PDF

Anlisis de Riesgos de la Seguridad de la Informacin para la Institucin
Universitaria Colegio Mayor Del Cauca
John Jairo Perafn Ruiz

Mildred Caicedo Cuchimba
Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Bsicas Tecnologa e Ingeniera
Especializacin en Seguridad Informtica
Popayn
2014
Anlisis de Riesgos de la Seguridad de la Informacin para la Institucin

Universitaria Colegio Mayor Del Cauca
John Jairo Perafn Ruiz

Mildred Caicedo Cuchimba
Tesis de grado para optar por el ttulo:

Especialista En Seguridad Informtica
Asesor:
Francisco Solarte Solarte
Ingeniero de Sistemas
Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Bsicas Tecnologa e Ingeniera
Especializacin en Seguridad Informtica
Popayn
2014
Contenido
1
Introduccin .................................................................................................... 13
Planteamiento Del Problema .......................................................................... 14

2.1
Formulacin Del Problema ....................................................................... 14
Justificacin .................................................................................................... 15
Objetivos ......................................................................................................... 16
4.1
General ..................................................................................................... 16
4.2
Especficos ............................................................................................... 16
Marco Referencial ........................................................................................... 17

5.1
Antecedentes ............................................................................................ 17
5.2
Marco Terico ........................................................................................... 19
5.3
Marco Conceptual ..................................................................................... 24
5.4
Marco Contextual ...................................................................................... 29
5.4.1
Nombre De La Empresa ..................................................................... 29
5.4.2
Resea Histrica ................................................................................ 29
5.4.3
Misin ................................................................................................. 29
5.4.4
Visin ................................................................................................. 29
5.4.5
Poltica De Calidad ............................................................................. 29
5.4.6
Naturaleza Jurdica ............................................................................ 30
5.4.7
Estructura Acadmico Administrativa ......................................... 31
5.5
6
Diseo Metodolgico ...................................................................................... 34

6.1
Marco Legal .............................................................................................. 31

Investigacin Aplicada .............................................................................. 34
Informe Tcnico .............................................................................................. 36

7.1
Activos De Informacin ............................................................................. 38
7.2
Ethical hacking. Anlisis de Vulnerabilidades .......................................... 40
7.2.1
Evaluacin De Vulnerabilidades ..................................................... 41
8 ............................................................................................................................. 42
7.2.2 Mapa De Red ....................................................................................... 45
7.2.3 Mapa Software (S.I. Acadmico) ........................................................ 46
8.1
Resumen Informativo Y Funcional Sistemas De Informacin Sensibles

47
8.1.1
Sistema De Reserva De Salas De Reunin. (MRBS) .................... 47
8.1.2
GLPI ................................................................................................... 47
8.1.3
Sistema De Informacin Acadmico Y De Gestin. (SIAG) ............... 48
8.2
Resumen Del Diagnstico D e Servicios Ms Relevantes ....................... 50
8.3
Anlisis Y Evaluacin De Riesgos Basado En Magerit V.3 ...................... 52
8.3.1
Proceso P1: Planificacin ................................................................... 53
8.3.2
Proceso P2: Anlisis De Riesgos ....................................................... 54
8.3.3
Proceso P3: Estimacin Del Estado De Riesgo ................................. 83
8.3.4
Interpretacin De Los Resultados ...................................................... 88
Controles ........................................................................................................ 91
9.1
Mecanismos De Control De Activos ......................................................... 92
9.2
Resumen De Controles............................................................................. 95
10
Polticas De Seguridad Informtica .............................................................. 98
10.1
Seguridad Relacionada Al Personal ..................................................... 99
10.1.1
Funcionarios ................................................................................... 99
10.1.2
Capacitacin ................................................................................... 99
10.1.3
Incidentes Y Atencin A Usuarios ................................................. 100
10.2
Seguridad Lgica ................................................................................. 100
10.2.1
Control De Acceso ........................................................................ 100
10.2.2
Administracin De Acceso De Usuarios........................................ 101
10.2.3
Uso De Contraseas ..................................................................... 102
10.2.4
Responsabilidades De Los Usuarios ............................................ 102
10.2.5
Uso Del Correo Electrnico........................................................... 103
10.2.6
De Acceso A Terceros .................................................................. 103
10.2.7
De Acceso a La Red ..................................................................... 104
10.2.8
De Backups................................................................................... 104
10.2.9
Servidores ..................................................................................... 105
10.2.10
Equipos De Cmputo .................................................................... 105
10.3
Responsabilidades Y Procedimientos Operativos ............................... 105
10.3.1
Proteccin Contra Sofware Malicioso ........................................... 106
10.3.2
Mantenimiento .............................................................................. 106
10.3.3
10.4
Seguridad Fsica.................................................................................. 106
10.4.1
10.5
Control de Medios de Almacenamiento ........................................ 106

De Los Equipos............................................................................. 106
Seguridad Legal .................................................................................. 107
10.5.1
Licenciamiento De Sofware .......................................................... 107
11
Recomendaciones ..................................................................................... 108
12
Conclusiones.............................................................................................. 109
13
Bibliografa ................................................................................................. 110
14
Anexos ....................................................................................................... 114
14.1
Anexo A: Clasificacin De Los Activos ................................................ 114
14.2
Anexo B : Valoracin De Activos Escala Estndar ........................... 115
14.3
Anexo C: Encuesta Aplicada ............................................................. 119
14.4
Anexo D: Catalogo De Salvaguardas ................................................. 124
14.5
Anexo E: Valoracin De Riesgos ......................................................... 128
14.6
Anexo D: Propuesta; Formato de Poltica De Seguridad ................... 133
Lista de Tablas
Tabla 1. Evaluacin de Vulnerabilidades ............................................................... 41
Tabla 2: Activos de informacin ............................................................................. 55
Tabla 3: Escala de valoracin activos .................................................................... 61
Tabla 4: Valoracin activos tipo: aplicaciones ....................................................... 62
Tabla 5: Valoracin activos tipo: servicios ............................................................. 64
Tabla 6: Valoracin activos tipo: redes de comunicaciones ................................... 66
Tabla 7: Valoracin activos tipo: equipamiento informtico ................................... 66
Tabla 8: Valoracin activos tipo: Equipamiento informtico ................................... 68
Tabla 9: Valoracin activos tipo: instalaciones ...................................................... 68
Tabla 10: Valoracin activos tipo: personal ........................................................... 69
Tabla 11: Valor frecuencia de amenazas ............................................................... 71
Tabla 12: Valor degradacin de amenazas ........................................................... 71
Tabla 13: Valoracin de Amenazas Tipo: Aplicaciones Informticas ..................... 72
Tabla 14: Valoracin de Amenazas Tipo: servicios ............................................... 73
Tabla 15 Valoracin de Amenazas Tipo: redes de comunicaciones ...................... 74
Tabla 16: Valoracin de Amenazas Tipo: equipamiento informtico ..................... 75
Tabla 17: Valoracin de Amenazas Tipo: equipamiento auxiliar ........................... 77
Tabla 18: Valoracin de Amenazas Tipo: instalaciones ......................................... 77
Tabla 19 Valoracin de Amenazas Tipo: personal................................................. 78
Tabla 20: Salvaguardas: protecciones generales u horizontales ........................... 79
Tabla 21: Salvaguardas: proteccin de los datos/informacin ............................... 80
Tabla 22: Salvaguardas: Proteccin de los Servicios ............................................ 81
Tabla 23: Salvaguardas: Proteccin de las aplicaciones (Software) ...................... 82
Tabla 24: Salvaguardas Activos: Proteccin de los equipos (Hardware) ............... 82
Tabla 25: Salvaguardas proteccin de las comunicaciones .................................. 83
Tabla 26: Valores estimacin de impacto .............................................................. 84
Tabla 27: Valoracin impacto en activos de informacin ....................................... 85
Tabla 28: valores de frecuencia. ............................................................................ 86
Tabla 29: Criterios de valoracin para estimacin de riesgo ................................. 86
Tabla 30: Valoracin de riesgo en activos de informacin ..................................... 87
Tabla 31: Clasificacin de controles ...................................................................... 97
Tabla 32: Valoracin de Riesgos ......................................................................... 128
Tabla 33: Matriz de Riesgos ................................................................................ 132
Lista de Figuras
Figura 1: Estructura de MAGERIT ........................................................................ 23
Figura 2: Organigrama Institucional ....................................................................... 31
Figura 3: Logo IUCMC ........................................................................................... 36
Figura 4: Ciclo mejora continua PHVA ................................................................... 36
Figura 5 : Diagrama de Interconexin general IUCMC .......................................... 39
Figura 6: Interfaz Sistema de reservas ................................................................ 47
Figura 7: Interfaz GLPI en la institucin ................................................................. 48
Figura 8: Mdulo de Gestin Acadmica SIAG................................................... 49
Figura 9: Evaluacin de activos de la institucin.................................................... 49
Figura 10 : Tabla riesgo acumulado....................................................................... 50
Figura 11: Obtencin registros DNS ...................................................................... 51
Figura 12: Enumeracin Sitio Web ........................................................................ 51
Figura 13: Vulnerabilidades detectadas Qualys online ....................................... 52
Figura 14: Dependencia de activos tipo Aplicaciones informticas........................ 56
Figura 15: Dependencia de activos tipo servicios .................................................. 56
Figura 16: Dependencia de activos tipo: equipamiento informtico ....................... 57
Figura 17: Dependencia de activos tipo: Aplicaciones Informticas ...................... 57
Figura 18: Dependencia de activos tipo Redes de comunicaciones ...................... 58
Figura 19: Recorrido Bottom-Up activos personal ................................................. 58
Figura 20: Recorrido Bottom-Up activos Equipamiento informtico ....................... 59
Figura 21: Recorrido Bottom-Up activos redes de comunicaciones....................... 59
Figura 22: Recorrido Bottom-Up activos Equipamiento auxiliar ............................. 60
Figura 23: Recorrido Bottom-Up activos Instalaciones .......................................... 60
Figura 24: Recorrido Bottom-Up activos Aplicaciones ........................................... 61
Introduccin
Hoy en da los sistemas de informacin son el alma de organizaciones, empresas

y entidades, el grado de responsabilidad reposa en los sistemas, datos e
informacin encaminados al logro de los objetivos internos, estos se pueden
mejorar y mantener teniendo una adecuada sistematizacin y documentacin.
El tratamiento de la informacin abarca aspectos que van desde el manejo de
documentos en medio fsico como el proceso de almacenaje y recuperacin
conocido tambin como proceso de gestin documental, hasta los sistemas de
informacin que tenga la organizacin o sistemas externos a los que est
obligada a reportar informacin, pasando por aspectos tan importantes como la
forma de almacenamiento de los datos digitales, modelos de respaldo de
informacin y planes de contingencia o de continuidad del negocio, si existen,
claro est, incluyendo adems los sistemas fsicos de proteccin y accesibilidad a
sitios o reas restringidas.
Es por esto que los activos de informacin han pasado a formar parte de la
actividad cotidiana de organizaciones e individuos; los equipos de cmputo
almacenan informacin, la procesan y la transmiten a travs de redes y canales de
comunicacin, abriendo nuevas posibilidades y facilidades a los usuarios, pero se
deben considerar nuevos paradigmas en estos modelos tecnolgicos y tener muy
claro que no existen sistemas cien por ciento seguros, porque el costo de la
seguridad total es muy alto (aunque en la realidad no es alcanzable idealmente), y
las organizaciones no estn preparadas para hacer este tipo de inversin.
Se tiene la falsa percepcin de que la seguridad de la informacin es una tarea
imposible de aplicar, en realidad, con esfuerzo, el conocimiento necesario y el
apoyo constante de las directivas se puede alcanzar un nivel de seguridad
razonable, capaz de satisfacer las expectativas de seguridad propias.
La Institucin Universitaria Colegio Mayor del Cauca es una entidad en
crecimiento que debe involucrar dentro de sus procesos buenas prcticas
encaminadas a la proteccin de la informacin; razn por la cual es necesario el
desarrollo del anlisis de riesgo de la seguridad de la informacin aplicado a cada
uno de los activos de informacin.
El anlisis de riesgo permite realizar un diagnstico para conocer las debilidades y
fortalezas internas encaminadas en la generacin de los controles adecuados y
normalizados dentro de las polticas de seguridad informtica que hacen parte de
un Sistema de Gestin de Seguridad de la Informacin (SGSI), adems de facilitar
su continuo monitoreo a travs de procesos de auditoras y mejoras continuas.
13
Planteamiento del Problema
La Institucin Universitaria Colegio Mayor del Cauca, no tiene un sistema de

seguridad de la informacin que permita la gestin de vulnerabilidades, riesgos y
amenazas a las que normalmente se ve expuesta la informacin presente en cada
uno de los procesos internos, no se tienen estandarizados controles que lleven a
mitigar delitos informtico o amenaza a los que estn expuestos los datos
comprometiendo la integridad, confidencialidad y disponibilidad de la informacin.
Existen procedimientos creados subjetivamente por iniciativa y experiencia de los
miembros del equipo TIC; por ejemplo, no existe una poltica de uso de claves de
usuario, en los servidores se realiza el cambio de claves de acceso a criterio del
personal responsable de cada uno de ellos sin una periodicidad y bitcora
definida; los administrativos y docentes no hacen uso de claves de acceso, por lo
que cualquier persona puede tener acceso a los equipos de cmputo que se les
ha asignado.
La Institucin Universitaria tiene muchos inconvenientes dentro del manejo de la

informacin debido a que ha ido creciendo paulatinamente y no se ha tomado
conciencia de la importancia de asegurar la informacin existente; a medida que
avanza es necesario adoptar y crear polticas que regulen las buenas prcticas en
cada una de las transacciones, procesos y recursos relacionados con la
informacin y para esto, es indispensable realizar el anlisis de riesgos de la
seguridad de la informacin, incluyendo los activos que directa e indirectamente
estn ligados a este proceso, como lo dicta la metodologa Magerit.
De no integrar dentro de sus sistemas, buenas prcticas y recomendaciones
seguridad informtica, resultado del anlisis de riesgos; muy seguramente en
futuro cercano podra ser vctima de delitos informticos que obstaculicen
normal funcionamiento como lo pueden ser intrusiones, modificacin y/o robo
informacin, denegacin de servicios, entre otros.
2.1
de
un
su
de
Formulacin del Problema
Cmo identificar y tratar los riesgos que afecten la seguridad de la informacin

de La Institucin Universitaria Colegio Mayor del Cauca, con el fin de definir e
implementar a futuro un Sistema de Gestin de Seguridad de la Informacin,
mediante el anlisis de riesgos?
14
Justificacin
Hoy da la Institucin Universitaria Colegio Mayor del Cauca, tiene una

infraestructura tecnolgica en crecimiento, de la cual dependen muchos de los
procesos, dependencias y el funcionamiento tanto administrativo como acadmico.
Gran parte de la informacin institucional, se encuentra en los equipos del
personal administrativo y docente, otra parte en los buzones de correo, tambin
existe informacin en formato fsico y por ltimo la que se encuentra almacenada
en sistemas de informacin; pero se evidencia que no hay polticas de control que
puedan proveer un adecuado tratamiento de este valioso activo como es la
informacin sensible de la Institucin Universitaria Colegio Mayor del Cauca.
En la actualidad las empresas y organizaciones de cualquier tipo de ndole deben
considerar dentro de sus planes de gobierno el aseguramiento de la informacin
generando polticas y controles bien sea en busca de garantizar la continuidad del
negocio o de una certificacin como carta de presentacin y de distincin ante la
competencia. La institucin Universitaria debe tomar conciencia de la necesidad
de alinear sus objetivos institucionales, asegurar el flujo de informacin, optimizar
recursos y garantizar la confidencialidad, disponibilidad e integridad de la misma.
Este es uno de los retos que debe asumir la institucin para estar acorde a los
modelos y estndares actuales; para ello es necesario empezar con la ejecucin
del anlisis de riesgos de la seguridad de la informacin que en un futuro ser la
base para implementar el sistema de gestin de seguridad de la informacin
(SGSI), que permitir mantener un modelo de negocio estable logrando un valor
agregado y posicionamiento a nivel regional.
Se debe tener un anlisis de riesgos para la Institucin Universitaria Colegio

Mayor del Cauca con el fin de garantizar mayor efectividad y eficiencia dentro de
cada uno de los procesos; teniendo en cuenta que al conocer las fortalezas y
debilidades se mejora el control y administracin de recursos tecnolgicos acorde
a las directrices nacionales e
internacionales que buscan proporcionar
mecanismos y herramientas para adoptar buenas prcticas de seguridad y que de
esta forma se logren los objetivos institucionales.
15
4
4.1
Objetivos
General
Realizar el anlisis de riesgos que permita generar controles para minimizar la

probabilidad de ocurrencia e impacto de los riesgos asociados con las
vulnerabilidades y amenazas de seguridad de la informacin existentes en la
Institucin Universitaria Colegio Mayor del Cauca.
4.2
Especficos
Identificar y clasificar los activos de informacin presentes en la Institucin

Universitaria Colegio Mayor del cauca
Aplicar una metodologa de evaluacin de riesgos que permita definir las

vulnerabilidades y amenazas de seguridad existentes, y evaluar los riesgos de
acuerdo a la escala definida por la metodologa Magerit.
Sugerir mecanismos de control y gestin que minimicen las vulnerabilidades

encontradas en el estudio del anlisis de riesgos realizado.
Elaborar un informe de recomendaciones donde se muestre los hallazgos que

permita definir un Sistema de seguridad de la informacin ajustada a la
realidad de la Institucin Universitaria Colegio Mayor del Cauca.
16
5.1
Marco Referencial
Antecedentes
Partiendo de la necesidad de determinar el estado de seguridad de la informacin

mediante un diagnstico en la Institucin Universitaria Colegio Mayor del Cauca y
en vista de que actualmente se tiene una estructura institucional con la dotacin y
tecnologa necesarias para desarrollarlas, se plantea realizar el anlisis de riesgos
a partir de la revisin de algunos antecedentes en la materia.
Existen diferentes estndares que se desarrollaron para gestionar la seguridad de

la informacin, algunos ms generales, algunos centrados en la gestin de riesgos
(serie ISO/IEC 27000), y otros incluso tendientes a desarrollar un modelo de
madurez de la seguridad de la informacin (por ejemplo ISM3); sin embargo, en la
especificacin de las mismos no se afronta su aplicacin a un grupo empresarial,
lo cual requiere consideraciones adicionales. Existe una metodologa en
implantacin de un SGSI para un grupo empresarial jerrquico1, en donde se
describe la importancia de implantar un SGSI que permita dotar de seguridad
todos los procesos productivos de las empresas de cualquier tipo y tamao,
muestra una metodologa clara para realizar anlisis de riesgo en un ambiente
empresarial.
Muchos de los planteamientos y problemas en seguridad informtica se

encaminan a protegerse contra accesos no autorizados, pero este es un problema
sencillo de resolver, ya que durante aos se han desarrollado y perfeccionado
algoritmos matemticos para el cifrado de datos, para el intercambio seguro de
informacin, para garantizar el correcto funcionamiento del software, que se ha
PALLAS MEGA, Gustavo. Metodologa de implantacin de un SGSI en un grupo empresarial

jerrquico. Universidad repblica de Montevideo (Uruguay), 2009.
17
traducido en herramientas capaces de proporcionar soluciones rpidas y sencillas

a problemas tcnicos de seguridad. Desafortunadamente, no es suficiente
simplemente arreglar los errores o eliminar las fallas tcnicas de seguridad. El
problema va mucho ms all. La Seguridad Informtica es un problema cultural,
en el que el usuario juega un rol protagnico. La metodologa para el
aseguramiento de entornos informatizados - MAEI2,
resalta la importancia de
tener una metodologa clara para realizar un anlisis de riesgos e identificar

claramente vulnerabilidades, riesgos y amenazas presentes en los activos de
informacin,
ser
gestionados
que
permita
optimizar
los
procesos
organizacionales.
De igual forma tambin la existen lineamientos establecidos en la norma

internacional UNE/ISO 27001, que establece las especificaciones para la creacin,
implementacin, funcionamiento, supervisin, revisin, mantenimiento y mejora de
un sistema de gestin de seguridad de la informacin (SGSI). Esta norma
establece un enfoque por procesos basado en el ciclo Deming, que plantea la
gestin de la seguridad como un proceso de mejora continua, a partir de la
repeticin cclica de cuatro fases como lo son planificar, hacer, verificar y actuar.
Dentro de las especificaciones de la norma se establece un esquema documental
del SGSI, que debe mantenerse actualizado, disponible y enmarcado en un ndice,
especialmente si la empresa desea superar un proceso de certificacin, tal como
lo describe un proceso de implantacin de un SGSI3, el cual expone claramente
los lineamientos que deben seguirse para implantar un Sistema de Gestin de
Seguridad de la Informacin en un entorno real, describiendo el proceso para
realizar el anlisis de riesgo y sus fases futuras.
BISOGNO, Mara Victoria. Metodologa para el aseguramiento de entornos informatizados

MAEI. Buenos Aires Argentina. Universidad de Buenos Aires, 2004.
3
AVILA ARZUZA, Maribel. Implantacin de un SGSI. Barcelona- Espaa - Universitat Oberta de
Catalunya, 2012.
18
5.2
Marco Terico
Seguridad de la Informacin
Se podra definir como seguridad de la informacin a un estado especfico de la

misma sin importar su formato, que nos indica un nivel o un determinado grado de
seguridad de informacin, por ejemplo, que est libre de peligro, dao o riesgo, o
por el contrario que es vulnerable y puede ser objeto de materializacin de una
amenaza. Las vulnerabilidades, el peligro o el dao de la misma es todo aquello
que pueda afectar su funcionamiento directo y la esencia en s de la informacin, o
en su defecto los resultados que se obtienen de la consulta, administracin o
procesamiento de ella.
Garantizar un nivel de proteccin total es virtualmente imposible 4, la seguridad de
la informacin en la prctica a un nivel total o de completitud no es alcanzable
porque no existe un sistema seguro al ciento por ciento. Existe un planteamiento
denominado Desarrollo de una metodologa para la auditora de riesgos
informticos (fsicos y lgicos) y su aplicacin al departamento de informtica de la
direccin provincial de pichincha del consejo de la judicatura5, donde se afirma
que la informacin est expuesta a un mayor rango de amenazas y
vulnerabilidades. La informacin adopta diversas formas. Puede estar impresa o
escrita en papel, almacenada electrnicamente, transmitida por correo o por
medios electrnicos, mostrada en video o hablada en cualquier tipo de
ISO 2700. Sistema de gestin de seguridad de la informacin. Trminos de uso informacin

iso27000.es , 2012
5
PAREDES F. Geomayra y VEGA N. Mayra. Desarrollo de una metodologa para la auditora de
riesgos Informticos (fsicos y lgicos) y su aplicacin al Departamento de
Provincia de Chimborazo- Ecuador
Escuela Superior Politcnica De Chimborazo, 2011.
19
conversacin. Debera protegerse adecuadamente cualquiera que sea la forma

que tome o los medios por los que se comparta o almacene6.
La seguridad de la informacin protege a una organizacin que la adopte como

parte de su visin y misin de un amplio rango de amenazas para asegurar la
continuidad del negocio, minimizar los posibles daos y maximizar el retorno de
las inversiones y sus las oportunidades. La informacin digital o en papel y los
procesos que la apoyan,
los sistemas y redes son importantes activos de la
organizacin.
Las organizaciones y sus sistemas de informacin se enfrentan, cada vez ms,

con riesgos e inseguridades procedentes de una amplia variedad de fuentes,
incluyendo fraudes basados en informtica, espionaje, sabotaje, vandalismo,
incendios o inundaciones. Ciertas fuentes de daos como virus informticos y
ataques de intrusin o de negacin de servicios se estn volviendo cada vez ms
comunes, ambiciosos y sofisticados.
La seguridad de la informacin es importante en negocios tanto del sector pblico

como del privado para proteger las infraestructuras crticas. En ambos sectores, la
seguridad de informacin permitir, lograr el gobierno electrnico o el comercio
electrnico, evitando y reduciendo los riesgos relevantes. La interconexin de las
redes pblicas y privadas y el compartir los recursos de informacin aumentan la
dificultad de lograr el control de los accesos.7
Es necesario que exista seguridad en el activo ms importante de la organizacin

por las siguientes razones:
RUIZ L. Hernando. RESOLUCION 160-005326 Poltica de Seguridad de la informacin de la

Superintendencia de Sociedades. 2008.
7
NTP-ISO/IEC 1779. Norma tcnica Peruana. EDI, Tecnologa de la informacin. Cdigo de
buenas prcticas para la gestin de la seguridad de la informacin, 2007, p.8.
20
Gran variedad de Riesgos y Amenazas: Fraudes, espionaje, sabotaje,

vandalismo, incendio, inundacin, hacking, virus, denegacin de servicio,
etc; Provenientes de mltiples fuentes.
Mayor vulnerabilidad a las amenazas por la dependencia de los sistemas y
servicios de informacin interconectados.
La mayora de los sistemas de informacin no han sido diseados para ser
seguros.
Anlisis de Riesgos Informticos
Antes de definir lo que es el anlisis de riesgos, tenemos que considerar lo que es

un riesgo, a continuacin se exponen las siguientes definiciones:
Segn Fernando Izquierdo Duarte8: E R
, q
ocurre en un sitio concreto durante un intervalo de tiempo determinado, con

consecuencias positivas o negativas que podran afectar el cumplimiento de los
b
S g A b
z: E
el cual hay una exposicin a la adversidad, conformada por una combinacin de

,
Segn Martn Vilches Troncoso9: E
incertidumbre que interfiera con el logro de los objetivos y estrategias del negocio.
8
IZQUIERDO D, Fernando. La administracin y los riesgos. [en line]. EN: Maxitana C, Jennifer D.
(Auditor en control de gestin). Tesis: Administracin de riesgos de tecnologa de informacin de
una empresa del sector informtico. Guayaquil Ecuador: Escuela Superior politcnica del Litoral,
2005. P.39. http://www.cib.espol.edu.ec/Digipath/D_Tesis_PDF/D-33960.pdf
9
VILCHES T, Martn. El riesgo [en line]. EN: Machuca C, John. (Magister en Contabilidad y
Auditora). Tesis Gua para la evaluacin del sistema de riesgo operativo en la Cooperativa de
Ahorro y Crdito Jardn Azuayo. Cuenca Ecuador. Universidad de Cuenca, 2011. P.21.
http://dspace.ucuenca.edu.ec/bitstream/123456789/2729/1/tm4487.pdf
21
Es decir es la posibilidad de la ocurrencia de un hecho o suceso no deseado o la

no-
Ahora bien el proceso de anlisis de riesgos debe ser el ms importante de la

gestin de la seguridad de la informacin de una organizacin, de aqu parte la
gestin de los riesgos, que es en ltimas con la que se decide tomar la decisin de
eliminarlos, ignorarlos, mitigarlos y controlarlos, es decir aplicar la gestin de
riesgos basados en la compleja tarea de determinar, analizar, evaluar y clasificar
los activos de informacin ms importantes segn la criticidad de los mismos.
Actualmente se han tratado de clasificar los diferentes tipos de riesgos para que
sea ms fcil la aplicacin de un anlisis de los mismos, entre los ms comunes
estn los riesgos de negocios, inherentes, de auditora, operativos y de control,
profesionales y de tecnologa entre otros. Adems a nivel general se debe tener
claro el objetivo del anlisis de riesgo estableciendo a su vez una escala valorativa
y con cierta regla de priorizacin de los mismos, luego de que se tiene una escala
definida y los riesgos catalogados y organizados todo se debe condensar en una
matriz que muestre realmente el nivel de impacto segn nuestra escala de
valoracin, buscando establecer al final el estado actual en materia de seguridad
de la informacin.
Metodologa de Anlisis de Riesgos
Son desarrolladas para la identificacin de la falta de controles y el

establecimiento de un plan de contramedidas. Existen dos tipos: Las cuantitativas
y las cualitativas, de las que existen gran cantidad de ambas clases y slo se
centrar en la utilizada para el proyecto y caso de estudio especfico en la
Institucin Universitaria. La metodologa que el proyecto adopta es MAGERIT
(Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin): El
esquema completo de Etapas, Actividades y Tareas del Sub-modelo de Procesos
22
de MAGERIT10 el cual puede aplicarse o no en su totalidad, dependiendo de la

complejidad misma del proyecto es el siguiente:
Figura 1: Estructura de MAGERIT
Auditora Informtica
La auditora informtica comprende gran variedad de conceptos, parmetros y
normativas tendientes a mejorar procesos y procedimientos internos a nivel
10
BOLAOS, Maria C y ROCHA G. Mnica. 25 de marzo de 2014. Auditoria de SI. Magerit

V3(Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacoin).[en linea]:
http://asijav.weebly.com/auditoria-de-sistemas-de-informacioacuten/magerit-v3-metodologa-deanlisis-y-gestin-de-riesgos-de-los-sistemas-de-informacion.
23
organizacional, por medio de mecanismos de control interno; algunos mtodos se

basan en buenas prcticas de gobierno corporativo o la aplicacin de
transparencia en el actuar de las organizaciones vista como un activo ms de la
misma y encaminada o proyectada en trminos de eficiencia corporativa.
Segn el autor Fernando Pons en un artculo publicado en la revista nuevas
tecnologas, En sus inicios, el auditor informtico surge como un apoyo a los
tradicionales equipos de auditora. Su labor de apoyo consista bsicamente en la
obtencin de informacin financiera de los sistemas de informacin en los que
resida y tratarla, con herramientas especficas para cantidades masivas de datos
as facilitar la labor de los equipos de auditora financiera.
Entre las grandes ventajas que el apoyo del auditor informtico ofreca era el dar
la validacin del total de la informacin revisada o auditada, en lugar de los
habituales procedimientos de muestreo. Dicha labor contina siendo hoy da una
de las principales tareas del auditor informtico. Actualmente es fcil encontrar
auditores informticos manipulando informacin para validar informacin compleja
de obtener, tal como lo es la informacin del mbito financiero, informacin
acadmica en instituciones de educacin superior, o en mbitos productivos el de
la amortizacin de inmovilizados o la valoracin de existencias. Conforme el
auditor, indaga y cuestiona o valora cada dato en un proceso organizacional va
profundizando su conocimiento en la gestin de los negocios importantes de la
organizacin y a su vez es capaz de plantear objetivos de control que tratarn de
proteger la informacin en su totalidad o parcialmente de acuerdo a las funciones
organizacionales y a la definicin de lmites de acuerdo a los niveles de criticidad
de la informacin identificados por cada organizacin.
5.3
Marco Conceptual
El activo ms importante que tiene una organizacin es la informacin y, por lo

tanto, deben existir lineamientos claros que permitan su aseguramiento sin dejar
24
de lado
la seguridad fsica aplicada a los equipos donde se encuentra
almacenada.
Dichos lineamientos o tcnicas estn dadas por la seguridad lgica y aspectos de
la seguridad fsica que permite la creacin de barreras y procedimientos que
resguardan la informacin y permiten el acceso a ella nica y exclusivamente a
personal autorizado.
Hoy en da existe en el mercado gran variedad de
dispositivos electrnicos
mviles como netbooks, computadores porttiles, tabletas, smartphones etc.,

convirtindose en blanco de posibles ataques y bsquedas de debilidades entre
ellas, fraude electrnico, robo de identidad, denegacin de servicios entre muchos
otros.
La gestin de la seguridad debe ser planteada tanto en la parte lgica como fsica
a travs de los planes de contingencia, polticas de seguridad y aplicacin de
normativas.
Caractersticas de un Sistema Seguro:
Confidencialidad: Los componentes del sistema sern accesibles slo por
aquellos usuarios autorizados.
Integridad: Los componentes del sistema slo pueden ser creados y modificados
por los usuarios autorizados.
Disponibilidad: Los usuarios deben tener disponibles todos los componentes del
sistema cuando as lo deseen. De nada sirve la informacin si se encuentra intacta
en el sistema pero los usuarios no pueden acceder a ella
La disponibilidad tambin se entiende como la capacidad de un sistema para
recuperarse rpidamente en caso de ocurrencia de algn problema.
25
Otras caractersticas y conceptos que se relacionan con el proyecto y deben ser

tenidos en cuenta por su composicin terica son los siguientes:
Control de acceso a los recursos: Se entiende como la regulacin de quin
utiliza el sistema o cualquiera de los recursos que ofrece y cmo lo hace.
Auditora: Son
los mecanismos para poder determinar qu es lo que est
ocurriendo en el sistema, qu es lo que hace cada uno de los usuarios, los

tiempos y fechas de dichas acciones.
Metodologa de auditora: Permite de una manera adecuada presentar una gua
procedimental para que se efecten tareas, actividades y tareas tendientes a
realizar el proceso de revisin preliminar, revisin de controles, diagnsticos y
comparacin de estados actuales en materia de seguridad, finalizando con
informes que presentan los resultados de la aplicacin metodolgica.
Magerit: Es un tipo de metodologa que es una gua de referencia para realizar
procesos de anlisis de riesgos al igual que provee lineamientos para la gestin de
riesgos en sistemas informticos y todos los aspectos que giran alrededor de ellos
en las organizaciones para lograr muchas de las metas planteadas al interior de
las mismas y buscando cumplir las polticas de buen gobierno. El proyecto en
mencin se basa en esta metodologa para poder efectuar el proceso de anlisis
de riesgos logrando identificar los activos, las amenazas, determinar tanto los
riesgos como los impactos potenciales y se recomiendan como proceder a elegir
las salvaguardas o contra medidas para minimizar los riesgos.
Papeles de trabajo: Hacen referencia al material de evidencia que el auditor
maneja para recolectar datos o constancia escrita del trabajo que se est
realizando, para este caso aplica la utilizacin de formatos.
26
SGSI11: Un Sistema de gestin de la seguridad de la informacin, es como su

nombre lo expresa un sistema que se encarga de proveer una cantidad de
mecanismos y herramientas basados en la norma ISO 27001 y tiene por objetivo
conocer al interior de la institucin a los que puede estar expuesta la informacin,
define como se deben gestionar los riesgos y debe ser un marco de referencia
para la institucin el cual debe ser conocido por todo el personal y debe estar
sometido a una revisin y a un proceso de mejora constante.
Los anteriores aspectos deben ser tenidos en cuenta al momento de elaborar las
polticas y procedimientos de una organizacin para evitar pasar por alto aspectos
importantes para que as los usuarios y los sistemas realicen sus procedimientos
de la mejor manera posible, de forma concreta y clara adems se debe tener
presente los derechos y lmites de usuarios y administradores. Sin embargo antes
de
realizar cualquier accin para lograr garantizar estos servicios, es necesario
asegurarnos de que los usuarios conozcan las polticas para no generar un

ambiente de tensin y/o agresin.
La seguridad informtica esta creada para velar y
proteger los activos
informticos, en aras de garantizar la integridad, disponibilidad y confidencialidad

de los datos propios de una organizacin, independiente de su tamao, tipo o
razn social.
La informacin.
Es uno de los elementos ms importantes dentro de una organizacin. La
seguridad informtica debe ser administrada segn los criterios establecidos por
los administradores y personal capacitado, previendo que usuarios externos y no
autorizados puedan acceder a ella sin autorizacin. Evitando que corra el riesgo
de que la informacin sea utilizada maliciosamente para obtener ventajas de ella o
11
COLOMBIA. ICONTEC. Compendio: Sistema de gestin de la seguridad de la informacin

(SGSI) Norma Tcnica Colombiana, 2009.
27
que sea manipulada;
llegando a obtener posteriormente datos errneos e
incompletos.
Dentro de esta variable se contempla la accesibilidad y disponibilidad funciones de

la seguridad informtica que permiten asegurar el acceso a la informacin y poder
disponer de ella en el momento oportuno, incluyendo los backups para que en
caso de que se presenten daos o prdida de datos, producto de accidentes,
atentados o desastres, se pueda subir una copia y evitar catstrofes
organizacionales o suspensin de servicios, que en ocasiones trae como
consecuencia altas perdidas econmicas.
La infraestructura computacional.
Parte
esencial
para
gestionar,
administrar
almacenar
la
informacin
indispensable dentro del normal funcionamiento de la Institucin. El papel que

desempea la seguridad informtica en este punto es velar que el hardware (parte
fsica) tengan un ptimo funcionamiento y logre evitar problemas relacionados con
robo, incendios, desastres naturales, bloqueos, fallas en el suministro elctrico,
vandalismo, entre otros que lleguen a afectar directamente la infraestructura
informtica.
Los usuarios.
Son las personas que estn directamente involucradas con la infraestructura
tecnolgica, comunicaciones y administradores de la informacin. La seguridad
informtica debe establecer normas que minimicen los riesgos tanto de
informacin como de su
infraestructura, dentro de dichas normas de debe
contemplar, horarios de acceso, restricciones fsicas y lgicas, permisos,

denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo esto
debe estar regido por estndares y normas que minimicen los riesgos y
impacto en caso de llegar a presentar un siniestro.
28
el
5.4
Marco Contextual
5.4.1 Nombre de la Empresa

Institucin Universitaria Colegio Mayor Del Cauca
5.4.2 Resea Histrica12
La Institucin Universitaria Colegio Mayor del Cauca es una Institucin
Pblica, fundada bajo el Gobierno presidencial de Alberto Lleras Camargo con
la LEY 48 DE 1945, por la cual se fomenta la creacin de Colegios Mayores
de Cultura Femenina.
En sus inicios se llam "Colegio Mayor de Cultura Popular del Cauca", abre sus
puertas a las jvenes de Popayn el 13 de Noviembre de 1967, como una
alternativa de educacin formal, aunque no se denominaba, en ese
entonces, educacin superior, acoge mujeres de la ciudad y rompe la
tradicin de sus homlogos del pas recibiendo en su primera promocin algunos
pocos varones.
Por medio del Decreto 5858 del 03 de septiembre del 2008 se concede la
reforma estatutaria
conducente a cambio de carcter acadmico de
institucin tecnolgica a institucin Universitaria.
Y en el primer semestre
del ao 2010 brinda las carreras profesionales en Administracin de empresas y
Arquitectura.
5.4.3 Misin
Institucin Universitaria Pblica, fundamentada en principios y valores;
contribuimos al desarrollo social formando personas competentes a travs de
programas tecnolgicos, profesionales universitarios y de postgrado, en las
reas del arte, las ingenieras, las ciencias sociales y la administracin
5.4.4 Visin
Consolidarnos como una institucin
de educacin
superior
pblica,
posicionada en la regin por su excelencia acadmica, la calidad en sus
procesos y la pertinencia social de sus programas.
5.4.5 Poltica de Calidad
12
COLOMBIA. INSTITUCION UNIVERSITARIA COLEGIO

http://www.colmayorcauca.edu.co/unimayor/page/historia-institucional
29
MAYOR
DEL
CAUCA.
La Institucin Universitaria Colegio Mayor del Cauca tiene el compromiso

social de formar personas con competencias intelectuales, ticas y estticas;
implementando
programas con pertinencia para la construccin de
regin, buscando el mejoramiento continuo de los procesos en cumplimiento de
su misin y visin
5.4.6 Naturaleza Jurdica
La Institucin Universitaria Colegio Mayor Del Cauca, es un establecimiento
pblico del orden departamental, de carcter acadmico, con personera jurdica,
autonoma administrativa, patrimonio independiente y con domicilio en la ciudad
de Popayn.
Segn la Ley 30 de 1992, las instituciones universitarias son instituciones
facultadas para adelantar programas de formacin en ocupaciones, programas de
formacin acadmica en profesiones o disciplinas y programas de especializacin.
Actualmente la Institucin Universitaria Colegio Mayor del Cauca ofrecen los
siguientes programas acadmicos:
Programas Profesionales
Arquitectura
Administracin Financiera
Administracin de Empresas
Diseo Visual
Ingeniera Informtica
Programas Tecnolgicos
Delineante de Arquitectura e Ingeniera
Desarrollo de Software
Gestin Empresarial
Gestin Comercial y de Mercados
Gestin Financiera
Cursos De Extensin
Ingls Infantil
Ingls Adultos
Curso de Msica
Curso de Pintura
Educacin Continuada
Diplomado en Arquitectura y Urbanismo Sostenible

Posgrados
Especializacin en Administracin de la Informacin y Bases de Datos
30
5.4.7 Estructura Acadmico Administrativa
Figura 2: Organigrama Institucional
5.5
Marco Legal
En la actualidad las empresas de carcter pblico privado, son empresas que

realmente invierten muy poco o nada en el aseguramiento tanto de sus recursos
como de sus activos, incluyendo el ms importante: La informacin. Al no
implementar mecanismos de seguridad en las redes de computadores llevan no
slo a prdidas sustanciales de dinero si no a estar por fuera de las exigencias del
mundo actual, la mayora de las transacciones que involucran informacin se
realizan a travs de redes y el uso de internet.
Utilizar estndares como ISO2700013, (especficamente un SGSI) contribuye a

establecer procesos de reconocimiento y control en las reas de una
organizacin, dentro del rea de sistemas se debe dar gran importancia la
creacin y adaptacin de mecanismos, polticas de procesos que permitan
asegurar y mejorar la seguridad informtica.
Para suplir esta necesidad la Institucin Universitaria debe tomar como soporte el
los estndares de la norma ISO/IEC 27000 las siguientes y legislaturas tanto
nacionales como internacionales:
13
CALDER, Alan. Implementing information security based on ISO 27001/ISO 27002, ISBN
9087538189, 2012.
31
Norma ISO/IEC 270014 : Familia de estndares donde especifica claramente los

parmetros sobre seguridad de la informacin, para desarrollar, implementar y
mantener los sistemas de gestin de seguridad de la informacin, entre ellos:
Norma ISO/IEC 27001: Define los requisitos para la implementacin de un
SGSI (Sistema de Gestin de la Seguridad de la Informacin).
Norma ISO/IEC 27002: (anterior ISO 17799). Es una gua de buenas
prcticas, describe los controles a seguir dentro del marco de la seguridad de
la informacin; enmarcados en 11 dominios, 39 objetivos de control y 133
controles.
Norma
ISO/IEC 27003: Proporciona ayuda y orientacin sobre la
implementacin de un SGSI, incluye el mtodo PHVA (planear, hacer verificar
y actuar) contribuyendo con revisiones y mejora continua.
Norma ISO/IEC 27004: Especificar las mtricas y tcnicas de medicin
para determinar la eficacia de un SGSI y de sus controles. Aplicable
especficamente en la fase del hacer (Do); de acuerdo con el mtodo PHVA.
Norma ISO/IEC 27005: Suministra directrices para la gestin del riesgo en la
seguridad de la informacin.
Ley 1273 de 2009: sobre los delitos informticos y la proteccin de la informacin

y de datos en Colombia.15
MAGERIT: Metodologa de anlisis y gestin de riesgos elaborada por el
Consejo Superior de Administracin Electrnica que estima que la gestin de los
riesgos es una piedra angular en las guas de buen gobierno. 16
Magerit17 est compuesta por tres libros, el libro I, describe el mtodo a seguir
para la ejecucin del anlisis de riesgos. El libro II; catlogo de elementos
14
ISO 27000 Directory. [en linea] http://www.27000.org/

COLOMBIA. MINISTERIO DE TECNOLOGAS DE LA INFORMACIN Y DE LAS
TELECOMUNICACIONES (MinTIC).
16
Portal administracin electrnica. MAGERIT v3: Metodologia de Analisis y Gestion de Riesgos de
los
sistemas
de
informacin.
[en
lnea].
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mage
rit.html#.VCmVZhZRVJQ
17
DIRECCIN GENERAL DE MODERNIZACIN ADMINISTRATIVA. MAGERIT versin 3.0.
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Libro I: Mtodo
Libro II: Catlogo de Elementos, Libro III: Gua de Tcnicas. 2012
15
32
discriminados en: activos, amenazas, vulnerabilidades, impacto, riesgo y

salvaguardas. Y el libro III, es la gua de tcnicas para realizar el anlisis final y
gestin de riesgos, se puede aplicar tcnicas cualitativas o cuantitativas.
33
6.1
Diseo Metodolgico
Investigacin Aplicada
Cuyo propsito es la solucin de problemas especficos para mejorar la calidad de

vida de las sociedades, este tipo de investigacin est vinculada a la investigacin
pura, en el caso particular del anlisis de riesgos informticos en la Institucin
Universitaria Colegio Mayor del Cauca, este tipo de investigacin permite la
bsqueda de una posible solucin a los problemas conocidos o que an se
desconocen de acuerdo a los riesgos informticos que se pueden presentar o que
se estn presentando en la institucin, tratando de dar una solucin prctica a una
problemtica definida a travs de respuestas a las necesidades que la
investigacin sugiere y que puede valerse de algn proceso sistemtico para el
desarrollo como tal del proyecto. Se podra asociar la siguiente frase para explicar
de mejor forma lo que implica la utilizacin de la investigacin aplicada.
E
g
g
H w
E
k
y
g
K
S
gy (2007,
, entfico cognitivo y
106) 18
La investigacin aplicada esta soportada en aportes tericos y el desarrollo de

actividades tendientes a determinar las posibles causas del problema y evidenciar
los hallazgos, que ms adelante y gracias a los resultados de la investigacin,
proporcionaran un marco de trabajo en bsqueda de la aplicabilidad de las
posibles soluciones.
Como parte del desarrollo de la investigacin aplicada, se plantean a nivel general
actividades que tratan de dimensionar y atacar el problema mencionado para
brindar al final del proyecto las posibilidades que tiene la institucin para adoptar
un plan de mejora, de acuerdo a los resultados que se obtengan a partir del
anlisis de riesgos. Algunas de estas actividades se mencionan a continuacin.
18
Definicin de los objetivos del proyecto y delimitacin del alcance de

acuerdo al problema planteado.
Anlisis de fuentes de datos y recopilacin de informacin: Esta etapa

busca recolectar la mayor cantidad de informacin posible con respecto al
estado actual, estudios o proyectos que tengan relacin con el anlisis de
riesgos y en general en materia de seguridad informtica en la institucin
Romn Valdes Cesardari. Enero 2014. Recurso digital: generacin del conocimiento. [en lnea] :
http://issuu.com/lizbethfuentes6/docs/m2-t1
34
Generacin del plan de trabajo y establecimiento de plazos de tiempo: Esta

actividad hace referencia a la generacin de un cronograma de actividades
a nivel general que establezca lmites de tiempo y asignacin de tareas
para lograr el desarrollo del proyecto.
Recoleccin de documentos organizacionales: Para realizar el anlisis de

riesgos es importante conocer el entorno y contexto en el que se basa la
Institucin objeto de estudio, conocer su estructura organizacional, forma de
operacin, lineamientos, normatividad y reglamentaciones en las que se
ampara, entre otras.
Reconocimiento del entorno y del mbito de trabajo: Se requiere realizar

una valuacin de activos, infraestructura y visita de los lugares fsicos
donde tendr aplicacin el proceso de anlisis de riesgos.
Desarrollo de anlisis de riesgos: Gracias al plan de trabajo y la

determinacin de los componentes a evaluar, se recogen datos que
permitan demostrar posibles deficiencias o fallas que puedan llegar a
materializarse.
Identificacin de
vulnerabilidades: Se enfoca en el desarrollo de
actividades y/o la aplicacin de herramientas sobre sistemas de
informacin, aplicaciones web, sistemas de comunicacin o servicios de red
y los activos de informacin crticos con el objetivo de determinar su estado
actual desde el punto de vista de seguridad de la informacin.
Anlisis de vulnerabilidades: Luego de obtener las evidencias se realiza un

compendio y organizacin de todos estos datos, con informacin relevante
que permita determinar focos de falla.
Anlisis de los datos, hallazgos de debilidades y generacin de

recomendaciones: Con la informacin, datos obtenidos se genera una
matriz con la valoracin de los riesgos obtenidos, sugerencias y
recomendaciones.
Discusin de resultados y obtencin de la conclusin: paralelo a la

generacin del informe tcnico, se realiza un resumen ejecutivo que
muestre de una manera general y objetiva los resultados del proyecto.
Presentacin del informe definitivo a las directivas de la Institucin: Se

prepara la sustentacin del proyecto para socializar le trabajo realizado.
35
Informe Tcnico
Figura 3: Logo IUCMC
Para la ejecucin del anlisis de riesgos se adopta el ciclo de mejora continua

PHVA19 como lo recomienda la norma ISO/IEC 27001
Figura 4: Ciclo mejora continua PHVA
Etapa 1:
La primera etapa fue un reconocimiento de infraestructura fsica y tecnolgica as
como la recoleccin de documentacin e informacin relevante para el desarrollo
del proyecto:
Informacin contextual de la institucin
Manuales de configuracin por parte de fabricantes o elaborados por
personal del rea en cuanto a servicios, servidores y dispositivos de red.
19
PHVA Qu es el ciclo PHVA?. Enero 09 de 2010. Blog de Seguridad informtica. [en linea].
http://securityjeifer.wordpress.com/tag/phva/
36
Estudios o contrataciones relacionados con seguridad de la informacin.

Manuales de usuario, manuales de operacin de sistema de informacin
propios o de terceros.
Procesos y procedimientos definidos del personal de soporte tcnico o de
atencin a usuarios para la solucin de incidencias.
Etapa 2:
En esta fase luego de comprender la estructura organizacional y su manera de
operacin, basada en el modelo de negocio (actividad principal) de la institucin,
se clasifican activos por criticidad, se definen planes para realizar y obtener datos
sobre el estado de seguridad a nivel hardware y software de equipos, servicios,
procesos y procedimientos; adems de conseguir informacin con respecto a
instalaciones fsicas.
Visitas a los sitios fsicos donde se encuentran los equipos de

comunicacin, seguridad perimetral, almacenamiento y procesamiento de
datos para tomar evidencias de las condiciones actuales.
Clasificacin de los activos de informacin ms crticos que pueden
detener el normal funcionamiento de la IUCMC en caso de falla.
Solicitud formal de cuentas de prueba y acceso en modo invitado a
servidores y equipos de comunicacin, tales como firewalls, switches y
routers, con el fin de tomar evidencia del proceso y forma de configuracin
de cada dispositivo y/o sistema operativo.
Solicitud de acceso a la documentacin de la red, se evidencio el diseo
lgico (Definicin de segmentos, diseo de direccionamiento, diagramas
lgicos, VLANs), privilegios y caractersticas de cuentas de usuario, perfiles
de cuentas de acceso, polticas definidas en los firewall.
Etapa 3:
Con la informacin obtenida y el otorgamiento de acceso restringido sobre ciertos
servicios, equipos o servidores y conociendo el direccionamiento e infraestructura
tecnolgica, se procede con el montaje de un escenario de pruebas, basado en
herramientas de escaneo y anlisis para detectar posibles vulnerabilidades a nivel
de servicios, protocolos o puertos; pruebas sobre conformacin de contraseas,
modos de acceso y en general test que se encaminan a determinar el estado
actual de seguridad en la infraestructura de red e informacin a nivel general.
37
Se realiza una seleccin de herramientas y entornos para realizar las

diferentes pruebas que tienen aplicabilidad en el contexto del proyecto.
La mayora de herramientas utilizadas son herramientas de tipo ethical
hacking y versiones libres, aunque se hizo uso de herramientas en lnea y
versiones de prueba.
se realiza un anlisis y enumeracin de puertos, protocolos y servicios para
determinar el estado actual de puertos disponibles, abiertos y cerrados, que
7.1
ser el punto de partida del anlisis de riesgos informticos sobre los

servicios de red y aplicaciones definidas por su criticidad.
Se utilizan las herramientas de escaneo de vulnerabilidades previamente
seleccionadas, se evaluaron aspectos importantes como intentos de acceso
por fuerza bruta sobre aplicativos web, tipo de codificacin y/o cifrado de
contraseas y fortaleza de las mismas, se realizaron pruebas de acceso
entre subredes y segmentos con tal de evadir sistemas de proteccin fsica
y lgica como Vlans en switches, sistema VPN y polticas de restriccin
entre zonas configuradas en firewall; por otro lado se realizaron pruebas de
escalamiento de privilegios y acceso remoto. Cabe aclarar que muchas de
las pruebas se aplicaron sobre mquinas virtualizadas, creando de esta
forma un ambiente de pruebas que no comprometiera los sistemas crticos
que estn en produccin.
Con los datos obtenidos, se realiza un anlisis y clasificacin de activos de
informacin en riesgo para definir y sugerir controles o salvaguardas,
ayudando de esta manera a minimizar el impacto de materializacin de
amenaza detectada.
Activos de Informacin
En la actualidad la Institucin Universitaria Colegio Mayor del Cauca tiene los

siguientes activos de informacin e infraestructura tecnolgica:
Servidores y Equipos de Intercambio de Datos
La institucin posee doce (13) servidores
Tres (3) equipos de proteccin perimetral firewall (Unified Threat
Management) tipo Fortigate.
Cuatro (4) zonas de acceso inalmbrico con potencia media-alta.
Redes de comunicacin e Internet
Se tienen treinta y cuatro (34) switches de red.
El router principal pertenece al ISP.
Sistemas de Comunicacin y Voz
La sede principal cuenta con un sistema de telefona convencional o mini
central telefnica PBX (Private Branch Exchange).
PBX Virtual con un total de 24 extensiones VoIP distribuidas en las tres
sedes.
Sistemas de Seguridad, Prevencin y Control de Acceso
Sensores de movimiento y alarmas de seguridad.
Cmaras de seguridad IP.
Sistemas de aire acondicionado.
38
Extintores de diferentes tipos segn la ubicacin del extintor, entorno,

equipos y elementos de cada sitio.
Equipos de Cmputo
En total se dispone de trescientos ochenta y un (381) equipos de cmputo,
distribuidos en seis (6) salas de cmputo y cuatro (4) laboratorios de uso
estudiantil sumando 270 equipos. Ciento once (111) equipos de cmputo de
uso administrativo y docente.
Diseo General Red de Datos IUCMC
Figura 5 : Diagrama de Interconexin general IUCMC
39
7.2
Ethical hacking. Anlisis de Vulnerabilidades
Este informe tcnico pretende dar a conocer algunas de las pruebas, anlisis y
resultados obtenidos con base a herramientas utilizadas y teniendo presente a
nivel de gua la metodologa Magerit v.3 para el anlisis y gestin de los riesgos
encontrados as como las posibles fallas, amenazas o vulnerabilidades que se
pueden presentar en la Institucin Universitaria Colegio Mayor del Cauca y que
afecten directa o indirectamente la seguridad de la informacin que administra o
manipula el personal administrativo y docente.
Es de anotar que se hace especial nfasis en los servicios que actualmente se
prestan en la institucin y que son la base fundamental del funcionamiento
institucional diario, donde se pueden presentar fallas, daos o alteraciones a
dichos servicios e informacin por la ausencia de procedimientos, polticas, planes
y mecanismos que garanticen la confiabilidad, confidencialidad y disponibilidad de
la informacin e infraestructura tecnolgica presente y futura de la institucin.
A continuacin se presentan algunos de los servicios y sistemas de informacin
ms relevantes para la institucin donde recaen vulnerabilidades y amenazas
resumidas en el cuadro de evaluacin de vulnerabilidades:
40
7.2.1 Evaluacin De Vulnerabilidades

Tabla 1. Evaluacin de Vulnerabilidades
Activo
de Fecha
y
Prueba efectuada
informacin
duracin
1. Se realiz enumeracin UTM
(Unified Noviembre 9
de puertos, servicios y Threat
de 2013
protocolos - Identificacin Management)
3pm a 6pm
de
direccionamiento Fortigate 200B (Direcciones
pblico y privado IPv4 en Fortigate 80C Pblicas)
los
segmentos Mapeo
a Noviembre
190.5.199.xxx/28
y Direcciones de 16 de 2013 9
10.20.30.xxx/26
Servidores Web am a 12 pm
respectivamente.
y Servidor SIAG. (Direcciones
Prueba efectuada
con
Privadas)
herramientas como ping,
nslookup, nmap, dns-stuff
on
line, dns fierce y zenmap
en Windows.
2.
Luego
de
tener
identificados puertos y
servicios especficos de
los
activos
ms
significativos
de
la
Institucin se ejecutaron
herramientas de pruebas
para encontrar y analizar
41
Servidores
de
sitios
web
crticos,
por
direcciones
pblicas,
Servidor SIAG,
Servidores
de
Sistemas
de
Noviembre
29 (6 pm)
hasta 30 de
noviembre (3
pm) 2013.
Encargado
de prueba
Mildred
Caicedo C.
Conclusiones
El firewall de proteccin
perimetral es bastante
restrictivo a nivel del
John Jairo direccionamiento pblico,
Perafn R. aunque fue fcilmente
identificable
puertos
abiertos en la mayora de
direcciones pblicas y
obedecen a las polticas
de restriccin de servicios
y protocolos en el firewall.
A
nivel
interno
se
detectaron muchos ms
puertos abiertos ya que no
se han definido polticas
restrictivas entre zonas.
Un ejemplo fue que
obtuvimos informacin de
todos los servicios y
versiones
instaladas
adems
de
puertos
abiertos
disponibles en
cada IP asociada a los
servidores.
John Jairo
Perafn
Ruiz
Mildred
Caicedo C.
Los resultados de estos

anlisis nos arrojan en su
mayora
unos
ID
dependiendo
de
la
herramienta
y
corresponden a ID de
Open Source Vulnerability
Data Base que es la Base
vulnerabilidades,
entre
ellas Nessus, OWASP wte
y Nikto, las cuales basan
su
anlisis
de
vulnerabilidades
de
acuerdo a bases de datos
con
las
ltimas
detecciones de fallos a
nivel
de
sistemas
operativos, aplicativos o
servicios.
Informacin
Logistica
(MRBS, GLPI e
Inventario)
de
datos
de
Vulnerabilidades de cdigo
abierto
que
podemos
encontrar en el sitio web
http://www.osvdb.org,
ingresamos al sitio y
podemos
buscar
la
informacin referente a
cualquiera de los IDS o
vulnerabilidades
encontradas por Nikto.
Owasp centra su anlisis a
las vulnerabilidades de
servicios y servidores web
al igual que Nessus.
Se
encuentran
vulnerabilidades a nivel de
versiones obsoletas en
sistemas
operativos,
versiones con altos riesgos
de
amenazas
y
vulneracin en servidores
web como apache y
agujeros en IIS.
8
3. Se realizaron pruebas al
sistema de
Informacin Acadmico y de
Gestin
SIAG. Primero en su
conformacin y
estructura, en el desarrollo
de mdulos
web, a nivel de scripts,
variables y
Chequeo de cdigo de bajo
rendimiento.
42
Mdulos
internos
y
externos
del
sistema
de
informacin
SIAG,
tales
como
Gestin
Acadmica,
liquidacin,
sistema
de
reportes,
admisiones,
evaluacin
docente, registro
en lnea, labor
docente,
consulta notas,
Diciembre 6
de
2013
horas de la
noche.
Manuel E.
Prado
(Responsa
ble
desarrollo y
Mantenimie
nto SIAG).
Bajo el uso del programa

badboy,
se
pudo
evidenciar
compromisos
en el rendimiento de
algunos
mdulos
en
cuanto al nivel de carga de
procesamiento del servidor
frente a un script que
saturaba
con
muchas
transacciones al servidor
provocando denegacin de
servicio despus de un
corto periodo de tiempo.
Es de aclarar que la
prueba interna fue la que
permiti establecer estos
resultados; las pruebas
sistema
de
promedios
y
control
acadmico entre
otros.
4.
Pruebas
de
conformacin
de
contraseas en archivos
shadow, copia de los
archivos
originales
de
sistemas web de acceso a
SIAG y a servidores web
en sistemas operativos
Linux.
43
Aplicativos
y Enero 10 de John
mdulos web en 2014.
Perafn R.
SIAG y sitios
web
en
servidores
apache,
ISS
desde Linux o
Windows.
desde
Internet
fueron
abortadas por el Sistema
de
Prevencin
contra
Intrusos (IPS) y el escaneo
de vulnerabilidades.
Badboy
es
una
herramienta diseada para
ayudar en las pruebas y el
desarrollo de aplicaciones
dinmicas complejas como
el caso de los mdulos y
aplicaciones del SIAG que
es
el
sistema
de
informacin
ms
importante
para
la
Institucin.
Con
la
herramienta
JohnTheRipper, se pudo
comprobar que no existen
contraseas
seguras,
muchas
de
las
contraseas de usuario
para acceso a sistemas
Linux, o a aplicativos web
en el SIAG son fcilmente
descifrables.
5. Pruebas de penetracin
aprovechando
las
vulnerabilidades
encontradas
con
las
herramientas de escaneo
de vulnerabilidades, las
pruebas se realizaron con
herramientas tipo httpprint
comparando las firmas de
versiones del web server
objeto de anlisis con las
listas de explotacin y
fallas
a
nivel
de
configuracin
o
codificacin.
Servidores
y Diciembre
Mildred
aplicativos web 2013
Caicedo C.
que enlazan a Enero 2014. mdulos
o
John Jairo
sistemas
de
Perafn R.
informacin
sensibles.
Los
Manuel E.
servicios
y
Prado
servidores
(Responsa
puestos
a
ble
prueba
fueron
mantenimie
virtualizadas en
nto
y
VMWare 7 con
desarrollo
copias exactas
SIAG)
de
su
informacin
y
Gabriel M.
configuracin
Melo
A.
como resultado
(Web
de la creacin
Master)
de un ambiente
de pruebas.
Fuente: Esta investigacin
44
La
explotacin
de
vulnerabilidades
en
el
ambiente
de
pruebas
demostr
que
existen
fallas de seguridad, como
agujeros por falta de
actualizaciones
en
webserver, aplicacin de
parches de seguridad,
malas prcticas para la
asignacin de passwords y
problemas en algoritmos
de cifrado de las mismas,
errores de codificacin
segura
que
permiten
ejecutar ataques tipo SQL
Injection. Este framework
adems de los ataques por
fuerza
bruta,
permite
configurar
peticiones
especiales que pueden
evadir al IPS con mdulos
como el mod_security y
RnDCase aunque no fue
posible evaluarlo en el
entorno
real
para
comprobar la efectividad
del IPS.
7.2.2 Mapa de Red
45
7.2.3 Mapa Software (S.I. Acadmico)
46
8.1
Resumen Informativo y Funcional Sistemas de Informacin Sensibles
8.1.1 Sistema De Reserva De Salas De Reunin. (MRBS)

MRBS (Meeting Room Booking System) es un sistema de uso interno para
registrar las reservas de los salones de clases, salas de conferencia, salas de
cmputo y dems salas de reuniones que existen dentro de las tres sedes de la
Institucin. Es GPL, la aplicacin web gratis con PHP y MySQL/pgsql.
Figura 6: Interfaz Sistema de reservas
Cualquier persona puede acceder para consultar este sistema desde cualquier
terminal conectado a la red de la Institucin para obtener informacin actualizada
de salas, laboratorios y salones de clase, su disponibilidad y ocupacin en un
momento dado.
8.1.2 GLPI
Es aplicacin Web escrita en PHP, que permite registrar y administrar el inventario
del hardware y del software de la Institucin. Funciona internamente y es software
libre distribuido bajo licencia GPL, que nos ofrece facilidad para la administracin
de recursos informticos.
El usuario administrador posee todos los permisos, le permite crear usuarios,
cambiar contrasea de usuarios, adicionar elementos al inventario, generar
reportes, generar y asignar incidencias, hacer modificaciones al sistema.
47
Figura 7: Interfaz GLPI en la institucin
8.1.3 Sistema de Informacin Acadmico y de Gestin. (SIAG)
El sistema de informacin SIAG es tal vez el ms importante ya que est ligado al

quehacer institucional, fue un sistema que naci como proyecto de grado y ha
evolucionado a tal punto que integra gran variedad de mdulos que incluyen entre
otros matrculas, historial y reportes personalizados o a medida, reporte y consulta
de notas, faltas, admisiones y un mdulo de liquidacin que se integra con el
sistema financiero, incluye un sistema de evaluacin docente (SICEDD Sistema
de Informacin para control de evaluacin y desempeo docente) y un sistema de
informacin arte mayor y extensin (AMEX -SIA).
El mdulo de gestin acadmica es la principal aplicacin del Sistema de
Informacin Acadmico y de Gestin de la institucin y el acceso a l debe contar
con un proceso que garantice la autenticidad del funcionario que ingresa a
administrar el aplicativo ya que en este se realiza todo el proceso acadmico
importante de los estudiantes matriculados en programas de formacin regulares y
contempla desde la admisin del estudiante hasta el historial acadmico del
mismo, pasando por aspectos como los prerrequisitos de matrculas intersemestrales, promedios ponderados, alumnos matriculados acadmicamente,
materias, gestin de alumno-plan, evaluacin certificativa, registro de notas y ms.
48
Figura 8: Mdulo de Gestin Acadmica SIAG
Con los activos ms importantes previamente identificados se procede a realizar la

valuacin de riesgos. Proceso base para poder identificar su nivel de importancia y
criticidad dentro del modelo de negocio de la Institucin Universitaria Colegio
Mayor del Cauca, a continuacin se observan los resultados de la valuacin de
activos en la herramienta.
Figura 9: Evaluacin de activos de la institucin.
Posteriormente la herramienta arroja los resultados obtenidos con los datos de la

valuacin de activos y se procede con la identificacin de las amenazas.
La utilizacin de una metodologa como Magerit y de la EAR PILAR, nos facilita
llegar a la identificacin de los riesgos tal como se muestra en la siguiente figura,
aunque cabe anotar que este proceso est bastante resumido solo con las
49
actividades ms relevantes que le permitan al lector entender cul debera ser el

proceso adecuado para realizar el anlisis de los riesgos y su posterior tratamiento
a partir de la definicin de controles o salvaguardas y de igual manera a partir de
la identificacin de los activos ms crticos poder definir la lnea base que nos
facilitara el proceso de Ethical Hacking o Pentest con herramientas que nos
permitan tener resultados ms aproximados de las verdaderas fallas en sistemas
de informacin, aplicaciones web, entre otros..
Figura 10 : Tabla riesgo acumulado
A partir de este anlisis se procede entonces con la preparacin y definicin del

plan de vulnerabilidades, Pentest o Ethical Hacking, el cual se debe apalancar de
igual manera en la conceptualizacin de algunos estndares adicionales; como los
activos ms crticos en la institucin son las aplicaciones que estn ligadas al uso
de un servicios web se utilizaron algunas recomendaciones dadas por OWASP.
8.2
Resumen del Diagnstico d e Servicios ms Relevantes
Para realizar las primeras pruebas que nos indicaran la carencia de controles, nos
enfocaremos en el desarrollo de una prueba de intrusin a uno de los servicios de
la Institucin.
50
Se procedi a identificar la direccin IP del servidor que aloja el servicio, luego con
la IP se procede a buscar ms informacin del sitio como hosting, propietario,
DNS, tipo de servidor web, entre otra informacin para ello hacemos uso de una
herramienta en lnea.
Figura 11: Obtencin registros DNS
Posteriormente se realiz un escaneo de puertos al servidor previamente

identificado para conocer los servicios y puertos que estan habilitados en el
servidor.
Luego se realizaron algunas tareas tendientes a obtener la enumeracin de
servicios web en ese servidor.
Figura 12: Enumeracin Sitio Web
Posteriormente se efectuaron anlisis de vulnerabilidades utilizando para ello

varias herramientas como Nikto, openvas, nessus, w3af, entre otras, todas
51
lanzadas desde la distribucin de herramientas libres para hacking tico Backtrack

y algunas herramientas en lnea como Qualys.
Figura 13: Vulnerabilidades detectadas Qualys online
En general estas son algunas de las tantas pruebas realizadas a los activos
identificados previamente en el anlisis de riesgos, sin embargo es importante
recalcar que toda prueba de penetracin o testeo se debe preparar y si es
contratada con un tercero se debe establecer un acuerdo de confidencialidad.
Firmados los acuerdos de confidencialidad, alcance y lmites de las pruebas se
deben definir y preparar las lneas base para los servicios a ser probados, la lnea
base corresponde a definir el tipo de pruebas, tcnicas y herramientas a utilizar,
para el caso en mencin se tomaron lneas base para servicios web.
Otro tema importante es mencionar que la seguridad no solo se mide sobre los
recursos informticos si no sobre todo el entorno donde se encuentran ubicados y
trabajando dichos recursos, es decir se debe evaluar la seguridad lgica, la fsica
y al ambiental, que requiere la utilizacin de tcnicas como: la observacin directa,
la encuesta y por supuesto el hacking tico, para la evaluacin de la parte fsica, a
continuacin se ilustran algunos ejemplos simples de revisiones a la seguridad.
8.3
Anlisis y Evaluacin de Riesgos Basado en Magerit V.3
Apoyados en la metodologa Magerit se desarrollan tres procesos para el logro del

y
A
g
seguridad de la informacin para la institucin
universitaria col g
y
:
52
8.3.1 Proceso P1: Planificacin
Esta etapa es muy importante porque es el marco de referencia para el desarrollo

del proyecto.
8.3.1.1 Actividad A1.1: Estudio de Oportunidad.

Esta actividad tiene como objetivo especfico, realizar un diagnstico del estado
de seguridad en que se encuentran los activos de informacin y los tecnolgicos
dentro de la IUCMC, adems de motivar a la alta direccin para implementar un
SGSI.
8.3.1.2 Actividad A1.2: Definicin del Alcance y Objetivos del Proyecto

Despus de haber recibido el aval para la realizacin del
y
A
riesgos de la seguridad de la informacin para la institucin universitaria colegio
mayor del cauca IUCMC,
y
b
y
objetivos para desarrollar exitosamente el proyecto.
Los objetivos han sido planteados con el propsito de realizar un concienzudo y
real anlisis de riesgos que lleven a una futura implementacin del sistema de
gestin de seguridad de la informacin de IUCMC.
8.3.1.3 Actividad A1.3: Planificacin del Proyecto

Es necesario realizar un cronograma de actividades que nos sirva como bitcora,
para el desarrollo exitoso del proyecto.
8.3.1.4 Actividad A1.4: Lanzamiento del Proyecto.

Con el aval del asesor TIC de la IUCMC se inicia el proceso de anlisis de riesgos
y se adopta la tcnica de observacin directa y entrevista para la recoleccin de la
informacin siendo estas las ms apropiadas, ya que se tiene la ventaja de que los
integrantes del equipo de trabajo est directamente involucrado con los procesos y
sistemas informticos existentes en la institucin.
53
8.3.2 Proceso P2: Anlisis de Riesgos
Fuente: http://slideplayer.es/slide/1649894/
Al igual que cualquier organizacin y/o empresa la Institucin Universitaria Colegio

Mayor del Cauca, est expuesta a mltiples riesgos razn por la cual debe
considerar y dar importancia a los cambios o alteraciones que lleguen a afectar los
activos informticos evitando acciones negativas al normal funcionamiento.
Este es la parte crtica y quizs la razn de ser de MAGERIT, de la correcta
aplicabilidad, clasificacin y valoracin de los activos depende el xito del
proyecto.
8.3.2.1 Actividad A2.1: Caracterizacin y Valoracin de los Activos.

Esta actividad abarca las siguientes tareas (T2):
Tarea 2.1.1: Identificacin de los Activos
Los activos presentes en la Institucin Universitaria Colegio Mayor del Cauca, son
identificados y clasificados tomando como base el Libro II de la metodologa
54
MAGERIT versin 3, en donde nos presenta el catlogo de elementos (Ver Anexo

A):
Tabla 2: Activos de informacin
TIPO
NOMBRE DEL ACTIVO

1. [SI_SIAG] Sistema de Informacin Acadmica y
de Gestin.
2. [SI_SICOF] Sistema Contable y Financiero
APLICACIONES
3. [SI_SIABUC] Sistema de Automatizacin de
INFORMATICAS
Bibliotecas de la Universidad de Colima.
4. [SO] Sistema Operativo.
5. [HER_SW] Herramientas Software.
6. [ANT_VIR] Anti virus
7. [SV_S_WEB] Servidor Sitios Web.
8. [SV_PROXY] Servidor Proxy.
9. [SV_DNS] Servidor DNS
10. [SV_DHCP] Servidor DHCP
SERVICIOS
11. [SV_VoIP] Servidor Telefona IP
12. [SV_BD] Servidor Bases de Datos
13. [SV_CAM] Servidor Cmaras IP
14. [SV_LSM_MOODLE]
Servidor
herramientas
virtuales de aprendizaje.
REDES
DE 15. [RO_ISP] Router Proveedor de Servicios de
COMUNICACIONES
Internet.
16. [FW_UTM] Firewall / Equipo Unificado contra
EQUIPAMIENTO
Amenazas.
INFORMATICO
17. [PC] Equipos de computo
18. [SW_A] Switch Administrable
EQUIPAMIENTO
19. [CAB_RED] Cableado de Red
AUXILIAR
20. [UPS] Sistema de Alimentacin Ininterrumpida.
INSTALACIONES
21. [GAB] Gabinete de Red
22. [AS_TIC] Asesor Tecnologas de Informacin y
Comunicaciones
23. [TEC_ADMIN_II] Tcnico Administrativo Grado II
PERSONAL
24. [TEC_ADMIN_EX]
Tcnico
Administrativo
Experto
25. [CO] Contratista.
Tarea 2.1.2: Dependencias entre Activos
Recorrido Top Down
55
Dependencia de los activos del tipo APLICACIONES INFORMATICAS:

- Las aplicaciones que lo soportan.
- Los equipos que lo hospedan.
- El personal del que depende.
Figura 14: Dependencia de activos tipo Aplicaciones informticas.
Dependencia de los activos del tipo SERVICIOS:

- Los equipos que lo hospedan.
- El personal que tiene acceso.
Figura 15: Dependencia de activos tipo servicios
56
Dependencia de los activos del tipo EQUIPAMIENTO INFORMATICO:

- Las instalaciones que lo acogen.
- El personal que lo gestiona.
Figura 16: Dependencia de activos tipo: equipamiento informtico
Dependencia de los activos del tipo APLICACIONES INFORMATICAS:

Los equipos que lo hospedan.
El personal que tiene acceso.
Figura 17: Dependencia de activos tipo: Aplicaciones Informticas
57
Dependencia de los activos del tipo REDES DE COMUNICACIONES de:

- Las instalaciones.
- El equipamiento auxiliar.
Figura 18: Dependencia de activos tipo Redes de comunicaciones
Recorrido Bottom Up
Los activos que son soportados por el tipo de activos PERSONAL son:
-
Los datos a los que tiene acceso.

Las aplicaciones que manejan.
Los equipos informticos que gestiona.
Los servicios que gestionan.
Figura 19: Recorrido Bottom-Up activos personal
58
Los activos que son soportados por el tipo de activos EQUIPAMIENTO

INFORMATICO:
- Los servicios habilitan.
- Los datos que hospeda.
Figura 20: Recorrido Bottom-Up activos Equipamiento informtico
Los activos que son soportados por el tipo de activos REDES DE

COMUNICACIONES:
- Las aplicaciones que habilita.
- Los servicios que habilita.
Figura 21: Recorrido Bottom-Up activos redes de comunicaciones
Los activos que son soportados por el tipo de activos EQUIPAMIENTO

AUXILIAR:
-
59
Las redes de comunicacin.

Las aplicaciones que habilita.
Los servicios que habilita.
Figura 22: Recorrido Bottom-Up activos Equipamiento auxiliar
Los activos que son soportados por el tipo de activos INSTALACIONES:

- Los equipos informticos que acoge.
Figura 23: Recorrido Bottom-Up activos Instalaciones
60
Los activos que son soportados por el tipo de activos APLICACIONES:

- Los servicios que habilita.
Figura 24: Recorrido Bottom-Up activos Aplicaciones
Tarea 2.1.3: Valoracin de los Activos

Para realizar el proceso de valoracin de activos de acuerdo a la
metodologa MAGERIT Versin 3; se usa las siguientes dimensiones 20:
[D] disponibilidad
[I] integridad de los datos
[C] confidencialidad de la Informacin.
[A] Autenticidad
[T] trazabilidad
L
z
z
de una amenaza. La valoracin que recibe un activo en una cierta dimensin es la
medida del perjuicio para la organizacin si el activo se ve daado en dicha
Tabla 3: Escala de valoracin activos

Valor
Criterio
10
Extremo
E
Dao extremadamente grave.
9
Muy Alto
MA
Dao Muy grave.
6-8
Alto
A
Dao grave.
3-5
Medio
M
Dao importante.
20
Tomado de: 2012_Magerit_v3_libro2_catlogo de elementos_es_NIPO_630-12-171-8. un activo

en una cierta dimensin es la medida del perjuicio para la organizacin si el activo se ve daado en
61
1-2
0
Bajo
Despreciable
B
D
Dao Menor.
Irrelevante a efectos prcticos.
Fuente: Magerit V.3 - Libro II - Catlogo de Elementos
El libro II- Catalogo de elementos de la metodologa MAGERIT V.3, permite

realizar la valoracin de cada uno de los activos haciendo uso de la escala
estndar (ver Anexo B Valoracin de activos Escala estndar)
Valoracin de Activos Tipo: Aplicaciones

Tabla 4: Valoracin activos tipo: aplicaciones
Activo
[SI_SIAG] Sistema
de
Informacin
Acadmica y de
Gestin(1)
[SI_SICOF] Sistema
Contable
y
Financiero(2)
[SI_SIABUC]
Sistema
de
Automatizacin de
Bibliotecas de la
Universidad
de
Colima. (3)
[SO]
Sistema
Operativo. (4)
[HER_SW]
Herramientas
Software(5)
[ANT_VIR]
Antivirus(6)
Fuente: Esta Investigacin
Dimensiones de Seguridad
[D]
[I]
[C]
[A]
[T]
[MA]
[A]
[MA]
[M]
[A]
[A]
[A]
[A]
[M]
[A]
[MA]
[A]
[MA]
[A]
[A]
(1) [4.pi1] probablemente afecte a un grupo de individuos

[5.lro] probablemente sea causa de incumplimiento de una ley o regulacin
[9.si] probablemente sea causa de un serio incidente de seguridad o dificulte
la investigacin de incidentes serios
[1.po] pudiera causar protestas puntuales.
62
[10.olm] Probablemente cause un dao excepcionalmente serio a la eficacia o

seguridad de la misin operativa o logstica
[1.lg] Pudiera causar una prdida menor de la confianza dentro de la
organizacin
[7.lro] probablemente cause un incumplimiento grave de una ley o regulacin
[10.si] probablemente sea causa de un incidente excepcionalmente serio de
seguridad o dificulte la investigacin de incidentes excepcionalmente serios
[5.da2] Probablemente cause un cierto impacto en otras organizaciones
[5.olm] Probablemente merme la eficacia o seguridad de la misin operativa o
logstica ms all del mbito local
[2.lg] Probablemente cause una prdida menor de la confianza dentro de la
Organizacin
[4.crm] Dificulte la investigacin o facilite la comisin de delitos
[8.lbl] Confidencial
[3.si] probablemente sea causa de una merma en la seguridad o dificulte la
investigacin de un incidente
[7.da] Probablemente cause una interrupcin seria de las actividades propias
de la Organizacin con un impacto significativo en otras organizaciones
[3.po] causa de protestas puntuales
[7.olm] Probablemente perjudique la eficacia o seguridad de la misin
operativa o logstica
[1.adm] pudiera impedir la operacin efectiva de una parte de la Organizacin
[7.rto] RTO < 4 horas
(4) [6.pi2] probablemente quebrante seriamente la ley o algn reglamento de
proteccin de informacin personal
[3.da] Probablemente cause la interrupcin de actividades propias de la
Organizacin
(5) [6.pi2] probablemente quebrante seriamente la ley o algn reglamento de
Organizacin
63

(6) [7.si] probablemente sea causa de un grave incidente de seguridad o dificulte
la investigacin de incidentes graves
[7.da] Probablemente cause una interrupcin seria de las actividades propias
de la Organizacin con un impacto significativo en otras organizaciones
Valoracin de Activos Tipo: Servicios
Tabla 5: Valoracin activos tipo: servicios
Activo
[SV_S_WEB]
Servidor Sitios Web.
[D]
[I]
[C]
[MA
[A]
]
[A]
[T]
[MA
]
[A
]
(7)
[SV_PROXY]
Servidor Proxy. (8)
[SV_DHCP]
Servidor
DHCP(9)
[SV_VoIP] Servidor
Telefona IP
[SV_BD] Servidor
Bases de Datos(10)
[SV_CAM] Servidor
Cmaras IP(11)
[SV_LSM_MOODLE
]
Servidor
herramientas
virtuales
de
aprendizaje. (12)
[E]
[A]
[M
]
[A]
[B]
[B]
[E]
[MA
]
[B]
[M
]
[M]
[M
]
(7) [6. pi2] probablemente quebrante seriamente la ley o algn reglamento de

[1.si] pudiera causar una merma en la seguridad o dificultar la investigacin de
un incidente
[5.olm] Probablemente merme la eficacia o seguridad de la misin operativa o
logstica ms all del mbito local
(8) [6.pi1] probablemente afecte gravemente a un grupo de individuos
64
[9.si] probablemente sea causa de un serio incidente de seguridad o dificulte la

investigacin de incidentes serios
[9.da] Probablemente cause una interrupcin excepcionalmente seria de las
actividades propias de la Organizacin con un serio impacto en otras
organizaciones
[6.po] probablemente cause manifestaciones, o presiones significativas
[3.adm] probablemente impedira la operacin efectiva de una parte de la
Organizacin
(9) [1.pi1] pudiera causar molestias a un individuo
organizaciones
Organizacin
(10)
[6.pi1] probablemente afecte gravemente a un grupo de individuos

[9.si] probablemente sea causa de un serio incidente de seguridad o
dificulte la investigacin de incidentes serios
actividades propias de la Organizacin con un serio impacto en otras organizaciones
(11)
(12)
65

Organizacin
[9.lg.a] Probablemente causara una publicidad negativa generalizada por
afectar de forma excepcionalmente grave a las relaciones a las relaciones
con otras organizaciones
[0.4] no supondra dao a la reputacin o buena imagen de las personas u
organizaciones
[4.pi1] probablemente afecte a un grupo de individuos
[3.lro] probablemente sea causa de incumplimiento leve o tcnico de una
ley o regulacin
Organizacin
Organizacin
[3.lg] Probablemente afecte negativamente a las relaciones internas de la
Organizacin
[6.lbl] Difusin limitada
Valoracin de Activos Tipo: Redes de Comunicaciones

Tabla 6: Valoracin activos tipo: redes de comunicaciones
Activo
[RO_ISP]
Router
Proveedor de Servicios
de Internet. . (13)
[D]
[I]
[C]
[MA]
[A]
[A]
[T]
(13)
[5.pi2] probablemente quebrante seriamente leyes o regulaciones

[9.lro] probablemente cause un incumplimiento excepcionalmente grave de
una ley o regulacin
[10.si] probablemente sea causa de un incidente excepcionalmente serio
de seguridad o dificulte la investigacin de incidentes excepcionalmente
serios
[9.cei.e] constituye un incumplimiento excepcionalmente grave de las
obligaciones contractuales relativas a la seguridad de la informacin
proporcionada por terceros
[9.olm] Probablemente cause un dao serio a la eficacia o seguridad de la
misin operativa o logstica
[5.lg.b] Probablemente sea causa una cierta publicidad negativa por afectar
negativamente a las relaciones con el pblico
Valoracin de Activos Tipo: Equipamiento Informtico

Tabla 7: Valoracin activos tipo: equipamiento informtico
Activo
[FW_UTM] Firewall /
Equipo
Unificado
contra Amenazas. (14)
[PC]
Equipos
de
cmputo(15)
[SW_A] Switch
Administrable(1
[D]
[I]
[C]
[A]
[MA
]
[A
]
[MA
]
[MA
]
[M]
[M
]
[M
]
[MA
]
[MA
]
[M]
[M]
[T
]
[A
]
[M]
6)
(14)
66
[6.pi2] probablemente quebrante seriamente la ley o algn reglamento de

[7.lro] probablemente cause un incumplimiento grave de una ley o

regulacin
[10.si] probablemente sea causa de un incidente excepcionalmente serio
de seguridad o dificulte la investigacin de incidentes excepcionalmente
serios
[9.cei.e] constituye un incumplimiento excepcionalmente grave de las
organizaciones
Organizacin
(15)
[5.pi1] probablemente afecte gravemente a un individuo

ley o regulacin
[7.si] probablemente sea causa de un grave incidente de seguridad o
dificulte la investigacin de incidentes graves
[7.cei.d] proporciona ganancias o ventajas desmedidas a individuos u
organizaciones
Organizacin con impacto en otras organizaciones
[1.po] pudiera causar protestas puntuales
[3.lg] Probablemente afecte negativamente a las relaciones internas de la
Organizacin
(16)
[5.pi1] probablemente afecte gravemente a un individuo

ley o regulacin
organizaciones
[7.da] Probablemente cause una interrupcin seria de las actividades
propias de la Organizacin con un impacto significativo en otras
organizaciones
[9.olm] Probablemente cause un dao serio a la eficacia o seguridad de la
[5.lg.b] Probablemente sea causa una cierta publicidad negativa por afectar
67
Valoracin de Activos Tipo: Equipamiento Auxiliar

Tabla 8: Valoracin activos tipo: Equipamiento informtico
Activo
[D]
[I]
[C]
[A]
[M]
[CAB_RED] Cableado
de Red (17)
[FA_UPS] Sistema de
Alimentacin
Ininterrumpida. (18)
[A]
[T]
[M]
[M]
(17)

[3.si] probablemente sea causa de una disminucin en la seguridad o
dificulte la investigacin de un incidente
organizaciones
[7.da] probablemente cause una interrupcin seria de las actividades
organizaciones
[7.adm] probablemente impedira la operacin efectiva de la Organizacin
(18)

Organizacin
Valoracin de Activos Tipo: Instalaciones

Tabla 9: Valoracin activos tipo: instalaciones
Activo
[GAB]
Red(19)
Gabinete
de
[D]
[B]
[I]
[C]
[A]
[D]
68
[T]
[1.lro] pudiera causar el incumplimiento leve o tcnico de una ley o

regulacin.
[1.si] pudiera causar una merma en la seguridad o dificultar la investigacin
de un incidente
(19)
Valoracin de Activos Tipo: Personal

Tabla 10: Valoracin activos tipo: personal
Activo
[D]
[AS_TIC]
Asesor
Tecnologas
de
Informacin
y
Comunicaciones(20)
[TEC_ADMIN_II]
Tcnico Administrativo
Grado II(21)
[TEC_ADMIN_EX]
Tcnico Administrativo
Experto(22)
[CO] Contratista. (23)
[I]
[C]
[A]
[A]
[MA]
[T]
[A]
[E]
[MA]
[MA]
[MA]
[A]
[MA]
[A]
[A]
[A]
[A]
[MA]
[A]
[A]
[A]
[A]
(20)

[3.cei.d] facilita ventajas desproporcionadas a individuos u organizaciones
organizaciones
organizaciones
[5.adm] probablemente impedira la operacin efectiva de ms de una parte
de la Organizacin
[7.lg.b] Probablemente causara una publicidad negativa generalizada por
afectar gravemente a las relaciones con el pblico en general
(21)
69
[9.lro] probablemente cause un incumplimiento excepcionalmente grave de

una ley o regulacin
[9.cei.b] de muy elevado valor comercial
organizaciones
[3.po] causa de protestas puntuales
[10.olm] Probablemente cause un dao excepcionalmente serio a la
eficacia o seguridad de la misin operativa o logstica
[9.lg.b] Probablemente causara una publicidad negativa generalizada por
afectar de forma excepcionalmente grave a las relaciones a las relaciones
con el pblico en general
(22)

[9.cei.d] causa de muy significativas ganancias o ventajas para individuos u
organizaciones
organizaciones
(23)

[9.cei.d] causa de muy significativas ganancias o ventajas para individuos u
organizaciones
organizaciones
[5.olm] Probablemente merme la eficacia o seguridad de la misin
operativa o logstica ms all del mbito local
Organizacin
70

Organizacin
8.3.2.2 Actividad A2.2: Caracterizacin Y Valoracin De Las Amenazas
El objetivo de esta actividad es determinar la degradacin del activo; proceso que

consiste en evaluar el valor que pierde el activo (en porcentaje) en caso que se
materialice una amenaza.
Estas Amenazas se han tomado del catlogo de elementos que presenta la
metodologa MAGERIT en su libro II Versin 3.0
Para el desarrollo de esta actividad es necesario tener presente los rangos dados
en los siguientes cuadros tanto de frecuencia como de degradacin.
Frecuencia de Amenazas
Tabla 11: Valor frecuencia de amenazas
Valor
4
3
2
1
Muy frecuente
Frecuente
Normal
Poco frecuente
MF
F
FN
PF
Criterio
A diario
Mensualmente
Una vez al ao
Cada varios aos
Degradacin de las Amenazas

Tabla 12: Valor degradacin de amenazas
Valor
100%
80%
50%
10%
71
Criterio
MA
A
M
B
Degradacin MUY ALTA del

activo
Degradacin
ALTA
considerable del activo
Degradacin MEDIANA del
activo
Degradacin
BAJA
del
activo
MB
1%
Degradacin MUY BAJA del

activo
Identificacin y Valoracin de Amenazas Tipo: Aplicaciones Informticas

Tabla 13: Valoracin de Amenazas Tipo: Aplicaciones Informticas
Activo / Amenaza
[E.1] Errores
usuarios
de
los
[E.2]
errores
del
administrador
[E.4]
Errores
de
configuracin
[E.14]
Escapes
de
informacin
[E.18] Destruccin de
informacin
[A.11]
Acceso
no
autorizado
[A.15] Modificacin de la
informacin
Frecuencia
Dimensiones de seguridad
D
I
C
A
MA
FN
FN
PF
PF
MA
FN
MA
PF
MA
Justificacin de Amenazas Aplicaciones Informticas

[E.1] Errores de los usuarios: Se considera que este tipo de amenaza llegue a
presentarse frecuentemente debido a que los usuarios o personal nuevo no es
y
su degradacin es considerada de muy alto impacto en la dimensin de
Disponibilidad porque dichos activos estn directamente relacionados con los
servicios y el modelo de negocio de la institucin Universitaria Colegio Mayor del
Cauca; en caso de materializarse esta amenaza se tendr una paralizacin de
casi el 90% de los servicios.
[E.2] errores del administrador: Se da un valor ALTO, ya que si llegase a
b
y
servicios que ellos soportan se ver seriamente afectada y debido a que el
personal encargado de la administracin de estas aplicaciones es altamente
calificado; la probabilidad de ocurrencia en POCO FRECUENTE.
[E.4] Errores de configuracin: Se valora como de ALTA degradacin porque
debido a una mala configuracin en los activos pertenecientes a las aplicaciones
informticas llevara a ataques como intrusin, denegacin de servicios, robo de
72
informacin, etc. Afectando directamente el corazn informtico de la Institucin

Universitaria llevndola a un suspensin de los servicios ofrecidos.
[E.14] Escapes de informacin: Se considera que la afectacin sera Alta para
la dimensin de Confidencialidad, ya que si hay escape de informacin esta puede
ser modificada o usada para beneficios propios llevando a prdida de confianza
Institucional.
[E.18] Destruccin de informacin: Dado el caso de llegarse a presentar esta
amenaza las dimensiones ms afectadas son la Disponibilidad y la
Confidencialidad, porque los activos de las aplicaciones informticas guardan toda
la informacin que se maneja a diario dentro de los procesos de la Institucin
universitaria.
[A.11] Acceso no autorizado. La dimensin que afecta directamente es la
Disponibilidad y se considera muy alta porque al presentarse una intrusin
desencadenara la materializacin de las amenazas [E.14], [E.18] y [A.15] entre
otras.
[A.15] Modificacin de la informacin: Afectar directamente la dimensin de

integridad en un nivel muy alto, porque de presentarse ataques de modificacin de
informacin se van a ver alterados los datos almacenados en los activos
pertenecientes a este grupo, causando un caos informtico y arrojando datos
errneos a la hora de las consultas y transacciones en cada uno de los procesos
normalizados dentro de las labores institucionales.
Identificacin y Valoracin de Amenazas Tipo: Servicios

Tabla 14: Valoracin de Amenazas Tipo: servicios
Activo / Amenaza
Frecuencia
[E.20] Vulnerabilidades
de los programas
PF
[A.5] Suplantacin de la
FN
identidad del usuario
[A.8]
Difusin
Software daino
de
FN
[A.24]
Denegacin de
PF
Servicios
D
I
C
A
MA
A
A
MA
Justificacin de Amenazas Servicios

[E.20] Vulnerabilidades de los programas: La probabilidad de ocurrencia se
consider como PF y que afectar directamente la disponibilidad porque; los
programas usados para dar soporte a los servicios implementados en la Institucin
universitaria primero son evaluados en ambientes de prueba antes de ponerlos en
73
funcionamiento. Pero en caso de sufrir un ataque por esta amenaza se

experimentara una suspensin de los servicios en un nivel muy alto, cerca al
100%.
[A.5] Suplantacin de la identidad del usuario:
Este es quiz una de las
mayores amenazas visibles dentro de los servicios que ofrece la Institucin debido
a que no se han implementado normativas para el uso de contraseas fuertes
para el acceso a los servicios, por lo que se puede presentar con mucha
frecuencia.
[A.8] Difusin de Software daino: Esta amenaza es considerada de alto grado
de degradacin y que pudiese presentar en un nivel de frecuencia normal ; con
afectacin directa a la disponibilidad; debido a la gran cantidad de equipos de
cmputo que estn destinados para los alumnos y por la falta de concientizacin
que hay sobre el uso de software licenciado.
[A.24] Denegacin de Servicio, Se ha valorado de muy alta degradacin en la
dimensin de disponibilidad, porque se pueden llegar a presentar errores de
programacin que no permiten a usuarios autorizados acceder al sistema. Esta
amenaza puede ser causa de una reaccin en cadena con otras amenazas; pero
con poca frecuencia de ocurrencia.
Identificacin y Valoracin de Amenazas Tipo: Redes de Comunicaciones.

Tabla 15 Valoracin de Amenazas Tipo: redes de comunicaciones
Activo / Amenaza
[N.*] Desastres Naturales
[I.5] Avera de origen
fsico o lgico
[I.8] Fallo de Servicio de
comunicaciones
[E.2]
Errores
del
administrador
[A.4] Manipulacin de
Configuracin.
Frecuencia
D
I
C
A
PF
MA
MA
PN
MA
PF
PF
PF
A
74
A
A
Justificacin de Amenazas Redes de Comunicaciones

[N.*] Desastres Naturales: Se puede llegar a presentar y la disponibilidad de los
activos de redes de comunicaciones tendra un detrimento muy alto porque, el
lugar donde este se encuentra no es el adecuado y al ser destruido, se caeran
todos los servicios llevando a una paralizacin total de las actividades en los
procesos.
[I.5] Avera de origen fsico o lgico: Se considera que afecta la disponibilidad
en un nivel MUY ALTO porque; las zonas (lugares) donde se han ubicado no son
los ms adecuados fsicamente para su proteccin o por el contrario el proceso de
instalacin y/o configuracin no fue el adecuado por mala manipulacin.
[I.8] Fallo de Servicio de comunicaciones:
El activo de redes de
comunicaciones se ha calificado con grado de afectacin en la disponibilidad de
nivel Alto porque, se cuenta con un solo proveedor de Servicios de internet y se
han presentado casos en que por algn fallo en las redes del proveedor se ha
visto seriamente afectado los dems servicios configurados y suministrados
internamente dentro de la Institucin universitaria por varias horas, aunque estos
casos se han presentado con muy poco frecuencia.
[E.2] Errores del administrador: Por errores del administrador se puede llegar a
tener un Alto grado de degradacin en las dimensiones de disponibilidad y
confidencialidad ya que al no ser un dispositivo propio la administracin est en
manos de la Empresa prestadora de este servicio.
[A.4] Manipulacin de Configuracin: este tem est ligado directamente con el
numeral y las razones expuestas anteriormente en E.2.
Identificacin y Valoracin de Amenazas Tipo: Equipamiento Informtico
Tabla 16: Valoracin de Amenazas Tipo: equipamiento informtico
Activo / Amenaza
[N.1] Fuego.
[I.2] Daos por Agua.
fsico o lgico
[E.23]
Errores
de
mantenimiento/
actualizacin de equipos
(hardware).
[A.11]
Acceso
no
75
Frecuencia
D
I
C
A
PF
MA
MA
MA
MA
MA
PF
MA
MA
MA
MA
MA
PF
FN
FN
Autorizado.
FN
los equipos.
A
Justificacin de Amenazas Equipamiento Informtico

[N.1] Fuego: Se consider de muy alto impacto en todas las dimensiones
(disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad) al llegarse
a presentar fuego como desastre natural porque se perdera todo el equipamiento
informtico que es el soporte de los dems activos de informacin como los
relacionados en aplicaciones informticas, servicios, redes de comunicaciones. No
se tiene una proteccin contra esta amenaza, debido a que la institucin ha ido
adquiriendo estos activos de acuerdo a las necesidades sin ningn tipo de
planeacin y ningn soporte tcnico de seguridad.
[I.2] Daos por Agua. La degradacin se consider como alta en disponibilidad y
de poca frecuencia porque, el equipamiento informtico se encuentra ubicado sin
ninguna precaucin, existe un centro de datos ubicado muy cerca de una zona de
circulacin publica con una ventana que da a la calle y otro centro de datos
ubicado debajo de los ductos de aguas negras presentando adems un riesgo
potencial.
[I.5] Avera de origen fsico o lgico: En nivel de degradacin que puede
presentarse en cuanto a averas de origen fsico o lgico son altas afectando la
b
q
b
q
z
destinadas como centros de datos se usan adems como zonas de
almacenamiento de equipos de cmputo y cables de red obsoletos, cajas de
cartn y gran variedad de material inflamable; otra razn es que la mayora de
equipamiento informtico est sometido a largas jornadas de uso (salas de
cmputo y laboratorios) con lo que se pueden presentar fallas de fsicas o de desconfiguracin sin un control adecuado.
[E.23] Errores de mantenimiento/ actualizacin de equipos (hardware): La
disponibilidad por errores de mantenimiento o actualizacin de equipos (hardware)
es valorada como de Alto impacto porque, a pesar de contar con personal
capacitado para realizar esta tarea no siempre se cuenta con el tiempo suficiente y
se han presentado casos en que no es posible ejecutarla esta actividad de manera
completa ya que el personal capacitado es contratado semestralmente al mismo
tiempo que se inician las labores acadmicas y administrativas. No se tiene una
poltica de mantenimiento que contrarreste esta amenaza.
[A.11] Acceso no Autorizado: La confidencialidad para este tem dentro del
equipamiento informtico es alto debido a que no se tienen implementados
normas de seguridad para el acceso a los centros de datos, aunque se controla el
76
acceso a travs de una clave para desactivar la alarma de acceso, pero a estas
zonas puede acceder cualquier persona sin tener un permiso especial de acceso,
al igual que a las salas de computo donde puede acceder cualquier usuario sin
restriccin ni control alguno.
[A.23] Manipulacin de los equipos. Se considera que el grado de degradacin
que se puede llegar a experimentar es alto en la dimensin de confidencialidad
especialmente en los equipos de cmputo de la parte administrativa porque no se
han tomado medidas o polticas de seguridad que concienticen a los usuarios en
el uso exclusivo del personal contratado en la Institucin y del uso de nombre de
usuario y contrasea fuerte, y el bloqueo de los equipos en ausencia de estos.
Pudiendo dar pie a accesos no autorizados a informacin y a extraccin de partes
hardware de los equipos.
Identificacin y Valoracin de Amenazas Tipo: Equipamiento Auxiliar
Tabla 17: Valoracin de Amenazas Tipo: equipamiento auxiliar
Activo / Amenaza
Frecuencia

PF
fsico o lgico
D
I
C
A
A
Justificacin De Amenazas Equipamiento Auxiliar

[I.5] Avera de origen fsico o lgico: La valoracin del equipamiento auxiliar
se realiza por observacin directa y se considera que la degradacin sera
directamente a la disponibilidad en un nivel alto porque en una de las sedes
(Claustro de la Encarnacin) hay cables principales sin proteccin y existe
algunas UPS expuestas al contacto directo con los usuarios.
Identificacin y Valoracin de Amenazas Tipo: Instalaciones
Tabla 18: Valoracin de Amenazas Tipo: instalaciones
Activo / Amenaza
[A.26] Ataque destructiva
Frecuencia
D
I
C
A
PF
MA
77
Justificacin de Amenazas Instalaciones

[A.26] Ataque destructiva: Se ha considerado que la amenaza A.26 afectara la
disponibilidad del activo instalaciones en un nivel alto porque estos se encuentran
sin ninguna proteccin, las tapas de proteccin de los gabinetes no tienen
seguridad por lo que cualquier persona puede tener acceso a estos (Claustro de la
Encarnacin).
Identificacin y Valoracin de Amenazas Tipo: Personal

Tabla 19 Valoracin de Amenazas Tipo: personal
Activo / Amenaza
Frecuencia
[E.7] Deficiencia en la
FN
organizacin.
D
I
C
A
[E.15]
Alteracin
accidental
de
la FN
informacin
[A.30] Ingeniera Social
PF
A
A
Justificacin De Amenazas Personal

[E.7] Deficiencia en la organizacin. Se valora como frecuencia normal y de
degradacin de disponibilidad como Alta porque las directivas de la organizacin
no contratan el personal suficiente para implementar el SGSI necesario dentro de
la Institucin universitaria y lograr minimizar todas estas amenazas encontradas,
adems de esto el poco personal se contrata semestralmente y el tiempo para
realizar actividades como mantenimiento de equipos de cmputo es muy corto en
relacin con la cantidad de equipos existentes en la entidad educativa.
[E.15] Alteracin accidental de la informacin: Se puede llegar a materializar la
amenaza de alteracin accidental de la informacin por el personal debido a la
falta de capacitacin y la mala comunicacin que existe internamente en la
institucin universitaria, ya se ha mencionado que el personal nuevo que ingresa
no es capacitado adecuadamente en sus labores y mucho menos en base al tema
de seguridad informtica. Por esta razn se puede ver afectada altamente la
confidencialidad e integridad de los datos.
[A.30] Ingeniera Social: Hasta el momento no hemos tenido ningn tipo de
inconveniente relacionado con la ingeniera social en el activo de personal, pero es
una amenaza latente enlazada con las razones dadas en E.15. Y la falta de
78
concientizacin del personal en las mejores prcticas de seguridad informtica.

Llevando a una afectacin Alta en la dimensin de confidencialidad.
La anterior valoracin es producto de entrevistas casuales aplicadas con los
funcionarios del rea de TIC de la Institucin universitaria colegio Mayor del Cauca
y de encuesta aplicada. (Ver anexo C)
8.3.2.3 Actividad A2.3: Caracterizacin De Las Salvaguardas
La caracterizacin de salvaguardas se realiza de acuerdo al nivel de criticidad de
los activos incluidos en el anlisis de riesgos de la institucin universitaria Colegio
Mayor del Cauca, basados en el catlogo de elementos que proporciona Magerit v
3.0. (Ver anexo D)
Salvaguardas Activos: Protecciones Generales u Horizontales
Tabla 20: Salvaguardas: protecciones generales u horizontales
Salvaguardas
Control de acceso lgico
Gestin de incidencias
IDS/IPS
Deteccin
prevencin de intrusin
Dimensin
Evaluacin
[A], [D], [C]
30%
[D], [C], [T],
50%
[A], [I]
y
[C], [I], [A], [D]
70%
Descripcin de Salvaguardas
Control de acceso lgico: Existen medidas bsicas para al acceso a las
aplicaciones y servicios web a travs de la autenticacin de usuarios. Por medio
de esta salvaguarda se logra proteger a los activos del tipo servicios y
aplicaciones en la dimensin de Disponibilidad, Confidencialidad y Autenticidad de
los usuarios del servicio, con una efectividad del 30%, la valoracin se da porque a
pesar de existir mecanismos bsicos, no son los ideales y pueden ser fcilmente
vulnerados.
Gestin de incidencias: Existe un sistema para la gestin y tratamiento de
incidencias, en el cual los usuarios estn en la capacidad de solicitar asistencia,
hacer seguimiento a su solicitud y pueden calificar el servicio prestado. Esta
salvaguarda ayuda a proteger a los activos de cualquier tipo dentro de la
organizacin en las dimensiones de Disponibilidad, Confidencialidad, Autenticidad,
Integridad y Trazabilidad del servicio, con una efectividad del 50%. La valoracin
de efectividad se debe porque en ocasiones el personal encargado de
redireccionar las solicitudes no lo hace, o por su parte las atenciones se efectan
79
pero nunca son cerradas presentando al final del semestre datos errneos en los
indicadores y resultados de satisfaccin de usuario.
IDS/IPS: El sistema de proteccin perimetral integra un mdulo de deteccin y
prevencin contra intrusos, este mdulo protege de posibles intentos de acceso no
autorizado desde Internet y tambin est activo en la red inalmbrica para
proteger el acceso de los servicios y aplicaciones en las dimensiones de
Confidencialidad, Integridad, Autenticidad y Disponibilidad. La medida de la
efectividad se basa en que se han aplicado las reglas de deteccin por defecto en
el dispositivo, pero se podran establecer reglas a la medida de los servicios,
aplicaciones o sistemas de informacin segn cada requisito y nivel de acceso
definido.
Salvaguardas Activos: Proteccin De Los Datos/Informacin

Tabla 21: Salvaguardas: proteccin de los datos/informacin
Salvaguardas
Copias de Seguridad de los Datos (Backup)
Uso de firmas electrnicas
Dimensin
[I], [A], [C], [D], [T]
[C], [T], [A], [I]
Evaluacin
5%
50%
Descripcin De Salvaguardas
Copias de Seguridad de los Datos: Actualmente y luego del primer informe de
riesgos entregado a las directivas, se est terminado el montaje de un sistema de
copias de seguridad automatizado basado en un NAS (Network Attached Storage)
para la informacin que se catalogue y organice de acuerdo a la criticidad y que
ser definida por el comit de gestin documental (archivo), se han iniciado
pruebas para las copias de seguridad de servidores y Bases de Datos, luego para
el resto de informacin que administre cada funcionario. Esta salvaguarda se
aplica en todas y cada una de las dimensiones y su evaluacin es baja ya que
est en pruebas, adems ser el inicio del proyecto para integrar e implantar un
sistema de gestin documental para la institucin.
Uso de firmas electrnicas: Actualmente los lderes de procesos y personal que
puede generar cualquier tipo de certificacin interna o externa, posee un
mecanismo de aplicacin de certificacin electrnica sobre cualquier documento
que genere con el fin de mantener la Autenticidad, Confidencialidad, Integridad y
Trazabilidad de la informacin. La valoracin es considerada de esta manera
porque no todos usan la firma digital para los documentos que generan por una
parte, y los que la utilizan lo hacen regularmente.
80
Salvaguardas Activos: Proteccin De Los Servicios

Tabla 22: Salvaguardas: Proteccin de los Servicios
Salvaguardas
Se aplican perfiles de seguridad
Proteccin de servicios y
aplicaciones web
Voz sobre IP
Dimensin
[A], [I], [D]
Evaluacin
80%
[I],[D]
40%
[D]
50%
Se aplican perfiles de seguridad: Los perfiles de seguridad son creados,

configurados y aplicados a travs de las polticas en firewalls y software de
seguridad antivirus-antispyware, tambin se aplican en los sistemas operativos
tipo servidor, los perfiles son aplicados dependiendo del trfico entre zonas,
acceso a servicios, servidores y protocolos. Su aplicacin est relacionada con las
dimensiones de Autenticidad, Integridad de los datos y Disponibilidad de la
informacin y su valoracin es alta, ya que es uno de los salvaguardas que ms se
tienen en consideracin.
Proteccin de servicios y aplicaciones web: La proteccin de servicios as
como de las diferentes aplicaciones web dispuestas a la comunidad acadmica y
administrativa tiene salvaguardas basadas en herramientas de autenticacin
bsicas, de igual forma se tratan de llevar medidas de seguridad esenciales para
contrarrestar posibles ataques sobre los servicios crticos, aunque faltan medidas
que mejoren los niveles de seguridad y acceso a los mismos que pueden
comprometer la Integridad de las aplicaciones o la Disponibilidad de los servicios.
La clasificacin de la evaluacin baja se da porque las medidas tomadas no son
las mejores, ni las ms eficientes, se deben mejorar los procesos para cifrar las
contraseas en algunos sistemas de informacin y por otro lado generar pautas
para la creacin, mantenimiento y uso en las mismas.
Voz sobre IP: El servicio de telefona IP de la institucin es brindado por un
tercero, han surgido inconvenientes por ausencia del servicio, baja calidad en la
transmisin y recepcin de la voz y cadas en las llamadas en ciertas ocasiones, el
proceso de TIC en la institucin como medida alterna decidi implementar un
sistema de voz sobre IP propio que est en prueba, con medidas de seguridad
que pueden llegar a garantizar en cierta forma la Disponibilidad del servicio,
aunque el cambio del sistema del brindado por el tercero al sistema propio se
debe hacer manualmente y requiere de un periodo de tiempo corto para dar
servicio a todos los clientes en cada una de las sedes; es por eso que la
valoracin se sita en esta escala.
81
Salvaguardas Activos: Proteccin De Las Aplicaciones (Software)

Tabla 23: Salvaguardas: Proteccin de las aplicaciones (Software)
Salvaguardas
Puesta en produccin
Cambios (Actualizaciones
mantenimiento)
Dimensin
[I], [D]
Evaluacin
50%
[I],[D], [T]
80%
Puesta en produccin: Los productos software en algunos casos son probados

en ambientes virtuales para asegurar la compatibilidad, eficiencia y
comportamiento de la aplicacin antes de sacarla a un ambiente de produccin
para que la Integridad de los datos y la Disponibilidad est acorde a lo esperado y
la evaluacin se asigna porque no existe un procedimiento para llevar este tipo de
salvaguarda en su totalidad a la prctica.
Cambios (Actualizaciones y mantenimiento): Se procura mantener un control
de versiones cuando se lanzan actualizaciones o mejoras del sistema de
informacin acadmico, de igual modo el mantenimiento se hace en horarios fuera
de los laborales para no perjudicar la normal operacin del sistema, cumpliendo
con las dimensiones de Disponibilidad, Integridad y Trazabilidad. La evaluacin
est relacionada con la mediana documentacin que se genera en la aplicacin
del salvaguarda mencionado.
Salvaguardas Activos: Proteccin De Los Equipos (Hardware)

Tabla 24: Salvaguardas Activos: Proteccin de los equipos (Hardware)
Salvaguardas
Operacin
Cambios (Actualizaciones
mantenimiento)
Dimensin
[D]
Evaluacin
60%
[D], [T]
70%
Operacin: La manipulacin de los equipos de cmputo se hace de acuerdo a

pautas y recomendaciones del grupo de soporte y helpdesk, aunque en realidad
no existe un procedimiento definido con buenas prcticas y consideraciones para
el uso de los equipos. La Disponibilidad como dimensin est ligada a este
salvaguarda, el criterio de evaluacin se mantiene de acuerdo al trato del
equipamiento a nivel general.
Cambios (Actualizaciones y mantenimiento): Las operaciones de
mantenimiento y actualizacin se hacen de acuerdo a una programacin definida
semestralmente. En general se cumplen en su totalidad pero hace falta definir un
82
procedimiento estricto para el cumplimiento y seguimiento de labores en el mbito

preventivo, predictivo y correctivo as como de la calidad y efectividad de la
asistencia a incidencias y que se relacionan con la dimensin de Disponibilidad y
Trazabilidad.
Salvaguardas Activos: Proteccin De Las Comunicaciones

Tabla 25: Salvaguardas proteccin de las comunicaciones
Salvaguardas
Internet: Uso de? Acceso a?
Seguridad Wireless (WiFi)
Dimensin
[D], [C],[T]
[D], [C]
Evaluacin
90%
50%
Internet (Uso de? Acceso a?): Se aplican y monitorean perfiles para asegurar el
acceso a internet, no solo en el perfil de seguridad aplicado se evalan y
restringen los accesos a sitios especficos o se aplican tcnicas de webfiltering,
tambin se gestiona trfico y disponibilidad de ancho de banda, escaneo de
posibles virus y capacidad de descarga en cuanto a un lmite de tamao por
archivo. Se relacionan las dimensiones de Disponibilidad, Confidencialidad y
Trazabilidad. La evaluacin en general del salvaguarda se mantiene constante y
en buenos criterios de efectividad.
Seguridad Wireless (WiFi): Se tiene la red inalmbrica separada fsica y
lgicamente del resto de la red institucional, hay control en los protocolos de salida
y entrada, se aplica control en ancho de banda y control de uso de aplicaciones
p2p en conjunto con webfiltering y escaneo de virus y spam de salida, control de
acceso entre usuarios o aislamiento AP. Se mantiene una relacin con las
dimensiones arriba citadas y su evaluacin se asigna porque tanto el mtodo de
autenticacin en la red como el acceso a la misma no es el ms seguro.
8.3.3 Proceso P3: Estimacin Del Estado De Riesgo

Actividad realizada con el propsito de analizar los datos recopilados en las
actividades anteriores y evaluar el estado de riesgo, donde se incluye la
estimacin de impacto y riesgo. Se toma la siguiente escala para calificar el valor
de los activos, la magnitud del impacto y la magnitud del riesgo:
MA: muy alto
A: alto
M: medio
B: bajo
MB: muy bajo
83
8.3.3.1 Actividad A.3.1: Estimacin Del Impacto

El objetivo de esta actividad es determinar el alcance del dao producido sobre los
activos de informacin en caso de llegarse a materializar una amenaza.
Se evala el grado de repercusin que pueda presentar cada activo, dentro de las
dimensiones de valoracin analizadas anteriormente como son: Disponibilidad,
Integridad, Confidencialidad, Autenticidad y Trazabilidad, haciendo uso de la
siguiente tabla de doble entrada (ver tabla) propuestas por Magerit v.3.
Los activos con calificacin Media debern ser re-evaluados para mejorar, cambiar
o adaptar nuevos controles, los de calificacin Alta y muy alta debern ser objeto
atencin Urgente.
Tabla 26: Valores estimacin de impacto
IMPACTO
VALOR
MA
A
M
B
MB
DEGRADACION
1%
10%
M
A
B
M
MB
B
MB
MB
MB
MB
50%
A
M
B
MB
MB
80%
MA
A
M
B
MB
100%
MA
A
M
B
MB
Fuente: Magerit V.3 Libro II - Catlogo de Elementos
Impacto acumulado: es el impacto potencial al que est expuesto el sistema

tomando como base los valores obtenidos de los activos y valoracin de las
amenazas, sin tener en cuenta las salvaguardas actuales. Estos requieren
atencin inmediata.
Impacto residual: es el resultado de combinar el valor de los activos, la valoracin

de las amenazas y la efectividad de los salvaguardas aplicadas; los activos con
resultado muy bajo o bajo (o casillas en blanco), son riesgos con los que se puede
convivir pero que se tuvieron en cuenta dentro de los controles, polticas de
seguridad y recomendaciones.
84
Tabla 27: Valoracin impacto en activos de informacin
ACTIVO
AMENAZA
[E.1] Errores de los

usuarios
[E.2]
errores
del
administrador
[E.4]
Errores
de
configuracin
APLICACIONES
[E.14]
Escapes
de
INFORMATICAS
informacin
[E.18] Destruccin de
informacin
[A.11]
Acceso
no
autorizado
[A.15] Modificacin de
la informacin
[E.20] Vulnerabilidades
de los programas
SERVICIOS
[A.8]Difusin
de
Software daino
[A.24]Denegacin
de
Servicios
[N.*]
Desastres
Naturales
[I.5]Avera de origen
fsico o lgico
REDES
DE
[I.8]Fallo de Servicio de
COMUNICACION
comunicaciones
ES
[E.2]
Errores
del
administrador
[A.4]Manipulacin
de
Configuracin.
[N.1] Fuego.
EQUIPAMIENTO
fsico o lgico
INFORMATICO
[E.23]
Errores
de
mantenimiento/
actualizacin
de
equipos (hardware).
85
Impacto
acumulado
D I
C
Impacto
residual
A T D I
C A T
EQUIPAMIENTO
AUXILIAR
INSTALACIONES
PERSONAL
[A.11]
Acceso
no
Autorizado.
los equipos.
fsico o lgico
[A.26]
Ataque
destructiva
organizacin.
[E.15]Alteracin
accidental
de
la
informacin
[A.30]Ingeniera Social
8.3.3.2 Actividad A.3.2: Estimacin Del Riesgo
Para realizar la estimacin del riesgo se hace uso de la siguiente escala

cualitativa, tomando como entradas impacto acumulado y frecuencia.
Tabla 28: valores de frecuencia.
Valor
100
10
1
1/10
Muy frecuente
Frecuente
Normal
Poco frecuente
MF
F
FN
PF
Criterio
A diario
Mensualmente
Una vez al ao
Cada varios aos
Tabla 29: Criterios de valoracin para estimacin de riesgo
Riesgo
Impacto
86
MA
A
M
B
MB
Frecuencia
PF
M
B
B
MB
MB
FN
A
A
M
B
MB
F
MA
MA
A
M
B
MF
MA
MA
A
A
B
Para la estimacin del riesgo se toman los valores de la frecuencia de ocurrencia

de cada amenaza frente a los activos e impacto acumulado ya que estos son los
activos que necesitan una accin urgente.
Tabla 30: Valoracin de riesgo en activos de informacin
ACTIVO
AMENAZA
[E.1] Errores de los usuarios
[E.2]
errores
del
administrador
[E.4]
Errores
de
configuracin
APLICACIONES
Escapes
de
INFORMATICAS [E.14]
informacin
[E.18]
Destruccin
de
informacin
[A.11] Acceso no autorizado
[A.15] Modificacin de la
informacin
[E.20] Vulnerabilidades de
los programas
SERVICIOS
[A.8]Difusin de Software
daino
[A.24]Denegacin
de
Servicios
[N.*] Desastres Naturales
[I.5]Avera de origen fsico o
lgico
REDES
DE [I.8]Fallo de Servicio de
COMUNICACION comunicaciones
ES
[E.2]
Errores
del
administrador
[A.4]Manipulacin
de
Configuracin.
[N.1] Fuego.
[I.5] Avera de origen fsico
EQUIPAMIENTO
o lgico
INFORMATICO
[E.23]
Errores
de
mantenimiento/
actualizacin de equipos
87
IMPACTO
D I
C
A T
F
F
FN
FN
PF
PF
FN
PF
PF
FN
FN
PF
PF
FN
PF
PF
PF
PF
PF
PF
FN
RIES
GO
EQUIPAMIENTO
AUXILIAR
INSTALACIONES
PERSONAL
(hardware).
[A.11]
Acceso
no
Autorizado.
[A.23] Manipulacin de los
equipos.
[I.5] Avera de origen fsico
o lgico
[A.26] Ataque destructiva
organizacin.
[E.15]Alteracin accidental
de la informacin
[A.30]Ingeniera Social
FN
FN
PF
PF
FN
FN
PF
8.3.4 Interpretacin De Los Resultados

Los controles son adaptados de acuerdo al resultado obtenido en las tablas de la
actividad A2.4 sobre estimacin de riesgo teniendo en cuenta las necesidades y
caractersticas de cada activo.
Hardware:
Aunque se tiene personal para realizar mantenimiento hardware de tipo
preventivo, correctivo y predictivo en los diferentes equipos de la institucin
tanto en salas de cmputo, equipos administrativos y equipos tipo servidor,
la programacin que se hace semestralmente no se cumple generalmente
por la tarda contratacin del personal.
No se tienen definidos procedimientos para realizar mantenimiento
correctivo y preventivo a nivel tcnico, cada persona de soporte procede
segn el problema o incidencia de acuerdo a su experiencia y
conocimiento, pero muchas veces la solucin aunque puede ser exitosa no
es la ms efectiva o la ms eficaz, por lo tanto se deben normalizar todos
los procedimientos tcnicos.
No se tienen definidas restricciones para el uso de dispositivos de
almacenamiento tipo USB, aunque se tiene un sistema de proteccin contra
virus y spyware para minimizar los riesgos por contagio de virus, las
unidades de almacenamiento USB pueden infectar fcilmente un sistema.
Ante una falla irrecuperable de hardware en un equipo de cmputo de uso
crtico, no se tienen estipulados planes de contingencia que permitan hacer
un proceso de recuperacin de una manera rpida y ms grave an es que
no solo se pueda recuperar la informacin que se pueda comprometer.
88
Software:
Todo el software que se adquiere, se usa o se desarrolla en la institucin
est licenciado, gracias a las renovaciones de licencia anuales o a las
compras de licencias perpetuas. Existe un gran problema y es que no se
tiene un control efectivo para la instalacin de software ilegal, o
restricciones que no permitan que cualquier usuario pueda instalar software
sin la autorizacin o permiso por parte del personal tcnico y/o de
infraestructura tecnolgica del rea TIC.
No se contemplan planes y procedimientos cuando se dan de baja equipos,
cuando se actualizan o cuando se cambian, sobre todo con la informacin
privada de carcter institucional que puedan llegar a contener dichos
equipos.
No se tienen procedimientos definidos, ni registros de la aplicacin de
actualizaciones de software o parches de seguridad en los sistemas base
crticos.
Redes:
La red se encuentra segmentada fsica y lgicamente en la totalidad de la
sede Bicentenario-Casa Obando, en la sede Encarnacin an no se efecta
la segmentacin de las diferentes subredes, lo cual adems de ayudar a
mejorar la seguridad de la red, mejora el rendimiento y reduce el trfico
innecesario. Se debe realizar esta actividad cuanto antes para disminuir la
probabilidad de que se materialice cualquier amenaza.
Los sistemas de proteccin perimetral que posee la institucin, requieren
anualmente de una renovacin de la subscripcin y licenciamiento para el
funcionamiento de los mdulos internos como el filtrado web de sitios,
antivirus web, antispam / filtrado de email, firewall, sistema de prevencin
contra intrusos, escaneo de vulnerabilidades entre otros. En ciertas
ocasiones por el proceso licitatorio al que se someten estas adquisiciones
de licenciamiento, la institucin ha estado expuesta a vulnerabilidades y
amenazas de todo tipo porque el periodo efectivo de la licencia expira, y no
se tienen planes de contingencia definidos ante falencias de gestin o
administrativas en este sentido.
Actualmente la sede principal y las dos subsedes alternas se comunican
por medio de un enlace de fibra ptica a 30Mbps, en cuanto a servicios de
red especficos institucionales y se provee el servicio de internet tambin
por este medio. La redes en cada sede son diferentes a nivel de
direccionamiento y los enlaces a servicios o servidores especficos son
administrados por medio de mapeo interno de direcciones entre los
Firewall y VLANs en los Switches, el problema ocasionado por este modelo
de infraestructura tecnolgica implementado, es que se crean cuellos de
botella en el firewall-UTM (Unified Theat Management) que se tiene en
funcionamiento, ya que no est diseado para soportar el nivel de carga y
trfico de red actual. Es necesario replantear el esquema y modelo de red
actual con el fin de unificar la red en las diferentes sedes con el fin de
89
mejorar en rendimiento, facilidad de administracin y eliminacin de

posibles puntos de falla.
Existen reglas de proteccin de acceso a nivel del firewall desde la red
externa (Internet) a servicios y servidores especficos en la red de
servidores DMZ (Desmilitarizada), esto se da en el direccionamiento
externo o pblico; pero en el direccionamiento interno (rea Local), se
puede obtener acceso por diferentes puertos a varios de los servicios
restringidos desde redes como la Inalmbrica, que es una fuente de riesgo
latente.
INSTALACIONES FSICAS:
En la sede principal el estado del cableado estructurado no es la adecuada
en su totalidad, aunque existe cableado tipo UTP categora 6 casi en el
80% de la edificacin, este no cumple con las normas mnimas de
instalacin en algunos casos; por ejemplo los armarios de cableado, patchpanel y patch-cord estn en malas condiciones, desorganizados y sin
seguridad alguna (Cualquier persona tiene acceso al cableado o switches
dentro del armario). El cableado de red y elctrico en la sede principal no
est certificado por la norma RETIE (Reglamento Tcnico de Instalaciones
Elctricas) y a nivel de red de datos en ANSI/TIA 568A-B.
En cuanto a las condiciones ambientales y de seguridad en centros de
cableado principal y servidores, no se tienen sistemas inteligentes de
prevencin contra incendios, no existen cmaras de seguridad en dichos
sitios, los sistemas de aire acondicionado no siempre se encuentran
encendidos, el control de acceso a estos lugares no es tan restrictivo, existe
gran cantidad de material inflamable como cajas de cartn, muebles de
madera y plstico cerca a equipos de comunicacin y servidores.
90
Controles
Para especificar los controles de la IUCMC de acuerdo al ciclo PHVA se debe

contemplar los siguientes:
Controles relacionados con terceros: Cuando exista la necesidad de otorgar

acceso a terceras partes a la informacin de la Empresa, los Responsables de
los Sistemas de Informacin, llevarn a cabo este proceso, debidamente
autorizado por el propietario de la informacin, teniendo en cuenta, entre otros
aspectos:
El tipo de acceso requerido (fsico/lgico y a qu recurso).
Los motivos para los cuales se solicita el acceso.
Los controles empleados por la tercera parte.
La incidencia del acceso en la seguridad de la informacin en la Institucin.
Cumplimiento Institucional.
Acuerdos de control de accesos que contemplen:

Mtodos de acceso permitidos, y el control y uso de identificadores nicos
como identificadores de usuario y contraseas de usuarios.
Proceso de autorizacin de accesos y privilegios de usuarios.
Requerimiento para mantener actualizada una lista de personas
autorizadas a utilizar los servicios que han de implementarse y sus
derechos y privilegios con respecto a dicho uso.
Definicin de criterios de desempeo comprobables, de monitoreo y de
presentacin de informes.
Adquisicin de derecho a auditar responsabilidades contractuales o
surgidas del acuerdo.
Establecimiento de un proceso para la resolucin de problemas y en caso
de corresponder disposiciones con relacin a situaciones de contingencia.
Responsabilidades relativas a la instalacin y al mantenimiento de
hardware y software.
Proceso claro y detallado de administracin de cambios.
Controles de proteccin fsica requeridos y los mecanismos que aseguren
la implementacin de los mismos.
Mtodos y procedimientos de entrenamiento de usuarios y administradores
en materia de seguridad.
Controles que garanticen la proteccin contra software malicioso.
Elaboracin y presentacin de informes, notificacin e investigacin de
incidentes y violaciones relativos a la seguridad.
91
9.1
Mecanismos De Control De Activos
Seguridad Fsica y Ambiental

Controlar los factores ambientales que podran perjudicar el correcto
funcionamiento del equipamiento informtico que alberga la informacin de los
Sistemas de Informacin.
Controles de Acceso Fsico
Los cuartos de comunicaciones y servidores se resguardarn mediante el empleo
de controles de acceso fsico, a fin de permitir el ingreso slo al personal
autorizado. Esta autorizacin es definida por el Comit de Seguridad Informtica.
Proteccin de Oficinas, Recintos e Instalaciones
Para la seleccin y el diseo de un rea protegida se tendr en cuenta la
posibilidad de dao producido por incendio, inundacin, explosin, agitacin civil, y
otras formas de desastres naturales o provocados por el hombre. Se tomar en
cuenta las disposiciones y estndares en materia de sanidad y seguridad.
Se considerarn las amenazas de seguridad que representan los edificios y zonas
aledaas.
Desarrollo de Tareas en reas Protegidas
Para incrementar la seguridad de las reas protegidas, se establecern controles
para el personal que trabaja en el rea protegida, as como para las actividades de
terceros que tengan lugar all.
Seguridad del Cableado
El cableado de energa elctrica y de comunicaciones que transporta datos o
brinda apoyo a los servicios de informacin estar respalda a travs de UPS y
planta de energa con respaldo de un tiempo prudencial.
Mantenimiento de Equipos
La realizacin de tareas de mantenimiento preventivo al equipamiento, de acuerdo
con los intervalos de servicio y especificaciones recomendados por el proveedor y
con la autorizacin formal del Comit de Sistemas.
Controles Contra Software Malicioso
El Comit de Sistemas y de Seguridad Informtica definir controles de deteccin
y prevencin para la proteccin contra software malicioso y designar el personal
encargado para dichos controles.
92
Controles de Redes
El rea de TIC definir controles para garantizar la seguridad de la infraestructura
de comunicaciones y los servicios conectados en las redes de la Institucin, contra
el acceso no autorizado.
Se podrn implementar controles para limitar la capacidad de conexin de los
usuarios, de acuerdo a las polticas que se establecen a tal efecto. Dichos
controles se podrn implementar en los firewalls
Se incorporarn controles de ruteo, para asegurar que las conexiones informticas
y los flujos de informacin no violen la Poltica de Control de Accesos. Estos
controles contemplarn mnimamente la verificacin positiva de direcciones de
origen y destino.
Administracin de Medios Informticos Removibles.

Con el propsito de salvaguardar las copias de seguridad de los sistemas de
informacin de la empresa, se dispone de un contrato con una empresa que
custodia y salvaguarda la informacin que peridicamente es enviada segn el
procedimiento establecido para cada sistema.
Seguridad del Correo Electrnico
Las posibles vulnerabilidades a errores, por ejemplo, consignacin incorrecta de la
direccin o direccin errnea, y la confiabilidad y disponibilidad general del
servicio.
La posible recepcin de cdigo malicioso en un mensaje de correo, el cual afecte
la seguridad de la terminal receptora o de la red a la que se encuentra conectada.
Las consideraciones legales, como la necesidad potencial de contar con prueba
de origen, envo, entrega y aceptacin.
El acceso de usuarios remotos a las cuentas de correo electrnico.
El uso inadecuado por parte del personal.
Control de Acceso al Sistema Operativo
Identificacin Automtica de Terminales, El rea de TIC realizar una evaluacin
de riesgos a fin de determinar el mtodo de proteccin adecuado para el acceso y
uso del Sistema Operativo a travs del Controlador de Dominio.
Procedimientos de Conexin de Terminales
El acceso a los servicios de informacin slo ser posible a travs de un proceso
de conexin seguro. El procedimiento de conexin en un sistema informtico ser
diseado para minimizar la oportunidad de acceso no autorizado.
Identificacin y Autenticacin de los Usuarios
Todos los usuarios (incluido el personal de soporte tcnico, los operarios,
administradores de red, programadores de sistemas y administradores de bases
de datos) tendrn un identificador nico (ID de usuario) solamente para su uso
personal exclusivo.
93
Sistema de Administracin de Contraseas

El sistema de administracin de contraseas debe:
Sugerir el uso de contraseas individuales para determinar responsabilidades.
Permitir que los usuarios seleccionen y cambien sus propias contraseas e
incluir un procedimiento de confirmacin para contemplar los errores de
ingreso.
Imponer una seleccin de contraseas de calidad segn lo sealado en el
procedimiento establecido para el manejo y uso de contraseas.
Imponer cambios en las contraseas en aquellos casos en que los usuarios
mantengan sus propias contraseas, segn lo sealado en el punto anterior.
Obligar a los usuarios a cambiar las contraseas provisorias en su primer
procedimiento de identificacin, en los casos en que ellos seleccionen sus
contraseas.
Mantener un registro de las ltimas contraseas utilizadas por el usuario, y
evitar la reutilizacin de las mismas.
Evitar mostrar las contraseas en pantalla, cuando son ingresadas.
Almacenar en forma separada los archivos de contraseas y los datos de
sistemas de aplicacin.
Almacenar las contraseas utilizando un algoritmo de cifrado.
Modificar todas las contraseas predeterminadas por el vendedor, una vez
instalado el software y el hardware (por ejemplo claves de impresoras, hubs,
routers, etc.).
Garantizar que el medio utilizado para acceder/utilizar el sistema de
contraseas, asegure que no se tenga acceso a informacin temporal o en
trnsito de forma no protegida.
Control de Acceso a las Aplicaciones
Restriccin del Acceso a la Informacin. Los usuarios de los sistemas de
aplicacin, incluyendo al personal de TIC, tendrn acceso a la informacin y
a las funciones de los sistemas de aplicacin de conformidad con la Poltica
de Control de Acceso definida, sobre la base de los requerimientos de cada
aplicacin, y conforme a los permisos otorgados de acuerdo al perfil
solicitado por cada coordinador de rea, Administradores o responsables de
los Sistemas de Informacin.
Validacin de Datos de Entrada. Se validarn durante la etapa de diseo
los controles que aseguren la validez de los datos ingresados, tan cerca del
punto de origen como sea posible, controlando tambin datos permanentes
y tablas de parmetros.
Controles Criptogrficos
Para la proteccin de claves de acceso a sistemas, datos y servicios.
Para el resguardo de informacin, en el proceso de generacin de backups de los
sistemas de informacin.
94
Seguridad de los Procesos de Desarrollo y Soporte

Procedimiento de Control de Cambios. Se implementarn controles durante la
implementacin de cambios verificando el cumplimiento del procedimiento
establecido. stos garantizarn que se cumplan los procedimientos de seguridad y
control.
Revisin Tcnica de los Cambios en el Sistema Operativo Toda vez que sea
necesario realizar un cambio en el Sistema Operativo, los sistemas sern
revisados para asegurar que no se produzca un impacto en su funcionamiento o
seguridad. Estas actividades sern ejecutadas por los administradores de los
sistemas de informacin.
Para una mejor gestin de los controles, se ha realizado la siguiente clasificacin
de acuerdo a los objetivos de control (planteados en COBIT21)
9.2
Resumen De Controles
OBJETIVO DEL CONTROL

CONTENIDO DEL CONTROL
Poltica de seguridad de informacin
Documentar poltica de seguridad de
La gerencia debe aprobar un documento de
informacin
poltica, este se debe publicar y comunicar a
todos los empleados y entidades externas
relevantes.
Revisin de la poltica de seguridad de La poltica de seguridad de la informacin
la informacin
debe ser revisada regularmente a intervalos
planeados
o
si
ocurren
cambios
significativos para asegurar la continua
idoneidad, eficiencia y efectividad.
Organizacin de la seguridad de la informacin
Compromiso de la gerencia con la La gerencia debe apoyar activamente la
seguridad de la informacin
seguridad dentro de la organizacin a travs
de una direccin clara, compromiso
demostrado,
asignacin
explcita
y
reconocimiento de las responsabilidades de
la seguridad de la informacin.
21
ISACA
Trust
in,
and
value
https://www.isaca.org/Pages/default.aspx
95
from,
information
systems.
[en
lnea]
Coordinacin
informacin
la seguridad de Las actividades de seguridad de la

informacin deben ser coordinadas por
representantes de las diferentes partes de la
organizacin con las funciones y roles
laborales relevantes.
Asignacin de responsabilidades de la Se
deben
definir
claramente
las
seguridad de la informacin
responsabilidades de la seguridad de la
informacin.
Acuerdos de confidencialidad
Se deben identificar y revisar regularmente
los requerimientos de confidencialidad o los
acuerdos de no-divulgacin reflejando las
necesidades de la organizacin para la
proteccin de la informacin.
Gestin de activos
Inventarios de activos
Todos los activos deben estar claramente
identificados; y se debe elaborar y mantener
un inventario de todos los activos
importantes.
Uso aceptable de los activos
Se deben identificar, documentar e
implementar las reglas para el uso aceptable
de la informacin y los activos asociados con
los medios de procesamiento de la
informacin.
Seguridad de los recursos humanos
Roles y responsabilidades
Se deben definir y documentar los roles y
responsabilidades de seguridad de los
empleados, contratistas y terceros en
concordancia con la poltica de la seguridad
de informacin de la organizacin.
Seguridad fsica y ambiental
Permetro de seguridad fsica
Se debe utilizar permetros de seguridad
(barreras tales como paredes y puertas de
ingreso controlado o recepcionistas) para
proteger reas que contienen informacin y
medios de procesamiento de informacin.
Seguridad oficinas
Se debe disear y aplicar seguridad fsica en
las oficinas, habitaciones y medios.
Seguridad de computadores
Ubicacin proteccin equipo
El equipo debe estar ubicado o protegido
para reducir los riesgos de las amenazas y
peligros ambientales, y las oportunidades
para el acceso no autorizado.
Seguridad en el cableado
El cableado de la energa y las
telecomunicaciones que llevan data o
96
de
Mantenimiento de equipo
sostienen los servicios de informacin deben

ser protegidos de la intercepcin o dao.
El equipo debe ser mantenido correctamente
para permitir su continua disponibilidad e
integridad.
Proteccin contra software malicioso

Controles contra software malicioso
Se deben implementar controles de
deteccin, prevencin y recuperacin para
protegerse de cdigos malicioso y se deben
implementar procedimientos de conciencia
apropiados.
Copias de seguridad o backup
Se deben realizar copias de back-up o
(respaldo de informacin)
respaldo de la informacin comercial y
software esencial y se deben probar
regularmente de acuerdo a la poltica.
Gestin de seguridad de redes
Controles de red
Las redes deben ser adecuadamente
manejadas y controladas para poderlas
proteger de amenazas, y para mantener la
seguridad de los sistemas y aplicaciones
utilizando la red, incluyendo la informacin
en trnsito.
Seguridad de los servicios de red
Se deben identificar los dispositivos de
seguridad, niveles de servicio y los
requerimientos e incluirlos en cualquier
contrato de servicio de red, ya sea que estos
servicios sean provistos en-casa o sean
abastecidos externamente.
Proteccin contra software malicioso
Poltica de control de acceso
Se debe establecer, documentar y revisar la
poltica de control de acceso.
Gestin de privilegios
Se debe restringir y controlar la asignacin y
uso de los privilegios.
Gestin de la clave del usuario
La asignacin de claves se debe controlar a
travs de un proceso de gestin formal.
Control de acceso a redes
Los usuarios slo deben tener acceso a los
servicios para los cuales han sido
especficamente autorizados a usar.
Tabla 31: Clasificacin de controles
97
10 Polticas De Seguridad Informtica

Las polticas y los estndares establecidos, son lineamientos y referentes marco
para la administracin y conservacin de los activos informticos, los documentos
y los archivos de la Institucin Universitaria Colegio Mayor del Cauca.
Con la definicin de las polticas de seguridad de la informacin, se establece al
interior de la institucin una cultura de calidad, operando de forma confiable y
controlada, estructurando medidas y patrones tcnicos de organizacin y
administracin de las tecnologas de la informacin y la comunicacin,
involucrando todo el equipo humano comprometido en la seguridad y el uso de los
recursos informticos. (ver anexo D).
En la institucin universitaria Colegio mayor del Cauca los documentos, los
archivos y la informacin son de carcter pblico y por lo tanto cumple con los
objetivos esenciales de organizacin, clasificacin, conservacin y consulta en
las diferentes fases del ciclo vital de los documentos.
Finalidad De La Poltica
Con el establecimiento de las polticas de seguridad informtica, se da soporte a la
produccin, gestin, recuperacin, conservacin y difusin de los documentos y la
informacin institucional, bajo las dimensiones de confiabilidad, integridad y
autenticidad, caractersticas indispensables en el uso efectivo para la gestin
institucional, toma de decisiones y como garanta de la prestacin oportuna de
los servicios que oferta el colegio mayor del Cauca.
Alcance
El alcance de las polticas de seguridad en el Colegio Mayor del Cauca debe estar
ligada al
PGD institucional (Programa de Gestin Documental) desde la
produccin o recepcin de los documentos, el direccionamiento, tramite, consulta
y conservacin o disposicin final segn la normativa del rea de archivo (por
tratarse de administracin de informacin en todos sus formatos), pasando por el
reconocimiento de la informacin y los documentos como un activo estratgico
para el cumplimiento misional, hasta la identificacin y mitigacin de riesgos.
Poltica De Seguridad Institucional
La informacin y los documentos contenidos y transportados en los recursos
(activos) informticos, sern clasificados, trasmitidos, almacenados y custodiados
de forma segura y controlada como soporte de los procesos institucionales
misionales y de apoyo. El proceso institucional de gestin de recursos
tecnolgicos propondr y controlara el cumplimiento de normas y polticas de
seguridad, que garanticen acciones preventivas y correctivas para la salvaguarda
de equipos e instalaciones de cmputo, as como de la informacin automatizada
en general.
98
Todo servidor o funcionario nuevo de la institucin Universitaria Colegio Mayor del

Cauca debe contar con la induccin sobre las polticas y estndares de seguridad
informtica, donde se dan a conocer las obligaciones y sanciones en que se
puede incurrir en caso de incumplimiento.
10.1 Seguridad Relacionada Al Personal
10.1.1 Funcionarios
Los usuarios y servidores de IUCMC, deben preservar y proteger los registros
y la informacin utilizada en la infraestructura tecnolgica, de igual forma
protegern la informacin almacenada o transmitida ya sea dentro de la red
interna institucional, a otras dependencias, a sedes alternas o redes externas.
Toda informacin producida y/o manipulada por los funcionarios se considera
propiedad del Colegio Mayor del Cauca.
Todos los archivos de computadores que sean proporcionados por personal
externo o interno (programas, software, bases de datos, documentos y hojas
de clculo) que tengan que ser descomprimidos, el usuario debe verificar que
estn libres de virus, utilizando el software antivirus autorizado en la institucin
antes de ejecutarse.
Queda prohibido falsificar, esconder, suprimir o sustituir la identidad de un
usuario de correo electrnico.
El funcionario deber manipular nicamente la informacin necesaria para el
desarrollo de las funciones estipuladas en el contrato.
La informacin manipulada por el funcionario de la Institucin no debe ser
divulgada a terceros.
Ningn funcionario tiene derecho sobre la informacin institucional que procede
internamente.
El usuario de la red IUCMC debe regirse por las normas y disposiciones de
seguridad informtica de la Institucin Universitaria Colegio Mayor del Cauca
El usuario es responsable de la informacin personal y acciones causadas por
la manipulacin de equipos de cmputo y red institucional.
10.1.2 Capacitacin
Los funcionarios y/o usuarios que hagan uso de la red de datos de la
Institucin debern ser capacitados en temas bsicos de seguridad de la
informacin y especficos de acuerdo al rea o funcin encomendada.
Se debe tomar medidas de seguridad al realizar capacitaciones al personal
interno o externo para que no comprometan los activos de informacin,
dichas capacitaciones se debern hacer en ambientes de prueba y/o
simuladores.
99
El responsable de TIC designara un equipo especializado en seguridad

informtica para realizar las capacitaciones a cada dependencia.
El equipo de seguridad informtica deber planear e informar las fechas de
las capacitaciones
Las capacitaciones de seguridad informtica debern contar con el material
de apoyo suficiente y acorde a la capacitacin, adems este deber ser
proporcionado a los usuarios.
Las capacitaciones debern hacerse en ambientes de prueba.
Dentro de las capacitaciones debern hacerse revisiones de los activos
informticos y servicios relacionadas con el tema.
Es deber de los funcionarios y/o terceros asistir a las capacitaciones as
como de acatar cada una de las disposiciones dispuestas en cada una de
ellas.
10.1.3 Incidentes Y Atencin A Usuarios
Se efectuaran copias de respaldo o back-up como salvaguarda de
informacin crtica de los procesos institucionales significativos, la
realizacin de copias de respaldo o seguridad se harn peridicamente en
los equipos administrativos y servidores. Las copias de seguridad deben
rotularse para ser almacenados, se utilizara el software en la opcin de
back-up, o cd/DVD y la rotulacin contenida, fecha de copia, asunto,
cdigo segn TRD digital y se entregar a la oficina de TICS para
almacenamiento y custodia.
Todo incidente u ocurrencia de accidente de seguridad informtica debe ser
reportado oficialmente a TICS.
Las solicitudes de atencin a usuarios sern gestionadas a travs del
sistema GLPI y solucionadas en el menor tiempo posible.
Se documentar detalladamente cualquier novedad que conduzca a poner
en riesgo la seguridad de la informacin, posterior a la revisin de log o
registros del sistema con el propsito de analizar la situacin y crear o
modificar controles en pro del aseguramiento informtico.
El administrador del sistema de incidencias (atencin a usuarios) deber
priorizar las solicitudes y asignar el personal adecuado para dar solucin a
los problemas en los puestos de trabajo.
10.2 Seguridad Lgica
10.2.1 Control De Acceso
El responsable de TIC proporcionar los documentos necesarios (formatos,
guas, etc.) para el uso de los sistemas.
100
Todo el personal o usuario informtico nuevo de la institucin deber ser

notificado a la oficina de TICS para asignarle derechos correspondientes,
equipo, creacin de usuario para la red y anulacin en caso de retiro.
De acuerdo a la norma ISO/IEC 27001:2005 A.10.1.3: Todos y cada uno de los
contratitas y/o funcionarios, el personal de TICS, les entregar su rol en el
sistema, definiendo sus privilegios. Por lo anterior, no es permito que de un
trabajador a otro se intercambien roles y/o cuentas para accesos al sistema. El
responsable de la Oficina de TICS, tendr un listado actualizado para velar por
el cumplimiento.
Las solicitudes de informacin de cualquier tipo debe hacerse por escrito ante
el responsable de la dependencia o como lo tenga normalizado IUCMC, de no
cumplirse se proceder a:
Informar de manera escrita al grupo de seguridad informtica o en su
defecto al responsable del rea de TIC y/o dependencia a la que se
realiza la solicitud
Negar en su totalidad la ejecucin de la solicitud.
Denunciar a las autoridades competentes despus de haber ser
analizado el caso por el comit de seguridad informtica.
10.2.2 Administracin De Acceso De Usuarios

Se considera usuarios de la red institucional a los alumnos, docentes,
contratistas, administrativos y en general cualquier persona que haga uso
de los servicios de la red.
El comit o equipo de seguridad asignar a los usuarios con acceso a los
sistemas e informacin de la Institucin una cuenta de acceso previa
clasificacin y verificacin de la funcin que desarrolla dentro de la
Institucin.
Los alumnos son considerados como usuarios limitados, estos tendrn
acceso a equipos de cmputo en una red especial y gozaran de servicios
de internet y recursos compartidos, cualquier novedad o solicitud deber
ser evaluada y si es necesario deber ser modificada este control.
Todos los usuarios (incluido el personal de soporte tcnico, como los
operarios, administradores de red, programadores de sistemas y
administradores de bases de datos) tendrn un identificador nico (ID de
usuario) solamente para su uso personal exclusivo.
No se proporciona ningn tipo de servicio a los usuarios de cualquier
ndole, rea, dependencia, o facultad sin haber cumplido todos los
requerimientos para su autorizacin.
La oficina de TICS deber implementar un sistema de administracin de
contraseas, donde se contemple los siguientes parmetros:
101
Imponer el uso de contraseas individuales para determinar

responsabilidades.
Permitir que los usuarios seleccionen y cambien sus propias
contraseas (luego de cumplido el plazo mnimo de mantenimiento de
las mismas) e incluir un procedimiento de confirmacin para contemplar
los errores de ingreso.
Imponer una seleccin de contraseas de calidad segn lo sealado en
el procedimiento establecido para el uso de contraseas
Imponer cambios en las contraseas en aquellos casos en que los
usuarios mantengan sus propias contraseas, segn lo sealado en el
punto anterior.
Mantener un registro de las ltimas contraseas utilizadas por el
usuario, y evitar la reutilizacin de las mismas.
Evitar mostrar las contraseas en pantalla, cuando son ingresadas.
Almacenar en forma separada los archivos de contraseas y los datos
de sistemas de aaplicacin.
Modificar todas las contraseas predeterminadas por el vendedor, una
vez instalado el software y el hardware (por ejemplo claves de
impresoras, hubs, routers, etc.).
Garantizar que el medio utilizado para acceder/utilizar el sistema de
contraseas, no tenga acceso a informacin temporal o en trnsito de
forma no protegida.
10.2.3 Uso De Contraseas

Las contraseas usadas por los usuarios debern cumplir con los siguientes
requisitos:
Usar una combinacin alfanumrica
la contrasea debe tener una longitud mnima de 12 caracteres.
La contrasea debe tener un periodo de vigencia, luego deber ser cambiada
por una nueva y diferente a la anterior.
No deber usarse datos personales, acrnimos ni datos directamente
relacionado con el usuario.
10.2.4 Responsabilidades De Los Usuarios

Es responsabilidad de los usuarios el uso que se haga de la cuenta de acceso
y contrasea proporcionada a los sistemas y equipos de cmputo.
El usuario deber eliminar cualquier documento, colilla o archivo suministrado
por el administrador del sistema y/o encargado de proporcionar la contrasea
102
para su acceso con el propsito de evitar suplantacin de identidad y uso de la

informacin tanto institucional como personal.
Si no se cuenta con un sitio seguro para guardar la contrasea, se recomienda
no hacerlo en papel, agenda o lugar de fcil acceso.
El usuario es el nico responsable del uso que d al correo institucional o
personal.
El usuario deber velar por la proteccin de acceso a su equipo de cmputo, a
travs del uso de protector de pantalla con contrasea que ser activado
manualmente al momento que requiera ausentarse.
Los alumnos y personal en general es responsable de guardar su informacin
personal, la institucin Universitaria no se hace responsable por la prdida de
esta.
Los usuarios deben reportar al responsable de TIC, personal tcnico, rea de
TIC o equipo de seguridad cualquier dao, falla, riesgo o amenaza detectada.
10.2.5 Uso Del Correo Electrnico

Los usuarios informticos de la Institucin Universitaria Colegio Mayor del
Cauca, deben tratar los mensajes y los archivos adjuntos como informacin de
propiedad de la institucin.
No se deben utilizar cuentas de correo electrnico asignadas a otros usuarios,
ni recibir mensajes en cuentas de otros, si fuera necesario leer el correo de
alguien ms (mientras se encuentra por fuera o de vacaciones) el usuario
ausente debe re direccionar el correo a otra cuenta de correo interno,
quedando prohibido hacerlo a una direccin de correo electrnico externo al
Colegio Mayor del Cauca, a menos que cuente con una autorizacin de la
oficina de TICS.
Los usuarios informticos de la Institucin Universitaria Colegio Mayor del
Cauca, podrn enviar informacin reservada o confidencial va correo
electrnico siempre y cuando vaya de manera encriptado y destinada
exclusivamente a personas autorizadas y en ejercicio de funciones y
responsabilidades institucionales.
La oficina de TICS se reserva el derecho de monitorear las cuentas de usuario
con actividad sospechosa que pongan en riesgo la seguridad de activos y de
informacin Institucional.
El correo electrnico institucional es un servicio gratuito y la Institucin
Universitaria no se responsabiliza por el mal uso que se d.
10.2.6 De Acceso A Terceros

Los proveedores, personal externo o personal que tenga algn tipo de relacin
con la Institucin son considerados como usuarios terceros.
103
El acceso a terceros ser limitado en cuanto a privilegios y tiempo de acceso a

los sistemas de informacin de la institucin.
Para suministrar permiso de accedo a usuarios externos o terceros este
deber presentar ante el rea TIC o equipo (comit) de seguridad documento
firmado de aceptacin de confidencialidad.
Los usuarios considerados terceros bene acatar cada una de las disposiciones
de las polticas y normas de seguridad dispuestas internamente en la
Institucin adems de las exigidas puntualmente dentro del contrato.
10.2.7 De Acceso a La Red

Ser considerado como un ataque a la seguridad informtica y una falta grave,
cualquier actividad no autorizada, en la cual los usuarios o funcionarios
realicen exploracin de los recursos informticos en la red de la IUCMC, as
como de las aplicaciones que sobre dicha red operan, con fines a detectar y
explotar una posible vulnerabilidad.
Los usuarios autorizados debern tener una cuenta de acceso a la red
proporcionada por la oficina de TIC.
Los usuarios informticos de las reas o procesos de la IUCMC, no deben
establecer redes de rea local, conexiones remotas a redes internas o
externas, intercambio de informacin con otros equipos de cmputo utilizando
el protocolo de archivos (ftp) u otro tipo de protocolo para la transferencia de
informacin, empleando la infraestructura de la red de la institucin sin
autorizacin de la oficina de TICS.
La oficina de TICS deber proporcionar los mecanismos de seguridad
necesarios para realizar bloqueos, enrutamiento, filtrado de trfico de red que
garanticen el acceso controlado desde la red pblica a la red interna y
viceversa.
Se debern guardar peridicamente registros o logs de acceso a los sistemas.
10.2.8 De Backups
Los backups debern ser almacenados en un lugar exclusivo designado para
este fin, garantizando su custodia, evitando posibles daos o hurto de personal
interno y/o externo.
Los backups eran usados exclusivamente en caso especiales.
Los responsables de la seguridad informtica debern realizar procedimientos
tanto para generar como para restaurar backups de informacin.
Los backups de informacin debern ser contemplados para suplir cualquier
tipo de incidente, este procedimiento debe ser documentado.
La informacin ser clasificada de acuerdo a las tablas de retencin
documental emanadas del rea de archivo y de acuerdo a esta priorizacin se
104
harn las atenciones a usuarios, personal administrativo y docente de la

Institucin.
10.2.9 Servidores
La configuracin de sistemas operativos de servidores es labor exclusiva del
personal autorizado y de su administrador.
Se debern generar perfiles de usuario y asignar nicamente los permisos para
acceso a los mdulos que este debe manipular; no se dar acceso total a
usuarios diferentes al administrador.
El administrador deber velar por la configuracin adecuada de cada uno de
los servicios que reposan en el servidor y eliminar los que por defecto se crean.
10.2.10 Equipos De Cmputo

Los equipos de cmputo de docentes, administrativos, contratistas debern
tener configurada y hacer uso de cuantas de usuario y contrasea.
Los usuarios de IUCMC, no deben mover o reinstalar, reubicar los equipos, ni
retirar sellos de los mismos sin autorizacin.
Es responsabilidad de los usuarios almacenar su informacin nicamente en la
particin del disco duro diferente, destinada para archivos de programas y
sistemas operativos generalmente /c:/
Es prohibido que el usuario o funcionario distinto al personal autorizado abra o
destape los equipos, asimismo cuando se requiera realizar cambios de
reubicacin en lugares fsicos de trabajo o locativos, debe ser notificado con 3
das de anticipacin a la oficina de TICS.
El prstamo de porttiles o laptops tendr que solicitarse en las secretarias de
cada una de las facultades.
10.3 Responsabilidades Y Procedimientos Operativos

Es responsabilidad del encargado de la oficina de TICS planear
adecuadamente los horarios de mantenimiento en jornadas que no se
obstaculice el normal funcionamiento de los equipos de administrativos,
docentes y alumnos.
Al terminar la jornada laboral los usuarios debern dejar apagados los equipos
de cmputo evitando el acceso no autorizado a terceros.
105
10.3.1 Proteccin Contra Sofware Malicioso

Para prevenir infecciones de virus informtico, los usuarios de la IUCMC, no
deben hacer uso de software que no haya sido proporcionado y validado por la
oficina de TICS. En el caso de sospecha de infeccin de virus, debe dejar de
usar inmediatamente el equipo y notificar la sospecha a la oficina de TICS.
El rea de TIC o jefe a rea deber proporcionar software de proteccin como
antivirus, antimalware y/o seguridad perimetral (firewall) para proteccin de la
informacin manipulada y almacenada en los equipos de cmputo y servidores.
10.3.2 Mantenimiento
El mantenimiento, preventivo y/o correctivo es una actividad exclusiva del
personal de soporte tcnico.
Cuando se va a realizar mantenimiento en alguno de los equipos, se debe dar
aviso con anticipacin al usuario informtico o servidor pblico.
Es deber del personal de soporte tcnico llevar registro de los mantenimientos
y cambios realizados a los equipos de cmputo y de red.
10.3.3 Control de Medios de Almacenamiento
Los medios de almacenamiento con informacin crtica o copias de respaldo
debern ser manipulados nica y exclusivamente por el personal encargado de
hacer los respaldos y el personal encargado de su salvaguarda.
10.4 Seguridad Fsica
10.4.1 De Los Equipos
Se deber reportar y registrar al momento de la entrada, en el rea de
recepcin, los equipos de cmputo, de comunicaciones, medio de
almacenamiento y herramientas que no sean propiedad de la institucin
Cuando un funcionario no autorizado o visitante requiera entrar a las salas
donde se encuentran los servidores, debe solicitar autorizacin mediante
comunicacin interna a la oficina de TICS.
Los equipos de cmputo, cables, UPS, subestacin elctrica, aires
acondicionados, dispositivos de almacenamiento y de comunicacin mvil o
inalmbrica, deben estar amparados en plizas contra robo, prdida, dao o
acceso no autorizado. Adems, no ser permitido el consumo de lquidos,
alimentos, ni humo dentro de los centros de cmputo o salas donde reposen
los equipos. [ISO/IEC 27001:2005 A.9.2]
106
10.5 Seguridad Legal

10.5.1 Licenciamiento De Sofware
Se prohbe en la Institucin Universitaria Colegio Mayor del Cauca, instalar
software y programas no autorizados y sin licenciamiento en la red de la
IUCMC.
Los programas o Software sern instalados nica y exclusivamente por
personal perteneciente al rea de TIC (sistemas) o personal autorizado previa
verificacin de su legalidad.
Los usuarios o funcionarios que requieran instalacin de software deben
justificar su uso, indicando el equipo donde se instalar y el perodo de tiempo
que ser usado.
Se considera una falta grave que los usuarios, instalen cualquier tipo de
programa en sus computadores, servidores, estacin de trabajo u otros
equipos conectados a la red del colegio mayor que no est autorizado por la
oficina de TICS.
Se debe mantener por parte de la oficina de TICS el inventario actualizado de
equipos, programas y licencias instaladas.
107
11 Recomendaciones
S
b
z
z
y
anlisis de riesgos de la
seguridad de la informacin para la institucin universitaria colegio mayor del
cauca" para aprobar o mejorar la ejecucin de los controles propuestos al
interior de la IUCMC.
Implementacin del Sistema de Gestin de Seguridad de la Informacin para
proteger el acti
L I
, para esto es necesario
ccontratar personal capacitado en seguridad
Capacitar al personal del rea de TIC o de sistemas en temas de seguridad
informtica para apoyar el proceso de capacitacin a todo el personal
involucrado con la IUCMC.
Evaluar y aprobar las polticas generadas dentro de este proyecto.
Los nuevos controles de seguridad resultado del anlisis de riesgos deben ser
puestos en funcionamiento a la mayor brevedad, toda vez que de esto
depende la continuidad del negocio de la IUCMC.
Las directivas (la alta gerencia), deben tener en cuenta este estudio de
seguridad informtica, la aplicacin e implementacin del mismo adems de
incluir recursos necesarios para el desarrollo de la misma en el ao 2015.
Los funcionarios de la institucin deben recibir un ciclo de capacitacin y
socializacin del desarrollo del proyecto para conocer y adoptar la poltica de
cambio de seguridad informtica en pro de las mejores prcticas.
Las directivas de la institucin deben por medio del rea de TIC y de los
directos responsables en este campo posibilitar estos cambios, haciendo uso
de jornadas pedaggicas de simulacro de desastre informticos, y as poder
comparar los beneficios de los nuevos controles de seguridad.
Incluir dentro de las tareas del equipo de TIC auditorias permanentes a los
activos de informacin para actualizar controles y contribuir con el desarrollo de
mejores prcticas relacionadas con la seguridad de la informacin.
108
12 Conclusiones
Finalizado el proyecto se logra alcanzar todos los objetivos planteados; los
controles generados permiten mejorar y normalizar los procesos de la IUCMC
aplicando los conceptos de seguridad de la informacin.
Aplicar la metodologa MAGERIT para el anlisis de riesgo es el primer paso para
garantizar la seguridad de los activos de informacin y el normal funcionamiento
interno de la IUCMC.
El anlisis de riesgo aplicado, permite conocer de manera global el estado actual
de la seguridad informtica dentro de la IUCMC.
Los controles y polticas de seguridad de la informacin resultado de este anlisis
de riesgos pueden ser tomados como soporte para la implementacin del SGSI;
encaminado a:
Reducir el ambiente de riesgo vigente.
Disponer de las medidas de control interno necesarias.
Disminuir el grado de exposicin de los sistemas que se procesan.
Incrementar la confiabilidad, integridad y disponibilidad de la informacin.
Optimizar los procesos orientados al cumplimiento de los objetivos de la
Institucin.
Conseguir disminuir el riesgo actual a su nivel mnimo.
La IUCMC actualmente presenta un nivel de riesgo informtico considerable, que
con el apoyo de las directivas (alta gerencia) y de todo el personal es posible
contrarrestar.
109
13 Bibliografa
[ARIA05] ARIAS RUIZ DE SOMAVIA, RAMN; Anlisis de Riesgos del Sistema

de Informacin clasificado de Isdefe. Informe interno de la empresa. 2005.
vila Arzuza, M. (2012). Implantacin de un SGSI. (Trabajo Final de Mster).
Universidad
Oberta
de
Catalunya.
Recuperado
de
http://openaccess.uoc.edu/webapps/o2/handle/10609/14743. Trabajo de grado
para la implantacin de un Sistema de Gestin de Seguridad de la Informacin en
entorno real.
Bisogno, Mara Victoria (2004). Metodologa para el aseguramiento de entornos
informatizados MAEI. Universidad de Buenos Aires (Argentina). Recuperado de:
http://materias.fi.uba.ar/7500/bisogno-tesisdegradoingenieriainformatica
BOLAOS, Mara C y ROCHA G. Mnica. 25 de marzo de 2014. Auditoria de SI.
Magerit V3 (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin).[en
linea]:
http://asijav.weebly.com/auditoria-de-sistemas-deinformacioacuten/magerit-v3-metodologa-de-anlisis-y-gestin-de-riesgos-de-lossistemas-de-informacion.
CALDER, Alan. Implementing information security based on ISO 27001/ISO
27002,
ISBN
9087538189,
2012.
[en
linea].
http://books.google.com.co/books/about/Implementing_information_security_based
.html?hl=fil&id=515eAgAAQBAJ&redir_esc=y
Cevallos Michilena, Mario Andres, Metodologa de seguridad informtica con base
en la norma ISO 27002 y en herramientas de prevencin de intrusos para la red
Administrativa del Gobierno Autnomo Descentralizado de San Miguel de Ibarra.
http://repositorio.utn.edu.ec/bitstream/123456789/2676/1/04%20RED%20027%20
TESIS.pdf
COBIT. ISACA Trust in, and value from, information systems. [en lnea]
https://www.isaca.org/Pages/default.aspx. Marco de referencia para optimizar y
salvaguardas los recursos o activos de informacin y tecnolgicos de cualquier
empresa.
DIRECCIN GENERAL DE MODERNIZACIN ADMINISTRATIVA (2012).
MAGERIT versin 3.0. Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin. Libro I: Mtodo, Libro II: Catlogo de Elementos, Libro
III: Gua de Tcnicas.
110
Fisher, P. Royal. (1988). Seguridad en los sistemas informticos. En. Daz de

Santos (Ed). Recuperado de http://books.google.es/books?hl=es&lr=&id=_Hu6Zu6
VLP4C&oi=fnd&pg=PR7&dq=seguridad+en+los+sistemas+informaticos&ots=zPpF
_P3Ab8&sig=i96QHUdE8kcXjq60XbjKg9r5V2w.El libro explica de manera sencilla
y estructurada el diseo para la seguridad informtica, haciendo nfasis en los
puntos de control, colaboracin de la alta direccin para la implementacin de
seguridad en los procesos organizacionales.
Gonzlez Barroso, J. (2012). Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin. Madrid. Ministerio de Hacienda y Administraciones
Pblicas. Libro I de la metodologa Magerit ofrece los lineamientos necesarios en
el Proceso de Gestin de Riesgos dentro de un marco de trabajo para administrar
los riesgos derivados del uso de tecnologas de la informacin.
Gonzlez Barroso, Jess. (2012). Gua de Tcnicas. Madrid. Ministerio de
Hacienda y Administraciones Pblicas. Libro III de la metodologa Magerit describe
las tcnicas usadas para hacer el Anlisis de riesgos.
Gonzlez Barroso, Jess. (2012). Catlogo de Elementos. Madrid. Ministerio de
Hacienda y Administraciones Pblicas. (v.3.0): Metodologa de anlisis y Gestin
de riesgos los sistemas de informacin. Libro nmero II de la metodologa
MAGERIT, estandariza los elementos objeto de proyecto de anlisis necesarios
para generar un inventario de activos, para luego hacer la administracin de estos.
Hisham M. H. & Brunil D. R.(2009). Asset Identification for Security Risk
Assessment in Web Application: International Journal of Software Engineering.
Documento u artculo en formato pdf, ofrece informacin para identificar los
riesgos en activos de seguridad, especficamente en aplicaciones Web.
INSTITUCIN UNIVERSITARIA COLEGIO MAYOR DEL CAUCA (2011), Historia
Institucional
1967-2011.
[En
lnea].
http://www.colmayorcauca.edu.co/unimayor/page/historia-institucional. Suministra
informacin histrica y actual acerca del Colegio Mayor del Cauca.
Instituto Nacional de Tecnologas de la Comunicacin (INTECO). Implantacin de
un
SGSI
en
la
empresa.
[en
lnea].
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.p
df. Muestra de manera sencilla los conceptos y componentes necesarios dentro de
la implementacin del sistema de gestin de la seguridad de la informacin.
Ley 1273 de 2009. Ministerio de Tecnologas de la Informacin y de las
Telecomunicaciones (MinTIC). [en linea]. ttp://www.mintic.gov.co/portal/604/w3article-3705.html
111
Machuca Contreras John (2011). Tesis de maestra:Gua para la evaluacin del

sistema de riesgo operativo en la Cooperativa de Ahorro y Crdito Jardn Azuayo.
Cuenca.140P.[en
linea].
http://dspace.ucuenca.edu.ec/bitstream/123456789/2729/1/tm4487.pdf
Maxitana C, Jennifer D, Naranjo S. Bertha A. Administracin de riesgos de
tecnologa de informacin de una empresa del sector informtico. [en linea].
https://www.dspace.espol.edu.ec/bitstream/123456789/15896/3/Resumen Cicyt.Administracin de Riesgos de TI de una empresa del sector Informtico .pdf
NTP-ISO/IEC 1779, Norma tcnica Peruana (2007). EDI, Tecnologa de la

informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la
informacin, Segunda edicin.
Pallas M. Gustavo (2009). Tesis de Maestra en Ingeniera en Computacin,
Metodologa de implantacin de un SGSI en un grupo empresarial jerrquico.
ISSN 1510 7264.
PAREDES F. Geomayra y VEGA N. Mayra (2011). Desarrollo de una metodologa
para la auditora de riesgos Informticos (fsicos y lgicos) y su aplicacin al
Departame
la judicatura. Escuela Superior Politcnica De Chimborazo (Ecuador).
PHVA Qu es el ciclo PHVA? Enero 09 de 2010. Blog de Seguridad informtica.
[en linea]. http://securityjeifer.wordpress.com/tag/phva/. Conceptos enmarcados
sobre la ejecucin de este ciclo til dentro de los procesos (sistemas) de gestin
de la calidad, incluyendo los de seguridad de la informacin.
Plate, A. ISO/IEC 2700: Sistema de Gestin de la de la Seguridad de la
Informacin.
Recuperado
de
http://datateca.unad.edu.co/contenidos/233004/24326153-Seminario-Iso-7001.pdf
Portal administracin electrnica. MAGERIT v3: Metodologa de Anlisis y Gestin
de
Riesgos
de
los
sistemas
de
informacin.
[En
lnea].
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Meto
dolog/pae_Magerit.html#.VCmVZhZRVJQ
Portantie,Fabian. La seguridad
reduser.com
informtica
(libro
pdf).
[en lnea]. http://
Prevencin y soluciones. ENI (Ed). Recuperado de http://books.google.es

/books?id=K8XdRni4t94C&printsec=frontcover&hl=es#v=onepage&q&f=false
112
Ramrez, G. M. & Constain, G. E. (2012). Modelos y estndares de la seguridad

Informtica. Mdulo de estudio de la Universidad Nacional Abierta y a Distancia,
hace referencia a los modelos y estndares aplicables dentro de la seguridad
informtica
Romn Valdes Cesardari(2014). Recurso digital Investigacion aplicada. [en linea].
http://issuu.com/lizbethfuentes6/docs/m2-t1
Royer, J.M. (2004) Seguridad en la informtica de empresa: riesgos, amenazas,
RUIZ L. Hernando. RESOLUCION 160-005326 Poltica de Seguridad de la
informacin de la Superintendencia de Sociedades. 2008.
Sabogal R., E. A. (2013) Proyecto de seguridad informtica I. Mdulo de estudio
que presenta los lineamientos y recomendaciones para elaboracin del
anteproyecto y proyecto de grado requisito para optar por el ttulo de especialistas
en seguridad informtico ofrecido por la UNAD.
113
14 Anexos
14.1 Anexo A: Clasificacin De Los Activos
TIPO DE ACTIVO
DESCRIPCIN
Los datos son el combustible con el que opera una
organizacin. La informacin es un activo abstracto que
ser almacenado en equipos o soportes de informacin
y que puede ser transferido de un lugar a otro por los
medios de transmisin de datos. Pertenecen a este
[D] Datos / Informacin
grupo: ficheros, copias de respaldo, datos de
configuracin , datos de gestin interna, credenciales,
datos de validacin de credenciales, datos de control de
acceso, registro de actividad, cdigo fuente, cdigo
ejecutable y datos de prueba
Funcin que satisface una necesidad de los usuarios,
como: world wide web, acceso remoto a cuenta local ,
correo electrnico , almacenamiento de ficheros,
[S] Servicios
transferencia de ficheros, intercambio electrnico de
datos, servicio de directorio, gestin de identidades ,
gestin de privilegios , PKI - infraestructura de clave
pblica.
Programas, aplicativos, desarrollos, que han sido
automatizadas para su desempeo por un equipo
informtico, entre ellos estn: desarrollo propio ,
desarrollo a medida (subcontratado), estndar,
navegador web, servidor de presentacin, servidor de
[SW] Software / Aplicativos aplicaciones, cliente de correo electrnico, servidor de
correo electrnico, servidor de ficheros , sistema de
gestin de bases de datos, monitor transaccional,
ofimtica, anti virus, sistema operativo, gestor de
mquinas virtuales, servidor de terminales, sistema de
backup.
Medios materiales, fsicos, destinados a soportar directa
o indirectamente los servicios que presta la
organizacin, entre ellos podemos identificar: agendas
[HW]
Equipamiento electrnicas , equipo virtual, equipamiento de respaldo,
informticos (Hardware )
perifricos dispositivos criptogrficos, dispositivo de
frontera,
soporte de la red,
concentradores,
conmutadores, encaminadores, firewall, punto de
acceso inalmbrico, etc.
114
Incluyendo tanto instalaciones dedicadas como

de servicios de comunicaciones contratados a terceros.
Medios de comunicacin que tiene por objetivo
transportar datos de un sitio a otro.
Dispositivos fsicos que permiten almacenar informacin
[Media]
Soportes
de
de forma permanente o por largos periodos de tiempo.
informacin
Ejemplo: CD-ROM, DVD, USB, Material Impreso.
Equipos que sirven de soporte a los sistemas de
[AUX]
Equipamiento informacin, sin estar directamente relacionados con
auxiliar
datos; como: fuentes de alimentacin, cableado,
armarios, mobiliario, equipos de climatizacin.
Lugares donde se hospedan los sistemas de
[L] Instalaciones
informacin y comunicaciones. Ejemplo: cuartos,
edificios, instalaciones de respaldo.
Personal relacionado con los sistemas de informacin;
como: personal interno y externo, operadores,
[P] Personal
administradores de sistemas, desarrolladores de
sistemas, contratistas y proveedores.
Conjunto de elementos interrelacionados que permiten
[SI]
Sistema
de la obtencin, procesamiento, almacenamiento y
22
distribucin de la informacin para apoyar la toma de
Informacin
decisiones y el control en una organizacin.
[COM]
Redes
comunicaciones
14.2 Anexo B : Valoracin De Activos Escala Estndar

[pi] Informacin de carcter personal
6.pi1
probablemente afecte gravemente a un grupo de individuos
6 6.pi2
probablemente quebrante seriamente la ley o algn reglamento de
5
5.pi1
5.pi2
4.pi1
4.pi2
3.pi1
3.pi2
2.pi1
2.pi2
4
3
2
22
probablemente afecte gravemente a un individuo

probablemente quebrante seriamente leyes o regulaciones
probablemente afecte a un grupo de individuos
probablemente quebrante leyes o regulaciones
probablemente afecte a un individuo
probablemente suponga el incumplimiento de una ley o regulacin
pudiera causar molestias a un individuo
pudiera quebrantar de forma leve leyes o regulaciones
Adaptado para este proyecto y nombrado como aplicaciones informticas.
115
1
1.pi1 pudiera causar molestias a un individuo
[lpo] Obligaciones legales
9
9.lro probablemente cause un incumplimiento excepcionalmente grave de
una ley o regulacin
7
7.lro probablemente cause un incumplimiento grave de una ley o
regulacin
5
5.lro probablemente sea causa de incumplimiento de una ley o regulacin
3
3.lro probablemente sea causa de incumplimiento leve o tcnico de una
ley o regulacin
1
1.lro pudiera causar el incumplimiento leve o tcnico de una ley o
regulacin
[si] Seguridad
10 10.si Probablemente sea causa de un incidente excepcionalmente serio de
seguridad o dificulte la investigacin de incidentes excepcionalmente
serios.
9
9.si
Probablemente sea causa de un serio incidente de seguridad o
dificulte la investigacin de incidentes serios.
7
7.si
Probablemente sea causa de un grave incidente de seguridad o
dificulte la investigacin de incidentes graves.
3
3.si
probablemente sea causa de una merma en la seguridad o dificulte la
1
1.si
pudiera causar una merma en la seguridad o dificultar la
[cei] Intereses comerciales o econmicos
9 9.cei.a de enorme inters para la competencia
9.cei.b de muy elevado valor comercial
9.cei.c causa de prdidas econmicas excepcionalmente elevadas
9.cei.d causa de muy significativas ganancias o ventajas para individuos u
organizaciones
9.cei.e constituye un incumplimiento excepcionalmente grave de las
7 7.cei.a de alto inters para la competencia
7.cei.b de elevado valor comercial
7.cei.c causa de graves prdidas econmicas
7.cei.d proporciona ganancias o ventajas desmedidas a individuos u
organizaciones
7.cei.e constituye un serio incumplimiento de obligaciones contractuales
relativas a la seguridad de la informacin proporcionada por terceros
3 3.cei.a de cierto inters para la competencia
3.cei.b de cierto valor comercial
3.cei.c causa de prdidas financieras o merma de ingresos
116
3.cei.d facilita ventajas desproporcionadas a individuos u organizaciones

3.cei.e constituye un incumplimiento leve de obligaciones contractuales para
mantener la seguridad de la informacin proporcionada por terceros
2 2.cei.a de bajo inters para la competencia
2.cei.b de bajo valor comercial
1 1.cei.a de pequeo inters para la competencia
1.cei.b de pequeo valor comercial
0 0.3
supondra prdidas econmicas mnimas
[da] Interrupcin del servicio
9 9.da
Probablemente cause una interrupcin excepcionalmente seria de las
organizaciones
9.da2 Probablemente tenga un serio impacto en otras organizaciones
7 7.da
Probablemente cause una interrupcin seria de las actividades
organizaciones
7.da2 Probablemente tenga un gran impacto en otras organizaciones
5 5.da
Probablemente cause la interrupcin de actividades propias de la
Organizacin con impacto en otras organizaciones
5.da2 Probablemente cause un cierto impacto en otras organizaciones
3 3.da
Probablemente cause la interrupcin de actividades propias de la
Organizacin
1 1.da
Pudiera causar la interrupcin de actividades propias de la
Organizacin
[po] Orden pblico
9 9.po
alteracin seria del orden pblico
6 6.po
probablemente cause manifestaciones, o presiones significativas
3 3.po
causa de protestas puntuales
1 1.po
pudiera causar protestas puntuales
[olm] Operaciones
10 10.olm Probablemente cause un dao excepcionalmente serio a la eficacia o
seguridad de la misin operativa o logstica
9 9.olm Probablemente cause un dao serio a la eficacia o seguridad de la
7 7.olm Probablemente perjudique la eficacia o seguridad de la misin
5 5.olm Probablemente merme la eficacia o seguridad de la misin operativa
o logstica ms all del mbito local
3 3.olm Probablemente merme la eficacia o seguridad de la misin operativa
o logstica (alcance local)
1 1.olm Pudiera mermar la eficacia o seguridad de la misin operativa o
117
logstica (alcance local)

[adm] Administracin y gestin
9 9.adm probablemente impedira seriamente la operacin efectiva de la
Organizacin, pudiendo llegar a su cierre
7 7.adm probablemente impedira la operacin efectiva de la Organizacin
5 5.adm probablemente impedira la operacin efectiva de ms de una parte
de la Organizacin
3 3.adm probablemente impedira la operacin efectiva de una parte de la
Organizacin
1 1.adm pudiera impedir la operacin efectiva de una parte de la Organizacin
[lg] Prdida de confianza (reputacin)
9 9.lg.a Probablemente causara una publicidad negativa generalizada por
afectar de forma excepcionalmente grave a las relaciones a las
relaciones con otras organizaciones
9.lg.b Probablemente causara una publicidad negativa generalizada por
afectar de forma excepcionalmente grave a las relaciones a las
relaciones con el pblico en general
7 7.lg.a Probablemente causara una publicidad negativa generalizada por
afectar gravemente a las relaciones con otras organizaciones
7.lg.b Probablemente causara una publicidad negativa generalizada por
afectar gravemente a las relaciones con el pblico en general
5 5.lg.a Probablemente sea causa una cierta publicidad negativa por afectar
negativamente a las relaciones con otras organizaciones
5.lg.b Probablemente sea causa una cierta publicidad negativa por afectar
3 3.lg
Probablemente afecte negativamente a las relaciones internas de la
Organizacin
2 2.lg
Probablemente cause una prdida menor de la confianza dentro de
la Organizacin
1 1.lg
Pudiera causar una prdida menor de la confianza dentro de la
Organizacin
0 0.4
no supondra dao a la reputacin o buena imagen de las personas u
organizaciones
[crm] Persecucin de delitos
8 8.crm Impida la investigacin de delitos graves o facilite su comisin
4 4.crm Dificulte la investigacin o facilite la comisin de delitos
[rto] Tiempo de recuperacin del servicio
7 7.rto
RTO < 4 horas
4
1
0
118
4.rto
1.rto
0.rto
4 horas < RTO < 1 da

1 da < RTO < 5 das
5 das < RTO
[lbl.nat] Informacin clasificada (nacional)

10 10.lbl
Secreto
9 9.lbl
Reservado
8 8.lbl
Confidencial
7 7.lbl
Confidencial
6 6.lbl
Difusin limitada
5 5.lbl
Difusin limitada
5.lbl
Difusin limitada
4 4.lbl
Difusin limitada
3 3.lbl
Difusin limitada
2 2.lbl
Sin clasificar
1 1.lbl
Sin clasificar
[lbl.ue] Informacin clasificada (Unin Europea)
10 10.ue TRES SECRET UE
9 9.ue
SECRET UE
8 8.ue
CONFIDENTIEL UE
7 7.ue
CONFIDENTIEL UE
6 6.ue
RESTREINT UE
5 5.ue
RESTREINT UE
4 4ue
RESTREINT UE
3 3.ue
RESTREINT UE
14.3 Anexo C: Encuesta Aplicada

Nombre de la empresa: Institucin Universitaria Colegio Mayor del Cauca
Nombre de la persona entrevistada: Edgar A. Galvis C.
Cargo del entrevistado en la entidad: Asesor TIC
Fecha: 11/12/2013
ENCUESTA
A. Con respecto a los aspectos generales de la Seguridad en Redes
Pregunta: Indagar acerca de la disponibilidad, desempeo, confidencialidad,
integridad y control de acceso fsico y lgico, considerando componentes de la red
como: Switches, Routers, Firewall, IPS/IDS, Gateway Antivirus de la empresa,
desempeo de la Red, topologa existente, con respecto a ello preguntar acerca
de conexiones, componentes software y hardware utilizados, planos existentes y
diseo.
119
R. /
Switches: Cerca del 60% de estos equipos de comunicacin en los diferentes
subcentros de cableado son de ltima tecnologa a velocidades Gigabit Ethernet
en marcas como Cisco, HP y Dell, lo cual garantiza en cierto grado la
disponibilidad y el buen desempeo. Los Switches principales o de core en los
centros de datos de cada sede estn configurados de acuerdo a la segmentacin
del diseo de red y configurados en VLANs, lo cual minimiza los riesgos de acceso
no autorizado entre subredes y elimina trfico innecesario. El control de acceso
fsico es deficiente, ya que muchos de los Switches aunque se encuentran en
armarios, la seguridad que brindan los armarios de cableado no es la adecuada.
Routers: La configuracin, mantenimiento y disponibilidad del routers Cisco 1900
depende del proveedor Emtel, ya que se tiene en comodato de acuerdo al contrato
adquirido actualmente por ellos.
Firewalls: Se tienen actualmente 3 Firewalls o UTM (Equipos Unificados contra
Amenazas) marca Fortinet modelos 200B, 80C y 60B respectivamente, 2 estn en
uso y uno de reserva. Estos equipos son muy confiables por la seguridad
parametrizable que tienen y son muy completos por la cantidad de mdulos de
seguridad que incorporan como antispam, Firewall con polticas fcilmente
configurables, antivirus Web, Filtrado Web, monitor del estado de memoria y CPU
del equipo, as como monitor de trafico In/Out por interfaz o zona y un Sistema IPS
pre configurado bastante eficiente adems de un administrador de ancho de
banda por interfaz entre otras funcionalidades.
Antivirus: La institucin actualmente paga un licenciamiento anual por el sistema
de proteccin antivirus de ESET en su versin 5.0.22 para empresas, un servidor
de polticas y de actualizaciones para clientes as como el derecho a usar la
consola de administracin.
Desempeo de la Red: La disponibilidad y despeo de la red est sujeta a la
misma confiabilidad de los equipos de red en s. Como medida de prevencin se
tienen en stock 2 Switches de 48 puertos administrables 10/100/1000, y 2
Switches de 24 puertos 10/100/1000. En algunos sitios an se tienen instalados
Switches 10/100 lo que no da un buen rendimiento en esos equipos con relacin a
los dems. Se puede crear un cuello de botella en ocasiones entre la sede alterna
(Bicentenario-Casa Obando) y la sede principal (Encarnacin) en periodos de
matrculas donde se accede a los sistemas de informacin acadmica y se
realizan consultas y procesos con alto consumo de ancho de banda y las
capacidades del firewall de esa sede no es la suficiente para atender estas
solicitudes simultaneas adems del trfico normal existente (Internet, Servicios
Internos de red, Video-Vigilancia IP, Telefona IP entre otros).
Topologa de Red: Nuestra topologa de red se puede definir entre una mezcla de
topologa en rbol y topologa en estrella. En rbol teniendo en cuenta que desde
120
la sede principal se derivan todos los servicios y conexiones hacia las otras
subredes y Switches adems de la conexin hacia las dos sedes alternas a travs
del canal de interconexin por fibra.
Planos, Conexiones y Diseo: La sede encarnacin por ser una edificacin antigua
no tiene planos de red, existen algunos planos elctricos pero estn
desactualizados. De la sede Bicentenario se tienen todos los planos elctricos de
voz y datos. Estamos en proceso de actualizacin de la diagramacin lgica y
diseo de las redes y subredes en las diferentes sedes. Se tiene la distribucin
lgica y diseo del direccionamiento de red en la LAN de cada sede. En cuanto a
conexiones y cableado se cuenta casi con el 90% de la red de datos con cable Cat
6 y la interconexin con la sede alterna adems de la conexin con la red
acadmica Renata y RUP se hace por fibra ptica con velocidades de 30Mbps y
50Mbps respectivamente.
B. Con respecto a las medidas que se deben tener en cuenta en las
organizaciones mediante el filtrado de diversos protocolos en los routers de
acceso.
Pregunta: Que medidas internas concretas utilizan en la empresa u organizacin,
para lograr este objetivo planteado?
R./
En el router no sabemos qu medidas se tengan porque dependen directamente
del proveedor, lo que si tenemos filtrado a nivel de servicios, puertos y protocolos
se maneja en los equipos UTM mencionados tanto de entrada como de salida, con
polticas bien definidas de acuerdo al servicio prestado.
Aqu se observa un ejemplo de la poltica creada en el UTM Fortigate 200B.
121
C. Con respecto a que gran parte de los ataques que se producen son debidos
a la obtencin de las claves empleando un programa de sniffing en una red

Ethernet.
Preguntas:
Cual estrategia tienen planteada en su empresa para contrarrestar estos
ataques a la seguridad?
R./ No existe estrategia como tal, solo se tienen las polticas configuradas
en el firewall de acuerdo a servicios, protocolos y puertos desde internet,
hacia internet y entre zonas, que permiten en cierto grado minimizar este
tipo de amenaza, adems por la funcionalidad de proteccin de servidores
http o de correo mediante el IPS.
Que estrategias utilizan para descongestionar el trfico y para permitir una
mayor descongestin del trfico interno.
R./ Se tiene segmentada la red, el diseo del direccionamiento y el
subneting de acuerdo al nmero de equipos por segmento adems de la
creacin de VLANs mejoran el rendimiento de la red y eliminan trfico
innecesario, tambin est configurado NAT para equipos de uso
administrativo y docente y el servicio Proxy para todos los equipos de salas
de cmputo; para agilizar las bsquedas de recursos compartidos y equipos
en red se tiene configurado un servidor Wins.
En la empresa se han presentado ataques informticos? De que clase? Por
favor describirlos a detalle.
Hubo un ataque hace 4 aos aproximadamente donde se comprometi la
seguridad, configuracin e informacin del servidor web y de correo en ese
entonces, al parecer se aprovech un agujero de seguridad en un framework de
programacin utilizado y abri un puerto ftp embebido con privilegios por consola,
hicieron escalada de privilegios y afectaron la interfaz grfica, algunos servicios y
archivos y obtuvieron la clave de acceso al motor mysql, esto se dio por
desconocimiento en aspectos de seguridad y la falta de un escenario de pruebas
para no comprometer directamente el servidor de produccin y primero haber
probado el aplicativo y funcionalidades del mismo.
Que mecanismos y que servicios de seguridad se usa en la empresa?
R. / UTM con los mdulos de filtrado, proteccin y anlisis de trfico, Sistema de
proteccin Antivirus, Firewall personal por equipo (Administrativos), segmentacin
de red y diseo del direccionamiento con subneting. En la parte fsica se tienen 30
cmaras IP, sistemas de alarmas en salas de cmputo, laboratorios, cuartos de
servidores y centros de cableado.
D. Con respecto a la Ubicacin Del IDS En Una Organizacin. Mecanismos de
Seguridad
122
Pregunta: Existen principalmente tres zonas en las que podramos poner un

sensor Si lo tienen en que zona est ubicado, si no donde lo ubicaran.
R. / El UTM incorpora un sistema IPS y este se encuentra activo en dos zonas
actualmente, la primera es a la entrada del canal de Internet e Interconexin con
la sede alterna y lo tenemos activo en la zona DMZ.
E. Con respecto a los tipos de amenazas humanas. Los actos humanos que
pueden afectar la seguridad de un sistema son variados, entre los ms

comunes e importantes estn:
Curiosos, Intrusos remunerados, Personal enterado, Terroristas, Robo,
Sabotaje, Fraude.
Pregunta: Cul de estos tipos de amenaza se ha presentado en su organizacin?
R./ Los IPS en sus logs de corta duracin, generalmente informan de intentos de
ataque a los servidores, al parecer segn los ataques que se previenen vienen de
herramientas de scanning y sniffing, creemos que pueden ser personas Curiosas o
Personas entrenadas.
F. Con respecto a la Implementacin de plan de seguridad Para la
implementacin del Plan de Seguridad para cualquier organizacin, se debe

tender en cuenta principalmente aquellas herramientas que nos permitirn
tener una informacin confiable mediante archivos de trazas o logsticos de
todos los intentos de conexin que se han producido sobre un sistema, as
como intentos de ataque de forma sistemtica a puertos tanto de TCP como
de UDP.
Pregunta: Describa el Plan de Seguridad Implementado en la organizacin
R./ Actualmente la Institucin No tiene un plan de seguridad implementado.
Dentro de las recomendaciones hechas, se sugiere comenzar con un estudio de

anlisis de riesgos para evaluar el nivel de seguridad actual en la Institucin,
segn los resultados obtenidos generar un marco de trabajo que permita
establecer la adopcin de controles para los riesgos encontrados, disear polticas
de seguridad y aprobar en un futuro la implantacin de un Sistema de Gestin de
Seguridad de la Informacin.
123
14.4 Anexo D: Catalogo De Salvaguardas
Protecciones Generales u Horizontales

H Protecciones Generales.
H.IA Identificacin y autenticacin.
H.AC Control de acceso lgico.
H.ST Segregacin de tareas.
H.IR Gestin de incidencias.
H.tools Herramientas de seguridad.
H.tools.AV Herramienta contra cdigo daino.
H.tools.IDS IDS/IPS: Herramienta de deteccin / prevencin de intrusin.
H.tools.CC Herramienta de chequeo de configuracin.
H.tools.VA Herramienta de anlisis de vulnerabilidades H.tools.TM Herramienta de
monitorizacin de trfico.
H.tools.DLP DLP: Herramienta de monitorizacin de contenidos.
H.tools.LA Herramienta para anlisis de logs.
H.tools.HP Honey net / honey pot.
H.tools.SFV Verificacin de las funciones de seguridad.
H.VM Gestin de vulnerabilidades.
H.AU Registro y auditora.
Proteccin de los Datos / Informacin
D Proteccin de la Informacin
D.A Copias de seguridad de los datos (backup)
D.I Aseguramiento de la integridad
D.C Cifrado de la informacin
D.DS Uso de firmas electrnicas
D.TS Uso de servicios de fechado electrnico (time stamping)
Proteccin de las Claves Criptogrficas
K Gestin de claves criptogrficas
K.IC Gestin de claves de cifra de informacin
K.DS Gestin de claves de firma de informacin
K.disk Gestin de claves para contenedores criptogrficos
K.comms Gestin de claves de comunicaciones
K.509 Gestin de certificados
Proteccin de los Servicios
S Proteccin de los Servicios
S.A Aseguramiento de la disponibilidad
S.start Aceptacin y puesta en operacin
124
S.SC Se aplican perfiles de seguridad

S.op Explotacin
S.CM Gestin de cambios (mejoras y sustituciones)
S.end Terminacin
S.www Proteccin de servicios y aplicaciones web
S.email Proteccin del correo electrnico
S.dir Proteccin del directorio
S.dns Proteccin del servidor de nombres de dominio (DNS)
S.TW Teletrabajo S.voip Voz sobre IP
Proteccin de las Aplicaciones (Software)
SW Proteccin de las Aplicaciones Informticas
SW.A Copias de seguridad (backup)
SW.start Puesta en produccin
SW.SC Se aplican perfiles de seguridad
SW.op Explotacin / Produccin
SW.CM Cambios (actualizaciones y mantenimiento)
SW.end Terminacin
Proteccin de los Equipos (Hardware)
HW Proteccin de los Equipos Informticos
HW.start Puesta en produccin
HW.SC Se aplican perfiles de seguridad
HW.A Aseguramiento de la disponibilidad
HW.op Operacin
HW.CM Cambios (actualizaciones y mantenimiento)
HW.end Terminacin
HW.PCD Informtica mvil
HW.print Reproduccin de documentos
HW.pabx Proteccin de la centralita telefnica (PABX)
Proteccin de las Comunicaciones
COM Proteccin de las Comunicaciones
COM.start Entrada en servicio
COM.SC Se aplican perfiles de seguridad
COM.A Aseguramiento de la disponibilidad
COM.aut Autenticacin del canal
COM.I Proteccin de la integridad de los datos intercambiados
COM.C Proteccin criptogrfica de la confidencialidad de los datos intercambiados
COM.op Operacin
COM.CM Cambios (actualizaciones y mantenimiento)
COM.end Terminacin
COM.internet Internet: uso de ? acceso a
COM.wifi Seguridad Wireless (WiFi)
COM.mobile Telefona mvil
125
COM.DS Segregacin de las redes en dominios

Proteccin en los Puntos de Interconexin con otros Sistemas
IP Puntos de interconexin: conexiones entre zonas de confianza
IP.SPP Sistema de proteccin perimetral IP.BS Proteccin de los equipos de
frontera
Proteccin De Los Soportes De Informacin
MP Proteccin de los Soportes de Informacin
MP.A Aseguramiento de la disponibilidad
MP.IC Proteccin criptogrfica del contenido
MP.clean Limpieza de contenidos
MP.end Destruccin de soportes
Proteccin De Los Elementos Auxiliares
AUX Elementos Auxiliares
AUX.A Aseguramiento de la disponibilidad
AUX.start Instalacin
AUX.power Suministro elctrico
AUX.AC Climatizacin
AUX.wires Proteccin del cableado
Seguridad Fsica Proteccin De Las Instalaciones
L Proteccin de las Instalaciones
L.design Diseo
L.depth Defensa en profundidad
L.AC Control de los accesos fsicos
L.A Aseguramiento de la disponibilidad
L.end Terminacin
Salvaguardas Relativas Al Personal
Son aquellas que se refieren a las personas que tienen relacin con el sistema de
informacin.
PS Gestin del Personal
PS.AT Formacin y concienciacin
PS.A Aseguramiento de la disponibilidad
Salvaguardas De Tipo Organizativo
Son aquellas que se refieren al buen gobierno de la seguridad.
G Organizacin
G.RM Gestin de riesgos
G.plan Planificacin de la seguridad
G.exam Inspecciones de seguridad
126
Continuidad De Operaciones
Prevencin y reaccin frente a desastres.
BC Continuidad del negocio
BC.BIA Anlisis de impacto (BIA)
BC.DRP Plan de Recuperacin de Desastres (DRP)
Externalizacin
Es cada vez ms flexible la frontera entre los servicios de seguridad prestados
internamente y los servicios contratados a terceras partes. En estos casos es
fundamental cerrar los aspectos de relacin contractual:
SLA: nivel de servicio, si la disponibilidad es un valor
NDA: compromiso de secreto, si la confidencialidad es un valor
Identificacin y calificacin del personal encargado
Procedimientos de escalado y resolucin de incidencias
Procedimiento de terminacin (duracin en el tiempo de las
responsabilidades asumidas)
Asuncin de responsabilidades y penalizaciones por incumplimiento
E Relaciones Externas
E.1 Acuerdos para intercambio de informacin y software
E.2 Acceso externo
E.3 Servicios proporcionados por otras organizaciones
E.4 Personal subcontratado
Adquisicin Y Desarrollo
NEW Adquisicin / desarrollo
NEW.S Servicios: Adquisicin o desarrollo
NEW.SW Aplicaciones: Adquisicin o desarrollo
NEW.HW Equipos: Adquisicin o desarrollo
NEW.COM Comunicaciones: Adquisicin o contratacin
NEW.MP Soportes de Informacin: Adquisicin
NEW.C Productos certificados o acreditados
127
14.5 Anexo E: Valoracin De Riesgos

Tabla 32: Valoracin de Riesgos
SISTEMAS DE COMUNICACIONES
Probabilidad
Riesgo/Valoracin
A
M B
R1
Sistema
telefona IP no
funciona
adecuadament
e
Impacto
Tratamiento Observaciones
L M C
Interrupciones
frecuentes a
sistemas
de
comunicacin
como
chat
R2
institucional o
algn servicio
dependiente
de
estas
tecnologas.
HARDWARE
Aceptarlo
No hace parte
del core del
negocio,
es
contratado con
el ISP
Aceptarlo
El servicio es
provisto
de
manera gratuita
N/A.
por un agente
externo
google.
Probabilidad Impacto
A M B L M C
Riesgo/Valoracin
de
R3
Falta
mantenimiento
correctivo
R4
Instalacin
equipos
cmputo
de
de
de
128
Tipo
de
Controles
control
N/A.
Sin
embargo
se
recomienda
realizar
las
actividades
y
controles:
ISO 27001: 10.3
Preventivo
Planificacin
y
Aceptacin del
Sistema.
En su defecto
posible montaje
de sistema VoIP
propio.
N/A.
Tipo
control
de
Establecer planes
Establecer
de mantenimiento
un control y
efectivos
por Correctivo
planeacin
semestre o por mes
peridica
y monitorearlos.
Establecer
un control
Acordar que se
sugieran consejos Correctivo
para instalar de
Controles
ISO 27001:
9.2.4
Mantenimi
ento
de
equipos.
ISO 27001:
9.2.4
manera incorrecta
forma correcta los

equipos y de igual
forma generar un
procedimiento nico
a seguir.
ADMINISTRACION DE INFORMACION
Riesgo/Valoracin
A M B L M C
Integrar
una
herramienta
para
ejecutar copias de
Perdida
de
la
informacin
Establecer
R5 informacin
de
X
X
crtica
y
la
un control
respaldo
implantacin de un
sistema de gestin
documental
como
Nexus.
R6
Dao
de
la
informacin
por
incorrecto
almacenamiento
Establecer
un control
Mantenimi
ento
de
equipos.
Tipo
control
de
Correctivo
y
Preventivo
Establecer
parmetros
Correctivo
efectivos para la
y
administracin,
Preventivo
manejo
y
almacenamiento.
Controles
ISO 27001:
10.5.1
Respaldo
de
la
informaci
n
ISO 27001:
10.5.1
Respaldo
de
la
informaci
n
DISPOSITIVOS DE RED
Tratamiento
A M B L M C
Riesgo/Valoracin
R7
Falta
de
documentacin
para
la
administracin
y
configuracin
de
los
dispositivos
activos
de
red
como
Switches,
Routers y Firewalls
o UTMs
129
Observaciones
Tipo
control
de
Generar
documentacin
para
la
Establecer un administracin de
Correctivo
control
los dispositivos de
red por parte del
administrador de
los mismos.
Controles
ISO 27001:
10.1.1
Procedimie
ntos
operativos
documenta
dos
R8
Falta
de
procedimientos
que indique como
restaurar
la
interconexin entre
sedes
Definir
una
poltica
de
Establecer un recuperacin de
control
desastres o un
plan alterno de
operacin
ISO 27001:
10.1.1
Procedimie
ntos
operativos
documenta
dos
ISO 27001:
Preventivo
14.1.3
y correctivo
Mantener o
restaurar
operacione
s
para
asegurar la
disponibilid
ad de la
informacin
SEGURIDAD FISICA
Tratamiento
A M B L M C
Riesgo/Valoracin
R9
El
sistema
cmaras
seguridad IP
funciona
correctamente
de
de
no
Se
identifican
puntos muertos en
R10
el
sistema
de
seguridad
Tipo
control
de
Se debe hacer un
monitoreo
constante
al
Establecer un
sistema, consola Preventivo
control
de administracin
y al servidor de
almacenamiento.
Implementacin
de cmaras de
Establecer un seguridad en los
Preventivo
control
puntos
muertos
con movimiento
180 grados.
INSTALACIONES ELECTRICAS
Riesgo/Valoracin
Tratamiento
A M B L M C
No existe conexin
de polo a tierra en
Establecer un
R11 algunas
X
X
control
dependencias sede
Encarnacin
No
existe
Establecer un
R12
X
X
instalacin
de
control
130
Observaciones
Observaciones
Contratar
una
empresa
especializada en
instalaciones
elctricas
y
mantenimiento
para
las
Tipo
control
de
Controles
ISO 27001:
9.1.1
Permetro
de
seguridad
fsica
ISO 27001:
9.1.1
Permetro
de
seguridad
fsica
Controles
Preventivo
y correctivo ISO 27001:
9.2.2
Servicios
Preventivo de soporte
y correctivo
sistema
elctrico
adecuaciones
regulado
en
necesarias en el
algunos
puntos
circuito elctrico
sedes Encarnacin
y/o sistemas de
Casa Obando
respaldo.
UPS en mal estado
o
mal
Establecer un
R13 funcionamiento por
X
X
Correctivo
control
falta
de
mantenimiento
SISTEMAS DE INFORMACION Y SOFTWARE DE PROTECCION
Tipo
de
Riesgo/Valoracin
Tratamiento
Observaciones
Controles
control
A M B L M C
ISO 27001:
No existen planes
14.1.3
alternos en caso
Mantener o
Implementar una
de falla de las
restaurar
herramienta
de
aplicaciones
operacione
Establecer un respaldos
y
R14 utilizadas en la
X
X
Correctivo s
para
control
restauracin
o
institucin
que
asegurar la
planes
de
permita recuperar
disponibilid
contingencia
un sistema a su
ad de la
normalidad.
informaci
n.
Se debe efectuar
por medio de la
ISO 27001:
Se cuenta con un
consola todo el
10.4
sistema
proceso
de
Proteccin
centralizado
de
Establecer un
Preventivo
R15
X
X
configuracin de
contra
antivirus pero no
control
y correctivo
acuerdo a las
cdigo
est
configurado
polticas
y
mvil
y
adecuadamente.
controles
malicioso
sugeridos
No se cuenta con
la documentacin
Generar
la
de los usuarios y
documentacin
perfiles de acceso
respectiva
de
ISO 27001:
Establecer un
R16 a las diferentes
X
X
roles
y Correctivo 11.2.2
control
aplicaciones web o
responsabilidades
Gestin de
sistemas
de
dentro de las
privilegios
informacin como
aplicaciones.
SIAG.
131
Matriz De Riesgos
Tabla 33: Matriz de Riesgos
Alto
Medio
Bajo
Leve
Moderado
Catastrfico
R2
R1, R3, R10, R11, R12

R7, R8, R9, R13, R16
R4, R6, R15

R5, R14
Riesgos Identificados
Probabilidad Baja Impacto Leve
R2: Servicios de chat.
Probabilidad Baja Impacto Moderado
R7: Falta de documentacin para la administracin y configuracin
de los dispositivos activos de red como Switches, Routers y Firewalls o
UTMs.
R8: Falta de procedimientos que indique como restaurar la
interconexin entre sedes.
R9: El sistema de cmaras de seguridad IP no funciona
correctamente.
R13: UPS en mal estado o mal funcionamiento.
R16: No se cuenta con la documentacin de los usuarios y perfiles
de acceso a las diferentes aplicaciones web o sistemas de informacin
como SIAG.
Probabilidad Media Impacto Moderado
R1: Sistema de telefona IP no funciona adecuadamente.
R3: Falta de mantenimiento correctivo.
R10: Se identifican puntos muertos en el sistema de seguridad.
R11: No existe conexin de polo a tierra.
R12: No existe instalacin de sistema elctrico regulado.
Los siguientes riesgos sern controlados directamente por la institucin.
Probabilidad Baja Impacto Catastrfico
R5: Perdida de informacin de respaldo.
R14: No existen planes alternos en caso de falla de las aplicaciones
utilizadas en la institucin que permita recuperar un sistema a su
normalidad.
Probabilidad Media Impacto Catastrfico
R4: Instalacin de equipos de cmputo de manera incorrecta.
R6: Dao de la informacin por incorrecto almacenamiento.
R15: Se cuenta con un sistema centralizado de antivirus pero no est
configurado adecuadamente.
En resumen, el informe tcnico y los datos aqu expuestos reflejan que existen
riesgos, amenazas y vulnerabilidades en todo sentido, especialmente en el
132
tratamiento de la informacin y los sistemas que administran la misma al interior

de la Institucin Universitaria Colegio Mayor del Cauca, es de vital importancia
asumir una postura consiente de que se deben iniciar procesos, esfuerzos y
planes que lleven a la implementacin de un Sistema de seguridad de la
informacin (SGSI) apoyndose en las normas actuales vigentes ya mencionadas
que apliquen en el pas, buscando mantener en cierto grado un nivel de seguridad
de la informacin aceptable..
14.6 Anexo D: Propuesta; Formato de Poltica De Seguridad
Numero
documento
005
POLTICA
PARA
LA
Fecha
de 28/03/14 ADMINISTRACIN DE SERVIDORES
elaboracin
Fecha
actualizacin
rea:
TIC
Elaborado
Aprobado
por:
por:
JJPR
&
MCC
Introduccin
En redes locales los servidores facilitan el acceso a la red y sus recursos de una
manera apropiada y eficaz adems de segura, partiendo claro esta del buen
manejo, mantenimiento y administracin que se efecte sobre los mismos.
De igual manera se debe garantizar a los usuarios la integridad, la confiabilidad y
la disponibilidad de la informacin.
Finalidad
La finalidad de la poltica para la administracin de servidores se basa en la
descripcin de los requerimientos y acciones mnimas a tener presentes para
tratar y eliminar virus de cmputo adems de prevenir sus variantes.
Definiciones:
Recursos Informticos : Cualquier tipo de informacin, recursos en lnea, medios
de almacenamiento magntico y todas las actividades relacionadas a informacin
computacional, incluyendo cualquier dispositivo capaz de recibir correos,
133
Numero
documento
Fecha
elaboracin
005
POLTICA
PARA
LA
Fecha
actualizacin
rea:
TIC
Elaborado
Aprobado
por:
por:
JJPR
&
MCC
mensajes instantneos, navegacin en la Web, con capacidad de recepcin,

almacenamiento, manejo, o transmisin electrnica de datos, no limitada
servidores, computadores personales, porttiles, computadores manuales,
asistentes personales porttiles (PDA), sistemas de procesamiento distribuido,
redes inalmbricas, recursos de telecomunicacin, ambientes de redes, equipos
de fax e impresoras.
Servidor: En informtica, un servidor es una computador especializado que,
formando parte de una red, provee servicios a otros computadores normales
denominadas clientes tambin puede ser una aplicacin informtica o programa
que realiza algunas tareas en beneficio de otras aplicaciones llamadas clientes.
Algunos servicios habituales son los servicios de archivos, que permiten a los
usuarios almacenar y acceder a los archivos de un computador y los servicios de
aplicaciones, que realizan tareas en beneficio directo del usuario final. Este es el
significado original del trmino. Es posible que un solo computador cumpla
simultneamente las funciones de cliente y de servidor.
Servidor Antivirus: En informtica, un servidor antivirus es un computador con
caractersticas hardware apropiadas de servidor que, formando parte de una red,
provee servicios a otros computadores denominados clientes, se encarga de
actualizar su base de datos de definiciones de virus y actualizar a sus clientes,
134
Numero
documento
Fecha
elaboracin
005
POLTICA
PARA
LA
Fecha
actualizacin
rea:
TIC
Elaborado
Aprobado
por:
por:
JJPR
&
MCC
adems monitorea el estado de los mismos e incluso se pueden programar tareas

especficas en ellos.
Servidor Web: Un servidor web es un programa o aplicacin diseado para
transferir hipertextos, pginas web o pginas HTML (HyperText Markup
Language): textos complejos con enlaces, figuras, formularios, botones y objetos
incrustados como animaciones o reproductores de msica. El programa
implementa el protocolo HTTP (HyperText Transfer Protocol) que pertenece a la
capa de aplicacin del modelo OSI. El trmino tambin se emplea para referirse al
servidor fsico que ejecuta dicho servicio.
Servidor de Correo: Un servidor de correo es una aplicacin informtica cuya
funcin es parecida al Correo postal solo que en este caso los correos (otras
veces llamados mensajes) que circulan, lo hacen a travs de redes de transmisin
de datos y a diferencia del correo postal, por este medio solo se pueden enviar
adjuntos de archivos de cualquier extensin y no paquetes o encomiendas al viajar
la informacin en formato electrnico.
Servidor DNS: Domain Name System / Service (o DNS, en espaol: sistema de
nombre de dominio) es un servicio de nomenclatura jerrquica para
computadores, servicios o cualquier recurso conectado a internet o a una red
privada. Este sistema asocia informacin variada con nombres de dominios
135
Numero
documento
Fecha
elaboracin
005
POLTICA
PARA
LA
Fecha
actualizacin
rea:
TIC
Elaborado
Aprobado
por:
por:
JJPR
&
MCC
asignado a cada uno de los participantes. Su funcin ms importante, es traducir

(resolver) nombres inteligibles para los humanos en identificadores binarios
asociados con los equipos conectados a la red, esto con el propsito de poder
localizar y direccionar estos equipos mundialmente.
UTM: Unified Threat Management (Tratamiento Unificado contra amenazas),
dispositivo que permite la gestin unificada de amenazas. Generalmente integra
Firewall (Sistema Cortafuegos), Antivirus, Antiespas, Deteccin de Intrusos,
Administracin de ancho de banda, Filtrado Web o de navegacin de usuarios
entre otras.
Polticas Para La Administracin De Servidores
Se debe garantizar que el sitio fsico donde se instalarn los servidores y

equipos adicionales para su funcionamiento sea el adecuado.
Si es un servidor nuevo se deben considerar algunos de los pasos generales
antes de la adecuacin del mismo:
Instalacin del sistema operativo adecuado e idneo segn el servicio
que prestar dicho equipo.
Si es un sistema operativo de tipo comercial se debe instalar el
licenciado por la institucin.
136
Numero
documento
Fecha
elaboracin
005
POLTICA
PARA
LA
ADMINISTRACIN
DE
SERVIDORES
de 28/03/14
Fecha
actualizacin
rea:
TIC
Elaborado
Aprobado
por:
por:
JJPR
&
MCC
Se debern aplicar los respectivos parches de seguridad y actualizacin

correspondientes al sistema instalado y un sistema de proteccin o
antivirus.
Se deber configurar el acceso red de acuerdo a las los servicios
prestados; esta configuracin va de la mano con la poltica de
configuracin y administracin de sistemas firewall-UTM.
Se deber generar un documento actualizable con los parmetros de
seguridad, configuraciones de servicios en ellos aplicados, logs de
auditora.
Se deben actualizar constantemente parches de seguridad, de aplicacin o de

actualizacin de componentes o servicios, para garantizar la estabilidad de los
servidores.
Es aconsejable hacer un mantenimiento fsico o hardware de los servidores por
lo menos una vez al ao.
Se debe monitorear constantemente el estado de los servicios y aplicaciones
que cada uno de los servidores presta.
Alcance
Esta Poltica aplica a los encargados directos del mantenimiento y administracin

de los servidores con los que cuenta la institucin.
Sanciones Disciplinarias
La violacin de esta poltica puede resultar en acciones disciplinarias que puede
ocasionar llamado de atencin a los empleados y contratistas o consultores.
Adicionalmente los encargados estn sujetos a perder el acceso a los privilegios
de uso de equipos tecnolgicos institucionales, e iniciar un proceso disciplinario
por poner en riesgo los servicios, informacin y equipos de carcter institucional.
137

PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

PDF

Uploaded by

Copyright:

Available Formats

Anlisis de Riesgos de la Seguridad de la Informacin para la Institucin

Universitaria Colegio Mayor Del Cauca

John Jairo Perafn Ruiz

Universidad Nacional Abierta y a Distancia

Anlisis de Riesgos de la Seguridad de la Informacin para la Institucin

John Jairo Perafn Ruiz

Tesis de grado para optar por el ttulo:

Universidad Nacional Abierta y a Distancia

Planteamiento Del Problema .......................................................................... 14

Formulacin Del Problema ....................................................................... 14

Marco Referencial ........................................................................................... 17

Marco Terico ........................................................................................... 19

Marco Conceptual ..................................................................................... 24

Marco Contextual ...................................................................................... 29

Nombre De La Empresa ..................................................................... 29

Resea Histrica ................................................................................ 29

Poltica De Calidad ............................................................................. 29

Naturaleza Jurdica ............................................................................ 30

Estructura Acadmico Administrativa ......................................... 31

Diseo Metodolgico ...................................................................................... 34

Marco Legal .............................................................................................. 31

Informe Tcnico .............................................................................................. 36

Activos De Informacin ............................................................................. 38

Ethical hacking. Anlisis de Vulnerabilidades .......................................... 40

Evaluacin De Vulnerabilidades ..................................................... 41

Resumen Informativo Y Funcional Sistemas De Informacin Sensibles

Sistema De Reserva De Salas De Reunin. (MRBS) .................... 47

Sistema De Informacin Acadmico Y De Gestin. (SIAG) ............... 48

Resumen Del Diagnstico D e Servicios Ms Relevantes ....................... 50

Anlisis Y Evaluacin De Riesgos Basado En Magerit V.3 ...................... 52

Proceso P1: Planificacin ................................................................... 53

Proceso P2: Anlisis De Riesgos ....................................................... 54

Proceso P3: Estimacin Del Estado De Riesgo ................................. 83

Interpretacin De Los Resultados ...................................................... 88

Mecanismos De Control De Activos ......................................................... 92

Polticas De Seguridad Informtica .............................................................. 98

Seguridad Relacionada Al Personal ..................................................... 99

Incidentes Y Atencin A Usuarios ................................................. 100

Seguridad Lgica ................................................................................. 100

Control De Acceso ........................................................................ 100

Administracin De Acceso De Usuarios........................................ 101

Uso De Contraseas ..................................................................... 102

Responsabilidades De Los Usuarios ............................................ 102

Uso Del Correo Electrnico........................................................... 103

De Acceso A Terceros .................................................................. 103

De Acceso a La Red ..................................................................... 104

Servidores ..................................................................................... 105

Equipos De Cmputo .................................................................... 105

Responsabilidades Y Procedimientos Operativos ............................... 105

Proteccin Contra Sofware Malicioso ........................................... 106

Mantenimiento .............................................................................. 106

Seguridad Fsica.................................................................................. 106

Control de Medios de Almacenamiento ........................................ 106

Seguridad Legal .................................................................................. 107

Licenciamiento De Sofware .......................................................... 107

Recomendaciones ..................................................................................... 108

Bibliografa ................................................................................................. 110

Anexos ....................................................................................................... 114

Anexo A: Clasificacin De Los Activos ................................................ 114

Anexo B : Valoracin De Activos Escala Estndar ........................... 115

Anexo C: Encuesta Aplicada ............................................................. 119

Anexo D: Catalogo De Salvaguardas ................................................. 124

Anexo E: Valoracin De Riesgos ......................................................... 128