la EMCALI, este
trabajo debe ser llevado acabo por personal con conocimientos en la norma
ISO/27001 y experiencia en la implementacin de proyectos de seguridad de la
informacin, de no contarse con personal capacitado en el tema de seguridad de
la informacin se deber buscar la manera ms efectiva de poder garantizar que el
personal adquiera los conocimientos y capacidades necesarias para alcanzar el
objetivo que se tiene planteado con el desarrollo del proyecto de seguridad de la
informacin.
El grupo de personas responsables de liderar y adelantar el proyecto de

seguridad de la informacin debe contar con total apoyo de la direccin de la
empresa, ya que el desarrollo de un proyecto de seguridad de la informacin en el
cual se desarrolle un SGSI requiere de la inversin en tecnologa en ciertos
aspecto, como puede ser la adquisicin de un software para el manejo del
inventario de activos de informacin, adquisicin de software para la
24
administracin de roles de los empleados, entre otra serie de tecnologas que

garantizaran una gestin aceptable de los riesgos.
3.4.
JUSTIFICACIN TERICA
Con el fin de mantener las actividades empresariales de EMCALI en competencia,

se ha decidido por parte de la Gerencia Tecnologa de la Informacin adelantar la
implementacin de un proyecto de seguridad de la informacin en el cual se
desarrollara el Sistema de Gestin de Seguridad de la Informacin bajo los
lineamientos de la Norma ISO/27001 Anexo A en la cual se involucra el desarrollo
del dominio de GESTION DE ACTIVOS DE INFORMACIO como reconocimiento a
la relevancia de este dominio en la gestin del riesgo sobre los activos, la
necesidad del desarrollo de un proyecto de esta ndole radica en los continuos
cambios en el mundo empresarial en especial en el campo comercial de
prestacin de servicios, el cual exige tener un mayor control sobre los activos de
informacin que se encuentran en poder de la organizacin, como lo son los
activos de:
Servicios: incluyen los procesos de negocios de la organizacin que ofrece la
organizacin al exterior o que ofrece con carcter interno como lo es el caso de la
gestin de nminas.
Datos e informacin: son los datos que se manejan al interior de la organizacin
dentro de ellos se incluyen informacin de usuarios externos e informacin de
procesos adelantados por la organizacin. La suele ser el ncleo del sistema,
mientras que el resto de activos sirven como medios de almacenamiento, de
despliegue de la informacin y de manipulacin de dichos activos de informacin.
Aplicaciones de software: son las aplicaciones lgicas que permiten procesar y
analizar informacin valiosa para la organizacin.
Equipos informticos: se refiere a los equipos fsicos como computadores, que
brindan soporte a las aplicaciones de software que procesan la informacin y
luego permiten visualizarla dentro de estos.
Personal: es el activo que presenta ms dificultad en su control, ya que al ser un
activo de recurso humano, presenta variaciones continuas e impredecibles en su
actuar.
25
Redes de comunicaciones: dichas redes brindan soporte a la organizacin para

el movimiento de la informacin, dichas redes pueden ser propias o
subcontratadas con terceros.
Soporte de informacin: son los soportes fsicos como los servidores, los cuales
permiten el almacenamiento de la informacin por largos periodos de tiempo.
Equipamiento auxiliar: este tipo de equipamiento brinda soporte a los sistemas
de informacin y son activos que no se han incluido en ninguna otra de las
clasificaciones; dentro de este tipo de activos podemos encontrar equipos de
destruccin de documentacin y sistemas de climatizacin de ambiente.
El control en los activos anteriormente mencionados se ve reflejado en la
implementacin del dominio de GESTION DE ACTIVOS, el cual incluye como
control la implementacin de un inventario de activos de informacin que nos
permite conocer que activos requieren de un seguimiento especial por su nivel de
importancia para las actividades de la organizacin, y por medio de un proceso de
actualizacin de inventario de activos de informacin, poder conocer que nuevos
activos de informacin se encuentran involucrados a la organizacin y que
requieren que se han incluidos en el inventario, con el fin de que sobre estos se
apliquen controles que garanticen su confidencialidad, disponibilidad, integridad, y
trazabilidad, determinando mediante un reconocimiento de activos, que activos
han cumplido con su ciclo de vida dentro de la organizacin y se considera que ya
no es relevante que estos estn dentro del inventario de activos de informacin. El
desarrollo de implementacin del inventario de activos de informacin, tambin
nos permite conocer, la etiqueta con la cual cuenta el activo de informacin, quien
es el propietario de los activos de informacin, y el custodio de dichos activos y de
esta manera poder garantizar la confidencialidad, integridad, disponibilidad, y
trazabilidad de los activos de informacin.
26
4. OBJETIVOS
4.1.
OBJETIVO GENERAL
Desarrollar los controles asociados al dominio gestin de activos, bajo la

estructura de la Norma ISO/27001 Anexo A, garantizando a EMCALI E.I.C.E-ESP
minimizar el riesgo sobre sus activos de informacin.
4.2.
OBJETIVOS ESPECFICOS
Examinar el inventario de activos de informacin de cada una de los

departamentos que componen la Gerencia de Tecnologa de la Informacin y la
matriz de riesgos, con el fin de conocer que no conformidades e inconsistencias
se encuentran respecto al diligenciamiento del inventario de activos de informacin
y de la matriz de riesgos.
Disear una metodologa que permita realizar actividades de actualizacin del

inventario de activos de informacin y de la matriz de riesgos.
Adelantar el respectivo anlisis de riesgos de los activos a vincular a la matriz de

riesgos
Sugerir polticas de seguridad que permitan hacer un uso aceptable de los

activos de informacin.
Crear una metodologa la cual permita desarrollar el control de etiquetado y

manejo de la informacin.
27
Disear una etiqueta de marcado apropiada para la identificacin de los activos

de informacin fsicos, en la cual se pueda detallar informacin concerniente al
activo y el nivel de criticidad que tiene asociado.
Sugerir una estrategia de sensibilizacin relacionada al control de etiquetado y
manejo de la informacin, la cual permita sensibilizar y dar a conocer a los
empleados la importancia de este control.
28
5. MARCO TEORICO
La seguridad de la informacin es la reunin de un conjunto de procedimientos los

cuales estn enfocados a proteger los activos de informacin de una organizacin,
dentro de este conjunto de procedimientos se cuenta con una herramienta la cual
es el Sistema de Gestin de Seguridad de la Informacin (SGSI), la cual busca
asegurar la confidencialidad, integridad, disponibilidad, y trazabilidad de los activos
de informacin minimizando los riesgos de seguridad de la informacin.
Con la finalidad de lograr el objetivo de minimizar el riesgo sobre los activos de

informacin mediante la puesta en marcha de un proyecto de seguridad de la
informacin el cual contemple el desarrollo de un SGSI se deber tener en cuenta
las norma ISO/27000 y su normas asociadas, para nuestro caso las Normas
ISO/27001 e ISO/27002.
5.1.
SERIE ISO/27000
La informacin es un activo vital para el xito y la continuidad en el mercado de

cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas
que la procesan es, por tanto, un objetivo de primer nivel para la organizacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario

implantar un sistema que aborde esta tarea de una forma metdica, documentada
y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a
los que est sometida la informacin de la organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de

desarrollo- por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de
organizacin, pblica o privada, grande o pequea.
29
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cmo puede una organizacin implantar un sistema de gestin
de seguridad de la informacin (SGSI) basado en ISO 27001.
ISO ha reservado la serie de numeracin 27000 para las normas relacionadas con
sistemas de gestin de seguridad de la informacin. En el 2005 incluy en ella la
primera de la serie (ISO 27001), las dems son:
ISO27000 (trminos y definiciones),

ISO27002 (objetivos de control y controles),
ISO27003 (gua de implantacin de un SGSI),
ISO27004 (mtricas y tcnicas de medida de la efectividad de un SGSI),
ISO27005 (gua para la gestin del riesgo de seguridad de la informacin)
ISO27006 (proceso de acreditacin de entidades de certificacin y el registro
de SGSI)8.
5.2.
ISO/27001
La norma ISO 27001 define cmo organizar la seguridad de la informacin en

cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea
o grande. Es posible afirmar que esta norma constituye la base para la gestin de
la seguridad de la informacin.
La ISO 27001 es para la seguridad de la informacin lo mismo que la ISO 9001 es

para la calidad: es una norma redactada por los mejores especialistas del mundo
en el campo de seguridad de la informacin y su objetivo es proporcionar una
metodologa para la implementacin de la seguridad de la informacin en una
organizacin. Tambin permite que una organizacin sea certificada, lo cual
ISO/27000 [en lnea]. [consultado el 5 de marzo de 2010] Documento disponible en Internet:

http://www.iso27000.es/download/doc_iso27000_all.pdf
30
significa que una entidad de certificacin independiente ha confirmado que la

seguridad de la informacin se ha implementado en esa organizacin de la mejor
forma posible.
A raz de la importancia de la norma ISO 27001, muchas legislaturas han tomado

esta norma como base para confeccionar las diferentes normativas en el campo
de la proteccin de datos personales, proteccin de informacin confidencial,
proteccin de sistemas de informacin, gestin de riesgos operativos en
instituciones financieras, etc.
La norma ISO 27001 determina cmo gestionar la seguridad de la informacin a

travs de un sistema de gestin de seguridad de la informacin. Un sistema de
gestin de este tipo, igual que las normas ISO 9001 o ISO 14001, est formado
por cuatro fases que se deben implementar en forma constante para reducir al
mnimo los riesgos sobre confidencialidad, integridad y disponibilidad de la
informacin.
Las fases son las siguientes:
La Fase de planificacin: esta fase sirve para planificar la organizacin

bsica y establecer los objetivos de la seguridad de la informacin y para escoger
los controles adecuados de seguridad (la norma contiene un catlogo de 133
posibles controles).
La Fase de implementacin: esta fase implica la realizacin de todo lo

planificado en la fase anterior.
La Fase de revisin: el objetivo de esta fase es monitorear el

funcionamiento del SGSI mediante diversos canales y verificar si los resultados
cumplen los objetivos establecidos.
La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar

todos los incumplimientos detectados en la fase anterior.
El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser
implementadas cclicamente para mantener la eficacia del SGSI9.
DEJAN, Kosutic, Information security & business continuity academy, conceptos bsicos sobre
ISO/27001. [en lnea] [consultado el 20 de marzo de 2010] Disponible en Internet:
http://www.iso27001standard.com/es/que-es-la-norma-iso-27001#documentos
31
5.3.
ISO/27002
La ISO/IEC 27002:2005 es una gua de buenas prcticas que describe los

objetivos de control y controles recomendables en cuanto a seguridad de la
informacin. No es certificable. Contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO 27001 contiene un anexo que resume los controles
de ISO 27002:200510.
Los 39 objetivos de control y 133 controles, agrupados en 11 dominios se

presentan a continuacin en la siguiente imagen. Ver Imagen 1.
10
ORCI, Consultora aplicada, capacitacin/conferencias, tecnologa, gestin de servicios. ISO/IEC

27002 [en lnea ]. [consultado el 6 de marzo de 2010] Disponible en Internet:
http://www.orcilatam.com/index.php?option=com_content&view=article&id=143&Itemid=191
32
Figura 1 Controles Asociados a la Norma ISO/27002
Fuente: Iso/Iec 27002:2005. [en lnea]. [consultado el 9 de noviembre de 2009]

Disponible en Internet: http://www.iso27000.es/download/ControlesISO270022005.pdf
33
5.4.
ISO/27001 ANEXO A
El Anexo A contiene los siguientes puntos (a veces denominados como dominios

del Anexo A de la norma ISO/27001):
A.5 Poltica de seguridad

A.6 Organizacin de la seguridad de la informacin
A.7 Gestin de activos
A.8 Seguridad relacionada con el personal
A.9 Seguridad fsica y del entorno
A.10 Gestin de comunicaciones y operaciones
A.11 Control de acceso
A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de la
informacin
A.13 Gestin de los incidentes de seguridad de la informacin
A.14 Gestin de la continuidad del negocio
A.15 Cumplimiento
El Anexo A contiene 133 controles que, como se puede observar por los nombres
de los puntos, no se centran solamente en tecnologas de la informacin; tambin
incluyen seguridad fsica, proteccin legal, gestin de recursos humanos, asuntos
organizacionales, etc.
Por lo tanto, puede considerar al Anexo A como una especie de catlogo de

medidas de seguridad para utilizar durante el proceso de tratamiento: una vez que
identifica riesgos no aceptables en la evaluacin de riesgos, el Anexo A le ayudar
a escoger los controles adecuados para disminuir esos riesgos. Y le asegura no
olvidar ningn control importante.
El Anexo A es donde se juntan las normas ISO 27001 e ISO 27002. Los controles
de la norma ISO 27002 tienen los mismos nombres que en el Anexo A de la norma
ISO 27001; pero la diferencia se encuentra en el nivel de detalle: la ISO 27001
slo proporciona una breve descripcin de un control, mientras que la ISO 27002
ofrece lineamientos detallados sobre cmo implementar el control11.
11
DEJAN Kosutic, ISO/27001 & ISO/22301, controles del Anexo A de la Norma ISO/27001 [en
lnea] [consultado el 20 de octubre de 2010]. Disponible en Internet:
http://blog.iso27001standard.com/es/tag/anexo-a/
34
Con la finalidad de dar continuidad a lo expresado anteriormente sobre el Anexo A

y sus controles asociados, se presenta a continuacin en mayor detalle el enfoque
que presenta el Anexo A respecto al dominio Gestin de activos el cual su
respectivo desarrollo se presenta en este documento como proyecto de grado
para aspirar al ttulo de Ingeniero informtico.
5.5.
DOMINIO GESTIN DE ACTIVOS
La realizacion del proyecto de grado en la modalidad de pasantia involucra el

desarrollo del dominio GESTION DE ACTIVOS DE INFORMACION el cual tiene
asociado dos objetivos de control y cinco controles, el dominio en cuestion se
presenta acontinuacion en la siguiente imagen. Ver Figura 2.
Figura 2. Dominio gestion de activos asociado al Anexo A
Fuente: Dominio gestin de activo [en lnea] [consultado el 10 de junio de 2010]

http://www.gigabytesperu.com/trabajos/ISOIEC%20FDIS%2027001.pdf
La implementacin del dominio de gestin de activos, consiste en el desarrollo de
los controles asociados a cada objetivo de control, este desarrollo se debe llevar a
cabo mediante los siguientes procesos asociados a cada control, teniendo en
35
cuenta que cada objetivo de control y controles asociados a este dominio ser
descripto de acuerdo al ndice numeral que se encuentra asociado a cada uno de
los controles abarcados dentro del dominio de gestin de activos y que fueron
expuestos con anterioridad en la Figura 2.
Responsabilidad por los activos

Objetivo: Lograr y mantener una apropiada
organizacionales.
proteccin
de
los
activos
Todos los activos debieran ser inventariados y contar con un propietario

nombrado.
Los propietarios debieran identificar todos los activos y se debiera asignar la

responsabilidad por el mantenimiento de los controles apropiados. La
implementacin de controles especficos puede ser delegada por el propietario
conforme sea apropiado, pero el propietario sigue siendo responsable por la
proteccin apropiada de los activos.
Inventario de los activos

Se debieran identificar todos los activos y se debiera elaborar y mantener un
inventario de todos los activos importantes. Una organizacin debiera identificar
todos los activos y documentar la importancia de estos activos. El inventario de los
activos debiera incluir toda la informacin necesaria para poder recuperarse de un
desastre; incluyendo el tipo de activo, formato, ubicacin, informacin de respaldo,
informacin de licencias y un valor comercial. El inventario no debiera
duplicar innecesariamente otros inventarios, pero se debiera asegurar que el
contenido est alineado. Adems, se debiera acordar y documentar la propiedad y
la clasificacin de la propiedad para cada uno de los activos. Basados en la
importancia del activo, su valor comercial y su clasificacin de seguridad, se
debieran identificar los niveles de proteccin que se conmensuran con la
importancia de los activos.
Existen muchos tipos de activos, incluyendo:
Informacin: bases de datos y archivos de data, contratos y

acuerdos, documentacin del sistema, informacin de investigaciones, manuales
del usuario, material de capacitacin, procedimientos operacionales o de
36
soporte, planes de continuidad del negocio, acuerdos para contingencias, rastros

de auditora e informacin archivada.
Activos de software: software de aplicacin, software del sistema,

herramientas de desarrollo y utilidades;
Activos fsicos: equipo de cmputo, equipo de comunicacin, medios

removibles y otro equipo;
Servicios: servicios de computacin y comunicacin, servicios generales;

por ejemplo, calefaccin, iluminacin, energa y aire acondicionado;
Personas, y sus calificaciones, capacidades y experiencia;
Intangibles, tales como la reputacin y la imagen de la organizacin. Los

inventarios de los activos ayudan a asegurar que se realice una proteccin
efectiva de los activos, y tambin puede requerir de otros propsitos comerciales;
como planes de salud y seguridad, seguros o razones financieras (gestin de
activos). El proceso de compilar un inventario de activos es un pre-requisito
importante de la gestin del riesgo.
Propiedad de los activos

Toda la informacin y los activos asociados con los medios de procesamiento de
informacin debieran ser propiedad de una parte designada de la organizacin.
El propietario del activo debiera ser responsable de:
Asegurar que la informacin y los activos asociados con los medios de

procesamiento de la informacin sean clasificados apropiadamente;
Definir y revisar peridicamente las restricciones y clasificaciones de

acceso, tomando en cuenta las polticas de control de acceso aplicables. La
propiedad puede ser asignada a:
o
o
o
o
un proceso comercial;
un conjunto de actividades definido;
una aplicacin; o
un conjunto de data definido.
Se pueden delegar las tareas rutinarias; por ejemplo, a un custodio que supervisa
el activo diariamente, pero la responsabilidad permanece con el propietario. En los
sistemas de informacin complejos podra ser til designar grupos de activos, los
cuales actan juntos para proporcionar una funcin particular como servicios. En
este caso el propietario es responsable de la entrega del servicio, incluyendo el
funcionamiento de los activos que los proveen.
El trmino propietario identifica una persona o entidad que cuenta con la
responsabilidad gerencial aprobada de controlar la produccin, desarrollo,
37
mantenimiento, uso y seguridad de los activos. El trmino propietario no significa

que la persona en realidad tenga algn derecho de propiedad sobre el activo. [10]
Uso aceptable de los activos
Se debieran identificar, documentar e implementar reglas para el uso aceptable de
la informacin y los activos asociados con los medios del procesamiento de la
informacin. Todos los empleados, contratistas y terceros debieran seguir las
reglas para el uso aceptable de la informacin y los activos asociados con los
medios del procesamiento de la informacin, incluyendo:
reglas para la utilizacin del correo electrnico e Internet;
lineamientos para el uso de dispositivos mviles, especialmente para el uso
fuera del local de la organizacin.
La gerencia relevante debiera proporcionar reglas o lineamientos especficos. Los

empleados, contratistas y terceros que usan o tienen acceso a los activos de la
organizacin debieran estar al tanto de los lmites existentes para su uso de la
informacin y los activos asociados con los medios y recursos del procesamiento
de la informacin de la organizacin. Ellos debieran ser responsables por el uso
que le den a cualquier recurso de procesamiento de informacin, y de cualquier
uso realizado bajo su responsabilidad.
Clasificacin de la informacin
Objetivo: Asegurar que la informacin reciba un nivel de proteccin apropiado.
La informacin debiera ser clasificada para indicar la necesidad, prioridades y
grado de proteccin esperado cuando se maneja la informacin. La informacin
tiene diversos grados de confidencialidad e importancia. Algunos tems pueden
requerir un nivel de proteccin adicional o manejo especial. Se debiera utilizar
un esquema de clasificacin de informacin para definir un conjunto apropiado de
niveles de proteccin y comunicar la necesidad de medidas de uso especiales.
Lineamientos de clasificacin
Se debiera clasificar la informacin en trminos de su valor, requerimientos
legales, sensibilidad y grado crtico para la organizacin.
Las clasificaciones y los controles de proteccin asociados para la informacin
debieran tomar en cuenta las necesidades comerciales de intercambiar o restringir
informacin y los impactos comerciales asociados con dichas necesidades. Los
lineamientos de clasificacin debieran incluir protocolos para la clasificacin inicial
38
y la reclasificacin a lo largo del tiempo; en concordancia con alguna poltica predeterminada de control de acceso.
Debiera ser responsabilidad del propietario del activo (ver 7.1.2) definir la
clasificacin de un activo, revisarla peridicamente y asegurarse que se mantenga
actualizada y en el nivel apropiado. La clasificacin debiera tomar en cuenta el
efecto de agregacin mencionado en 10.7.2. Se debiera tener en consideracin el
nmero de categoras de clasificacin y los beneficios a obtenerse con su uso. Los
esquemas demasiado complejos pueden volverse engorrosos y anti-econmicos
de utilizar o pueden volverse poco prcticos. Se debiera tener cuidado
al interpretar los encabezados de la clasificacin en los documentos de otras
organizaciones, los cuales pueden tener definiciones diferentes para encabezados
con el mismo nombre o nombre similares.
Se puede evaluar el nivel de proteccin analizando la confidencialidad, integridad

y disponibilidad, y cualquier otro requerimiento para la informacin
considerada. Con frecuencia, la informacin deja de ser sensible o crtica despus
de cierto perodo de tiempo, por ejemplo, cuando la informacin se ha hecho
pblica. Se debieran tomar en cuenta estos aspectos, ya que la sobre-clasificacin
puede llevar a la implementacin de controles innecesarios resultando en un gasto
adicional.
Agrupar documentos con requerimientos de seguridad similares cuando se

asignan niveles de clasificacin podra ayudar a simplificar la tarea de
clasificacin. En general, la clasificacin dada a la informacin es una manera
rpida para determinar cmo se est manejando y protegiendo la informacin.12
Etiquetado y manejo de la informacin

Se debiera desarrollar e implementar un conjunto apropiado de procedimientos
para el etiquetado y manejo de la informacin en concordancia con el esquema de
clasificacin adoptado por la organizacin. Los procedimientos para el etiquetado
de la informacin necesitan abarcar los activos de informacin en formatos fsicos
y electrnicos. El output de los sistemas conteniendo informacin que es
clasificada como sensible o crtica debiera llevar la etiqueta de clasificacin
apropiada (en el output). El etiquetado debiera reflejar la clasificacin de acuerdo a
las reglas establecidas en 7.2.1. Los tems a considerarse incluyen reportes
12
Estndar Internacional ISO/IEC 17799 segunda edicin 2005-06-15 Tecnologa de la

Informacin-Tcnicas de Seguridad-Cdigo para la prctica de la gestin de la seguridad de la
informacin [en lnea] [Consultado 30 de Junio de 2012]. Disponible en Internet:
http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
39
impresos, presentaciones en pantalla, medios de grabacin (por ejemplo; cintas,

discos, CDs), mensajes electrnicos y transferencia de archivos.
Para cada nivel de clasificacin, se debiera definir los procedimientos de manejo

seguros; incluyendo el procesamiento, almacenaje, transmisin, de-clasificacin y
destruccin. Esto tambin debiera incluir los procedimientos de la cadena de
custodia y el registro de cualquier incidente de seguridad relevante. Los acuerdos
con otras organizaciones que incluyen intercambio de informacin debieran incluir
procedimientos para identificar la clasificacin de esa informacin e interpretar
las etiquetas de clasificacin de otras organizaciones.
El etiquetado y el manejo seguro de la informacin clasificada es un requerimiento

clave para los acuerdos de intercambio de informacin. Las etiquetas fsicas son
una forma comn de etiquetado. Sin embargo, algunos archivos de informacin,
como documentos en forma electrnica, no pueden ser etiquetados fsicamente y
se necesitan medios electrnicos para el etiquetado. Por ejemplo, la etiqueta de
notificacin puede aparecer en la pantalla. Cuando no es factible el etiquetado, se
pueden aplicar otros medios para designar la clasificacin de la informacin; por
ejemplo, mediante procedimientos o meta-data13.
5.6.
GESTIN DE RIESGO.
La gestin de riesgos se basa sobre conceptos de gestin de riesgos establecidos

por el SGSI, pero adems de tener como base el SGSI se debe contar con una
metodologa de gestin de riesgos la cual brinde una serie de lineamientos que
permitan analizar y reducir el riesgo hasta un nivel aceptable de tolerancia.
5.6.1. Procedimientos para la Gestin de Riesgos.El desarrollo del SGSI

permite dilucidar una serie de elementos que contribuyen a la gestin del riesgo y
por ende a la minimizacin de estos sobre los activos; algunos de los elementos
ms relevantes en el desarrollo del SGSI son:
Criterios contra los cuales se evaluaran los riesgos.
13
Estndar Internacional ISO/IEC 27001 primera edicin 2005-10-15 Tecnologa de la InformacinTcnicas de Seguridad-Sistemas de gestin de seguridad de la informacin-Requerimientos
http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
40
o
Ser aprobado por la direccin.
Definir el enfoque organizacional para la valoracin del riesgo.

o
Identificar una metodologa de valoracin del riesgo que sea adecuada al
SGSI y a los requisitos reglamentarios, legales y de seguridad de la informacin
del negocio, identificados.
o
Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles
de riesgo aceptables.
Identificar los riesgos.

o
Identificar los activos dentro del alcance del SGSI, y los propietarios de
estos activos.
o
Identificar las amenazas de estos activos.
o
Identificar las vulnerabilidades que podran ser aprovechadas por las
amenazas.
o
Identificar los impactos que la perdida de confidencialidad, integridad, y
disponibilidad puede tener sobre estos activos.
Analizar y evaluar los riesgos.

o
Valorar el impacto de negocios que podra causar una falla de seguridad,
sobre la organizacin, teniendo en cuenta las consecuencias de la perdida de la
confidencialidad, integridad, y disponibilidad de los activos.
o
Valorar la posibilidad realista de que ocurra una falla en la seguridad,
considerando las vulnerabilidades, los impactos asociados con estos activos, y los
controles implementados actualmente.
o
Estimar los niveles de los riesgos.
o
Determinar la aceptacin del riesgo o la necesidad de su tratamiento a partir
de los criterios establecidos en el establecimiento del SGSI.
Identificar y evaluar las opciones para el tratamiento de los riesgos.

Las posibles acciones incluyen:
o
Aplicar los controles apropiados.
o
Aceptar los riesgos con conocimiento y objetividad, siempre y cuando
satisfagan claramente la poltica y los criterios de la organizacin para la
aceptacin de riesgos.
o
Evitar riesgos, y
o
Transferir a otras partes los riesgos asociados con el negocio, por ejemplo:
aseguradoras, proveedores, etc.
Seleccionar los objetivos de control y los controles para el tratamiento de

los riesgos, para el caso de este anteproyecto de grado en modalidad de pasanta
se ha declarado solo la implementacin del dominio Gestin de Activos de
Informacin, con sus respectivos objetivos de control y controles asociados a
dicho dominio.
41
Los objetivos de control y los controles se encuentran incluidos en el Anexo A,

estos se deben seleccionar como parte de este proceso, en tanto sean adecuados
para cubrir estos requisitos.
Los objetivos de control y los controles presentados en el Anexo A no son

exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y
controles adicionales.
Obtener la aprobacin de la direccin sobre los riesgos residuales

propuestos.
Obtener autorizacin de la direccin para implementar y operar el SGSI.
Elaborar una declaracin de aplicabilidad.
Se debe elaborar una declaracin de aplicabilidad que incluya:

o Los objetivos de control y los controles seleccionados junto con la razones de
su seleccin.
o Los objetivos de control implementados actualmente.
o La exclusin de cualquier objetivo de control y controles enumerados en el
Anexo A y la justificacin para su exclusin14.
5.7.
METODOLOGA PARA GESTIN DE RIESGOS
Una metodologa de gestin de riesgos nos permite conocer el riesgo al que estn
sometidos los activos de informacin y a partir de conocer el riesgo poder idear
estrategias que nos permitan llevar el riesgo a su ms mnima expresin a travs
de la gestin del mismo.
Existen diferentes metodologas para poder determinar la mejor manera de poder

hacer una buena gestin, para la seleccin de una determinada metodologa
debemos tener en cuenta el nmero de activos, el tipo de activos, el tipo de
empresa, y el tamao de la misma, ya que existen metodologas que son mucho
ms completas que otras ya que con el pasar de los aos se les ha dado cierto
14
ALEXANDER, ALBERTO G. Diseo de un sistema de gestin de seguridad de informacin: ptica

ISO 27001:2005. Bogot, D.C : Alfaomega, 2007. 176 p. : il. 005.8 / A374 (UAO). .
42
reconocimiento a partir de los estudios que se han realizado sobre estas con el fin
de hacer de la metodologa una gua capaz de cumplir con los retos de la nueva
era.
5.7.1. Metodologa de Gestin de riesgos Magerit. Magerit15 es una

metodologa de gestin de riesgos con la cual se ha decidido trabajar para este
proyecto de grado en modalidad de pasanta, ya que Magerit cumple con altos
estndares de calidad y es reconocida como la metodologa de gestin de riesgos
ms utilizada en Espaa y adems cuenta con el reconocimiento del gobierno
espaol, el cumplimiento de estndares de calidad y el reconocimiento por un ente
gubernamental respetado hacen de Magerit una metodologa de gestin de riegos
que sobresale sobre las dems metodologas, esto hace de Magerit la
metodologa ideal para aplicarla en la gestin de riesgos de los activos de
informacin de EMCALI.
5.7.2 Magerit establece dos tipos de objetivos:

5.7.2.1. Objetivos Directos
Concienciar a los responsables de los sistemas de informacin de la

existencia de riesgos y de la necesidad de atajarlos a tiempo.
Ofrecer un mtodo sistemtico para analizar los riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener los

riesgos bajo control.
5.7.2.2 Objetivos indirectos.
Preparar a la Organizacin para procesos de evaluacin, auditora,

certificacin o acreditacin, segn corresponda en cada caso, Tambin se ha
15
MAGERIT: Metodologa de anlisis y gestin de riesgos de los Sistemas de Informacin. [en

lnea]. Consejo Superior de Administracin Electrnica [consultada el 5de noviembre de 2010
Disponible en Internet en http://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)
43
buscado la uniformidad de los informes que recogen los hallazgos y las

conclusiones de un proyecto de anlisis y gestin de riesgos:
Modelo de valor: caracterizacin del valor que representan los activos para la
Organizacin as como de las dependencias entre los diferentes activos.
Mapa de riesgos: relacin de las amenazas a que estn expuestos los activos.
Evaluacin de salvaguardas: evaluacin de la eficacia de las salvaguardas
existentes en relacin al riesgo que afrontan.
Estado de riesgo: caracterizacin de los activos por su riesgo residual; es decir,
por lo que puede pasar tomando en consideracin las salvaguardas desplegadas.
Informe de insuficiencias
Ausencia o debilidad de las salvaguardas que aparecen como oportunas para
reducir los riesgos sobre el sistema.
Plan de seguridad: conjunto de programas de seguridad que permiten

materializar las decisiones de gestin de riesgos16.
5.8.
METODOLOGA PHVA (PLANEAR, HACER, VERIFICAR, ACTUAR).
La metodologa PHVA es una estrategia de mejora continua de la calidad, la cual

es concebida como una herramienta de planificacin y mejora continua,
permitiendo una mejora integral de la competencia, de los productos y servicios,
mejorando continuamente la calidad, reduciendo los costos, incrementando la
participacin del mercado y aumentando la rentabilidad.
PHVA establece cuatro etapas en las cuales se logran planear, implementar,

verificar y actuar, en cada una de estas etapas se vinculan una serie de
actividades las cuales ayudaran a establecer que se quiere lograr a partir de cada
una de ellas y dando claridad para el establecimiento del cronograma adjunto al
proyecto.
16
Ibd.,
Disponible
en
Internet.
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293651550991&lang
Pae=es&detalleLista=PAE_1276529683497133
44
5.8.1Planear:
- Realizacin de tareas de recoleccin de informacin y reconocimiento de campo.
- Conocer cul es el estado del proyecto de implementacin del Sistema de
Gestin de Seguridad de la Informacin, dentro de EMCALI.
- Realizar tareas de documentacin a nivel de conocer ms a profundidad los
lineamientos establecidos por la Norma ISO/27001 respecto al Anexo A.
- Conocer los riesgos a los cuales se ven expuestos los activos de informacin.
5.8.2 Hacer:
Examinar que nuevos activos de informacin se han vinculado a cada rea.
Comparar los activos registrados dentro de los inventarios de activos de

informacin de cada departamento, contra los activos reales que cada
departamento posee.
Determinar si haya activos de informacin que respecto a su nivel de

criticidad deben ser asociados a la matriz de riesgos para la debida gestin del
riesgo que se cierne sobre estos.
Sugerir polticas de seguridad con el fin de garantizar el correcto uso de los

Disear una propuesta de banco de incidentes el cual permita llevar el

historial de los acontecimientos anormales que suceden al interior del GTI y que
pueden afectar la confidencialidad, integridad, disponibilidad, y trazabilidad, de los
Disear un estrategia la cual permita realizar actividades de actualizacin

del inventario de activos de informacin, el cual permita determinar el propietario y
custodio de cada activo, la respectiva clasificacin de activos de informacin y
45
poder proponer la etiqueta correspondiente a cada activo segn la valoracin y

clasificacin que se haya obtenido del proceso de clasificacin activos, todo esto
con el fin de poder realizar la gestin de actualizacin de inventarios de una
manera eficiente y ordenada del cual se pueda llevar un registro de las acciones
realizadas y tambin permita realizar tareas de documentacin de incidentes.
5.8.3 Verificar:
Verificar si las polticas propuestas para el uso aceptable de activos en

realidad son efectivas.
Conocer si se han registrado incidentes de seguridad durante el proyecto.
5.8.4 Actuar:
Documentar el progreso que se ha tenido respecto a la implementacin del

proyecto mediante documentos que permitan evidenciar un avance en la
implementacin de los controles.
Presentar los resultado del estudio realizado y definir qu acciones se

podran determinar con base a las necesidades manifiestas que han resultado a
partir de los problemas detectados y llegar a una solucin a partir de los resultados
expuestos.
46
6. METODOLOGA
Este estudio parte de la solicitud de EMCALI por implementar el dominio de

GESTION DE ACTIVOS el cual se encuentra incluido dentro del anexo A de la
Norma ISO 27001, con el fin de que los controles concernientes a este dominio
sean encaminados a garantizar la confidencialidad, integridad, disponibilidad y
trazabilidad de los activos de informacin que posee la Gerencia Tecnologa de la
Informacin y sus departamentos asociados, contribuyendo de esta manera a la
correcta implementacin del Sistema de Gestin de Seguridad de la Informacin
para EMCALI.
Respecto al desarrollo del dominio Gestin de Activos, es importante conocer la

importancia de los activos de informacin para las actividades empresariales de
EMCALI, ya que de esta manera se puede determinar con mayor certeza el
impacto que tendra para la empresa que un riesgo se materialice y afecte de
manera negativa a un activo de informacin, para ello se ha decidido usar una
metodologa basada en PHVA(Planear, Hacer, Verificar, Actuar), ya que es una
herramienta de planificacin metodologa adaptable a contextos y necesidades
que surgen durante el desarrollo de proyecto y la cual permite la evolucin de las
actividades a partir de avances anteriores que se tengan consolidados, el uso de
esta metodologa permitir reunir en una serie de etapas las actividades a
desarrollar durante el proyecto con el objetivo de conocer ms en detalles los
activos de informacin y la manera como pueden ser abordados estos para el
desarrollo de los controles establecidos en el dominio de Gestin de Activos. 17
47
7. DESARROLLO DEL PROYECTO
7.1.
LINEAMIENTOS PARA LA GESTIN DEL RIESGO
Los lineamientos para la administracin del riesgo que se declaran en el presente

numeral, plantea un enfoque de riesgos fundamentado en la identificacin de
riesgos, amenazas y vulnerabilidades presentes en los activos que se vinculen al
inventario de activos de informacin; estos activos se encontrarn sometidos al
clculo de la probabilidad e impacto de materializacin de los riesgos y los efectos
que estos podran causarle a la normal operacin de los procesos productivos de
la organizacin.
Con base en lo anteriormente expuesto y siguiendo las recomendaciones de la

Norma ISO/27001 y la metodologa para gestin del riesgo MAGERIT, se formulan
una serie de pasos sobre los cuales se fundamentara cualquier esfuerzo para la
mitigacin del riesgo.
Establecer el Contexto.
o
Establecer el alcance.
o
Determinar sistema de clasificacin de activos de informacin.
o
Definir el nivel de criticidad asociado a los activos de informacin.
o
Determinar campos de informacin que harn parte del inventario de
activos.
Identificacin del Riesgo
o
o
o
Identificar los activos que sern objeto de anlisis.

Tipos de riesgo.
Identificar Vulnerabilidades y Amenazas.
Estimacin del Riesgo.
o
o
o
Descripcin del Riesgo.

Descripcin de Consecuencias.
Determinar probabilidad de materializacin e impacto.
48
Evaluacin del Riesgo

Priorizar necesidades de tratamiento.
Tratamiento del Riesgo
Identificar y Evaluar las Opciones de Tratamiento del Riesgo.

Comunicacin y Consulta
Obtener y compartir informacin.
Monitoreo y Revisin
o
o
Identificar cambios en el contexto.

Monitorear y analizar incidentes de seguridad.
A continuacin se presenta con un mayor detalle cada uno de los encisos

anteriormente expuestos.
7.1.1. Establecer el contexto
Establecer El Alcance.
El establecimiento del alcance es un paso muy importante al emprender cualquier

actividad que tenga como objetivo gestionar el riesgo sobre un grupo de activos
pertenecientes a un proceso organizacional, ya que el alcance es el que nos
limitara cual ser cual ser el rango de accin sobre el cual se debern invertir
esfuerzos para minimizar el riesgo de materializacin de un incidente que pueda
afectar nuestros activos de informacin respecto a su confidencialidad, integridad,
disponibilidad y trazabilidad; de no establecerse apropiadamente el alcance se
corre el riesgo de invertir esfuerzos en mitigar el riesgo sobre activos que no
tengan tanta relevancia para la organizacin, como si lo tendran otros, o tambin
puede suceder que se determine un alcance muy extenso y se inviertan recursos y
esfuerzo y al final no se cumpla con el objetivo de minimizar el riesgo sobre los
activos de informacin que se encuentren involucrados dentro del alcance.
Determinar sistema de clasificacin de activos de informacin.
La construccin del sistema de clasificacin de activos de informacin es un paso

fundamental para la valoracin de los activos de informacin, ya que la
clasificacin de activos ayuda a comprender la relevancia de un activo para la
organizacin. El sistema de clasificacin es fundamental para la construccin del
49
inventario de activos debido a que el inventario es el recurso en el cual servir de

gua para la administracin de los activos.
Al interior del sistema de clasificacin se encuentran dispuestos seis niveles de

valoracin, niveles los cuales nos ayudaran a comprender la relevancia de cada
activo respecto a su confidencialidad, integridad, disponibilidad y trazabilidad, a
continuacin se presentan los seis niveles de valoracin:
Cuadro 1. Niveles de valoracin de los activos de informacin

VALOR
Muy Alto
Alto
Medio
Bajo
Muy Bajo
DESCRIPCION
Impactara negativamente a la mayora de sus clientes o a

la ciudad de Cali y su poblacin
Impactara negativamente a los objetivos estratgicos de
EMCALI.
Impactara negativamente a EMCALI o algn porcentaje
de clientes.
Impactara negativamente no solo al proceso valorado
sino a otros procesos del EMCALI.
Impactara negativamente al proceso valorado.
Fuente: Tomado de textos consolidados por EMCALI, para la clasificacin y

valoracin de activos de informacin.
Teniendo claridad en lo que representa cada nivel de valoracin se procede a

continuacin a la presentacin del sistema de clasificacin de activos respecto a
su confidencialidad, integridad, disponibilidad y trazabilidad.
o
Clasificacin Respecto a la Confidencialidad
La clasificacin de los activos en cuanto a la confidencialidad proporcionan a los

propietarios, custodios la base para determinar controles bsicos y lineamientos
que se deben seguir para la proteccin del activo frente a los accesos no
autorizados.
La clasificacin definida por EMCALI respecto a la confidencialidad de los activos

de informacin es la siguiente:
50

confidencialidad
MUY ALTO
CONFIDENCIAL
ALTO
RESERVADO
MEDIO
BAJO
PUBLICO
MUY BAJO
Clasificacin Respecto a la Integridad
La clasificacin de los activos en cuanto a la integridad proporciona a los

propietarios, custodios y usuarios de determinado activo de informacin, la base
para determinar controles bsicos que deben seguir para la proteccin del activo
respecto a la fidelidad y la no alteracin de la informacin.

Figura 4 Clasificacin de los activos de informacin respecto a su integridad
IDENTIFICADOR
MUY ALTO
ALTO
I1
MEDIO
BAJO
I2
MUY BAJO
51
Clasificacin Respecto a la Disponibilidad
La clasificacin de los activos en cuanto a la disponibilidad proporciona a los

para determinar controles bsicos que deben seguir a fin de garantizar que los
activos se encuentren disponibles en el momento que se los requiera.


disponibilidad
IDENTIFICADOR
MUY ALTO
ALTO
D1
MEDIO
BAJO
D2
MUY BAJO

o
Clasificacin Respecto a la Trazabilidad
La clasificacin de los activos en cuanto a la disponibilidad proporciona a los

para determinar controles bsicos que deben seguir a fin de garantizar la
proteccin del activo respecto a su acceso, visualizacin, ejecucin y modificacin.
52


Trazabilidad
IDENTIFICADOR
MUY ALTO
ALTO
T1
MEDIO
BAJO
T2
MUY BAJO
Nivel de Criticidad asociado a los activos de informacin.
Diferentes campos de informacin en el cual se dispone el grado de importancia o

de criticidad que posee un activo respecto a su confidencialidad, integridad,
disponibilidad y trazabilidad. A continuacin se presenta en un mayor detalle cada
uno de los aspectos anteriormente mencionados.
Nivel de criticidad respecto a la confidencialidad
En la declaracin del inventario de activos de informacin debe existir un aparte en

el cual se declare el nivel de criticidad respecto a la confidencialidad del activo de
informacin, la valoracin dispuesta para este aparte ser tenida en cuenta para
determinar la valoracin final del activo respecto a su criticidad.
53
Cuadro 2. Ejemplo de nivel de criticidad respecto a la confidencialidad de los

Confidencialidad
Valor
Justificacin
Muy bajo
El activo es de carcter publico
El activo es restringido a un gran
nmero de personas, solo las personas
Muy Alto
pertenecientes a X proyecto o actividad
pueden tener acceso al activo.
Nivel de criticidad respecto a la integridad

el cual se declare el nivel de criticidad respecto a la integridad del activo de
Cuadro 3. Ejemplo nivel de criticidad respecto a la integridad de los activos

de informacin
Integridad
Valor
Justificacin
La integridad del activo no representa
un gran relevancia debido a que el
activo no hace parte fundamental de un
proceso X.
Afectaciones en la integridad del activo
ocasionara el paro de un proceso X, lo
cual devengara en la perdida de
dinero.
Bajo
Muy alto
.

54
Nivel de criticidad respecto a la disponibilidad

el cual se declare el nivel de criticidad respecto a la disponibilidad del activo de
Cuadro 4. Ejemplo Nivel de criticidad Respecto a la disponibilidad de los

Disponibilidad
Valor
Justificacin
La disponibilidad del activo es poco
relevante debido a que el activo no
Muy bajo
representa demasiado inters para un
proceso X.
La disponibilidad del activo es muy alta
Muy Alto
debido a que existen varios procesos
que son dependientes al activo.
Nivel de criticidad respecto a la trazabilidad

el cual se declare el nivel de criticidad respecto a la trazabilidad del activo de
Cuadro 5. Ejemplo de nivel de criticidad respecto a la trazabilidad de los activos de

informacin
Trazabilidad
Valor
Justificacin
Debido a que el activo es de carcter pblico
Muy bajo
su trazabilidad no representa un factor que
se deba controlar con dedicacin.
Se debe controlar las personas que acceden
Alto
al activo, la hora de consulta y los fines de
uso.

55
Definir la valoracin de criticidad final para cada activo
La valoracin de criticidad final es muy importante ya que a partir de dicha

valoracin se determinaran los activos que harn parte de la matriz de riesgos. La
valoracin de criticidad final es determinada por el valor critico ms alto que se
haya obtenido en los diferentes factores que se han evaluado (confidencialidad,
integridad, disponibilidad, trazabilidad).
Cuadro 6. Ejemplo Valoracin final de los activos de informacin respecto a

su criticidad
Confidenciali
Integridad
Disponibilidad
Trazabilidad
Valora
dad
cin
Valor Justific Valor Justifica Valor
Justifica Valo Justificaci
Final
acin
cin
cin
r
n
Muy
Bajo
Bajo
Muy Bajo
bajo
bajo
Muy
Muy
Muy
Alto Muy
alto
alto
alto
alto
valoracin de activos de informacin
Etiqueta de Criticidad
La etiqueta de criticidad es un identificador el cual permite identificar el nivel de

criticidad asociado a cada activo de informacin, a construccin de la etiqueta
depende del sistema de clasificacin que haya sido adoptado, ya que la valoracin
que se obtenga para la confidencialidad, integridad, disponibilidad y trazabilidad se
ver reflejada en la etiqueta de criticidad.
Cuadro 7. Ejemplo construccin de etiqueta de criticidad

Confidencialida
Disponibilida Trazabilida
Integridad
d
d
d
Clasificaci
Clasificaci
Clasificacin
Clasificacin
n
n
Publico
I2
D2
T2
Etiqueta de
criticidad
PublicoI2D2T2
ConfidencialI1D1T
Confidencial
I1
D1
T1
1
56
Determinar campos de informacin que harn parte del inventario de

activos.
Los campos de informacin son una parte fundamental de todo inventario, estos
campos de informacin deben ser seleccionados racionalmente y no dejar esta
tarea al azar, un campo de informacin debe ser visto como un elemento el cual
nos proporcionara informacin valiosa sobre el activo, informacin la cual nos sea
til en algn momento de la implementacin u operacin del SGSI.
A continuacin se declaran los campos de informacin con los cuales se
encuentra conformado desde el 2011 el inventario de activos de activos de
informacin de EMCALI.
ID.
Es el nmero que identifica a cada activo dentro del inventario, el inventario se

encuentra dividido en cuatro grandes grupos los cuales hacen distincin a los
activos pertenecientes a la gerencia de TI, Depto. Sistemas de Informacin, Depto.
Operaciones, Depto. Planeacin tecnolgica, para cada grupo el identificador va
desde el nmero uno hasta el ltimo activo que se registre dentro del grupo.
Nombre del Activo.
Es el nombre que distingue a cada activo y por el cual el personal lo reconoce

dentro de su espacio laboral.
Descripcin/Observaciones.
Campo de informacin en el cual se presenta una descripcin concisa sobre el

activo, la descripcin que se asocie a cada activo debe ser pensada y redactada
de tal manera que una persona al leer la descripcin asociada al activo logre
conocer aspectos de inters del activo.
Proceso.
Hace referencia al proceso al cual se encuentra vinculado el activo.
57
Tipo de Activo.
Se encuentra definido por EMCALI de la siguiente manera:

Informacin, se considera informacin a datos e informacin almacenada o
procesada fsica o electrnicamente: bases de datos documentos, manuales entre
otros.
Personas, son consideradas como un activo debido al conocimiento, habilidades,

experiencia son consideradas activos de informacin
Servicios, se considera como servicio a los servicios computaciones y de

comunicaciones tales como el correo corporativo, intranet, pginas personales,
telefona, entre otros servicios soportados por la infraestructura tecnolgica de la
organizacin.
Hardware, son activos fsicos como computadores, equipos de impresin, equipos

de comunicaciones y de red entre otros.
Software, se considera como software a las aplicaciones computacionales,

sistemas operativos, desarrollo hechos a medida entre otros.
Fecha de Ingreso.
Fecha en la cual el activo sali a produccin.
Fecha de salida.
Fecha en la cual el activo sali de operacin.
Personal.
Campo de informacin en el cual se declara si el activo es de carcter personal,

privado o semiprivado.
58
Atributos.
Los atributos corresponden a informacin que apoya el proceso de valoracin de

los activos de informacin.
Los atributos a verificar para cada uno de los activos de informacin

son:A1: Activo de clientes o terceros que debe protegerse.
Activo que debe ser restringido a un nmero limitado de empleados.
Activo que puede ser alterado o comprometido para fraudes y corrupcin.
Activo que es muy crtico para las operaciones internas.
Activo que es muy crtico para el servicio hacia terceros.
Activo que ha sido declarado de conocimiento pblico por parte de la

persona con autoridad para hacerlo o por alguna norma jurdica.
Ubicacin.
Campo de informacin el cual corresponde a determinar la ubicacin fsica como

tambin electrnica del activo de informacin.
o Propietario.
Es una parte designada de la entidad, un cargo, proceso, o grupo de trabajo que
tiene la responsabilidad de garantizar que la informacin y los activos asociados
con los servicios de procesamiento de informacin se clasifican adecuadamente.
o Custodio.
Es una parte designada de la entidad, un cargo, proceso, o grupo de trabajo
encargado de hacer efectivos los controles de seguridad definidos por el
propietario.
Nivel de Criticidad.
59
Diferentes campos de informacin en el cual se dispone el grado de importancia o

de criticidad que posee un activo respecto a su confidencialidad, integridad,
disponibilidad y trazabilidad.
Entrevistado.
Campo de informacin en el cual se dispone a registrar el nombre de la persona

que ha proporcionado la informacin referente al activo.
7.1.2. Identificacin del Riesgo.
Identificar los activos que sern objeto de anlisis.
Es un proceso mediante el cual se realizan entrevistas junto a los jefes de

departamento a fin de conocer cules son los activos de informacin que
presentan mayor relevancia para los procesos de los cuales son responsables, a
fin de luego incluirlos en la matriz de riesgos y realizar la correspondiente
caracterizacin de cada uno de ellos. Luego de la caracterizacin de cada activo
se deben identificar los activos de informacin para los cuales su valor total de
criticidad es Muy Alto y Alto debido a que estos sern los que se tendrn en
cuenta para la conformacin de la matriz de riesgos y su correspondiente anlisis
de riesgo.
Tipos de riesgo
El tipo o condicin de riesgo viene dada por la afectacin que sufre el activo
respecto a su confidencialidad, integridad, disponibilidad y trazabilidad, por ello se
ha considerado adecuado declarar los siguientes tipos de riesgo:
o
Acceso no autorizado al activo de informacin: Riesgo que un activo se
vea afectado respecto a su confidencialidad.
o
Perdida de la integridad del activo de informacin: Riesgo que un activo
sea alterado en su contenido o forma, causando la no utilizacin parcial del activo
o prdida definitiva.
o
Perdida de la disponibilidad del activo de informacin: Riesgo que un
activo no se encuentra en operacin por algn motivo.
o
Perdida de la trazabilidad del activo de informacin: Riesgo que no
pueda tenerse conocimiento de las acciones que se realizan con un activo de
informacin y tampoco pueda conocerse la persona la accin.
60
Identificar Vulnerabilidades y Amenazas

Vulnerabilidades
Las vulnerabilidades son falencias o debilidades que puede estar presentes en la

tecnologa, las personas o en las polticas y procedimientos de EMCALI.
A continuacin se presentan algunas recomendaciones que se deben tener en

cuenta al momento de identificar vulnerabilidades:
El activo de informacin que se est analizando, y el riesgo identificado.
Las pruebas de Intrusin realizadas, dado que muchos de los activos de
informacin son almacenados, distribuidos, resguardados y protegidos por la
infraestructura de informacin y tecnologa.
Por cada riesgo versus activo de informacin se pueden identificar
diferentes vulnerabilidades.
Amenazas
Son los escenarios internos o externos que puede hacer uso de una vulnerabilidad
para generar un perjuicio o impacto negativo en EMCALI (Materializar el riesgo), o
los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas
u ocasionadas.
A continuacin se presentan algunas percibidas en el mbito laboral de EMCALI:

Recurso Humano: Conjunto de personas vinculadas directa o
indirectamente con el Activo de Informacin (personal externo e interno).
Procesos: Actividades para la transformacin de elementos de entrada, en
productos o servicios para satisfacer una necesidad.
Tecnologa: Es el conjunto de herramientas empleadas para soportar el
activo de informacin. Incluye: hardware, software y telecomunicaciones.
Infraestructura: Es el conjunto de elementos de apoyo para el
funcionamiento de uno de los Activos de Informacin.
Externos: Son eventos asociados a la fuerza de la naturaleza u
ocasionados por terceros, que se escapan en cuanto a su causa y origen al control
de la Entidad.
61
7.1.3. Estimacin del Riesgo
Descripcin del Riesgo.
La descripcin del riesgo se realiza bajo el escenario amenaza VS vulnerabilidad,

es decir el supuesto que una amenaza logre explotar una vulnerabilidad y
materialice un riesgo previamente identificado.
Descripcin de consecuencias.
Las consecuencias son todas aquellas repercusiones que sufre un activo de

llegarse a materializar un riesgo, las consecuencias deben ser declaradas de
manera sencilla y sin el uso de ternsimos a fin de que cualquier persona pueda
entender las afectaciones que se sufriran, se recomienda que las consecuencias
se han declaradas en trminos econmicos, eficiencia operacional, afectaciones
legales y prdida de clientes.
Probabilidad de Materializacin.
A continuacin se presenta la escala de probabilidad de materializacin con la cual

EMCALI pretende medir la probabilidad de ocurrencia de un riesgo en el tiempo.
Cuadro 8. Escala de probabilidad

ESCALA DE PROBABILIDAD
RARO
Evento que puede ocurrir slo en
circunstancias excepcionales (0 5%),
entre 0 y 1 vez cada ao
IMPROBABLE
Evento que pudo ocurrir en algn
momento (6% - 10%), entre 2 y 4 veces
en ao.
POSIBLE
Evento que podra ocurrir en algn
momento (11% - 15%) entre 5 y 6 veces
en el ao.
PROBABLE
Evento que probablemente ocurrir en
la mayora de las circunstancias (16% 20%) entre 7 y 12 veces en un ao.
CASI CERTEZA
Evento que se espera ocurra en la
mayora de las circunstancias (Mayor al
20%) ms de 12 veces en un ao.
62
Determinar Impacto
A continuacin se presenta la escala de impacto con la cual EMCALI determinara

la afectacin que causara la materializacin de un riesgo para su imagen,
informacin, victimas, ambiental, operaciones, econmicas y financieras,
mercadeo, clientes
Cuadro 9. Escala de impacto

ESCALA DE IMPACTO
NIVEL
INSIGNIFICAN
TE
Imagen
Impacta
negativament
e la imagen
de un rol.
MENOR
Impacta
negativament
e la imagen
del proceso.
MODERADO
Impacta
negativament
e la imagen
no slo del
proceso
evaluado sino
de otros
procesos
Informacin
Impacta de
forma leve la
informacin
requerida
para el
desarrollo de
las
actividades de
un rol
Impacta de
forma
importante la
informacin
requerida
para el
desarrollo de
las
actividades
del proceso
evaluado
Impacta
negativament
e la
informacin
requerida
para el
desarrollo de
las
actividades no
solo del
63
Operaciones
Econmic
as y
Financiera
s
Impacta de
forma leve la
operacin de
un rol
Se pueden
presentar
una
afectacin
del 20% del
presupuest
o
Impacta
importante la
operacin del
proceso
Se pueden
presentar
una
afectacin
del 30% del
presupuest
o
Impacta
negativament
e no slo la
operacin del
proceso
evaluado sino
a otros
procesos
Se pueden
presentar
una
afectacin
del 40% del
presupuest
o
Cuadro 9. (Continuacin)
proceso
evaluado sino
de otros
procesos.
Impacta
negativament
e la
Se pueden
Impacta
informacin
presentar
negativament concerniente
Impacta
una
e la imagen
y que apoya
negativament
MAYOR
afectacin
de EMCALI
el
e la operacin
del 50% del
ante sus
cumplimiento de EMCALI
presupuest
suscriptores
de los
o
objetivos
estratgicos
de EMCALI
Impacta
negativament
Se pueden
Impacta
e la
presentar
Impacta
negativament
informacin
una
negativament
e la no solo
CATASTROFIC
concerniente
afectacin
e la imagen
operacin de
O
y que apoya
del mas del
EMCALI sino
de la Ciudad
la prestacin
51% del
de Cali
de sus
del servicio a
presupuest
Subscriptores
los
o
suscriptores.
No hay
No hay
No hay
No hay
N/A
impacto
impacto
impacto
impacto
7.1.4. Evaluacin Del Riesgo.
Priorizar Necesidades de Tratamiento.
Priorizar las necesidades de tratamiento otorga la pauta para la definicin de

nuevos controles o mejoras de los controles existentes, teniendo en cuenta que el
nivel aceptable de riesgo es bajo, se ha determinado que para los dems niveles
64
de riesgo se deber definir planes los cuales permitan involucrar controles los
cuales permitan llevar el riesgo hasta su mnima expresin. 18
Cuadro 10. Matriz de probabilidad VS Impacto

IMPACTO
PROBABILIDAD
1
2
3
4
5
Insignificante Menor Moderado Mayor Catastrfico
1
RARO
B
B
M
A
A
2 IMPROBABLE
B
B
M
A
E
3
MODERADO
B
M
A
E
E
4
PROBABLE
M
A
A
E
E
CASI
5
A
A
E
E
E
CERTEZA
B: Zona de Riesgo Baja, asumir el riesgo.
M: Zona de Riesgo Moderada, asumir el riesgo, reducir el riesgo.
A: Zona de Riesgo Alta, reducir el riesgo, evitar el riesgo, compartir o transferir.
E: Zona de Riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o
transferir.
7.1.5. Tratamiento Del Riesgo.
Identificacin y Seleccin de Opciones para el Tratamiento Del Riesgo.
La identificacin de opciones o medidas para el tratamiento del riesgo parte del

anlisis de las vulnerabilidades y necesidades que perciba la organizacin
respecto a mantener la seguridad de sus activos de informacin, la eleccin de
medidas de seguridad luego de realizado el anlisis de vulnerabilidades se ve
soportado por la Norma ISO/27001 Anexo A en la cual se presentan 133 controles
los cuales se presentan una amplia gama de medidas de seguridad las cuales
ayudaran a blindar de buena manera la organizacin en materia de seguridad de
la informacin. La organizacin tambin tiene como material de apoyo a Norma
ISO/27002, Norma en la cual radican los mismos 133 controles del Anexo A pero
adicional a esto presenta la gua de implementacin de cada uno de los controles
que el Anexo A abarca.
18
Informacin obtenida de los lineamientos establecidos por EMCALI para la construccin de la

matriz de inventario de activos y matriz para la gestin del riesgo, documento
65
7.1.6. Comunicacin y Consulta.
Obtener y Compartir Informacin.
Obtener y compartir informacin es parte la cual desempea un papel clave dentro

de la gestin del riesgo, ya que mediante la obtencin de informacin de las partes
interesadas se puede conocer el estado de un proceso y de sus activos asociados
respecto a su seguridad y el grado de exposicin en cuanto se llegue a presentar
la materializacin de un incidente de seguridad. Es de igual importancia compartir
o comunicar la informacin ya que mediante ello puede tomarse medidas
oportunamente y de esta manera minimizar la probabilidad de ocurrencia de un
incidente de seguridad en particular.
7.1.7. Monitoreo y Revisin.
Identificar Cambios en el Contexto.
El monitoreo y las revisiones programadas permiten develar cambios en los

contextos en los cuales convergen los activos de informacin que se involucran en
los procesos organizaciones, conocer el cambio en un contexto es de suma
importancia, ya que un cambio por mnimo que sea puede influir en mltiples
variables las cuales podran desencadenar situaciones que puedan poner en
riesgo la seguridad de los activos de informacin que se buscan proteger; el
monitoreo y la revisin son actividades que buscan prevenir incidentes de
seguridad mediante la anticipacin de los hechos, es decir no se espera a que
pase el incidente para luego tomar medidas sino que se buscan cerrar las brechas
entre la seguridad y el contexto que el cual mantiene en constante dinamismo.
Analizar los incidentes de Seguridad.
El anlisis de un incidente de seguridad en el antes, durante y despus de suceso

es muy importante ya que contribuye a fortalecer la base del conocimiento de la
organizacin respecto a la seguridad de la informacin ya que mediante el anlisis
la organizacin puede retroalimentarse y tomar medidas que permitan que
incidentes como los ya ocurridos no prosperen en el futuro.
Teniendo definidos y claramente descrito cada uno de los apartes los cuales harn
parte de nuestros lineamientos para la gestin del riesgo se presenta a
continuacin la contextualizacin de estos (a excepcin del aparte 9.1.6 y 9.1.7, ya
66
que no se encuentran contemplados como parte de la operacin del SGSI, mas no

de su estructuracin como tal), a fin de dar cumplimiento al control 7.1.1
Inventario de Activos el cual se encuentra asociado al objetivo de control 7.1
Responsabilidad sobre los Activos y este a su vez inmerso en el dominio 7
Gestin
de
Activos.
7.2 ACTIVOS DE INFORMACION OBJETO DE ANLISIS

Con el fin de dar cumplimiento a este aparte se empez conociendo en primera
instancia los activos de informacin que haban sido levantados por EMCALI en el
2011 actividad la cual dio por resultado la siguiente informacin:
Se pudieron identificar 153 activos de informacin los cuales fueron levantados en
el 2011, activos de informacin los cuales se encontraban repartidos de la
siguiente manera.
Gerencia de TI, dependencia en la cual se identificaron 24 activos de

informacin.
Departamento de Operaciones, departamento en el cual se identificacin 85

Departamento de Sistemas de Informacin, departamento en el cual se

identificaron 22 activos de informacin.
Departamento de Planeacin Tecnolgica, departamento en el cual se

identificaron 22 activos de informacin.
Identificados los activos de informacin se procedi a adelantar la actualizacin

del inventario de activos mediante entrevistas con los responsables de cada
departamento y mediante una comparacin con la matriz de riesgos a fin de
conocer si los activos a los cuales se deba dar seguimiento en realidad estaban
siendo sometidos a una gestin a fin de minimizar el nivel de riesgo al cual se
encuentran expuestos.
A continuacin se presenta un informe con los resultados obtenidos de la actividad

de actualizacin del inventario de activos.
7.1.8. Anlisis de Activos. Gracias al anlisis realizado de los inventarios de

activos de informacin de los departamentos que componen el GTI y de la matriz
67
de riesgos de EMCALI, Se ha determinado que el nmero total de activos de

informacin que se encuentran contenidos en los cuatro departamentos que
componen el GTI es de 147 activos, los cuales se encuentran distribuidos de la
siguiente manera:
Figura 7. Distribucin de Activos de informacin actualizada
ACTIVOS DE INFORMACION
100
90
80
70
60
50
40
30
20
10
0
87
21
19
Gerencia de TI
Departamento de
Operaciones.
Departamento
de Sistemas de
Informacin.
20
Departamento de
Planeacin
Tecnolgica.
7.1.9. Gerencia de TI.El departamento de Gerencia de TI cuenta con 19 activos

de informacin inventariados, de estos activos de informacin se puede concluir lo
siguiente:
Se cuenta con 10 activos que tiene asociado un valor de criticidad de ALTO, 5
activos tienen asociado un valor de criticidad MEDIO, y finalmente se tienen 4
activos con un valor de criticidad asociado BAJO.
68
Figura 8. Activos asociados a la Gerencia de TI, distribuidos respecto a su

valor de criticidad
ACTIVOS POR VALOR DE CRITICIDAD

12
10
10
8
6
4
5
4
2
0
Activos con Valor de Criticidad Activos con Valor de Criticidad Activos con valor de Criticidad
Alto.
Medio.
Bajo.
Los activos de informacin con un nivel de criticidad ALTO, de acuerdo a lo

declarado en el punto (2) (nivel de criticidad de los riesgos), debern ser
registrados en la matriz de riesgo ya que su nivel de criticidad considera que estos
activos deben de tener una gestin especial sobre ellos.
A continuacin se muestran el nmero correspondiente de activos asociado a la

matriz de riesgos; cabe aclarar que el nmero de activos registrados en la matriz
de riesgos debe ser igual a la cantidad de activos con nivel de criticidad de ALTO.
69
Figura 9. Activos asociados a la gerencia de TI, que se encuentran

registrados en la matriz de riesgos
ACTIVOS REGISTRADOS EN LA MATRIZ DE

RIESGOS
10,2
10
9,8
10
9,6
9,4
9,2
9
9
8,8
8,6
8,4
Activos que estan registrados
en la matriz de riesgos.
Activos que no estan registrados

Respecto a este grafico podemos concluir que el nmero de activos registrados en

la matriz de riesgos es consistente con el nmero de activos identificados con un
nivel de criticidad Alto.
7.1.10.
Departamento Operaciones.El departamento de la Operaciones
cuenta con 87 activos de informacin inventariados, de estos activos de
informacin se puede concluir lo siguiente:
Se cuenta con 5 activos que tiene asociado un valor de criticidad de MUY ALTO,
62 activos tienen asociado un valor de criticidad ALTO, se tienen 11 activos con un
valor de criticidad asociado MEDIO, y final mente se tienen 9 activos con un nivel
de criticidad BAJO.
70
Figura 10. Activos asociados al departamento de operaciones, distribuidos

respecto a su valor de criticidad
VALORACION DE CRITICIDAD DE LOS ACTIVOS

DE INFORMACION
70
60
62
50
40
30
20
10
5
11
MEDIO
BAJO
0
MUY ALTO
ALTO
Los activos de informacin con un nivel de criticidad MUY ALTO, y ALTO de

acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos), debern
ser registrados en la matriz de riesgo ya que su nivel de criticidad considera que
estos activos deben de tener una gestin especial sobre ellos.

matriz de riesgos, cabe aclarar que el nmero de activos registrados en la matriz
de riesgos debe ser igual a la cantidad de activos con nivel de criticidad de MUY
ALTO, y ALTO.
71
Figura 11. Activos asociados al departamento de operaciones, que se

encuentran registrados en la matriz de riesgos

RIESGOS DE EMCALI
70
60
50
67
40
30
20
20
10
0
en la matriz de riesgos de EMCALI
Activos que no estan registrados en la matriz de

riesgos de EMCALI

la matriz de riesgos no es igual a la suma de los activos con nivel de criticidad
MUY ALTO y ALTO identificados previamente.
Al examinar el inventario de activos y comparando sus activos contra la matriz de

riesgos se encontr que haba nueve (9) activos con nivel de criticidad ALTO que
no fueron incluidos en la matriz de riesgos.
7.1.11.
Departamento Sistemas de Informacin. El departamento de
Sistemas de Informacin cuenta con 21 activos de informacin inventariados, de
estos activos de informacin se puede concluir lo siguiente:
Se cuenta con 6 activos que tiene asociado un valor de criticidad de MUY ALTO,
10 activos tienen asociado un valor de criticidad ALTO, se tienen 3 activos con un
valor de criticidad asociado MEDIO, y final mente se tienen 2 activos con un nivel
de criticidad BAJO.
72


12
10
10
8
6
6
4
3
2
0
Activos con Valor de
Criticidad Muy Alto.

Criticidad Alto.

Criticidad Medio.
Activos con valor de

Criticidad Bajo.
Los activos de informacin con un nivel de criticidad MUY ALTO, y ALTO de

acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos), debern
ser registrados en la matriz de riesgo ya que de acuerdo a su nivel de criticidad se
considera que estos activos deben de tener una gestin especial sobre ellos.

ALTO, y ALTO.
73

que se encuentran registrados en la matriz de riesgoS
18

RIESGOS
16
14
16
12
10
8
6
4
2
0


la matriz de riesgos es igual a la suma de los activos con nivel de criticidad MUY
ALTO y ALTO identificados previamente.
7.1.12.
Departamento Planeacin Tecnolgica.El departamento de
Planeacin Tecnolgica cuenta con 20 activos de informacin inventariados, de
estos activos de informacin se puede concluir lo siguiente:
Se cuenta con 11 activos los cuales tienen asociado un valor de criticidad ALTO,
se tienen 4 activos con un valor de criticidad asociado MEDIO, hay 2 activos con
un nivel de criticidad BAJO, y finalmente se tienen 3 activos con un nivel de
criticidad de MUY BAJO.
74


12
10
11
8
6
4
4
3
2
2
0
Criticidad Alto.

Criticidad Medio.
Activos con valor de

Criticidad Bajo.

Criticidad Muy Bajo
Los activos de informacin con un nivel de criticidad ALTO de acuerdo a lo

declarado en el punto (2) (nivel de criticidad de los riesgos), debern ser
registrados en la matriz de riesgo ya que su nivel de criticidad considera que estos
activos deben de tener una gestin especial sobre ellos.

ALTO, y ALTO.
75

que se encuentran registrados en la matriz de riesgos

RIESGOS
16
14
12
10
8
6
4
2
0
15
5


la matriz de riesgos es igual a la suma de los activos con nivel de criticidad MUY
ALTO y ALTO identificados previamente.
7.1.13.
Conclusin Respecto al Anlisis de Activos y Actualizacin del
Inventario. A raz de la actualizacin del inventario de activos y de conocer las
pretensiones de EMCALI por alcanzar la certificacin en la Norma ISO/27001de
seguridad de la informacin, se presenta como sugerencia enfocar todos los
esfuerzos sobre un proceso crtico para la Gerencia de TI en pro de asegurar un
activo o activos de informacin, los cuales representen inters tanto para el
proceso como para toda la organizacin; de acuerdo a este orden de ideas se ha
considerado pertinente declarar para el proyecto de SGSI, un nuevo alcance con
el cual pueda obtenerse la certificacin de la norma ISO/27001, debido a que en la
primera fase del proyecto SGSI en la cual participo la organizacin especializada
en seguridad de la informacin (NewNet S.A), no se logr definir un alcance
certificable que en base a los 147 activos de informacin que se haban definido
en la primera fase del proyecto, se pudiese llegar a cumplir el objetivo de alcanzar
la certificacin en la Norma ISO/27001.
7.1.14.
Determinar El Alcance. Partiendo de las ideas declaradas en el
aparte inmediatamente anterior, se sugiere a EMCALI enfocar esfuerzos para
alcanzar la certificacin, sobre el proceso Gestionar Tecnologa proceso
anteriormente citado lleva por nombre un nombre ficticio, ya que se considera
76
como material confidencial el mapa de procesos de la gerencia de TI ya que se

considera un proceso de inters dentro de la gerencia de TI y al interior del mismo
asegurar el activo CORE del Negocio el nombre por el cual ser llamado el
activo es un nombre ficticio, ya que el nombre real del activo es considerado como
confidencial por parte de EMCALI - el cual es un activo de inters para el proceso
Gestionar Tecnologa y es un activo transversal a toda la organizacin.
Definido el proceso y el activo sobre el cual enfocaremos esfuerzos para su

aseguramiento, procedemos a declarar el nuevo alcance certificable para el
proyecto SGSI de EMCALI y detallar dentro del mismo el activo CORE del
Negocio, a fin de conocer los activos que integran el activo CORE del
negocio y de esta manera poder asegurar el activo en toda su comprensin.
Alcance certificable.
El Alcance se encuentra limitado a la Gerencia de TI de EMCALI, al proceso

gestionar tecnologa y al aseguramiento del activo CORE del Negocio el cual se
encuentra compuesto por los siguientes activos:
Cuadro 11. Activos de informacin asociados al proceso gestionar
tecnologa
PROCESO
ACTIVO
DETALLE
APLICACIN
BASE DE DATOS 1
BASE DE DATOS 2
GESTIONAR
CORE DEL NEGOCIO
TECNOLOGIA
BASE DE DATOS 3
SERVIDOR 1
SERVIDOR 2
Todo lo anterior a fin de realizar la gestin del riesgo a partir del anlisis de su
nivel de criticidad, vulnerabilidades y amenazas, para de esta manera poder
determinar el impacto que tendra para la empresa que estos activos se vean
vulnerados respecto a su confidencialidad, integridad, disponibilidad y trazabilidad.
77
Nota 1: Los activos asociados al activo CORE (Aplicacin, Base de datos 1, Base
de datos 2, Base de datos 3, Servidor 1, servidor 2) fueron nombrados bajo
nombres ficticios, ya que esta informacin es considerada como confidencial por
EMCALI.
Nota 2: Los activos declarados en un principio por EMCALI y sobre los cuales se
realiz un anlisis a fin de actualizar su estado dentro del inventario de activos, no
sern tenidos en cuenta dentro del alcance certificable anteriormente propuesto,
es decir que los 147 activos de informacin que fueron levantados en un principio
por EMCALI no sern tenidos en cuenta, ya que tal cantidad de activos de
informacin dispuestos para aseguramiento, generara un desgaste inmenso para
la organizacin y el objetivo de obtener la certificacin en la norma ISO/27001
podra llegar a no materializarse.
Nota 3: Los seis activos de informacin (Aplicacin, Base de datos 1, Base de

datos 2, Base de datos 3, Servidor 1, servidor 2) declarados como el nuevo
alcance certificable para el proyecto SGSI, se encuentran sujetos para el presente
proyecto, a limitaciones en cuanto al detalle de su informacin, debido a que estos
activos son considerados por EMCALI como crticos y cualquier tipo de divulgacin
de informacin no autorizada por la empresa es considerada como un incidente de
seguridad, el cual pondra en riesgo la confidencialidad, integridad, disponibilidad y
trazabilidad del activo de informacin y por ende la EMCALI se vera afectada de
manera negativa en sus intereses.
Descripcin de los activos embebidos en el alcance certificable.

A continuacin se presenta la descripcin de cada uno de los activos de
informacin relacionados en el alcance certificable:
o
Aplicacin.
Activo de informacin el cual Permite a los usuarios autorizados consultar,

adicionar, modificar informacin y ejecutar funcionalidades que permitan obtener
resultados de inters para un determinado proceso.
Base de datos 1.
Base de datos que contiene informacin confidencial del negocio e informacin

personal de los clientes; La Informacin contenida en esta base de datos debe ser
78
protegida a fin de cumplir con disposiciones legales establecidas por el Gobierno

de la Republica Colombia, disposiciones las cuales tienen por exigencia proteger
la informacin personal de los Clientes, Trabajadores y Proveedores "Ley 1266 de
2008 Habeas Data y Ley Estatutaria 1581 de 2012 Proteccin de datos
personales"), para el presente activo de informacin existe una oportunidad de
mejora de poder actualizar el motor de la base de datos, ya que en la actualidad el
motor de la base de datos se encuentra operando bajo una versin desactualizada
y ello podra acarrear problemas de soporte por parte del proveedor.
Base de datos 2.

personal de los clientes; el presente activo de informacin tambin posee
informacin de la gerencia financiera como lo son estados de cuentas, pago a
proveedores y nmina de los empleados de EMCALI. La Informacin contenida en
esta base de datos debe ser protegida a fin de cumplir con disposiciones legales
establecidas por el Gobierno de la Republica Colombia, disposiciones las cuales
tienen por
exigencia proteger la informacin personal de los Clientes,
Trabajadores y Proveedores "Ley 1266 de 2008 Habeas Data y Ley Estatutaria
1581 de 2012 Proteccin de datos personales").
Base de datos 3.

personal de los clientes; el presente activo de informacin tambin posee
informacin concerniente a la genrica de gestin humana y administrativa de
EMCALI, en la cual se involucra la informacin personal de todos los funcionarios
pblicos de la empresa as como tambin informacin concerniente a practicantes
y contratistas. La Informacin contenida en esta base de datos debe ser protegida
a fin de cumplir con disposiciones legales establecidas por el Gobierno de la
Republica Colombia, disposiciones las cuales tienen por exigencia proteger la
informacin personal de los Clientes, Trabajadores y Proveedores "Ley 1266 de
2008 Habeas Data y Ley Estatutaria 1581 de 2012 Proteccin de datos
personales").
Servidor 1.
Servidor de alta disponibilidad que aloja la base de datos 1, base de datos la cual
almacena informacin sensible del sistema de informacin CORE del Negocio.
Soportar fsica, operativa y tecnolgicamente la base de datos del sistema
79
comercial de EMCALI, manteniendo la informacin de la base de datos de manera

confidencial, integra y siempre disponible para las personas autorizadas.
Servidor 2.
Servidor de alta disponibilidad que aloja la base de datos 2 y 3, bases de datos las
cuales almacenan informacin sensible del sistema de informacin CORE del
Negocio. Soportar fsica, operativa y tecnolgicamente la base de datos del
sistema comercial de EMCALI, manteniendo la informacin de la base de datos de
manera confidencial, integra y siempre disponible para las personas autorizadas.
7.2.
INVENTARIO DE ACTIVOS
7.3.1 Campos de informacin a asociar al inventario. Respecto a los campos

de informacin se considera adecuada la asociacin al inventario de activos, de
cada uno de los campos definidos por EMCALI, pero a raz de la observacin y
anlisis del inventario de activos de informacin se ha podido evidenciar
oportunidades de mejora las cuales permitirn mejorar la calidad de la informacin
que proporciona el inventario de activos al personal el cual lo administra.
A continuacin se presentan los campos de informacin que se sugieren como
oportunidad de mejora a integrar al inventario de activos de informacin:
Funcin del Activo, campo de informacin en el cual se detallara

concretamente la funcionalidad del activo de informacin al interior de EMCALI.
Personal administrador, Campo de informacin en el cual debe registrarse

el nombre de la o las personas que administran o son lderes tcnicos para el
activo de informacin.
Datos de Contacto, Campo de informacin en el cual deben disponerse

los datos del personal administrador o lideres tcnicos para el activo, a fin de tener
a disposicin informacin que contribuya a la ubicacin del personal en caso de
presentarse una duda, fallo o incidente de seguridad respecto a un activo.
Oportunidades de mejora, Campo de informacin

en el cual se
dispondrn para registro las vulnerabilidades ms inmediatas a tratar para la
seguridad del activo.
Gestin de vulnerabilidades, Campo de informacin en el cual se

consolidan los esfuerzos que se estn realizando para cubrir las vulnerabilidades
detectadas.
80
El producto consolidado como inventario de activos se encuentra adjunto como

anexo al presente documento, Observar Anexo A documento inventario de
activos.
7.2 MATRIZ DE RIESGOS
El producto consolidado bajo el Nombre Matriz de riesgos se encuentra adjunto

como anexo al presente documento, Observar Anexo A documento matriz de
riesgos.
7.3 CONTROLES SUGERIDOS PARA MINIMIZAR EL RIESGO
Definidos los activos de informacin e identificadas sus riesgos, vulnerabilidades,

amenazas y riesgo residual a partir del anlisis de los controles que EMCALI tiene
actualmente definidos para mitigar el riesgo que existe sobre estos, se a logrado
determinar que el nivel de riesgo residual que tienen los activos respecto a su
confidencialidad, integridad, disponibilidad y trazabilidad no se encuentra en el
nivel de tolerancia o aceptacin definido por EMCALI, debido a que ningn activo
se encuentra en un nivel de residual Bajo, por lo cual EMCALI debe considerar
Asumir el riesgo, Mitigar, Transferir o en un caso extremo y poco habitual eliminar
el activo. .
Considerando el nivel de riesgo residual de los activos de informacin se presenta

a como recomendacin a EMCALI la implementacin de los siguientes controles
sugeridos por la Norma ISO/27001 Anexo A, a fin de mitigar el riesgo con la
puesta en operacin de los mismos.
7.3.1 Controles.
Uso aceptable de los activos, Control mediante el cual la empresa puede

formar criterios y disposiciones organizacionales respecto a la seguridad de los
activos de informacin y la manera en la cual los empleados deben emplear los
recursos de informacin de la empresa.
81

Concienciacin, formacin y capacitacin en seguridad de la
informacin, Control mediante el cual se permite formar y concientizar a los
empleados respecto a la importancia de la seguridad de la informacin y poder
mantener los activos de informacin respecto a su confidencialidad, integridad,
disponibilidad y trazabilidad.
8Responsabilidad del cese o cambio, Control mediante el cual la

empresa declara responsabilidades respecto al cambio de perfil de un empleado o
la baja de su usuario y credenciales de acceso ante un posible retiro del empleado
de la empresa.
Devolucin de activos, Control mediante el cual la empresa pude

establecer procedimientos mediante los cuales, los activos pertenecientes a la
empresa que se encuentren asignados a un empleado puedan ser reintegrados a
la organizacin ante un cambio de rol del empleado o un posible retiro de la
empresa.
Retirada de los derechos de acceso, Control mediante el cual la empresa

puede formular procedimientos mediante los cuales, el empleado responsable de
los retiros de acceso de un usuario puede efectuar correctamente la retirada de los
privilegios de acceso de un empleado a determinados sistemas de informacin de
la organizacin, los procedimientos pueden efectuarse bajo el supuesto de cambio
de rol del empleado, retiro del empleado de la organizacin, retiro de los privilegios
por motivo de investigaciones entre otros supuestos que EMCALI considere
apropiados tener en cuenta para el retiro de los derechos de acceso.
Gestin de capacidades, Control el cual se encuentra enfocado a

determinar la capacidad de los sistemas de informacin, bases de datos,
servidores e infraestructura de redes y comunicaciones a fin de soportar con
calidad las demandas de los usuarios asociados a la organizacin.
Controles de red, Control el cual sugiere la implementacin de

mecanismos de control de red, los cuales permitan controlar el acceso a los
recursos de red y el monitoreo de los mismos, a fin de evitar incidentes de
seguridad que pongan en riesgo la confidencialidad, integridad, disponibilidad y
trazabilidad de los activos de informacin.
Seguridad en los servicios de red, Control mediante el cual se sugiere la

implementacin de disposiciones de seguridad la cual permita mantener la
confidencialidad e integridad de los servicios prestados por la empresa y de la
informacin que por ellos fluye.
Supervisin del uso del sistema, La empresa debe mantener la

supervisin de sus sistemas de informacin a fin de evitar y conocer posibles
afectaciones de los usuarios hacia la informacin que en los sistemas reposa.
Gestin de privilegios, Control mediante el cual la empresa puede

conformar un proceso de segregacin de funciones el cual contribuya a determinar
los privilegios que los usuarios requieren para el adelanto de sus
responsabilidades laborales.
Gestin de contraseas de usuarios, Mediante la conformacin de un

proceso informtico el cual regule la conformacin de contraseas se puede
82
disminuir la probabilidad de que los usuarios diseen contraseas con una

seguridad baja.
Revisin de los derechos de acceso de usuarios, Disponer de un control

mediante el cual se revise si un usuario tiene ms privilegios de los que debera
tener asignados, ya que esto representa un riesgo de fuga de informacin y de
alteracin de informacin sensible.
Restriccin del acceso a la informacin, determinar qu informacin

tienen derechos los usuarios de consultar.
Identificacin de la legislacin aplicable, la identificacin de la legislacin

aplicable y vigente es un factor de importancia considerable y el cual se debe
tener claro a fin de encontrarse conforme con las disposiciones legales del estado
para de esta manera evitar ser objeto de multas y sanciones.
7.4 METODOLOGA PARA LA ACTUALIZACIN DEL INVENTARIO DE

ACTIVOS
La actualizacin de inventario de activos de informacin una actividad de vital

importancia para EMCALI, puesto que determina que activos de informacin ya
no deben ser considerados dentro del inventario de activos de informacin, y
posteriormente indagar que nuevos activos se han vinculado a EMCALI y que
requieran de un control sobre ellos, ya que estos pueden comprometer la
confidencialidad, integridad, disponibilidad y trazabilidad, y por ende deben ser
vinculados al inventario de activos de informacin.
La informacin puede estar representada en diferentes formas (impresa, en

sistemas de informacin computacionales, en imgenes, etc.) y tiene, adems, un
ciclo de vida que cuenta con diferentes etapas (creacin, procesamiento, uso,
almacenamiento, transmisin y destruccin); independiente de su representacin y
de la etapa en que se encuentra, la informacin debe ser protegida
adecuadamente, de acuerdo con su nivel de confidencialidad, integridad y
disponibilidad.
La metodologa que se presenta como sugerencia para realizar la actividad de

actualizacin de inventario y clasificacin de activos de informacin se encuentra
dividida en tres (3) etapas:
83
7.4.1 Etapa nmero uno, activos a dar de baja.

o Indagar: corresponde al proceso de identificacin, comprobacin, y valoracin de
activos de informacin, que se considera que ya no representen un riesgo para las
actividades empresariales de EMCALI, o su ciclo de vida ya ha concluido y ya no
se encuentran vinculados a los procesos empresariales de EMCALI.
o Dar de baja: actividad correspondiente a desvincular del inventario los activos de

informacin que previamente han sido identificados, comprobados, y valorados en
la etapa de escrutinio, ya que se ha determinado que estos activos de informacin
ya no representan un riesgo para las actividades empresariales de EMCALI.
7.4.2 Etapa nmero dos, actualizar valoracin de criticidad.
o
Actualizar: es el proceso mediante el cual se evalan los activos que han
quedado incluidos en el inventario luego de realizar la accin de dar de baja, este
proceso tiene como objetivo examinar si el nivel de criticidad que se ha definido
para los activos en un pasado sigue siendo acertado o si este ha sufrido cambios
en el tiempo.
o
Traslado de activos de informacin: actividad mediante la cual un activo
de informacin inventariado cambia de ubicacin, pero sin cambiar de
departamento al cual se encuentra vinculado.
o
Traspaso de activos de informacin: actividad mediante la cual un activo
de informacin inventariado cambia de departamento responsable del activo a
otro.
7.4.3 Etapa nmero tres, activos a dar de alta.

o
Anlisis de activos de informacin: corresponde a las actividades de la
identificacin, caracterizacin y valoracin de activos de informacin nuevos, que
dependiendo del impacto y la importancia que estos puedan generar a las
84
actividades empresariales de EMCALI, requieren un control continuo para

minimizar los riesgos que existen sobre estos.
o
Dar de alta: actividad correspondiente a vincular al inventario los activos
de informacin que previamente han sido identificados, caracterizados, y
valorados en la etapa de anlisis de activos de informacin, ya que se ha
determinado que estos activos de informacin representan un riesgo para las
actividades empresariales de EMCALI, y requieren de medidas que minimicen el
riesgo sobre estos.
o
Clasificacin de activos de informacin y valor total del Activo:
corresponde a la definicin del sistema de clasificacin y la clasificacin de los
activos de informacin de acuerdo a este sistema. El sistema de clasificacin fue
revisado y aprobado por el Comit de Gerencia de GTI. El sistema de clasificacin
contempla la Confidencialidad, Integridad, Disponibilidad y Trazabilidad del activo
de informacin, de acuerdo con el impacto que puede generar la prdida de
alguna de stas propiedades.
Dentro de la etapa nmero dos, se vinculan dos procesos adicionales los cuales
son los siguientes:
85
7.4.4 Etapa nmero 1, Activos a dar de baja.
7.4.4.1
Indagar.La actividad de indagar consiste en poder conocer
informacin del estado de los activos de informacin incluidos previamente en el
inventario, esto con el fin de poder determinar si los activos incluidos en el
inventario realmente son de gran relevancia para las actividades empresariales de
la organizacin, esto con el fin de garantizar la confidencialidad, integridad y
disponibilidad del activo de informacin.
La actividad de indagar tambin nos permitir ahorrar esfuerzo en el control de

riesgos sobre los activos de informacin, ya que con la implementacin de esta
actividad, en el inventario de activos de informacin solo tendremos activos que se
ha comprobado y corroborado que requieren de atenciones de control especiales.
Si no se implementara esta actividad se estaran haciendo esfuerzos en el control
de los activos de informacin, sin conocer realmente si dichos activos son
realmente indispensables para el funcionamiento empresarial de EMCALI.
Para efectuar la actividad de indagar se deben tener en cuenta la informacin

pertinente a cada activo de informacin, con el fin de conocer si un activo debe
ser desvinculado del inventario de activos de informacin.
o
El activo de informacin es vital para la actividad empresarial de EMCALI.
El activo es de carcter
Pblico
Semiprivado
Privado
86
El ciclo de vida del activo de informacin es:
Temporal.
extenso.
indefinido.
El activo de informacin requiere cuidados especiales como:
Mantenimiento.
Almacenar en medios especiales como cajas fuertes o entornos con

temperaturas controladas.
Monitoreo continuo.
Acceso restringido.
Medio en el cual se encuentra contenido el activo de informacin.
Digital
Fsico
El activo de informacin puede ser transferido de un rea a otra.
o
El activo de informacin puede ser trasladado de un lugar a otro dentro de
la misma rea propietaria del activo de informacin.
Indicar las vulnerabilidades actuales del activo.
Indicar las amenazas actuales a las que se ve sometido el activo.
o
Indicar el nivel de riesgo que corre actualmente el activo de informacin y
describirlo.
87
Tipo de baja.
Cuadro 12. Tipo de Baja

CODIGO
EVENTUALIDAD
B1
Venta.
B2
Inservible.
B3
CODIGO
B4
B5
Perdida.
B6
EVENTUALIDAD
Robo.
Despido.
Termino del ciclo de
vida de la informacin.
NOTA: la seleccin de cualquier eventualidad de tipo de baja, debidamente

justificada, considerara la baja inminente del activo de informacin del inventario
de activos de informacin.
Venta.
Para la eventualidad de venta se debe anexar la informacin de la venta como

copia del documento de identidad de la persona a la cual se le vendi el activo de
informacin, y el documento que certifique que la venta se realiz correctamente.
Inservible.
Se debe indicar en un documento, la revisin que se ha realizado sobre el activo la

cual llevo a determinar que el activo de informacin se encuentra en un estado
inservible.
Perdida.
Debe contener la explicacin del porque el activo de informacin no tiene una

ubicacin determina en la cual se le pueda localizar, se debe anexar quien es el
propietario y el custodio del activo de informacin.
Robo.
Debe contener el documento con la denuncia ante las autoridades, del robo del
activo de informacin, se debe anexar quien es el propietario y el custodio del
activo de informacin.
Despido.
88
Se debe detallar el motivo por el cual se realiz el despido del funcionario de

EMCALI, se debe incluir el documento que corrobore el correcto despido del
funcionario.
7.4.4.2
Dar de Baja.Es la desvinculacin de un activo de informacin del
inventario de activos de informacin, este proceso se lleva a cabo gracias al
proceso anteriormente indicado (indagar), el cual permite conocer si un activo
candidato a salir del inventario.
Para la correcta desvinculacin de un activo de informacin del inventario de
activos de informacin, se deber hacer uso de un formato de desvinculacin
(Formato de baja y Alta, Observar Anexo B), el cual deber ser diligenciado por
el rea a cargo del activo de informacin, este formato cuenta con los siguientes
campos de informacin:
Identificar el tipo de proceso: esta actividad se llevara a cabo marcando

con una X , el tipo de procedimiento que se quiere llevar a cabo, en este caso se
macara con una X el tem de dar de baja.
Cdigo del activo: se debe incluir en el formato de dar de baja el cdigo

del activo de informacin que se quiere desvincular del inventario de activos de
informacin.
Inventario al que pertenece: se debe indicar el inventario al cual

pertenece el activo de informacin cdigo o nombre de inventario.
Fecha de baja: se debe indicar la fecha en la cual se realiza la

desvinculacin del activo de informacin del inventario de activos de informacin.
Tipo de baja: se debe incluir el cdigo de tipo de baja, el cual se seal en

el cuadro de tipo de baja, de la etapa de indagar. Este campo solo se debe
diligenciar solo si, se seal alguna eventualidad de baja en la etapa de indagar
Tramite de proceso de baja: este proceso se debe llevar acabo ante el

administrador del inventario de activos de informacin, este trmite debe estar
acompaado del formulario de desvinculacin de activos de informacin
(formulario de baja). Luego de presentar esta solicitud de baja el administrador del
inventario debe aprobar la solicitud y posteriormente archivar este formato en el
lugar dispuesto para llevar el debido control documental de las acciones de baja
de activos, dando cumplimiento al archivado de la solicitud se proceder a
desvincular del inventario de activos al activo en cuestin.
7.4.5 Etapa Numero Dos
89
7.4.5.1
Actualizar valor de Criticidad. El desarrollo de esta actividad
involucra realizar una actividad de anlisis, la cual permita evidenciar si la
valoracin de criticidad que se encuentra asociada a los activos es la adecuada o
no, dicho anlisis parte de conocer los procesos en los cuales se encuentra
involucrados los activos, conocer si la cantidad de personas que hacen uso del
activo es grande o pequeo, conocer el tipo de informacin que contiene el activo,
conocer el control de acceso que se tiene del activo, y conocer la importancia
actual que tiene el activo para las actividades empresariales de EMCALI.
7.4.5.2
Traslado de Activos de Informacin. Esta etapa se debe
desarrollar en el caso que se desee efectuar un cambio de ubicacin fsica o
digital del activo de informacin que se contiene en un rea organizacional del
GTI, a fin de efectuar el traslado de un activo de informacin se recomienda que
se ha diligenciado el formato de traslado y traspaso de activos (Observar Anexo
C), formato del cual a continuacin se presenta la descripcin de sus campos de
informacin.
Identificacin del proceso: se debe marcar con una X la casilla de

traslado.
Descripcin del activo de informacin: se indicara el cdigo que tiene el

activo de informacin dentro del inventario y a esa informacin se debe agregar
una breve descripcin del activo de informacin.
Cdigo del activo: se deber asignar un cdigo al activo de informacin a

incluir en el inventario.

pertenece el activo de informacin cdigo o nombre de inventario.
rea contenedora: se debe indicar el rea en la cual se encuentra

contenido el activo de informacin.
Ubicacin origen: corresponde a la ubicacin original del activo de

informacin.
Ubicacin destino: corresponde a la nueva ubicacin en la cual estar

alojado el activo de informacin.
Tramite de traslado de activos de informacin: este proceso se debe

llevar acabo ante el ente el encargado de manejar el inventario de activos de
informacin, este trmite debe estar acompaado del formulario de traslado de
activos de informacin. Luego de presentar esta solicitud de traslado, el encargado
del manejo del inventario de activos de informacin, debe registrar su firma en el
formulario de traslado, indicando que ha recibido la solicitud de traslado de activos
de informacin, tambin se debe contar con la fecha de recepcin de la solicitud
de traslado de activos de informacin y la fecha en la que se hace efectivo el
traslado del activo de informacin a su nueva ubicacin detallada en el inventario,
el traslado de dicho activo de informacin debe realizarse inmediatamente se
90
reciba la solicitud de traslado de activo de informacin, por ello la fecha de

radicado de la solicitud de traslado de activo de informacin, debe ser la misma
que la fecha de procesada la solicitud.
7.4.5.3
Traspaso de activos de informacin.Este procedimiento se
materializa cuando se pretende cambiar un activo de informacin de un rea
organizacional a otra, lo cual implicara un posible cambio de ubicacin dentro del
GTI y un cambio de propietario y pueda ser que tambin de custodio, a fin de
efectuar el traspaso de un activo de informacin se recomienda que se ha
diligenciado el formato de traslado y traspaso de activos (Observar Anexo C),
formato del cual a continuacin se presenta la descripcin de sus campos de
informacin.
Identificacin del proceso: se debe marcar con una X la casilla de

traspaso.
Descripcin del activo de informacin: se indicara el cdigo que tiene el

activo de informacin dentro del inventario y a esa informacin se debe agregar
una breve descripcin del activo de informacin.
Cdigo del activo: se deber asignar un cdigo al activo de informacin a


pertenece el activo de informacin (cdigo o nombre de inventario).
rea contenedora inicial: se debe indicar el rea original en la cual se

encuentra alojado el activo de informacin.
Departamento y rea contenedor destino: se debe indicar el

departamento y rea destino en la cual se va a encontrar alojado el activo de
informacin.
Custodio inicial: se debe indicar el custodio original o inicial, encargado de

proteger el activo de informacin.
Custodio final: se debe indicar el nuevo custodio del activo de informacin.
Tramite de traspaso de activos de informacin: este proceso se debe

llevar acabo ante el ente el encargado de manejar el inventario de activos de
informacin, este trmite debe estar acompaado del formulario de traspaso de
activos de informacin. Luego de presentar esta solicitud de traspaso, el
encargado del manejo del inventario de activos de informacin, debe registrar su
firma en el formulario de traspaso, indicando que ha recibido la solicitud de
traspaso de activos de informacin, tambin se debe contar con la fecha de
recepcin de la solicitud de traspaso de activos de informacin y la fecha en la que
se hace efectivo el traspaso del activo de informacin a su nueva rea
organizacional, ubicacin final, y custodio detallada en el inventario, el traspaso de
dicho activo de informacin debe realizarse inmediatamente se reciba la solicitud
de traspaso de activo de informacin, por ello la fecha de radicado de la solicitud
91
de traspaso de activo de informacin, debe ser la misma que la fecha de

procesada la solicitud.
7.4.6 Etapa nmero tres.
7.4.6.1
Anlisis Activos de Informacin.La actividad de anlisis de activos
de informacin, consiste en determinar que nuevos activos se han vinculado a los
departamentos que conforman el GTI (Gerencia de TI, Sistemas de Informacin,
Operaciones, Planeacin Tecnolgica) esto con el fin de poder determinar que
activos de informacin son candidatos a ser vinculados al inventario de activos de
informacin de un departamento en especial.
Este procedimiento se realiza con el fin de poder garantizar que todos los activos
de informacin que son de vital importancia para la actividad empresarial de
EMCALI, sean incluidos en el inventario de activos de informacin, con el fin de
implementar sobre estos tareas de control que permitan minimizar los riesgos
sobre estos, y de esta manera garantizar la Confidencialidad, Integridad,
Disponibilidad y Trazabilidad de los activos de informacin.
Dicho proceso Corresponde a las actividades de identificacin, caracterizacin y
valoracin de los activos de informacin, que dependiendo del impacto y la
importancia que estos puedan generar a las actividades empresariales de
EMCALI, requieren un control continuo para minimizar los riesgos que existen
sobre estos, y poder de esta manera garantizar Confidencialidad, Integridad,
Trazabilidad y Disponibilidad.
Para garantizar un correcto anlisis de los activos se sugiere conocer lo siguientes
datos sobre los activos de informacin:
o
Indicar el carcter de la informacin que se ve incluida en el activo de
informacin.
Pblico.
Semiprivado.
Privado.
Indicar la importancia del activo para la empresa.
De poco inters
Inters medio
Vital
92
El ciclo de vida del activo de informacin es:

Temporal.
Extenso.
Indefinido.
El activo de informacin contiene informacin personal:

Publica.
Semiprivada.
Privada.
o
El activo de informacin requiere cuidados especiales como:
Mantenimiento.
Almacenar en medios especiales como cajas fuertes o entornos con

temperaturas controladas.
Monitoreo continuo.
Control de acceso.
Medio en el cual se encuentra contenido el activo de informacin.

Digital
Fsico
Indicar las vulnerabilidades del activo.
Indicar las amenazas a las que se ve sometido el activo.
Describir el riesgo que corre el activo de informacin.
7.4.6.2
Dar de Alta. Permite la vinculacin de activos de informacin al
inventario de activos de informacin, para la correcta vinculacin de un activo de
informacin al inventario de activos de informacin, se recomienda hacer uso del
formato de vinculacin de activos de informacin (Formato de Baja y Alta,
Observar Anexo B), dicho formato de vinculacin deber contener las siguientes
instrucciones:
93
o
Identificar el tipo de proceso: Esta actividad se llevara a cabo marcando
con una X , el tipo de procedimiento que se quiere llevar a cabo, en este caso se
macara con una X el tem de dar de alta.
o
Cdigo del activo: Se deber asignar un cdigo al activo de informacin a
o
Inventario al que pertenecer: Se debe indicar el inventario al cual
pertenecer el activo de informacin cdigo o nombre de inventario.
o
Fecha de alta: Se debe indicar la fecha en la cual se realiza la el proceso
de vinculacin del activo de informacin al inventario de activos de informacin.
o
Etiquetado: Se proceder a realizar la etiqueta del activo de informacin
teniendo en cuenta los parmetros para el etiquetado del activo respecto a su
criticidad (Confidencialidad, Integridad, disponibilidad y trazabilidad).
o
Descripcin: Se debe indicar una breve descripcin del activo de
informacin a incorporar al inventario, dependiendo del tipo de activo se debe
indicar la marca, modelo, y nmero de serie.
o
Modo de adquisicin: se deber indicar el tipo de vinculacin del activo
con EMCALI, de acuerdo a los siguientes parmetros establecidos:
Cuadro 13. Modo de adquisicin del activo

CODIG
TIPO DE
TIPO DE INCORPORACION CODIGO
O
INCORPORACION
A1
Compra
A4
alquiler
A2
cesin
A5
Producto intelectual
A3
contratacin
A6
Firma de contrato
NOTA: la seleccin de alguno de estos tipos de incorporacin deben, estar
debidamente justificada para efectos de claridad en su vinculacin al inventario de
Compra.
Se debe anexar el comprobante de compra del activo de informacin.
Cesin.
Se debe indicar la persona, fundacin, asociacin u organizacin, que cede el
activo de informacin a EMCALI, se debe anexar un documento que conste que
los activos de informacin recibidos en cesin, fueron debidamente incorporados a
EMCALI.
Contratacin.
94
Detallar el proceso de vinculacin de la persona que ser considerada como activo

de informacin, mediante una copia del contrato de vinculacin a EMCALI.
Alquiler.
Comprobar por medio de una copia del contrato de alquiler, la vinculacin activo
de informacin a la empresa.
o
Tramite de proceso de alta: este proceso se debe llevar acabo ante el
administrador del inventario de activos, este trmite debe estar acompaado del
formulario de vinculacin de activos de informacin (formulario de alta). Luego de
presentar esta solicitud de alta el administrador del inventario de activos de
informacin, debe registrar su firma en el formulario de alta, indicando que ha
recibido la solicitud de alta, tambin se debe contar con la fecha de recepcin de
la solicitud de alta, y la fecha en la que se hace efectiva la vinculacin del activo
de informacin al inventario de activos de informacin, la vinculacin de este
activo debe realizarse inmediatamente se reciba la solicitud del formato de alta,
por ello la fecha de radicado de la solicitud de vinculacin del activo al inventario,
debe ser la misma que la fecha de procesada la solicitud.
7.5 USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIN
7.5.1 Polticas de Seguridad de la Informacin.
Objetivo.
Proveer directrices de seguridad de la informacin con las cuales se Proteja y
preserve la seguridad de los activos respecto a la confidencialidad, integridad,
disponibilidad y trazabilidad de los activos de informacin.
Alcance.
Esta poltica se aplica a todos los funcionarios pblicos, consultores, personal
temporal y contratistas los cuales hacen uso de los activos de informacin de
EMCALI con fines laborales.
Se presentan a continuacin una serie de numerales en los cuales se disponen

una serie de polticas de seguridad de la informacin, pensadas en asegurar los
activos de informacin a partir de directrices y comportamientos que guen las
95
acciones de los empleados respecto al uso aceptable que deben de hacer de los
7.5.2 Polticas Generales
o
Los recursos, herramientas y privilegios que EMCALI otorgue a sus
empleados son de uso exclusivo para el adelanto de sus procesos y actividades
laborales.
o
Los activos de informacin de EMCALI solo pueden ser utilizados con fines
empresariales.
o
La informacin que se derive del trato con terceros, debe ser contemplado
como un activo de informacin a asegurar.
o
Debe asegurarse que toda informacin considerada como crtica por parte
de EMCALI, cuente con mecanismos que permitan recuperar el activo en caso de
suceder algn incidente de seguridad.
o
El acceso al centro de cmputo debe considerarse como restringido,
respecto a la importancia que tiene para el procesamiento de la informacin,
prestacin de servicios y almacenamiento de informacin.
o
El acceso y permanencia en el centro de cmputo debe contar con
mecanismos que permitan el registro, monitoreo y supervisin de las acciones del
personal que acceda a este espacio.
o
El acceso a estaciones de trabajo y sistema de informacin, debe
contemplarse bajo mecanismos de autentificacin, los cuales solo permitan el
acceso al personal autorizado para hacer uso de estos.
o
Se considera como falta a las polticas de seguridad de la informacin, el
uso no adecuado de los activos de informacin y de los recursos de EMCALI. las
acciones consideradas como no apropiadas para el mantenimiento de la seguridad
de los activos, se ven reflejadas en las conductas que se presentan a
continuacin:
Suministrar informacin confidencial a una persona ajena a la empresa.
Hacer uso de la informacin de la empresa con fines de lucro personal o de

terceros.
Alterar informacin con fines de ocultar alguna situacin anormal.
Divulgar informacin sin tener el consentimiento y debida autorizacin.
Hurtar informacin, software o equipos de cmputo.
Realizar copias no autorizadas de documentos y software.

96

Realizar acciones de extorcin, amenazas con la finalidad de obtener
informacin por parte de otro funcionario.
Hacer uso indebido del usuario administrador.
Instalar en los computadores software sin la debida autorizacin.
Instalar software malicioso (software espa, keylogger, virus entre otros).
Reubica equipos de cmputo, archivadores, servidores entre otros activos,

sin la debida autorizacin.
Violar los controles de seguridad para obtener acceso a espacios

restringidos o sitios de internet.
Realizar la captura de las tramas de informacin del trfico de la red.
Envi de mensajes o correos electrnicos fraudulentos a nombre de

EMCALI.
Vulnerar la propiedad intelectual de algn otro empleado, mediante

acciones que impliquen el robo de informacin o plagio de la misma.
Perjudicar las actividades operativas de EMCALI, a travs de la infeccin de

los sistemas de informacin con virus informticos.
Publicar en medios de informacin de acceso libre como la Internet,

informacin confidencial de EMCALI.
7.5.3 Polticas Especficas.Las polticas especficas constituyen una parte

fundamental en la construccin de directrices y comportamientos a los cuales
deben ceirse las acciones de los empleados, con el fin de que ellos hagan un
buen uso de los activos de informacin y de los recursos sobre los cuales se
encuentran soportados los procesos productivos de la empresa.
Las polticas especficas buscan detallar aspectos puntuales del uso de los activos
de informacin, como tambin del uso de recursos que facilitan la operacin y
comunicacin al interior de la empresa, estas polticas involucran todos aquellos
activos y recursos que por el dinamismo e importancia que representan para
EMCALI, requieren un nivel mucho ms especializado al declarar cual es la forma
apropiada de hacer uso de ellos, esto permitir corregir aspectos en los cuales se
ha identificado que se requiere por parte de los empleados una mayor atencin en
el uso de los activos.
Las polticas especficas contemplan aspectos como:
Polticas Para el Uso Adecuado del Correo Electrnico.

Polticas de Uso de Estaciones de Trabajo.
Polticas de Uso de Cuentas de Usuario y Contraseas.
97
Polticas de Disponibilidad de la Informacin.
7.5.3.1
Polticas Para el Uso Adecuado del Correo Electrnico.
Objetivo.
Establecer las directrices y comportamientos a seguir por las personas que hacen
parte del colectivo de empleados pertenecientes a EMCALI E.I.C.E-ESP, entre los
cuales se encuentran, empleados nombrados, contratistas entre otros, a los cuales
se les haya adjudicado una cuenta de correo electrnico corporativo de EMCALI,
para la mejora de la mejora de las comunicaciones al interior de la organizacin.
Alcance.
La poltica se encuentra acotada a todo empleado que tenga bajo su

responsabilidad una cuenta de correo electrnico corporativo de EMCALI, haga
empleo de ella dentro o fuera de empresa, en horario laboral o no laboral o das
hbiles o festivos.
El correo electrnico corporativo es una herramienta de comunicacin

provista por EMCALI, para la facilitar la difusin e intercambio de informacin
laboral entre los empleados, esta herramienta no debe ser usada por los
empleados como un medio de difusin de cualquier tipo indiscriminado de
informacin, ya que esta herramienta tiene propsitos estrictamente laborales.
La solicitud de correo electrnico para la asignacin de una cuenta de

correo para un empleado, debe tramitarse mediante una solicitud formal la cual
ser radicada ante el departamento responsable de la administracin del correo
electrnico.
La cuenta de correo electrnico que sea asignada a un usuario es de

carcter personal e intransferible, la cuenta de correo se encuentra estructurada
conforme a las directrices empresariales que se hayan definido por la empresa
como lo son un nombre de usuario (letra inicial del primer nombre de la persona
seguido del apellido, en caso que esta asociacin coincida con otra que ya se
encuentre establecida, se deber buscar una asociacin que nica para la
persona que hace la solicitud de correo) seguido del dominio de la cuenta de
correo (@emcali.com.co)
Los empleados deben comprometerse a hacer buen uso del correo

electrnico tanto dentro de EMCALI como por fuera de EMCALI y en horarios
laborales como en horarios no laborales.
98

Una vez sea asignado una cuenta de correo electrnico al empleado, este
deber cambiar la contrasea que el departamento responsable de la
administracin del correo le ha asignado por defecto, esta accin puede ser
realizada por el empleado tantas veces el considere necesario cambiarla, ya que
el empleado es el responsable de mantener la confidencialidad de la informacin
que en su correo electrnico se almacene.
El empleado que tenga el privilegio de hacer uso del correo electrnico

corporativo, es el nico responsable de los correos electrnicos enviados en su
nombre, por lo tanto EMCALI no se hace responsable de las actividades o
acciones que el empleado haga a travs del este medio, EMCALI solo podr tomar
sobre el empleado, la aplicacin de las acciones disciplinarias que se consideren
adecuadas respecto a la falta que haya cometido el empleado.
No enviar informacin sensible a travs del correo electrnico.
No enviar mensajes que puedan ocasionar un efecto de cadena en los

empleados.
Utilizar el correo electrnico como una herramienta de trabajo y no como un

recurso para la distraccin personal.
Debe mantener de manera confidencial el usuario y la clave de acceso al

correo electrnico.
Evitar enviar correos a personas que no tengan ningn vnculo laboral con
usted.
No se debe distribuir material considerado como obsceno a travs del

correo electrnico.
Se debe evitar enviar material que pueda herir la susceptibilidad de las

personas que laboran en EMCALI.
Evitar la participacin en la masificacin de correos de tipo cadena.
El empleado debe evitar dejar el correo electrnico abierto en caso de que

tenga que ausentarse del puesto de trabajo.
El empleado debe hacer uso de carpetas personales con la finalidad de

almacenar los correo en una carpeta dentro del equipo de cmputo y de esta
manera poder liberar recursos en la base de datos.
Los correos electrnicos que sean considerados de gran importancia por el

empelado deben ser almacenados en medios seguros que se encuentren por
99
fuera de los recursos de almacenamiento del correo electrnico, y luego de esto

deber procederse a la eliminacin de estos del correo.
Los correo que el empleado envi deben contener la firma del empleado
(incluir al final de correo el nombre del empleado, Gerencia a la cual pertenece,
cargo que ostenta dentro de la organizacin y el nmero de la extensin en la cual
puede ser ubicado).
Evite enviar los mensajes con la opcin de respuesta de envi de recepcin

exitosa y confirmacin de lectura, a menos que sea un mensaje que amerite la
importancia suficiente para habilitar estas opciones, ya que la confirmacin de
recepcin y de lectura causan congestin en la red.
7.5.3.2
Polticas de Uso de Estaciones de Trabajo.
Objetivo.
Establecer las directrices y comportamientos a seguir por las personas que hacen
parte del colectivo de empleados pertenecientes a EMCALI E.I.C.E-ESP, entre los
cuales se encuentran, empleados nombrados, contratistas entre otros, con el fin
de que ellos a travs de sus acciones laborales logren preservar la
confidencialidad, integridad, disponibilidad y trazabilidad de los activos de
informacin.
Alcance.
La poltica se encuentra acotada a todo empleado, no importa la distincin
(contratista o funcionario pblico), y cualquier otra persona que tenga acceso y
haga uso de los sistemas de informacin de EMCALI y estaciones de trabajo.
Proteger las estaciones de trabajo bajo la implementacin de sistemas de

usuarios y contraseas, los cuales permitan el acceso solo a la persona
autorizada.
Ante la ausencia del empleado de su estacin de trabajo, el empleado

deber dejar su equipo de cmputo con la pantalla bloqueada si tiene algn
proceso que no haya finalizado o dejar el equipo con la seccin concluida si el
empleado considerase que es necesario.
Revisar los componentes perifricos del equipo al inicio de labores, con la

finalidad de conocer si hay elementos anmalos integrados a este.
100
Cerrar la seccin de usuario al trmino del da laboral.
Cada Gerencia debe velar por mantener espacios seguros

almacenamiento de informacin documentada en medio fsico (papel).
de
Almacenar en espacios seguros (archivadores accesibles con llave,

gabinetes entre otros) los documentos que representen inters para EMCALI y
que no se encuentren siendo utilizados por los empleados durante su jornada
laboral, tambin deben considerarse apropiado almacenar los documentos luego
de finalizada la jornada laboral.
Debe llevarse un registro histrico de las solicitudes de los empleados para

el acceso a los documentos contenidos en los diferentes medios de
almacenamiento seguros, incluyendo la fecha de solicitud, la documentacin
solicitada, la justificacin de uso, tiempo en el cual el documento estuvo bajo la
responsabilidad del empleado y la fecha de entrega del documento para su
almacenamiento.
Bloquear mediante un usuario y contrasea los dispositivos de impresin y

escaneo de documentos, con la finalidad de que solo personal autorizado tenga
acceso a este tipo de recursos.
Bloquear dispositivos de escaneo y de impresin de documentos en

horarios que se consideren como no habituales para este tipo de acciones.
Los empleados deben mantener el escritorio de su computador libre de

cualquier carpeta o documento, este tipo de recursos deben mantenerse
almacenados dentro de carpetas propias del sistema o en los diferentes discos en
los cuales fue partido el disco duro para el almacenamiento de la informacin, con
la finalidad de que en caso de un descuido por parte del empleado responsable
del equipo, la informacin no quede visible en un primer plano de acceso al equipo
y de esta manera se pueda dificultar un poco la bsqueda y obtencin de la
informacin a alguna persona malintencionada.
7.5.3.3
Polticas de Uso de Cuentas de Usuario y Contraseas
Objetivo.
Dar a conocer las polticas para el uso de las cuentas de usuario y contraseas,
dispuestas por EMCALI para el acceso autorizado de los usuarios a los sistemas
de informacin de EMCALI y estaciones de trabajo.
101
Alcance.
La poltica se encuentra acotada a todo usuario que tenga bajo su responsabilidad
una cuenta de usuario y una contrasea designada para el acceso a los sistemas
de informacin y estaciones de trabajo.
El uso de la cuenta de usuario y contrasea es responsabilidad exclusiva de

la persona a la cual pertenece este recurso.
La cuenta de usuario es un recurso intransferible, por ello no se debe

compartir la cuenta de usuario y contrasea con ninguna otra persona.
La cuenta de usuario y contrasea no debe encontrarse escrita en ningn

lugar que se encuentre a la vista de empleados o visitantes.
La cuenta de usuario y contrasea debe resguardarse en un lugar en el cual

solo tenga acceso la persona que es titular de la cuenta de usuario.
La contrasea no debe ser: una secuencia numrica (1234), el nombre de

la persona titular de la cuenta de usuario, nombre de familiares, fechas de
nacimiento, nombres de mascotas o cualquier otro tipo de informacin que est
relacionada con la persona titular de la cuenta.
Se considera apropiado que hayan diferentes contraseas para el acceso a

diferentes sistemas de informacin o recursos de la empresa como el internet o
correo electrnico.
EMCALI tiene la autoridad de deshabilitar la cuenta de usuario para el

acceso a un determinado sistema de informacin o recurso de la empresa, si
EMCALI considera que se pone en riesgo la confidencialidad, integridad,
disponibilidad o trazabilidad de los activos de informacin.
La contrasea de usuario debe ser cambiada pasado un periodo de tiempo

que EMCALI haya establecido como apropiado para que se efectu el proceso de
cambio.
La contrasea para el acceso

ser asignada por el departamento
sistema de informacin en particular
empleado en forma personal, con el
algn correo o comunicado escrito).
a un determinado sistema de informacin,

responsable de la administracin de ese
(la contrasea deber darse a conocer al
fin de evitar que esta quede registrada en
Debe hacerse una distincin sobre la cuenta de usuario normal y la cuenta

de usuario administrador (Que privilegios diferencian una cuenta de la otra)
102

Debe definirse que empleados tienen el privilegio de hacer uso de la cuenta
de usuario administrador.
En caso de olvido de la contrasea, el empleado deber acudir ante el

departamento responsable de la administracin del sistema de informacin o
recurso, el cual el usuario haya olvidado la contrasea de acceso, para que le sea
restablecida la contrasea.
Debe establecerse criterios para la construccin de contraseas seguras. A

continuacin se presentan una serie de criterios los cuales deben ser establecidos
por EMCALI para la consolidacin de contraseas seguras.
Determinar la longitud que debe tener la contrasea (se recomienda que

sea de mnimo 8 caracteres).
Debe contener una combinacin de maysculas y minsculas, debe

establecerse que cantidad de caracteres en maysculas se requieren (se
recomienda que mnimo haya un carcter en mayscula).
EMCALI debe establecer si la contrasea debe contener o no caracteres

especiales. Por ejemplo %, &, /, =, ?, , etc.
7.5.3.4
Polticas de Disponibilidad de la Informacin.
Objetivo.
Dictar las directrices bajo las cuales se garantice la disponibilidad de los activos de
informacin, teniendo en cuenta el criterio de que un activos de informacin
siempre debe estar disponible para un usuario el cual cuente con la autorizacin
para el uso del mismo.
Alcance.
Mantener la disponibilidad de los sistemas de informacin como tambin de
estaciones de trabajo y recursos de informacin necesarios para el adelanto de
actividades laborales por parte de los empleados.
La informacin debe encuentre disponible para el empleado adecuada y en

el momento que el empleado requiera hacer uso de esta.
Debe garantizar que la informacin que requieran los clientes se encuentre

disponible en cualquier momento que estos deseen hacer la consulta de esta,
103
siempre y cuando estos se encuentren autorizados para hacer la consulta de la

misma.
Los sistemas de pago y facturacin deben estar disponibles 24/7 y en un

nivel del 100% de funcionalidad.
Toda la informacin que es soportada por la infraestructura de red y por los

sistemas de informacin, debe encontrarse almacenada y respaldada de acuerdo
a las directrices de un procedimiento, en el cual se encuentre definida la forma en
la cual se generara, se mantendr en el tiempo y se distribuir las copias de
seguridad de la informacin en caso de que llegase a pasar un incidente de
seguridad.
El almacenamiento de la informacin debe realizarse interna o

externamente segn lo considere EMCALI, respecto a la importancia y el nivel de
riesgo que tiene la informacin.
7.5.4 Etiquetado de Activos de Informacin.El adelanto del control que hace

referencia al etiquetado de activos y manejo de la informacin, presenta como
antecedente a su desarrollo la identificacin de los activos de informacin y la
consolidacin de estos dentro de una matriz de inventario de activos en la cual se
haya establecido el nivel de criticidad de los activos entre otros factores de inters.
El cumplimiento de este control sugerido por la Norma ISO/27001 Anexo A, no

tiene una directriz precisa la cual indique que acciones se deben emprender para
dar cumplimiento a este control, sino que solo otorga el propsito con el cual debe
fundamentarse la construccin de una solucin con la cual se de cumplimiento al
control y otorga libertad absoluta a la organizacin para que esta respecto a sus
necesidades presente una solucin la cual contribuya a dar cumplimiento a al
mismo.
Conociendo el propsito con el cual la Norma/ISO 27001 Anexo A presenta como

recomendacin el control 7.2.2 Etiquetado y Manipulado de la Informacin, se
presenta a EMCALI con el nimo de coadyuvar en el cumplimiento del control una
solucin la cual surge del anlisis previo del estado de la organizacin ante la
seguridad de la informacin, anlisis llevo a plantear el etiquetado de los equipo
de cmputo de la gerencia de TI, reconociendo los equipos de cmputo como un
recurso de relevante para el adelanto de labores operativas de la organizacin y
en el cual se almacena gran cantidad de informacin de suma importancia para
EMCALI.
104
7.5.4.1
Propsito de Seguridad Respecto al Etiquetado de Equipos
Cmputo.El propsito de seguridad con el cual se sugiere el etiquetado de los
equipos de cmputo, es que a partir de la etiqueta de marcado que se disponga
sobre los equipos de cmputo estos puedan ser identificables respecto a su
relevancia y criticidad que estos tienen para la organizacin.
La etiqueta de marcado se encuentra estructurada respecto a su informacin en

dos partes, la primera parte contempla la asociacin a de informacin fsica
(escrita) relevante para el trato del usuario hacia el equipo, informacin la cual
deber ser breve a su vez que ayude al usuario a reconocer la importancia del
equipo de cmputo para EMCALI, la segunda parte de contempla la asociacin de
informacin virtual la cual podr ser accedida a travs de un dispositivo lector de
cdigos de barras o cdigos QR, al cdigo que lleve cada etiqueta se asociara
informacin referente al equipo como lo es, persona responsable del equipo de
cmputo, persona que labora en el equipo, informacin relevante que contiene el
equipo, procesos de inters que corren en el equipo, software asociado al equipo,
Permisos asociados al equipo, direccin IP, Hoja de vida del equipo, entre mucha
otra informacin que EMCALI considere relevante asociar a la informacin virtual
del equipo.
La asociacin de informacin virtual asociada a la etiqueta de marcado deriva de

una necesidad percibida al momento de realizar el mantenimiento preventivo de
los equipos, ya que el personal de EMCALI al dar inicio al mantenimiento de los
equipos en muchas ocasiones no conocan la relevancia de los equipos para la
actividad productiva de la empresa, los programas licenciados que se encuentran
en el computador, la persona responsable del equipo entre muchos otros aspectos
de inters que al no conocerse llevaban al personal a cometer errores los cuales
podran llegar a generar perdida de informacin y paro en proceso productivos.
7.5.4.2
Consolidacin del Etiquetado de Equipos de Cmputo.Al interior
de este numeral se contemplan las acciones que deben ser adelantadas a fin de
poder construir la etiqueta de marcado.
7.5.4.3
Definir Activos a Etiquetar. El punto que se presenta consiste en
determinar que activos de informacin van a hacer dispuestos para el
correspondiente etiquetado y poder conocer con anterioridad la informacin
asociada al quipo para luego poder vincular la misma a la etiqueta de marcado.
105
7.5.4.4
Informacin Registrada en el Inventario de Activos. Una vez haya
sido desarrollado el control referente al inventario de activos, se ha logrado
recopilar y registrar en dicho recurso una numerosa cantidad de informacin
concerniente a los activos y a su nivel de criticidad, a partir de dicha informacin
consignada en este recurso se debe determinar qu informacin de la registrada
en el inventario de activos es pertinente que sea asociada a la etiqueta que ser
dispuesta para el marcado de los activos de informacin.
Con la finalidad de concertar la informacin que se registrara en la etiqueta de

activos, se sugiere realizar un anlisis del inventario de activos con la finalidad de
conocer los campos de informacin ms relevante que debera conocer un usuario
al primer contacto con el activo, dicho anlisis debe involucrar una valoracin de
los campos de informacin asociados a este recurso y la correspondiente
socializacin de esta actividad con las personas involucrada en el proyecto,
dndoles a conocer la valoracin determinada durante el proceso de valoracin de
los campos de informacin y de esta manera poder determinar la informacin que
deber consignarse en las etiquetas.
A continuacin se sugiere la vinculacin de la siguiente informacin a la etiqueta,

dicha informacin que se sugiere sea vinculada a la etiqueta no es exhaustiva por
lo cual puede ser agregada ms informacin a la etiqueta o puede retirarse algn
campo de informacin que se considere no deba registrar en la etiqueta.
Informacin a vincular a la etiqueta respecto del inventario de activos.
o
Propietario: este campo de informacin deber figurar el departamento a
cargo del activo de informacin, no se considera importante vincular si el activo
est directamente cargado a la cuenta de una persona en especial esta
informacin puede ser registrada mucho ms en detalle en el registro informativo
que debe aparecer al momento de pasar un lector de cdigo de barras sobre una
etiqueta.
Se deber establecer una nomenclatura para identificar a cada departamento
propietario de un activo, a continuacin se sugiere una nomenclatura la cual puede
representar el departamento a cargo:
106
Cuadro 14. Nomenclatura para identificacin de propietario de activos

DEPARTAMENTO.
NOMENCLATURA.
Gerencia de TI
GTI
Operaciones
DOP
Sistemas de informacin
DSI
Planeacin Tecnolgica
DPL
o
Valor: Se sugiere vincular este campo de informacin ya que este campo
indica el valor total de criticidad total asociado al activo, los valores de criticidad
posibles son los siguientes:
Cuadro 15. Valores de criticidad a asociar a la etiqueta de marcado
VALOR.
Muy Bajo
Bajo
Medio
Alto
Muy Alto
o
Etiqueta: Este campo de informacin se considera adecuado para su
vinculacin a la etiqueta que marcara al activo, ya que en l se especifica el valor
de criticidad del activo en cuanto a su Confidencialidad, Integridad, Disponibilidad,
Trazabilidad.
o
Atributos: El campo atributo considera seis (6) atributos los cuales ayudan
a determinar en cierta forma la importancia de un activo para la organizacin, el
cuidado que debe tenerse en el uso del activo y la disponibilidad a un determinado
nmero de usuarios, los atributos son los siguientes:
Cuadro 16. Nomenclatura para la identificacin de atributos

ATRIBUTOS.
NOMENCLATURA.
Activo de clientes o terceros que
A1
debe protegerse.
107
Activo que debe ser restringida

a un nmero limitado de
empleados.
Activo que puede ser alterada o
comprometida para fraudes y
corrupcin.
Activo que es muy crtica para
las operaciones internas.
Activo que es muy crtica para el
servicio hacia terceros.
Activo que es muy crtica para el
servicio hacia terceros.
A2
A3
A4
A5
A6
La nomenclatura asociada a los atributos deber ser asociada a la etiqueta de

marcado, en dicha etiqueta deber consignarse la nomenclatura que registre como
marcada en el inventario de activos, ejemplo. En el caso que un activo registre con
los atributos A1, A2 y A4 como marcados, en la etiqueta estos tres atributos
debern figurar de la siguiente manera A1A2A4.
A la etiqueta de marcado tambin puede ser asociada informacin referente al

activo al cual se est etiquetando, como lo es el nombre del equipo en la red,
identificacin de fbrica del equipo o algn otro identificador que se considere
necesario agregar al activo.
7.5.4.5
Recaudo de informacin Adicional. El proceso de recaudo de
informacin es un proceso que se sugiere sea adelantado con el nimo de poder
obtener informacin adicional del activo, la cual no se encuentra asociada al
inventario de activos y que pueda significar una contribucin importante al
momento de establecer una etiqueta para la identificacin y aseguramiento del
activo. Con la finalidad de poder recaudar informacin significativa a la que ya se
tiene en el inventario de activos, se presenta una gua de posibles datos e
informacin que podra ser asociada a la etiqueta de marcado:
Identificacin del equipo en la red.
Identificacin del activo en un espacio fsico (Sala de computo)
Registro identificador del equipo.
Fecha de terminacin del contrato.
Fecha de vencimiento de soporte tcnico o licenciamiento.
ID fabricante.
Equipo pblico o privado.
108
La informacin adicional que se recaude con la finalidad de determinar si su

vinculacin en una etiqueta de marcado representa relevancia o no para la
identificacin y seguridad del activo de informacin, deber ser valorada respecto
a los siguientes cuestionamientos los cuales buscan generar discusin sobre si un
dato o informacin es en verdad relevante para el control de etiquetado de activos:
El impacto que genera el dato o informacin en el usuario respecto a la

identificacin del activo y seguridad del mismo es:
Bajo
Medio
Alto
Al visualizar la informacin o dato en la etiqueta de marcado el usuario logra

deducir algo sobre el activo:
Nada
Poco
Mucho
Se considera en verdad relevante que el usuario conozca ese tipo de

informacin o dato.
Nada
Poco
Mucho
Se considera que la informacin o dato a asociar a la etiqueta de marcado

puede causar confusin en el usuario.
Nada
Poco
Mucho
La vinculacin de la informacin o dato a la puede generar alguna confusin

en el usuario respecto al trato y manejo que este debe tener con el activo.
Nada
Poco
Mucho
7.5.4.6
Diseo de la Etiqueta de Marcado.El diseo de la etiqueta es la
actividad en la cual se concibe la etiqueta como tal, es decir se establecer la
forma que esta tendr, la ubicacin en la que se encontrara distribuida la
informacin que ser asociada a la etiqueta.
Se presenta dos etiquetas como sugerencias para el marcado de los activos de
informacin que cuentan con caractersticas o condiciones fiscas para ser
marcados (Equipos hardware, Archivadores, Repositorio de discos de instalacin y
manuales).
A continuacin se muestran los diferentes tipos de etiquetas que se sugieren para

el marcado de los activos anteriormente descritos.
109
Figura 16. Prototipo etiquetas de marcado
A continuacin se presenta una representacin grfica de como quedaran

quedara finalmente representada una etiqueta con su correspondiente
informacin.
Figura 17. Prototipo Etiquetas de Marcado 2
La informacin respecto a nombre de equipo en la red ser dispuesta en la

etiqueta respecto a si el activo que se est marcando tiene como caracterstica
figurar en la red con un respectivo nombre que lo identifique en la red, activos que
deberan figurar con un nombre dentro de la red podran ser equipos de cmputo
Impresoras y dems que equipos que intervengan en la red.
7.5.4.7
Disposicin de Etiquetas sobre el Activo de Informacin. Como
se ha expresado anteriormente este procedimiento tiene como objetivo etiquetar
los activos de informacin con la correspondiente etiqueta de marcado que se ha
gestado para su identificacin y poder conocer a travs de ella el nivel de
criticidad y de importancia que tiene el activo para EMCALI.
110
El procedimiento de etiquetado se ve reflejado en tres momentos fundamentales

en los cuales se vern desarrollados procesos que cubrirn las necesidades que
se presentan en estos momentos. Los procesos que se establecern a
continuacin se encuentran adjuntos a la estructura del procedimiento referente a
la consolidacin de etiquetado, estos procesos son concebidos a partir del
reconocimiento de la necesidad de ejercer un control sobre ciertos momentos de
importancia en el desarrollo del control de etiquetado de activos y manejo de la
informacin, con el propsito de suplir esta necesidad de control se establecen los
siguientes procesos que permitirn dar cumplimiento un correcto cumplimiento al
procedimiento de consolidacin de etiquetado.
7.5.4.8
Delegacin de Responsabilidades.El primer momento de
importancia en el cual se sugiere establecer un proceso con fines de control es el
momento en el cual el responsable de direccionar el desarrollo del control de
etiquetado delega sobre un(os) empleado(s) capacitado(s) la responsabilidad de
adelantar la consolidacin del etiquetado de activos de informacin, brindndoles
las instrucciones pertinentes para el desarrollo de la labor asignada y otorgndoles
los recursos de los cuales deber hacer uso para la consolidacin del etiquetado
(entrega de etiquetas de marcado), con el fin de tener un control en la asignacin
de responsabilidades y recursos se sugiere la vinculacin de un recurso de
soporte documental (Formatos de delegacin de responsabilidades y entrega
de recursos, Observar Anexo D) en el cual se encuentren consignadas las
directrices que indicaran a los empleados que debern realizar para cumplir a
cabalidad con la responsabilidad encomendada y los recursos que fueron puestos
a disposicin del empleado para la realizacin de la misma.
7.5.4.9
Marcado de Activos.El segundo momento de importancia en el cual
se sugiere recalcar el establecimiento de un proceso que garantice un control en la
consolidacin del etiquetado, es en la disposicin de la etiqueta de marcado sobre
los activos de informacin que fueron designados para su correspondiente
etiquetado.
Este proceso permitir mediante el uso de un recurso de soporte documental

(Formato de control en el etiquetado, Observar Anexo E) llevar un registro de
si se ha podido establecer correctamente sobre el activo la correspondiente
etiqueta de marcado o si se ha suscitado algn evento que no haya permitido dar
cumplimiento al etiquetado del activo.
7.5.4.10
Muestra de Resultados.Debe presentarse el Formato de control en
el etiquetado, (Observar Anexo E) debidamente diligenciado, luego de haber
realizado el correspondiente etiquetado de activos, adems debe hacer la debida
111
entrega de los recursos (Etiquetas de marcado) que fueron dispuestas para el

etiquetado de activos y que no fueron dispuestas sobre el activo por algn motivo,
dicho motivo debe quedar registrado en el (Formato de control en el etiquetado) en
caso de que se llegase a presentar.
7.5.5 Estrategia de Sensibilizacin al Usuario Respecto al Etiquetado de

Activos y la Importancia de los Activos de Informacin. La planificacin y final
ejecucin de una estrategia de sensibilizacin es considerada como una de las
partes ms importante durante el adelanto de cualquier accin que tenga como
objetivo el aseguramiento de activos de informacin a partir de la implementacin
de una serie de medidas que permitan minimizar el ndice de ocurrencia de
incidentes de seguridad que se generan a partir de la materializacin de un riesgo
a travs de una vulnerabilidad.
Es de gran importancia llevar a cabo un plan de sensibilizacin debido a que se
debe reconocer a los usuarios como el eslabn ms dbil de la cadena de
seguridad y finalmente son ellos quienes interactan con los activos de
informacin, es por ello que se debe dar a conocer a ellos cual es la importancias
de los activos de informacin para la organizacin y cules son las medidas que
se estn tomando para su proteccin y cul sera el rol, desempeo y compromiso
que la empresa espera de sus empleados respecto al uso de los activos de
informacin y al acogimiento de las medidas que se desarrollen con el fin de
proteger los activos de informacin.
Es por ello que reconociendo la importancia de sensibilizar a los empleados

respecto a la relevancia que tienes los activos de informacin para la empresa y la
socializacin de las medidas de seguridad se presenta como sugerencia una
estrategia la cual permitir reconocer la importancia de los activo de informacin
para la estrategia del negocio y poder reconocer la importancia y nivel de criticidad
de un activo de informacin a partir de su etiqueta de marcado.
Conociendo la relevancia de desarrollar una estrategia de sensibilizacin se

proporciona como sugerencia para la estructuracin del plan de sensibilizacin
tener en cuenta los apartes que se muestran a continuacin:
Enfoque y estrategia para la sensibilizacin, se determina el enfoque y el

objetivo con el cual se quiere desarrollar la estrategia de sensibilizacin y se
determina la manera y los recursos con los cuales se quiere alcanzar el objetivo.
112

Factores a fortalecer en el empleado, Son aquellas caractersticas o
cualidades que consideremos importante fortalecer en el empleado para obtener
un mejor resultado en el aseguramiento de los activos de informacin.
Control y seguimiento, etapa en la cual se realiza un control de las

actividades a realizar y se controla que la inversin de los recursos se efectu
satisfactoriamente, como tambin al finalizar el periodo de sensibilizacin debe
efectuarse una etapa de seguimiento la cual permita corroborar que este fue
efectivo.
Estimacin cronolgica y econmica de la ejecucin de la estrategia de

sensibilizacin, es la etapa en la cual se pronostica las fechas entre las cuales se
encontrara comprendida la ejecucin de la estrategia de sensibilizacin, como
tambin se evalan los gastos econmicos en los cuales deber incurrir la
organizacin para la ejecucin de la estrategia de sensibilizacin.
A continuacin se presenta como una sugerencia una descripcin ms en detalle

sobre los apartes anteriormente expuestos.
7.5.5.1
Enfoque y Estrategia para la Sensibilizacin.
Objetivo.
Dar a conocer a los empleados la importancia de los activos de informacin para

la estrategia e intereses del negocio y socializar el control de etiquetado de activos
de informacin (activos de informacin fsicos).
Estrategia.
Al interior de la estructura de la estrategia para el plan de sensibilizacin se

contempla el desarrollo de los apartes que se expondrn a continuacin:
Identificacin de Usuarios a Quienes Va Dirigida la Estrategia de

Sensibilizacin.
En una primera instancia la estrategia de sensibilizacin ira dirigida a los

empleados que laboran al interior de la Gerencia de Tecnologa de la Informacin,
113
ya que en este lugar parte la iniciativa de Implementacin del SGSI, no obstante a

medida que el sistema se vaya abriendo a otras dependencias de la organizacin
de la misma manera lo tendr que hacer la estrategia de sensibilizacin.
Diseo de una imagen representativa para la estrategia de

sensibilizacin.
La imagen representativa para la estrategia de sensibilizacin de empleados

respecto al reconocimiento de la importancia de la etiqueta de marcado como
recursos que permite al empleado reconocer la importancia del activo y el nivel de
riesgo que este tiene asociado.
La imagen representativa que se considere apropiada para la representacin del

plan de sensibilizacin de contar con las siguientes caractersticas con la finalidad
de despertar en los empleados el inters por la temtica a considerarse dentro de
la campaa de sensibilizacin de empleados.
A continuacin se expresan las caractersticas que se sugiere sean tenidas en

cuenta al momento de gestionar una imagen representativa para el plan de
sensibilizacin.
La imagen representativa debe:
o
o
o
o
o
Crear expectativas en el empleado ante el plan que se desarrollara.

Tener relacin respecto al tema que se desarrollara.
Exponer un significado lgico de la temtica a tratar.
Identificar el plan de sensibilizacin como una iniciativa propia de la empresa.
Debe incluir un texto o mensaje que complemente la iniciativa del que se tiene
propuesta con la creacin de la imagen representativa.
Estrategia de apoyo para el afianzamiento de la estrategia de

sensibilizacin.
Carteles.
El uso de carteles se considera apropiado ya que es un recurso de apoyo que

pueden ser dispuestos en lugares por los cuales se haya detectado con
anterioridad que circula con mayor frecuencia el personal que se ver involucrado
dentro del plan de sensibilizacin, este medio permite llegar de manera masiva a
114
todo el personal con un mnimo esfuerzo humano y econmico ya que de pocos

medios (carteles) pueden alimentarse de informacin un gran nmero de
empleados y el recurso puede estar a la disposicin para los empleados el tiempo
que el personal responsable de la ejecucin del plan de concientizacin considere
prudente.
Salva pantallas y Fondos de Escritorio.
El uso del presente recurso como material o elemento de apoyo conlleva varios
beneficios como lo son:
Amplia difusin del material de apoyo, ya que al ser un recurso que es
asociado directamente en cada uno de los equipos de trabajo personal de cada
empleado se garantiza que el mensaje sea conocido por todas las personas que
se ven involucradas dentro del plan de sensibilizacin.
El recurso de apoyo puede estar a disposicin de los empleados por el
tiempo que el personal responsable de la ejecucin del plan de concientizacin
considere prudente.
El costo de inversin es mnimo.
o
Souvenir
El uso del presente recurso como material o elemento de apoyo conlleva varios
beneficios como lo son:
Involucrar en el entorno laboral del empleado un objeto de uso comn para
todos, el cual al ser usado u observado por los empleados, les recuerde aspectos
relevantes para mantener la seguridad de los activos de informacin.
Permite que se prolonguen en el tiempo recomendaciones que permitan
hacer buen uso de los activos de informacin y reconocer la importancia y el nivel
de riesgo asociado a los activos de informacin.
7.5.5.2
Factores a Fortalecer en el Empleado.
7.5.5.3
Fortalecimiento del Factor Cognitivo.
Es uno de los factores ms importantes, ya que este factor hace referencia al

conocimiento que tienen las personas sobre un determinado tema o cuestin en
especial, para nuestro caso es el conocimiento que las personas tienen en el uso y
trato de los activos de informacin teniendo como punto de referencia el nivel de
criticidad que tienen los activos, en el fortalecimiento del factor cognitivo se busca
hacer nfasis en el fortalecimiento de los siguientes aspectos:
115

Manejo conceptual referente a la seguridad de la informacin.
Reconocimiento de las caractersticas y beneficios en la implementacin de

los controles de seguridad de la informacin declarados en la Norma ISO/27001
Anexo A (Etiquetado de activos de informacin).
Condiciones de uso de los recursos de informacin de la organizacin.
Polticas de seguridad de la informacin.
Reconocer la importancia de un activo de informacin a partir de la lectura

de su etiqueta de marcado que haya sido dispuesta sobre el activo.
7.5.5.4
Fortalecimiento del Factor Psicolgico (Sentido de perteneca).
El factor psicolgico es uno de los factores ms complejos, ya que al ser un factor
arraigado a los seres humanos se hace dependiente de la conducta, formacin
integral de la persona, sentido de pertenencia y estado de animo de la persona,
este factor se torna muy cambiante debido a la condicin humana del usuario lo
cual lo hace independiente y autnomo en sus criterios y decisiones.
7.5.5.5
Fortalecimiento del Factor Laboral (Compromiso respecto a la
seguridad de la informacin). El factor laboral puede que sea a simple vista
uno de los ms simples o sencillos de determinar en una persona que labora en
una organizacin, ya que las acciones que la persona realice debern estar
sujetas a las polticas y lineamientos establecidos por la organizacin, pero esto
no comprende el factor laboral en toda su plenitud, ya que el factor laboral tambin
comprende el compromiso del empleado para con su trabajo y con el uso
adecuado de las herramientas y recursos que la organizacin le suministra para el
desarrollo de sus actividades laborales.
7.5.5.6
Control y Seguimiento
Control
El desarrollo de la etapa de control debe garantizar mediante la gestin e

implementacin de recursos y mecanismos que garanticen el cumplimiento de los
siguientes aspectos:
Asistencia.
Se debe garantizar que las personas para las cuales se encuentra dirigido el plan
de sensibilizacin asistan a las actividades que se contemplan dentro del plan de
sensibilizacin, con el fin de garantizar este aspecto se considera apropiado que
se tomen en consideracin las siguientes sugerencias:
o Listados de asistencia.
116
o Sanciones laborales por falta al compromiso con la seguridad de la

informacin.
Cumplimiento en el contenido programado y el tiempo establecido

para su desarrollo.
Considerando que el no cumplimiento en las actividades que se contemplan
programadas dentro del plan de sensibilizacin podra causar un incremento en
los costos de implementacin del plan de sensibilizacin adems de molestias y
perdida de inters en los empleados.
Considerando los efectos del no cumplimiento del contenido programado se

considera apropiado que se desarrollen los siguientes recursos las cuales
garanticen un control sobre lo programado dentro del plan de sensibilizacin.
o
o
Desarrollo de un plan de trabajo.

Desarrollo del Cronograma de actividades.
Inversin en recursos.
Se debe garantizar que los recursos que se destinen como inversin para el
desarrollo del plan de sensibilizacin sean correctamente capitalizados en las
actividades, pago de personal y en la gestin de recursos de apoyo para la
consolidacin del plan, ya que si no se capitalizan estos recursos de una manera
adecuada podra verse afectado la ejecucin del plan de sensibilizacin hasta el
punto de que este llegue a fracasar.
Conociendo la importancia del uso adecuado de los recursos monetarios se

considera apropiado tomar en consideracin las siguientes medidas:
o
Desarrollo de un balance de inversin.
o
Desarrollo de procesos de control que garanticen la capitalizacin de los
recursos (auditorias).
o
Control sobre las facturas y comprobantes de pago.
7.5.5.7
Seguimiento. La etapa de seguimiento se desarrolla con el nimo de
poder constatar que los conocimientos y recomendaciones dadas a los empleados
117
como herramientas efectivas en la disminucin del riesgo sobre los activos, se

encuentran siendo puestos en prctica por los empleados y tambin poder
conocer que concepto tienen los empleados respecto a la efectividad del plan de
sensibilizacin que se desarroll.
Con la finalidad de poder desarrollar un proceso de seguimiento exitoso se
propone el desarrollo de las siguientes actividades:
Realizar una encuesta entre los empleados que asistieron al desarrollo de

las actividades involucradas en el plan de sensibilizacin, con el fin de constatar
que tan efectivo consideran ellos que fue el proceso de sensibilizacin.
Realizar un anlisis de los incidentes y eventos de seguridad suscitas luego

de desarrollarse el plan de sensibilizacin, con la finalidad si hubo un incremento o
decremento de estos sucesos y poder determinar si alguno de estos tuvo relacin
con la temtica desarrollada en el plan de sensibilizacin y de esta manera poder
medir la efectividad del plan de sensibilizacin.
Tomar una muestra poblacional del grupo de empleados que asisti al

desarrollo del plan de sensibilizacin y realizar un test que permita conocer si los
conocimientos y recomendaciones dadas en el desarrollo del plan de
sensibilizacin perduraron en el tiempo.
7.5.5.8
Estimacin Cronolgica y Econmica Para la Ejecucin de la

Estrategia de Concientizacin.
Campaa de Sensibilizacin GTI.
Se sugiere que el plan de sensibilizacin tome por cada departamento un periodo

de tiempo en su ejecucin de 1 mes, el cual se prolongue por 1 mes ms mediante
la exposicin de material de apoyo en el entorno laboral del empleado y finalizado
el segundo mes se d inicio a las actividades de seguimiento para la cuales se ha
considerado prudente que su tiempo de ejecucin sea de 1 mes.
Costos.
Depende de la cantidad de material impreso que se vaya a usar en el desarrollo

de la estrategia de concientizacin, costos del personal responsable de adelantar
el plan de concientizacin, entre otros costos que puedan incurrir en dentro del
plan de sensibilizacin.
118
8 CONCLUSIN
Reconociendo a la informacin como el activo ms importante de una
organizacin, el proyecto se centr en la consideracin de medidas las cuales
permitirn a las empresas municipales de Cali, EMCALI E.I.C.E-ESP, disminuir el
riesgo que recae sobre sus activos de informacin (acceso no autorizado al activo
de informacin, perdida de la integridad del activo, perdida de la disponibilidad del
activo, perdida de la trazabilidad del activo), mediante la adecuada clasificacin de
los activos de informacin, el conocimiento del nivel de criticidad del activo y
evaluacin del activo respecto a su nivel de riesgo, el cual es determinado por las
vulnerabilidades y amenazas a las cuales se encuentra expuesto el activo de
informacin respecto a su Confidencialidad, Integridad, Disponibilidad y
Trazabilidad.
El presente proyecto ha contribuido de manera positiva para el inters de EMCALI

de mantener la seguridad de sus activos de informacin respecto a su
Confidencialidad, Integridad, Disponibilidad y trazabilidad, ya que el proyecto
cuenta con un enfoque analtico y de prevencin, lo cual derivo en el anlisis de
riesgo de los activos de informacin y la recomendacin de medidas que llevadas
a la implementacin contribuirn a mitigar el riesgo de manera significativa,
siempre teniendo como directriz de implementacin el estndar de seguridad de la
informacin ISO/27001, Norma la cual contiene los requisitos para implementar,
mantener y mejorar un sistema de gestin de seguridad de la informacin SGSI.
En el desarrollo del proyecto se lograron identificar al interior de la gerencia de TI,

oportunidades de mejora respecto a la seguridad de la informacin, oportunidades
las cuales surgieron del anlisis del desempeo de los empleados, lo cual llevo a
la construccin de medidas como: formulacin de polticas de seguridad de la
informacin, a fin de condicionar ciertos aspectos respecto al uso de los activos de
informacin; la construccin de medidas que permitieran adelantar el proceso de
mantenimiento preventivo de equipos de una manera mucho ms segura y
certera, teniendo como principal recurso para la adecuada manipulacin de los
equipos de cmputo, toda la informacin asociada al equipo, lo cual permite al
personal conocer los cuidados y precauciones que debe tener al desarrollar sus
actividades.
Para concluir es importante recalcar que con la construccin de este proyecto no

se pretende garantizar la seguridad y proteccin total de los activos de
informacin, lo que se propone es llegar a minimizar el riesgo sobre los activos a
119
partir de la valoracin de los mismos, el reconocimiento de los riesgos las

amenazas y vulnerabilidades, logrando a si la disminucin de la probabilidad de
ocurrencia, como tambin de las consecuencias adversas que se generaran de
llegar a desencadenarse un incidente de seguridad, es por ello que la formulacin
y posterior ejecucin de medidas de seguridad permitirn a los empleados tener
un mejor desempeo respecto al uso de los activos de informacin, proveyendo de
esta misma manera a la organizacin herramientas las cuales le permitan hacer
de la seguridad de la informacin no solo un sistema de gestin sino un estilo de
vida.
120
9 RECOMENDACIONES
A continuacin se presentan a EMCALI una serie de recomendaciones con el

nimo de generar oportunidades las cuales permitan mejorar en aspectos
referentes a la seguridad de la informacin.
Es de suma importancia que la organizacin defina claramente un route map,

el cual permita conocer a futuro las acciones y actividades que deben gestarse
a fin de alcanzar la certificacin en la Norma ISO/27001.
La documentacin de procesos y el reconocimiento de estos por parte de la

organizacin como documentos organizacionales bajo los cuales se rige un
proceso o una determinada actividad, permitir la disminucin de incidentes de
seguridad, ya que existira un recurso fsico bajo el cual los empleados podran
guiar su accionar respecto a situaciones al interior de los procesos o
actividades a los cuales se encuentre vinculado.
La formalizacin y divulgacin de polticas de seguridad a nivel organizacional,

fundamentara a un ms el compromiso de la organizacin con la seguridad de
la informacin y proveer a la organizacin el recurso bajo el cual podr
considerar como una accin que atente contra la seguridad de los activos de
informacin, cualquier accin que se encuentre sealada dentro del marco de
las polticas que se establezcan por parte de la organizacin.
La gerencia de TI como emprendedora del proyecto de SGSI, debe fortalecer

sus lazos con el resto de gerencias de EMCALI, ya que el proyecto puede
haber nacido en la Gerencia de TI, pero el objetivo del SGSI es que este se
abra a toda la organizacin, con el fin de asegurar activos de informacin de
gran importancia los cuales se encuentren por fuera de la Gerencia de TI.
Adquirir un software el cual permita llevar el historial de los equipos de

cmputo a fin de poder integrar la aplicacin con la etiqueta de marcado que se
disponga sobre el equipo, para de esta manera al hacer la lectura de la
etiqueta de marcado dispuesta sobre el equipo, la aplicacin pueda arrojar en
tiempo real toda la informacin concerniente al equipo, contribuyendo de esta
manera a la disminucin de errores humanos por desconocimiento de la
informacin que se encuentra en el equipo.
121
Al proyecto de SGSI debe llegar una persona con conocimiento de leyes,

especialmente con formacin en delitos informticos, a fin de consolidar un
grupo interdisciplinario el cual afronte desde todos los campos del
conocimiento las exigencias normativas que impone el estado colombiano en
materia de proteccin de datos personales como tambin los retos que reclama
el mundo comercial y de la prestacin de servicios.
122
BIBLIOGRAFA
ACEITUNO Canal, Vicente. Seguridad de la informacin : expectativas, riesgos y
tcnicas de proteccin. Madrid : Creadiciones Copyright, 2004. xx, 149 p. : il.
005.8 / A173 (UAO).
ALBERTO G. Alexander, ph.D, CBRP, auditor SGSI certificado IRCA anlisis del
Riesgo y el Sistema de Gestion de Seguridad de Informacion: El Enfoque ISO
27001:2005 [en lnea] [Consultado 29 de Junio de 2012]. Disponible en Internet:
http://www.libreriainteramericana.com/pdf/analisis_riesgo_y_sgsi.pdf
ALEXANDER, ALBERTO G. Diseo de un sistema de gestin de seguridad de

informacin: ptica
ISO
27001:2005. Bogot,
D.C : Alfaomega, 2007. 176
p. : il. 005.8 / A374 (UAO).
BRUNA Lpez Ignacio - Licenciado en derecho de las nuevas tecnologas Diplomado en Direccin de Seguridad de la Informacin - Auditor CISA (Cetified
Infotmation Systems Auditor) por ISACA, Confidencialidad, Integridad y
Disponibilidad de la Informacin. [En lnea] [Consultado 1 Noviembre de 2012]
http://www.belt.es/expertos/experto.asp?id=2245
CALDER, Alan. Nueve claves para el xito : una visin general de la

implementacin
de
la
norma
NTC-ISO/IEC
27001. Bogot,
D.C : ICONTEC, 2006. 127 p. : il. 005.8 / C146n (UAO)
Castao Duque German Albeiro Universidad Nacional de Colombia. Seminario de
Teora Administrativa. Manizales. [En Lnea] [Consultado 14 Enero de 2013]
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4010014/Contenidos/Capitu
lo1/Pages/1.4/148Ciclo_Control_PHVA.htm
CORLETTI
Estrada
Alejandro
Anlisis
de
ISO-27001:2005
Mail:
acorletti@hotmail.com [en lnea] [Consultado 29 de Junio de 2012]. Disponible en
Internet: http://www.kriptopolis.org/docs/iso.pdf
123
(--------) ISO-27001: Los controles (Parte I) Mail: acorletti@hotmail.com [en lnea]

[Consultado
29
de
Junio
de
2012].
Disponible
en
Internet:
http://www.kriptopolis.org/docs/ISO-27001_Los-controles.pdf
(--------) ISO-27001: Los controles (Parte II) Mail: acorletti@hotmail.com [en lnea]
[Consultado
29
de
Junio
de
2012].
Disponible
en
Internet:
http://www.kriptopolis.org/docs/ISO-27001_Los-controles2.pdf
Definicin ISO 27000. [En lnea] [Consultado 27 de agosto de 2012]. Disponible en

internet: http://es.wikipedia.org/wiki/ISO/IEC_27000-series

internet: https://seguinfo.wordpress.com/category/estandares/page/6/

internet: http://es.wikipedia.org/wiki/ISO/IEC_17799
Definicin MAGERIT. [En Lnea] [Consultado 26

http://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)
Julio
de
2013]
DEJAN Kosutic, Information security & business continuity academy, conceptos

bsicos sobre ISO/27001. [En lnea] [Consultado 19 de octubre de 2012]
http://www.iso27001standard.com/es/que-es-la-norma-iso-27001#documentos
(--------), ISO/27001 & ISO/22301, controles del Anexo A de la Norma ISO/27001,
Informacin registrada en el blog en la fecha octubre 20 de 2010 [En lnea]
[Consultado 18 de octubre de 2012].
http://blog.iso27001standard.com/es/tag/anexo-a/
Departamento de Justicia y Administracin publica - Direccin de Informtica y

Telecomunicaciones, Manual de seguridad - Aplicacin de Tramitacin Telemtica
(Platea). [En Lnea] [Consultado 1 Noviembre de 2012] https://euskadi.net/r47contbp2z/es/contenidos/informacion/bp_segurtasuna/es_dit/adjuntos/MSPLATEA_
c.pdf
124
Documento con contenido relacionado a la Norma ISO/27000 [En lnea]

[Consultado
18
de
octubre
de
2012].
http://www.iso27000.es/download/doc_iso27000_all.pdf
Estndar Internacional ISO/IEC 27001 primera edicin 2005-10-15 Tecnologa de

la Informacin-Tcnicas de Seguridad-Sistemas de gestin de seguridad de la
informacin-Requerimientos [en lnea] [Consultado 30 de Junio de 2012].
Disponible en Internet: http://mmujica.files.wordpress.com/2007/07/iso-270012005-espanol.pdf
Estndar Internacional ISO/IEC 17799 segunda edicin 2005-06-15 Tecnologa

de la Informacin-Tcnicas de Seguridad-Cdigo para la prctica de la gestin de
la seguridad de la informacin [en lnea] [Consultado 30 de Junio de 2012].
Disponible en Internet: http://mmujica.files.wordpress.com/2007/07/iso-177992005-castellano.pdf
GOMEZ Ricardo, Perez Diego Hernan, Donoso Yezid, Herrera Andrea
metodologa y gobierno de la gestin de riesgos de tecnologas de la informacin
[en lnea] [Consultado 14 de Julio de 2012]. Disponible en Internet:
http://revistaing.uniandes.edu.co/pdf/A10%2031.pdf
Ing. JORGE Martin Figueroa Profesor, Alumnas Gutierrez Medina Claudia,
Guevara Angeldonis Catherine Universidad San Martin de Porres curso de
Seguridad y Auditoria de Sistemas de Informacin ISO/IEC FDIS 27001 [en lnea]
[Consultado
7
de
Julio
de
2012].
Disponible
en
Internet:
http://www.gigabytesperu.com/trabajos/ISOIEC%20FDIS%2027001.pdf
INSTITUTO COLOMBIANO DE NORMAS TECNICAS Y CERTIFICACION,

ICONTEC. Compendio: Sistema de gestin de la seguridad de la informacin
(SGSI).Bogot: ICONTEC, 2006. 257p. 005.8/I59
Institucin Nacional de Tecnologas de la Comunicacin ITENCO, formacin, SGSI

[en lnea] [Consultado 14 de Julio de 2012]. Disponible en Internet:
http://cert.inteco.es/Formacion/SGSI/Conceptos_Basicos/
125
JULIA H. Allen, Software Engineering Institute, Homeland Security, Build Security

In, Setting a higher standard for software assurance, Plan-Do-Check-Act [En lnea]
[Consultado 17 de octubre de 2012]. https://buildsecurityin.uscert.gov/bsi/articles/best-practices/deployment/574-BSI.html
Ley Estatutaria 1266 de 2008 de Diciembre de 31 [En Lnea] [Consultado 14 Enero

de 2013]
http://www.secretariasenado.gov.co/senado/basedoc/ley/2008/ley_1266_2008.html
Ley 1273 de 2009 de enero 5 [En Lnea] [Consultado 14 Enero de 2013]

http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html
Ley Estatutaria 1581 de 2012 de octubre 12 [En Lnea] [Consultado 14 Enero de

2013] http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981
Magerit - v.2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de

Informacin, Gobierno de Espaa. [En lnea] [Consultado 27 de agosto de 2012].
Disponible en Internet:
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293
651550991&langPae=es&detalleLista=PAE_1276529683497133
Ministerio de Comunicaciones de la Repblica de Colombia, Gobierno en Lnea,

Modelo de Seguridad de la Informacin-Sistema SANSI-SGSI
[En lnea]
[Consultado 18 de octubre de 2012] http://programa.gobiernoenlinea.gov.co/apcaafiles/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
ORCI, Consultora aplicada, capacitacin/conferencias, tecnologa, gestin de

servicios. ISO/IEC 27002. [En lnea] [Consultado 19 de octubre de 2012]
http://www.orcilatam.com/index.php?option=com_content&view=article&id=143&Ite
mid=191
126
Portal de la ISO 27001 en espaol, Categora SGSI [en lnea] [Consultado 7 de

Julio de 2012]. Disponible en Internet:
http://www.iso27000.es/herramientas.html#section7a
Realiso, real isms - Gua de referencia de Uso, Activos de informacin. [En lnea]
[Consultado 17 de octubre de 2012]. Disponible en Internet:
https://sites.google.com/a/realiso.com/realisms-spa/gestao-de-risco/-3-3-ativos-deinformacao
Universidad Autnoma de Occidente, Resolucin Del Concejo Superior Numero

374
[En
Lnea]
[Consultado
14
Enero
de
2013]
http://www.uao.edu.co/sites/default/files/11.pdf
127
ANEXOS
Anexo B Formato de Baja y Alta.
Fuente: Autor.
128
Anexo C. Formato de Traslado y Traspaso.
Fuente: Autor.
129
Anexo D. Formato de Delegacin de Responsabilidades y Entrega de

Recursos.
Fuente: Autor.
130
Anexo E. Formato de Control en el Etiquetado.
Fuente: Autor.
131

Gerencia Tecnologia de Informacion

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gerencia Tecnologia de Informacion

Uploaded by

Copyright:

Available Formats

IMPLEMENTACIN DE LOS CONTROLES ASIGNADOS AL DOMINIO

GESTIN DE ACTIVOS, BAJO LOS LINEAMIENTOS ESTABLECIDOS POR

PAUL ROSEMBERG ENRIQUEZ ESPINOSA

UNIVERSIDAD AUTNOMA DE OCCIDENTE

IMPLEMENTACIN DE LOS CONTROLES ASIGNADOS AL DOMINIO

PAUL ROSEMBERG ENRIQUEZ ESPINOSA -

Pasanta Institucional para optar por el ttulo de Ingeniero Informtico

UNIVERSIDAD AUTNOMA DE OCCIDENTE

Santiago de Cali, Julio de 2013

A la direccin acadmica de la Universidad Autnoma de Occidente, por compartir

A las empresas pblicas de Cali EMCALI E.I.C.E-ESP, por permitirme realizar mi

Paul Rosemberg Enriquez Espinosa.

2.1. PLANTEAMIENTO DEL PROBLEMA

DOMINIO GESTIN DE ACTIVOS

Procedimientos para la Gestin de Riesgos.

Metodologa de Gestin de riesgos Magerit

5.7.2 Magerit establece dos tipos de objetivos

DESARROLLO DEL PROYECTO

LINEAMIENTOS PARA LA GESTIN DEL RIESGO

Identificacin del Riesgo

Estimacin del Riesgo

Evaluacin Del Riesgo

Tratamiento Del Riesgo

ACTIVOS DE INFORMACION OBJETO DE ANLISIS

Departamento Sistemas de Informacin

Departamento Planeacin Tecnolgica

Campos de informacin a asociar al inventario

CONTROLES SUGERIDOS PARA MINIMIZAR EL RIESGO

Etapa nmero uno, activos a dar de baja

Etapa nmero dos, actualizar valoracin de criticidad

Etapa nmero 1, Activos a dar de baja

Etapa Numero Dos

Actualizar valor de Criticidad

Traslado de Activos de Informacin

Traspaso de activos de informacin

Etapa nmero tres

Anlisis Activos de Informacin

7.5 USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIN

Polticas de Seguridad de la Informacin

Polticas Para el Uso Adecuado del Correo Electrnico

Polticas de Uso de Estaciones de Trabajo

Polticas de Uso de Cuentas de Usuario y Contraseas

Polticas de Disponibilidad de la Informacin

Etiquetado de Activos de Informacin

7.5.4.1 Propsito de Seguridad Respecto al Etiquetado de Equipos

Consolidacin del Etiquetado de Equipos de Cmputo

Definir Activos a Etiquetar

Informacin Registrada en el Inventario de Activos

Recaudo de informacin Adicional

Diseo de la Etiqueta de Marcado

Disposicin de Etiquetas sobre el Activo de Informacin

7.5.5 Estrategia de Sensibilizacin al Usuario Respecto al Etiquetado de

Enfoque y Estrategia para la Sensibilizacin

Factores a Fortalecer en el Empleado

Fortalecimiento del Factor Cognitivo

Fortalecimiento del Factor Psicolgico

Figura 1 Controles Asociados a la Norma ISO/27002

Figura 2. Dominio gestion de activos asociado al Anexo A

Figura 3. Clasificacin de los activos de informacin respecto a su

Figura 4 Clasificacin de los activos de informacin respecto a su

Figura 5 Clasificacin de los activos de informacin respecto a su

Figura 6. Clasificacin de los activos de informacin respecto a su

Figura 7. Distribucin de Activos de informacin actualizada

Figura 8. Activos asociados a la Gerencia de TI, distribuidos respecto a su