Moyano or Juel A Luz Adriana 2017

PLAN DE IMPLEMENTACIÓN DEL SGSI BASADO EN LA NORMA ISO
27001:2013 PARA LA EMPRESA INTERFACES Y SOLUCIONES
LUZ ADRIANA MOYANO ORJUELA

YASMIN ELENA SUÁREZ CÁRDENAS
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTÁ, D.C.
2017
PLAN DE IMPLEMENTACIÓN DEL SGSI BASADO EN LA NORMA ISO
27001:2013 PARA LA EMPRESA INTERFACES Y SOLUCIONES
LUZ ADRIANA MOYANO ORJUELA

YASMIN ELENA SUÁREZ CÁRDENAS
TRABAJO DE GRADO PARA OPTAR AL TÍTULO DE:

INGENIERAS EN TELEMÁTICA
ASESOR. ING. JAIRO HERNÁNDEZ GUTIÉRREZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTÁ, D.C.
2017
Nota de aceptación
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
Tutor
______________________________________
Jurado
CONTENIDO
Pág.
RESUMEN ............................................................................................................... 9
ABSTRACT ............................................................................................................ 10
INTRODUCCIÓN ................................................................................................... 11
1. CAPÍTULO I. PLANEACIÓN ........................................................................... 12
1.1. TÍTULO ..................................................................................................... 12
1.2. TEMA ........................................................................................................ 12
1.3. PLANTEAMIENTO DEL PROBLEMA ....................................................... 12
1.3.1. Descripción del problema ................................................................... 12
1.3.2. Formulación del Problema ................................................................. 13
1.4. ALCANCES Y LIMITACIONES ................................................................. 13
1.5. OBJETIVOS.............................................................................................. 14
1.5.1. Objetivo General ................................................................................ 14
1.5.2. Objetivos Específicos ......................................................................... 14
1.6. JUSTIFICACIÓN ....................................................................................... 15
1.7. MARCO TEÓRICO ................................................................................... 15
1.8. FACTIBILIDAD ......................................................................................... 21
1.8.1. Factibilidad Técnica............................................................................ 21
1.8.2. Factibilidad Operativa ......................................................................... 21
1.8.3. Factibilidad Legal ............................................................................... 21
1.8.4. Factibilidad Económica ...................................................................... 22
1.9. CRONOGRAMA DE ACTIVIDADES......................................................... 24
2. CAPÍTULO II. CONTEXTO ORGANIZACIONAL ............................................ 26
2.1. RECONOCIMIENTO DE LA ORGANIZACIÓN......................................... 26
2.1.1. Descripción ........................................................................................ 26
2.1.2. Estructura Organizacional .................................................................. 26
2.1.3. Infraestructura .................................................................................... 27
4
2.2. ESTADO ACTUAL CON RESPECTO ISO/IEC 27001 ............................. 30
2.2.1. A.5 Política de seguridad. .................................................................. 32
2.2.2. A.6 Organización de la seguridad de la información. ......................... 32
2.2.3. A.7 Seguridad de los RRHH. .............................................................. 33
2.2.4. A.8 Gestión de activos. ...................................................................... 33
2.2.5. A.9 Control de accesos. ..................................................................... 34
2.2.6. A.10 Criptografía. ............................................................................... 34
2.2.7. A.11 Seguridad física y ambiental. ..................................................... 35
2.2.8. A.12 Seguridad en las operaciones.................................................... 36
2.2.9. A.13 Seguridad en las Comunicaciones. ............................................ 36
2.2.10. A.14 Adquisición de sistemas, desarrollo y mantenimiento. ........... 37
2.2.11. A.15 Relación con proveedores. ..................................................... 37
2.2.12. A.16 Gestión de los incidentes de seguridad. ................................. 38
2.2.13. A.17 Continuidad del negocio. ........................................................ 39
2.2.14. A.18 Cumplimiento con requerimientos legales y contractuales. .... 39
3. CAPÍTULO III. GESTIÓN DE RIESGOS......................................................... 42
3.1. METODOLOGÍA ....................................................................................... 42
3.2. INVENTARIO DE ACTIVOS ..................................................................... 42
3.3. VALORACIÓN DE ACTIVOS .................................................................... 45
3.3.1. Confidencialidad ................................................................................. 45
3.3.2. Integridad ........................................................................................... 46
3.3.3. Disponibilidad ..................................................................................... 47
3.4. ANÁLISIS DE AMENAZAS ....................................................................... 48
3.5. VALORACIÓN DEL RIESGO ................................................................... 50
4. CAPÍTULO IV. SELECCIÓN DE SALVAGUARDAS ....................................... 52
4.1. ESTRATEGIAS PARA TRATAMIENTO DEL RIESGO............................. 52
4.2. TÉCNICAS PARA EL TRATAMIENTO DEL RIESGO .............................. 54
4.3. PLAN DE TRATAMIENTO DEL RIESGO ................................................. 56
4.3.1. Política de Seguridad SGSI ................................................................ 56
4.3.2. Controles recomendados ................................................................... 61
5
4.3.3. Monitoreo ........................................................................................... 69
4.3.4. Asignación de Responsabilidades...................................................... 72
5. CAPÍTULO V. EVALUACIÓN - AUDITORÍA DE CUMPLIMIENTO ................ 78
5.1. METODOLOGÍA ....................................................................................... 78
5.2. EVALUACIÓN DE MADUREZ .................................................................. 79
5.3. RESUMEN DE RESULTADOS ................................................................. 82
CONCLUSIONES .................................................................................................. 86
RECOMENDACIONES .......................................................................................... 88
BIBLIOGRAFÍA ...................................................................................................... 90
ANEXOS ................................................................................................................ 93
ANEXO A. DIAGNÓSTICO INICIAL ................................................................... 93
ANEXO B. INFORME DE HALLAZGOS ............................................................ 93
ANEXO C. EVALUACIÓN Y TRATAMIENTO DE RIESGOS ............................. 93
ANEXO D. POLÍTICAS PARA LA GESTIÓN DE LA SEGURIDAD .................... 94
ANEXO E. RECOMENDACIONES PARA EL SGSI 27001:2013 ....................... 94
ANEXO F. EVALUACIÓN DE MADUREZ .......................................................... 94
6
LISTA DE TABLAS
Tabla 1 Factibilidad de recursos humanos ............................................................ 22

Tabla 2 Factibilidad Otros Recursos ...................................................................... 23
Tabla 3 Factibilidad Económica Costo Total .......................................................... 23
Tabla 4 Estaciones de Trabajo .............................................................................. 28
Tabla 5 Lista de Equipos ....................................................................................... 28
Tabla 6 Listado de Aplicaciones ............................................................................ 29
Tabla 7 Parámetros de respuesta a la encuesta.................................................... 30
Tabla 8 Resultados de Evaluación Inicial I&S 27001:2013 .................................... 31
Tabla 9 Listado de activos (Fragmento) ................................................................. 43
Tabla 10 Criterios de valoración de Confidencialidad ............................................ 45
Tabla 11 Criterios de valoración de Integridad....................................................... 46
Tabla 12 Criterios de valoración de Disponibilidad ................................................ 47
Tabla 13 Resumen de Amenazas .......................................................................... 48
Tabla 14 Criterios de valoración según Probabilidad ............................................. 50
Tabla 15 Criterios de valoración según Impacto .................................................... 50
Tabla 16 Resumen Valoración del riesgo .............................................................. 51
Tabla 17 Estrategias para el Tratamiento de Riesgos ........................................... 53
Tabla 18 Resumen Técnicas de Tratamiento ........................................................ 55
Tabla 19 Listado de Políticas desarrolladas .......................................................... 61
Tabla 20 Asociación de riesgos con controles ISO 27001:2013 ............................ 64
Tabla 21 Lista de Controles ................................................................................... 67
Tabla 22 Plan de monitoreo ................................................................................... 69
Tabla 23 Matriz RASCI: A5-A9 .............................................................................. 75
Tabla 24 Matriz RASCI: A10-A13 .......................................................................... 76
Tabla 25 Matriz RASCI: A14-A18 .......................................................................... 77
Tabla 26 Elementos para Evaluación de Madurez................................................. 79
Tabla 27 Criterios Evaluación de Madurez ............................................................ 79
Tabla 28 Evaluación de Madurez (Fragmento) ...................................................... 80
Tabla 29 Resultados Evaluación de Madurez ........................................................ 82
7
LISTA DE FIGURAS
Figura 1 Estructura Organizacional ........................................................................ 27

Figura 2 Gráfico Resultado Evaluación inicial ........................................................ 30
Figura 3 Gráfico Resultados Evaluación Inicial ...................................................... 31
Figura 4 Evaluación Inicial A5 ................................................................................ 32
Figura 9 Evaluación Inicial A10 .............................................................................. 35
Figura 10 Evaluación Inicial A11 ............................................................................ 35
Figura 18 Mapa de Riesgo ..................................................................................... 51
Figura 19 Estrategias para el Tratamiento de riesgo ............................................. 52
Figura 20 Gráfico Resultado Evaluación de Madurez ............................................ 82
Figura 21 Evaluación de Madurez Dominios ISO 27001:2013 .............................. 83
8
RESUMEN
Interfaces y Soluciones S.A.S (I&S) es una organización desarrolladora de

software cuyo mercado se encuentra principalmente en proyectos de migración de
datos e integraciones. Se busca estandarizar los procesos y garantizar la
seguridad de los mismos en el área de Tecnologías de la Información de la
empresa a través del establecimiento de un Sistema de Gestión de la Seguridad
de la Información (SGSI) basado en la norma ISO 27001:2013. El desarrollo del
proyecto contempla las tareas de análisis y tratamiento de los riesgos haciendo
uso de las fases de la metodología PHVA (Planificar-Hacer-Verificar-Actuar) en
coordinación con los objetivos, estrategias y políticas de la organización.
Durante el desarrollo se especifican cinco capítulos, que se detallan de la

siguiente manera:
La planeación, en el cual se identifica el planteamiento del problema, los objetivos

del proyecto, así como el alcance y limitaciones, además de la factibilidad técnica,
operativa, legal y económica del proyecto.
En el contexto organizacional, se realiza el reconocimiento y se detalla la

estructura organizacional, mostrando el estado actual de la organización con
respecto a la ISO/IEC 27001, en lo que respecta a los diferentes dominios, como
lo son políticas de seguridad, organización de la seguridad de la información,
seguridad de los RRHH, gestión de activos, control de accesos, criptografía,
seguridad física y ambiental, seguridad en las operaciones, seguridad en las
comunicaciones, entre otros.
En la gestión de riesgos, se realiza el inventario de activos y su valoración, el

análisis de amenazas y la valoración de riesgos.
En la selección de salvaguardas se define las estrategias, técnicas y el plan de

tratamiento del riesgo, especificando la políticas del SGSI, los controles
recomendados, las opciones de monitoreo y la asignación de responsabilidades
de acuerdo al compromiso con la norma 27001:2013.
Por último, en la evaluación y/o auditoría de cumplimiento, se genera la evaluación

de madurez y las recomendaciones para la implementación del SGSI.
9
ABSTRACT
Interfaces y Soluciones S.A.S (I&S) is a software development company whose

market is mainly in data migration and integration projects. It seeks to standardize
the processes belonging to the area of Information Technology in the company and
ensure their safety, through the establishment of the Information Security
Management System (ISMS) based on ISO 27001:2013. The development of the
project contemplates the tasks of analysis and treatment of risks using the Deming
cycle or also known as PDCA methodology (Plan-Do-Check-Act) in coordination
with the objectives, strategies and policies of the organization.
During development five chapters are specified, which are detailed as follows:
Planning, which identifies the approach to the problem, the objectives of the
project, as well as the scope and limitations, as well as the technical, operational,
legal and economic feasibility of the project.
In the organizational context, the recognition is made and the organizational

structure is detailed, showing the current state of the organization with respect to
ISO / IEC 27001, in terms of different domains, such as security policies,
organization of Information security, RRHH security, asset management, access
control, cryptography, physical and environmental security, security of operations,
and security of communications, among others.
In risk management, the asset inventory and its valuation, the analysis of threats
and the assessment of risks are carried out.
The selection of safeguards defines the strategies, techniques and risk

management plan, specifying the ISMS policies, the recommended controls, the
monitoring options and the assignment of responsibilities according to the
commitment to the 27001: 2013 standard.
Finally, in the assessment and / or compliance audit, the maturity evaluation and
the recommendations for the implementation of the SGSI are generated.
10
INTRODUCCIÓN
Interfaces y Soluciones S.A.S (I&S) es una empresa que se ha especializado en

las integraciones y/o migración de datos, expertos en servicios web que tienen
como objetivo principal comunicar las aplicaciones que se encuentran en
diferentes plataformas, facilitando al personal técnico y no técnico de las
compañías el mejoramiento de la calidad y los procesos contables, comerciales,
producción, entre otros, permitiendo contar con la información en línea.
Actualmente no existe un control adecuado que asegure la confidencialidad,

proteja la integridad de la información en su totalidad y que garantice la
disponibilidad, así como la precisión durante el tratamiento de la información,
razón por la cual no se cuenta con la correcta protección de los datos de clientes,
empleados, socios comerciales y la sociedad en general.
El trabajo se enfoca en el aseguramiento de los controles adecuados sobre la

confidencialidad, integridad y disponibilidad de la información, a través del
establecimiento de un sistema de gestión de seguridad de la información (SGSI)
basado en la norma ISO 27001:2013, de forma que se garantice un tratamiento
adecuado de los problemas de seguridad de la información teniendo en cuenta las
mejores prácticas, valorando los riesgos y los procedimientos de gestión utilizados
en el modelo PHVA (planificar, hacer, verificar y actuar).
11
1. CAPÍTULO I. PLANEACIÓN
En el presente capítulo se realiza el planteamiento del problema, describiendo los

alcances y limitaciones del proyecto, así como los objetivos y la justificación para
la implementación del SGSI en la empresa Interfaces y Soluciones S.A.S,
detallando cómo se lograrán optimizar las tareas dentro de la organización. Así
mismo, se especifica la factibilidad técnica, operativa, legal y económica, la
viabilidad del proyecto y finalizando el cronograma de actividades.
1.1. TÍTULO
Plan de implementación del SGSI basado en la Norma ISO 27001:2013 para la

empresa Interfaces y Soluciones S.A.S
1.2. TEMA
El tema que abarca el desarrollo del proyecto está enmarcado en el
establecimiento del SGSI para los procesos del área de tecnologías de la
información, utilizando como guía principal la norma NTC-ISO-IEC 27001:2013, la
cual corresponde a un estándar, donde se especifica lo necesario para establecer,
implantar, mantener y mejorar un SGSI; dirigido al director de proyectos y los
implementadores de estos, con el fin de preparar a Interfaces y Soluciones en los
procesos de evaluación, auditoría y/o certificación correspondientes a la seguridad
de TI.
1.3. PLANTEAMIENTO DEL PROBLEMA
1.3.1. Descripción del problema
Interfaces y Soluciones (I&S) es una empresa de desarrollo de software apoyada

en tecnología de punta, la cual incursiona en el mundo de las integraciones y la
creación de portales, ofreciendo a sus clientes una herramienta que permite el
mejoramiento de la calidad y de los procesos internos de la empresa.
Como en muchas de las organizaciones existentes, actualmente apoya sus

procesos en el uso de tecnologías de la información y comunicaciones (TIC), esto
supone unos beneficios evidentes; pero también da lugar a ciertos riesgos que
deben gestionarse prudentemente con medidas de seguridad que permitan ganar
y mantener la confianza de los usuarios de los servicios.
12
Adicionalmente, en la actualidad la empresa es partner de Siesa, una empresa
internacional con certificaciones ServiCert nivel 5, CMMI e ISO 9001:2008, la cual
exige garantías de calidad a sus proveedores, motivo por el cual I&S busca
estandarizar sus procesos y garantizar la seguridad de los mismos, puesto que
hasta el momento se han realizado de forma empírica.
Cada uno de los procesos realizados, basados a través de la experiencia, no han

garantizado la seguridad de la información, y teniendo en cuenta que ésta es un
activo de gran valor para la organización, por la cantidad de datos contables,
financieros, comerciales, procesos de producción, datos de clientes y
proveedores, entre otros, se hace necesario una asesoría y seguimiento para la
gestión de la seguridad de la información.
Para I&S es de suma importancia asegurar la confidencialidad, integridad y

disponibilidad de sus datos, atributos que son inherentes a un Sistema de Gestión
de la Seguridad de la Información (SGSI). De forma que, se pueden establecer
políticas, procedimientos y controles relacionados a los objetivos de negocio de la
organización contribuyendo a la mejora continua de sus procesos y la consecución
de sus metas.
Con la implementación de un SGSI se busca generar sentido de pertenencia y

compromiso con los temas relativos a la seguridad, ya que se logra la participación
activa de los miembros de la organización en las diferentes etapas de su
desarrollo.
1.3.2. Formulación del Problema
¿De qué manera la implementación de un SGSI en Interfaces y Soluciones puede

garantizar la integridad, confidencialidad y disponibilidad de su información?
1.4. ALCANCES Y LIMITACIONES
En este proyecto se pretende analizar la situación actual de los procesos y

estándares relacionados a la seguridad de la información en Interfaces y
Soluciones S.A.S, para establecer un sistema de gestión de seguridad de la
información, de forma que la empresa pueda hacer frente a cualquier reto,
cumpliendo con los estándares que integran todos los principios de negocio en los
sistemas de gestión.
13
El director de proyectos contará con la documentación necesaria para el
establecimiento del SGSI para los procesos del área de tecnologías de la
información, especificando lo necesario para establecer, implantar, mantener y
mejorar el sistema de gestión de seguridad de la información, utilizando como guía
la norma NTC-ISO-IEC 27001 :2013.
Se establece generar los siguientes entregables:
- Informe de hallazgos de vulnerabilidades y riesgos.

- Informe sobre evaluación y tratamiento de riesgos.
- Documento de políticas de seguridad sobre los hallazgos encontrados.
- Documento de recomendaciones, con el propósito de preparar a I&S para
los procesos de evaluación, auditoría, certificación o acreditación
correspondientes a la seguridad de TI.
El proyecto estará limitado por los siguientes factores:
- Disponibilidad de tiempo del director de proyectos e implementadores de la

organización.
- Veracidad e integridad del campo de acción de la organización e inventario
de todos los datos críticos.
1.5. OBJETIVOS
1.5.1. Objetivo General

Establecer un sistema de gestión de la seguridad de la información (SGSI) basado
en la norma ISO 27001:2013 para los procesos del área de Tecnologías de la
Información en la empresa Interfaces y Soluciones S.A.S
1.5.2. Objetivos Específicos
● Identificar las necesidades y requerimientos de la empresa Interfaces y

Soluciones a tener en cuenta en la implementación del SGSI.
● Establecer el estado actual de los procesos del área de Tecnologías de la
Información en I&S identificando vulnerabilidades, amenazas y riesgos.
● Definir los controles, políticas y planes de mejoramiento necesarios para
minimizar y mitigar la probabilidad e impacto de los riesgos identificados.
14
● Definir los roles y responsabilidades al interior de la organización para la
implementación del SGSI.
● Preparar a I&S para los procesos de evaluación, auditoría, certificación o
acreditación correspondientes a la seguridad de TI.
1.6. JUSTIFICACIÓN
El establecimiento de un sistema de gestión de seguridad de la información

(SGSI), permitirá asegurar que I&S implemente los controles adecuados sobre la
confidencialidad, disponibilidad e integridad de la información, protegiendo de esta
forma la información de todas las partes interesadas, adicional a esto el
cumplimiento de la norma ISO 27001 permitirá demostrar a sus clientes y socio
principal (Siesa Enterprise) la seguridad con que se abordan todos los temas
relacionados con la seguridad de la información, la cual es la base para la gestión
de riesgos de seguridad y así mismo la determinación de los niveles de protección
que se requieran.
A través del SGSI se lograrán optimizar todas las áreas dentro de la organización,
relacionadas con la información, logrando de esta forma realizar mejor las tareas,
de manera mucho más rápida y segura; además de lograr obtener una
certificación bajo la norma 27001, facilitando de esta forma la comercialización de
los diferentes productos y/o servicios, valorando los diferentes riesgos, así como
los procedimientos de gestión necesarios.
1.7. MARCO TEÓRICO
El desarrollo de este proyecto no tiene como objetivo establecer una nueva base
teórica, se apoya en ciertos conceptos que permiten el avance hacia el objetivo
propuesto: la implementación de un SGSI. Por ello, en el desarrollo del proyecto
se destacarán términos como:
● Seguridad Informática: Es una disciplina que se enfoca en la protección

de la integridad y la privacidad de la información; según la RAE el término
seguro es la de “estar libre y exento de todo peligro, daño o riesgo”,
teniendo en cuenta esto, se podría decir que en la seguridad informática
este concepto tiene el mismo sentido aplicándolo a sistemas de
información. La seguridad informática se encarga de diseñar normas,
15
procedimientos, métodos y técnicas, consiguiendo de esta forma un
sistema de información seguro y confiable1.
Para el establecimiento de un sistema de seguridad informática, es necesario
tener claro ciertos puntos, como:
- Cuáles son los elementos que componen el sistema.

- Cuáles son los peligros que afectan al sistema, ya sean accidentales o
provocados.
- Cuáles son las medidas que se deberían acoger para lograr conocer y
prevenir los riesgos potenciales.
Por medio de la seguridad informática se debe asegurar que el acceso y la

modificación a cierta información sólo sea posible a las personas que estén
autorizadas; un sistema se considera seguro cuando tiene integridad,
confidencialidad y disponibilidad en la información.
● Integridad: Por medio de esta propiedad se garantiza que los datos

no han sido alterados y/o destruidos de modo no autorizado, es decir
se garantiza la autenticidad de la información sin importar el
momento.
● Confidencialidad: Este se refiere al atributo que deben tener los

datos y/o información, al encontrarse únicamente al alcance de las
personas y/o entidades autorizadas, en el momento autorizado.
● Disponibilidad2: se debe garantizar que la información se encuentra

disponible para los usuarios siempre que la necesiten. en caso
contrario se provocan interrupciones de servicio y con ello problemas
de calidad.
● Activo: es un recurso del sistema de información, necesario para garantizar

el correcto funcionamiento de los procesos de la organización. También son
fundamentales para lograr los objetivos definidos por la organización y
requieren de una especial protección.
1
(Vazquez, 2014))
2
(Tejada, 2015)
16
● Vulnerabilidad3: Es la probabilidad de que una amenaza se materialice
sobre un activo. Para identificar y estimar una vulnerabilidad, es necesario
conocer los distintos activos del sistema de información y las amenazas y
riesgos que puede sufrir.
● Riesgo: Permite estimar las probabilidades de que una amenaza se
materialice sobre los activos de la organización, causando efectos
negativos o pérdidas (económicas, reputacionales, etc).
● Gestión de Riesgos: Según el nivel del riesgo al que se someten los

activos de una organización, se encuentran diferentes alternativas para su
gestión. La política de gestión de riesgos decide qué tipo de control se
implementa en el sistema de información.
● ISO 27001. Se conoce como una norma internacional emitida por la

Organización Internacional de Normalización (ISO) y describe cómo
gestionar la seguridad de la información en una empresa. La revisión más
reciente de esta norma fue publicada en 2013 y ahora su nombre completo
es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue
desarrollada en base a la norma británica BS 7799-2(«¿Qué es norma ISO
27001?», s. f.). La importancia y reconocimiento de la norma ISO 27001 en
materia de seguridad de los sistemas de información permite establecer el
estándar a aplicar, documentación y procedimientos a seguir de acuerdo a
la evaluación de seguridad que se realice.
Entre las razones por las cuales se decide utilizar la ISO 27001 como guía, es que
aporta beneficios como los siguientes:
● Reduce el riesgo de que se produzcan pérdidas de información en las

organizaciones. Por pérdidas también entendemos robos y corrupciones en
la manipulación de la misma.
● Se hace una revisión continua de los riesgos a los que están expuestos los
clientes. Adicionalmente, se hacen controles de manera periódica.
● Establece una metodología gracias a la cual se puede gestionar la

seguridad de la información de forma clara y concisa.
● Implanta medidas de seguridad para que los propios clientes puedan

acceder a la información.
3
(Tejada, 2015)
17
● Contar un SGSI otorga a la organización una garantía frente a clientes y
socios estratégicos ya que muestra a la misma como un organismo
preocupado por la confidencialidad y seguridad de la información que es
depositada en la misma.
● Permite a las organizaciones continuar operando con normalidad en caso

de producirse problemas importantes.
1.7.1. Trabajos relacionados
De acuerdo a la encuesta realizada por Deloitte4 en el 2016: en Latinoamérica

existe una tendencia creciente a alinear la gestión de ciber riesgos y seguridad de
la información con el proceso general de administración de riesgos de la
organización. Este alineamiento es clave para que la inversión en seguridad de la
información sea adecuadamente percibida por el negocio puesto que en los
últimos dos años 4 de cada 10 organizaciones sufrieron una brecha de seguridad.
Se han realizado trabajos relacionados con la implementación de SGSI en

diferentes organizaciones, entre algunos destacados tenemos:
● Desarrollo de un Marco de Trabajo para la Gestión del SGSI en PYMES

Desarrolladoras de Software en Bogotá Basado en la Metodología MGSM-
PYME.
5
Autores: Lorena Patricia Cardona Tovar, Alvaro Javier Ardila Garcia
Resumen
Desde la aparición de los sistemas de gestión de seguridad de la
información a hoy se han presentado una gran variedad de metodologías,
procesos, marco de referencia, entre ellos COBIT y la ISO 27001 que,
aunque son modelos robustos y maduros, suponen una inversión cuantiosa
y presentan dificultad al momento de querer ser implementado en una
pyme, esto debido a que estos modelos en general han sido creados para
empresas con mayor experiencia y capital para la implementación de estas.
Estos modelos al ser aplicables para grandes empresas hacen que para
poder realizar una implementación práctica en una pyme sea costosa y
4
(«La Evolución de la Gestión de Ciber Riesgos y Seguridad de la Información | Deloitte Colombia |
Riesgo», s. f.)
5
(Garcia, Javier, Tovar, & Patricia, 2016)
18
como se nombraba anteriormente la resistencia de este tipo de empresas al
cambio empeora esta problemática.
● Desarrollo de un SGSI para los Colegios Profesionales en la Región

Lambayeque. Caso de estudio: Colegio de Ingenieros 6
Autores: César Augusto Córdova Oblitas, Gustavo Alfredo Morales Cueva, José
Antonio Samamé Martínez
Resumen
Los colegios profesionales (CP) son instituciones autónomas con
personería jurídica de derecho público interno, sin fines de lucro, creadas
por ley, agrupan a los profesionales en el ámbito de su jurisdicción. La
problemática radica en la falta de seguridad de la información (SI) en la
organización, en la actualidad la información es un activo clave para las
empresas, sin embargo no se resguarda de manera adecuada para cumplir
con los objetivos estratégicos de la organización. La información es parte
principal en los procesos, servicios y tecnologías en el sector público o
privado; sin importar el tamaño; es vital cumplir con las características de la
SI: confidencialidad, integridad, disponibilidad (CID), en general se suele
actuar de manera reactiva, desarrollar un Sistema de Gestión de Seguridad
de la Información (SGSI), permitirá actuar en forma proactiva ante eventos
que afecten la SI. Se analizó enfoques de estándares para gestionar la SI
(ISO 27000, COBIT, ITIL, MAGERIT). Como objetivos de esta investigación
culturizar a la alta dirección sobre SI, analizarlas brechas, la identificación
de los riesgos, identificar y evaluar los controles, y por último plantear los
proyectos de SI; finalmente se hace uso de la norma ISO 27001 en la
aplicación al caso: Colegio de Ingenieros del Perú (CIP), implicó gestión de
riesgos (GR), identificación de controles, normas, políticas y mejoras en los
procesos de negocio definidos en el documento de alcance.
● Diseño de un sistema de gestión de la seguridad informática – SGSI–, para

empresas del área textil en las ciudades de Itagüí, Medellín y Bogotá D.C.,
a través de la auditoría7
Autores: Alexander Guzmán García, Carlos Alberto Taborda Bedoya
Resumen
6
(Oblitas, Cueva, & Martínez, 2016)
7
(UNAD, 2015)
19
Se desarrolla un sistema de gestión de la seguridad informática (SGSI) para
empresas del sector textil de las Pymes en las ciudades de Medellín,
Bogotá D.C. he Itagüí (Colombia): el diseño se elaborará basados en la
norma ISO 27001, la cual provee prácticas apropiadas para el desarrollo e
implementación de cada uno de sus componentes, estableciendo las fases,
documentación y procedimientos requeridos y exigidos en el estándar para
continuar con el diseño y ejecución del SGSI de manera adecuada. En
consecuencia, se debe realizar un análisis cualitativo y cuantitativo de los
riesgos, vulnerabilidades y amenazas que se presentan en una Pyme, las
cuales al poseer recursos económicos limitados para inversiones de este
tipo, no pueden implementar un sistema de seguridad robusto, razón por la
cual se debe implementar un mecanismo que satisfaga las necesidades de
las pequeñas empresas, en el cual cada uno de los componentes
informáticos juega un papel importante para la permanencia en el mercado
de éstas. Asimismo, se podrá salvaguardar el recurso más importante de la
Pymes (datos – información), donde el diseño de un SGSI podrá
proporcionar una metodología sencilla y muy completa para proteger cada
uno de los activos informáticos y así establecer procesos de restauración y
mitigación de riesgos, tomando las medidas correctivas y preventivas que
sean necesarias. Finalmente, cuando se establece un sistema de seguridad
de la información, se logra detallar cada uno de los componentes y
elementos que se encuentran asociados a la Pyme y así tener un mayor
control sobre cada uno de los activos informáticos, por consiguiente durante
la permanencia en el tiempo, podrá adaptarse a las necesidades de las
pequeñas empresas, donde el ciclo de Deming, detalla el proceso de
mejora continua proporcionando una realimentación constante de cada uno
de los procesos.
Estos trabajos nos permiten evidenciar que la implementación de un SGSI debe

tener en cuenta el tamaño de la organización, los procesos a incluir en el alcance
de la norma, la criticidad de la información, la tecnología utilizada por la
organización y las disposiciones legales a enfrentar.
20
1.8. FACTIBILIDAD
1.8.1. Factibilidad Técnica
La realización del presente proyecto requiere conocimientos y experiencia a nivel

de seguridad de la información, aplicación de la norma NTC-ISO-IEC 27001:2013,
MAGERIT, análisis de amenazas, gestión de riesgos y aplicación de medidas que
permitan garantizar la confidencialidad, integridad y disponibilidad de la
información en la organización. La base de estos conocimientos se encuentra en
la formación profesional obtenida en el proyecto curricular de ingeniería en
telemática de la U.D.F.J.C y las asesorías prestadas por los docentes de la
universidad.
1.8.2. Factibilidad Operativa
El proyecto será desarrollado por los estudiantes de la Universidad Distrital

Francisco José de Caldas, del proyecto Ingeniería en Telemática, Luz Adriana
Moyano Orjuela y Yasmin Elena Suárez Cárdenas, contando con la colaboración y
asesoría del Ingeniero Jairo Hernández Gutiérrez.
A nivel operacional el proyecto es viable gracias a que se cuenta con el personal

requerido en condiciones óptimas para la elaboración de este.
1.8.3. Factibilidad Legal
Desde el punto de vista metodológico, el proyecto se ampara en metodologías

libres que no requieren de pagos a empresas por su implementación. Esto
garantiza de facto que la organización del proyecto cuente con factibilidad legal
desde el inicio.
Tanto la NTC-ISO-IEC 27001:2013 y MAGERIT son instrumentos que facilitarán la

ejecución del proyecto, servirán como guías de orientación para el plan de
implementación del SGSI en la organización. Adicionalmente, se tiene presente
las normativas que pueden ser susceptibles en el desarrollo de las actividades
relacionadas con los objetivos del presente documento. Por lo tanto, se listan a
continuación:
● Ley 1581 de 2012. Ley de protección de datos personales

● Ley 1273 “De la Protección de la información y de los datos”
21
● Decreto 1078 de 2015. “Decreto Único Reglamentario del Sector de
Tecnologías de la Información y las Comunicaciones”
1.8.4. Factibilidad Económica
En la factibilidad económica del proyecto, se ha buscado que la organización

posea los recursos necesarios para la implementación del SGSI, es importante
recordar que el objetivo principal de dicha implementación es proteger la
información de la empresa, por lo cual para el análisis de la factibilidad económica
se tienen en cuenta los costos de implementación y mantenimiento del mismo.
En la tabla que se presenta a continuación se identifican los costos de papelería,

del hardware, del software y de los recursos humanos necesarios para la
implementación del SGSI en la empresa I&S. La factibilidad económica del
proyecto se dividió en tres aspectos: recursos humanos, recursos técnicos y otros
recursos.
Tabla 1 Factibilidad de recursos humanos
Tipo Descripción Valor - Cantidad Total

Hora
Tutor Asesorías del tutor $ 40.000 200horas $ 8.000.000

para la
implementación del
SGSI basado en la
Norma ISO
27001:2013, referente
a la metodología
correspondiente.
Analistas - Se necesitarán dos $ 20.000 8 horas $ 5.120.000

Implementadores analistas que realicen semanales
la implementación del
SGSI.
Total Recursos Humanos $ 13.120.000
Fuente: Elaboración Propia
22
Recursos Técnicos
La empresa actualmente cuenta con recursos para la seguridad de la información

que son parte del SGSI, como lo son:
- Antivirus
- Servidores (web y aplicaciones)
- Computadores
- Impresora
Tabla 2 Factibilidad Otros Recursos
Recurso Descripción Valor Cantidad Total

Unitario
Capacitaciones Capacitaciones para el $300.000 2 $600.000

uso del SGSI.
Norma ISO Material para $100.000 1 $ 100.000

27001:2013 capacitaciones y uso de
la empresa.
Papelería Fotocopias, impresiones, $ 50.000 1 $ 50.000

resmas de papel y CDs.
Total Otros Recursos $ 750.000
Tabla 3 Factibilidad Económica Costo Total
Recurso Valor
Total Recursos Humanos $ 13.120.000
Total Otros recursos $ 750.000
Costos imprevistos (10%) $ 1.387.000
TOTAL COSTO $15.257.000
Teniendo en cuenta que la totalidad de los costos ya están solventados tanto por
los realizadores del proyecto, como por la empresa Interfaces y Soluciones S.A.S,
y se cuenta con los recursos necesarios, el proyecto es factible económicamente.
23
1.9. CRONOGRAMA DE ACTIVIDADES
24
25
2. CAPÍTULO II. CONTEXTO ORGANIZACIONAL
En el presente capítulo se desarrolla el contexto de la organización, realizando el

reconocimiento de ésta, así como un análisis para identificar el estado actual de la
seguridad de la información en Interfaces y Soluciones S.A.S, con respecto a la
norma ISO/IEC 27001:2013, donde se evalúa el cumplimiento de cada uno de los
dominios descritos en dicha norma.
2.1. RECONOCIMIENTO DE LA ORGANIZACIÓN
En el reconocimiento de la organización se realiza la descripción de la

organización, detallando las actividades de la empresa, así como la estructura
organizacional, adicional a esto se detalla la infraestructura actual de Interfaces y
Soluciones, teniendo en cuenta la red de datos, los equipos, aplicaciones y
servicios Cloud con los que la empresa cuenta en la actualidad.
2.1.1. Descripción
Interfaces y Soluciones S.A.S es una empresa de desarrollo de software con sede

en Bogotá y Medellín, que cuenta con 5 años en el mercado. Ha incursionado en
el mundo de las integraciones y la creación de portales. Trabaja en conjunto con
Siesa para ofrecer una herramienta tecnológica a sus clientes con el propósito de
mejorar la calidad de los procesos dentro de las organizaciones.
Las actividades de Interfaces y Soluciones comprenden el desarrollo,

mantenimiento, depuración, documentación y estudio de los procesos de negocio
de los clientes, para la migración de los diferentes sistemas hacia el ERP, así
como las consultorías o entrenamientos que se requieren, brindando múltiples
soluciones según las necesidades de los clientes.
2.1.2. Estructura Organizacional
La estructura organizacional de Interfaces y Soluciones está dada de forma

jerárquica. El rango de mayor autoridad se encuentra a cargo de la dirección
comercial y de proyectos.
Adicionalmente, existe personal asignado a gestión humana (encargados de caja,

recibo y seguridad), líder de proyectos y coordinadores de proyectos en cada una
26
de las sedes. En las que también se cuenta con analistas programadores y
personal de soporte. Como se puede evidenciar en la Figura 1.
Figura 1 Estructura Organizacional
Director Director de
Comercial Proyectos
Caja
Gestión Recibo
Humana
Seguridad
Coordinador Líder de Coordinador

Proyectos Medellín Proyectos Proyectos Bogotá
Analista Programador Analista Programador

1 Soporte 1 1

2 Soporte 2 2

3 3
2.1.3. Infraestructura
2.1.3.1. Red de Datos
Actualmente la red de datos de I&S es controlada por el proveedor de servicios de

comunicaciones Claro, con una velocidad de 5MB, se cuenta con un Gateway
MG6002N, proporcionado por el proveedor, el cual es un router inalámbrico que
integra WIFI y VoIP; adicional soporta diferentes conexiones de red como lo son
ASL/cable modem, 3G/WiMax modem y FTTH GEPON/PON.
Las puertas de enlace VoIP de la serie MG 600 XN incluyen puertos FXS de 2/4/8
puertos VoIP con WiFi IEEE 802.1 b/g/n, proporcionando un servicio de datos de
voz y ancho de banda flexible, conveniente y abundante.
Esta red de datos funciona de manera independiente para las sedes de Bogotá y
Medellín, contando con el mismo proveedor de servicios de comunicaciones.
27
2.1.3.2. Equipos
A nivel de equipos en las dos sedes, se cuenta con el siguiente número de

estaciones de trabajo:
Tabla 4 Estaciones de Trabajo
Área Bogotá Medellín

Gerencia 1 1
Administración N/A 1
Desarrollo 5 4
Soporte N/A 3
Total 6 9
Además, se cuenta con dispositivos de telefonía, impresoras y servidores que se

listan en la próxima tabla.
Tabla 5 Lista de Equipos
Equipo Marca
Telefonía Panasonic KX-UT123
Router inalámbrico Gateway MG6002N
Servidor de correos Gmail empresarial
Impresora - Epson Expression XP 231

Escáner
Portátiles Notebook HP 14-ac186la - Intel Core i3-5005U 8 Gigas RAM

Notebook HP 14-v007la - AMD A10- 5745M APU - 8 Gigas RAM
Notebook HP x64-based PC - AMD A10-7300 - 12 Gigas RAM
Disco duro externo Adata Hv620 Usb
Servidor pruebas Windows Server 2012 R2

SQL Server
Servidor pruebas Windows Server 2012 R2

Aplicación
28
2.1.3.3. Aplicaciones
I&S utiliza diferentes herramientas tecnológicas para la gestión de sus

operaciones, desarrollo de bases datos, integraciones, comunicación con clientes
y administración de los proyectos laborales a cargo. En la próxima tabla se listan
las aplicaciones que permiten las tareas anteriormente mencionadas.
Tabla 6 Listado de Aplicaciones
Aplicación Tipo de aplicación Comentarios

Siesa Cloud SBS Software ERP Gestión de procesos
Paquete Office Herramienta de ofimática
Redmine Organizativa Gestión de proyectos
Microsoft Windows Sistema operativo
Skype Comunicaciones Comunicación interna y con clientes
Visual Studio .NET Desarrollo Desarrollo de aplicaciones
Sistema de administración de bases de
SQL Server Bases de datos
datos
Generic Transfer Servicio web para integrar sistemas
Sistema de integración
Integration automáticamente
generictransfer.com Generador de planos Página web para generación de planos

2.1.3.4. Servicios Cloud
Se cuenta con Azure como servicio en la nube, en el cual se encuentra alojado

www.generictransfer.com, un aplicativo web que permite al personal crear archivos
planos para la carga masiva de información a Siesa Enterprise, así como su
respectiva base de datos, como contingencia se cuenta con Amazon, en caso de
presentarse inconvenientes con la plataforma de Azure.
Por otro lado se tiene Arvixe, el cual es utilizado para generar pruebas con los
clientes, en caso que se requiera.
29
2.2. ESTADO ACTUAL CON RESPECTO ISO/IEC 27001
Entre los pasos iniciales para desarrollar el plan de implementación del SGSI
basado en ISO/IEC 27001:2013 se realiza un análisis que permite evaluar el
contexto de la organización, liderazgo, planificación, soporte, operación,
evaluación de desempeño y mejoras, los cuales se convierten en elementos
esenciales para actuar según la norma.
En el Anexo A - “Diagnóstico Inicial” (disponible en el CD, ver pg. 92) se

encuentra la encuesta aplicada a Interfaces y Soluciones S.A.S, la cual fue
realizada a Jorge Luis Pérez, gerente de proyectos de la organización, sobre el
cumplimiento de 106 ítems relacionados con los 14 dominios de seguridad que
establece ISO/IEC 27001:2013. Las respuestas posibles están dadas por: NC, CP,
CS. De acuerdo a la información que se presenta en la siguiente tabla:
Tabla 7 Parámetros de respuesta a la encuesta

Sigla Estado de Evaluación Descripción
NC NO CUMPLE No existe y/o no se está haciendo
Lo que la norma requiere (ISO/IEC 27001 versión
2013) se está haciendo de manera parcial, se está
CP CUMPLE PARCIALMENTE
haciendo diferente, no está documentado, se definió y
aprobó pero no se gestiona
Existe, es gestionado, se está cumpliendo con lo que la
CUMPLE norma ISO/IEC 27001 versión 2013 solicita, está
CS
SATISFACTORIAMENTE documentado, es conocido y aplicado por todos los
involucrados en el SGSI cumple 100%
Fuente: AutodiagnosticoSGSI_v2_09072015
Tras el análisis se obtienen los siguientes resultados:
Figura 2 Gráfico Resultado Evaluación inicial
54 de los ítems evaluados no se

cumplen.
41 de los ítems evaluados son
cumplidos parcialmente.
11 de los ítems evaluados se cumplen
satisfactoriamente.
30
Tabla 8 Resultados de Evaluación Inicial I&S 27001:2013
Ítems
ID Dominio CS CP NC Evaluados
A5 Política de seguridad 2 4 6
A6 Organización de la SI 2 3 3 8
A7 Seguridad de los RRHH 1 4 4 9
A8 Gestión de activos 3 3 6
A9 Control de accesos 1 6 11 18
A10 Criptografía 3 3
A11 Seguridad física y ambiental 2 5 3 10
A12 Seguridad en las operaciones 1 6 4 11
A13 Seguridad en las comunicaciones 1 2 3 6
Adquisición de sistemas, desarrollo y
A14 6 3 9
mantenimiento
A15 Relación con proveedores 4 4
A16 Gestión de los incidentes de seguridad 1 3 2 6
A17 Continuidad del negocio 5 5
Cumplimiento con requerimientos legales y
A18 2 1 2 5
contractuales
Suma total 11 41 54 106
Figura 3 Gráfico Resultados Evaluación Inicial La evaluación Inicial deja ver

que gran parte de los
elementos mínimos
requeridos para el
cumplimiento de la norma son
inexistentes o se cumplen de
forma parcial en Interfaces y
Soluciones.
A continuación, se describe
dominio a dominio los
hallazgos obtenidos por
medio de la información
entregada por el gerente de
proyectos y algunos
miembros de la organización.
31
2.2.1. A.5 Política de seguridad.
Se busca que la dirección brinde orientación y soporte para la seguridad de la

información de acuerdo con los requisitos del negocio y con las leyes y
reglamentos pertinentes. Se observa que I&S tiene carencia documental de
políticas, procedimientos y controles para garantizar la seguridad de la
información.
Figura 4 Evaluación Inicial A5
2.2.2. A.6 Organización de la seguridad de la información.
Se busca un marco de referencia de gestión para iniciar y controlar la

implementación y operación de la seguridad de la información dentro de la
organización. Se observa que I&S ha avanzado en la tarea de acuerdos de
confidencialidad, la dirección junto con los miembros líder, intentan cambiar y
mejorar los temas de seguridad, sin embargo, falta una definición clara de roles y
responsabilidades con respecto a la seguridad.
32
2.2.3. A.7 Seguridad de los RRHH.
Se busca garantías de que los empleados y contratistas comprenden sus

responsabilidades y son idóneos en los roles para los que se consideran. Debido a
que no existe una definición clara de responsabilidades y roles de seguridad,
como se mencionó en el anterior dominio, se evidencia que I&S tiene deficiencias
para proteger los intereses de la organización, principalmente, en los procesos de
cambio o terminación de empleo y la detección de vulnerabilidades.
2.2.4. A.8 Gestión de activos.
Se deben identificar los activos organizacionales y definir las responsabilidades de

protección adecuadas asegurando que la información recibe un nivel apropiado de
protección, de acuerdo con su importancia para la organización. Se observa que
I&S ha tomado la iniciativa de gestionar un inventario de activos, sin embargo, no
está totalmente actualizado y hacen falta procedimientos documentados y
comunicados al personal para la clasificación de la información según su criticidad.
33
2.2.5. A.9 Control de accesos.
Es de vital importancia limitar el acceso a información y a instalaciones de

procesamiento de información asegurando el acceso de los usuarios autorizados y
evitando el acceso no autorizado a sistemas y servicios. Se observa que I&S hace
uso de contraseñas como medida para restringir el acceso a sus sistemas y se
tiene conocimiento de la necesidad de desarrollar políticas de control de accesos,
gestión de contraseñas y gestionar correctamente el teletrabajo por lo cual han
tomado medidas basadas en el sentido común. Sin embargo, no existe
documentación formal y/o estandarizada.
2.2.6. A.10 Criptografía.
Con la criptografía se busca asegurar el uso apropiado y eficaz de esta para

proteger la confidencialidad, autenticidad y/o la integridad de la información. Se
34
observa que en I&S no existen procedimientos sobre el uso, protección y tiempo
de vida de las llaves criptográficas. De hecho no existen controles criptográficos
de forma que la información crítica puede verse expuesta fácilmente a amenazas
de seguridad.
2.2.7. A.11 Seguridad física y ambiental.
Se observa que I&S ha tomado medidas básicas para prevenir el acceso físico no
autorizado, el daño y la interferencia a la información. No obstante, se aconseja
tomar acciones específicas, documentadas y comunicadas para prevenir la
pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones
de la organización. Puesto que se evidencia falta de protección frente a fallos en la
alimentación eléctrica, falta de seguridad en el cableado y no existen restricciones
en el uso de equipos móviles.
35
2.2.8. A.12 Seguridad en las operaciones.
Con la seguridad en las operaciones se busca obtener operaciones correctas y

seguras de las instalaciones de procesamiento de información. Aquí, se incluyen
controles contra códigos maliciosos, respaldo de la información, separación de los
ambientes de desarrollo, pruebas y operación, registro de eventos. De forma
empírica I&S ha intentado gestionar este dominio y por ello tiene un alto índice de
cumplimiento parcial. Pero es necesario documentar y poner a disposición los
procedimientos que permitan controlar y hacer seguimiento a las operaciones. Se
detecta problemas principalmente en:
● Implementación de logs para la detección y seguimiento a fallos.
● Ausencia de auditorías internas y/o externas.
● Falta de controles para la gestión de medios informáticos (cintas, discos,

removibles, informes impresos).
2.2.9. A.13 Seguridad en las Comunicaciones.
El nivel de preocupación por asegurar la protección de la información en las redes

y la transferencia de información en I&S se ha enfocado en la implementación de
medidas para proteger la confidencialidad e integridad de información publicada y
acuerdos para intercambio de información y software con los clientes. Sin
embargo, se encuentran falencias en cuanto al control de las redes y
transacciones en línea, lo cual posibilita la ejecución de ataques que aprovechan
las vulnerabilidades existentes.
36
2.2.10. A.14 Adquisición de sistemas, desarrollo y

mantenimiento.
El personal de I&S ha implementado tareas correspondientes a los procesos de

adquisición de sistemas, desarrollo y mantenimiento basados en el sentido común.
Aunque, no hay comunicación formal de procedimientos estandarizados. Con las
tareas realizadas se busca garantizar la seguridad de la información durante todo
el ciclo de vida de los sistemas de información pero se requiere establecer y
aplicar reglas para el desarrollo de software y de sistemas, junto con, la
documentación, supervisión y seguimiento a las aplicaciones críticas del negocio.
2.2.11. A.15 Relación con proveedores.
37
En I&S la relación con los proveedores se ha basado en una confidencialidad
asumida pero no se ha establecido un acuerdo y/o contrato formal en el que se
estipulen todos los requisitos de seguridad de la información pertinentes con cada
proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar
componentes de infraestructura de TI para la información de la organización. En
este punto es indispensable asegurar la protección de los activos de la
organización que sean accesibles a los proveedores y mantener el nivel acordado
de seguridad de la información y de prestación del servicio alineado con los
acuerdos que corresponden a los proveedores.
2.2.12. A.16 Gestión de los incidentes de seguridad.
La Gestión de Incidentes comprende asegurar un enfoque coherente y eficaz para

el manejo de incidentes de seguridad de la información, incluida la comunicación
sobre eventos de seguridad y debilidades. Se observa que en I&S se comunican
las debilidades y eventos de seguridad en el grupo de trabajo pero falta definir
responsabilidades y procedimientos que faciliten la evaluación de tales eventos y
decisiones sobre ellos. Adicionalmente, no se encuentra con una gestión de
incidentes adecuada que incluya la recolección de evidencia y que permita reducir
la posibilidad o impacto de incidentes futuros a través del conocimiento adquirido.
38
2.2.13. A.17 Continuidad del negocio.
En este dominio se hace necesario planificar, implementar, verificar, revisar y

evaluar la continuidad de la seguridad de la información. I&S debe establecer,
documentar, implementar y mantener procesos, procedimientos y controles para
asegurar el nivel de continuidad requerido para la seguridad de la información
durante una situación adversa puesto que en la encuesta realizada no se muestra
evidencia de la existencia de los elementos esenciales para ello.
2.2.14. A.18 Cumplimiento con requerimientos legales y

contractuales.
Con el propósito de evitar el incumplimiento de las obligaciones legales,

estatutarias, reglamentarias o contractuales relacionadas con seguridad de la
información I&S ha optado por tomar medidas parciales como el resguardo de la
propiedad intelectual y de los registros de la organización: los documentos físicos
están bajo llave en zonas seguras y solo pueden ser accedidos por personal
39
autorizado. Sin embargo, la ausencia de políticas de seguridad, controles
criptográficos y conformidades técnicas crean un estado de incertidumbre con
respecto al cumplimiento de políticas y normas de seguridad incluyendo la
privacidad y protección de los datos.
Tras el análisis completo de los diferentes dominios se encontró que de un total de

106 ítems, 54 de estos no se cumplen, 41 se cumplen parcialmente y 11 se
cumplen satisfactoriamente.
En lo que respecta a las políticas de seguridad no se cuenta con la documentación

necesaria relativa a los procedimientos y controles que ayuden a garantizar la
seguridad de la información, con un 66,7 % de no cumplimiento y un 33,3 % de
cumplimiento parcial; por otro lado, se realizó el análisis de la seguridad de la
información en la organización, lo cual se cumple satisfactoriamente en un 25 %,
mientras que se observa un 37,5 % que no se cumple y/o se cumple parcialmente,
puesto que se cuenta con acuerdos de confidencialidad, sin embargo, no se tiene
una claridad en los roles para el control adecuado de la operación de la seguridad.
Adicional se observa que la seguridad de los RRHH solo se cumple

satisfactoriamente en un 44,4 %, puesto que no se cuenta con un control
adecuado en los procesos referentes a terminación de contratos y la detección de
vulnerabilidades; en la gestión de activos se puede observar, que aunque se ha
trabajado en el inventario de activos, este no se encuentra actualizado en su
totalidad y así mismo no se tienen procedimientos para la clasificación de la
información teniendo en cuenta su criticidad, contando con un 50 % de
cumplimiento parcial y 50 % que no se cumplen.
40
En el control de accesos únicamente se observa un 5,6 % de cumplimiento
satisfactorio, un 33,3 % de cumplimiento parcial y un 61,1 % de no cumplimiento,
puesto que se cuenta con el uso de contraseñas, sin embargo, no se cuenta con
documentación formal; mientras que en lo que respecta a la criptografía se
observa un 100 % de no cumplimiento, ya que no existen procedimientos en todo
lo relacionado al uso de las llaves criptográficas.
En la seguridad física y ambiental no se cuenta con una protección completa en la

alimentación eléctrica, lo que evidencia falta de seguridad en el cableado y
restricción en el uso de los equipos móviles; así mismo se detectan falencias en la
seguridad en las operaciones, puesto que no se cuenta con logs y/o controles en
la gestión de medios informáticos.
En la relación con los proveedores no se cuenta con un control adecuado

referente a los requisitos de seguridad, teniendo en cuenta toda la comunicación,
para el aseguramiento de la protección de los activos; así como en la gestión de
los incidentes de seguridad no se cuenta con una correcta gestión, para la
recolección de evidencia.
Según el análisis realizado, se observa a nivel general, que se requiere una

intervención inmediata a nivel de los dominios relacionados con políticas de
seguridad, continuidad del negocio, criptografía y relación con los proveedores,
puesto que son los que tienen mayor índice de incumplimiento con la norma y
afectan la seguridad de la información que se requiere.
41
3. CAPÍTULO III. GESTIÓN DE RIESGOS
El presente capítulo describe la metodología a utilizar para la gestión de riesgos,

con el fin de que los órganos de gobierno tomen decisiones correctas según los
riesgos derivados de las tecnologías de la información, así como el inventario de
activos de la organización y la valoración de estos, teniendo en cuenta la
confidencialidad, integridad y disponibilidad de la información, realizando de esta
forma el análisis de amenazas y la valoración de los riesgos, estimando así los
riesgos a los que se puede encontrar expuesta la organización.
3.1. METODOLOGÍA
Como metodología para la gestión de riesgos en el plan de implementación del

SGSI se acuerda trabajar con MAGERIT, la cual implementa el Proceso de
Gestión de Riesgos dentro de un marco de trabajo para que los órganos de
gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de
tecnologías de la información8. MAGERIT presenta los siguientes objetivos:
Directos:
1. Concienciar a los responsables de las organizaciones de información de la
existencia de riesgos y de la necesidad de gestionarlos
2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones (TIC)
3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los
riesgos bajo control
Indirectos:
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación
o acreditación, según corresponda en cada caso.
3.2. INVENTARIO DE ACTIVOS
Para empezar con la gestión de riesgos se requiere un inventario de activos. Los

activos son componentes o funcionalidades de un sistema de información
susceptible de ser atacado deliberada o accidentalmente con consecuencias para
la organización. Incluye: información, datos, servicios, aplicaciones (software),
equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y
recursos humanos9. A continuación, se presenta un fragmento de los activos
8
PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información
9
[UNE 71504:2008]
42
identificados en Interfaces y Soluciones, el listado completo de activos se
encuentra en el Anexo B - “Informe de Hallazgos” (disponible en el CD, ver pg.
92).
Tabla 9 Listado de activos (Fragmento)

ID Tipo Activo Descripción
Navegador: Chrome
Acceso a plataformas: Azure, Amazon, Arvixe
ACT_0001 Comunicaciones Internet Acceso inalámbrico a través de la tarjeta de red
de los equipos
Servicio contratado con Claro: 5 Megas
cableado categoría 5E
ACT_0002 Comunicaciones Intranet Router suministrado por Claro, sin
configuraciones adicionales a las por defecto
ACT_0003 Comunicaciones Telefonía

Panasonic KX-UT123
Se realizan backups manuales de:

- BD GTIntegration (base de datos sistema de
integración)
- BDI (base de datos intermedia)
ACT_0004 Datos Backups
- Satélites (código fuente)
- Generic Transfer Integration (sistema de
integración)
- Ejecutables y archivos de configuración
Código en Visual Basic .NET de:

Código fuente
- Script estructura GTIntegration
aplicaciones de
ACT_0005 Datos - Script datos GTIntegration
planta y
- Ejecutables y archivos config de los
administrativas
satélites/aplicativos
Bases con información de:

- Usuarios generictransfer.com
- Documentos configurados
- Información contable
- Clientes
- Cotizaciones
- Proyectos entregados
Bases de datos
ACT_0006 Datos - Proyectos en proceso
corporativas
- Consultorías y Capacitaciones
- Conectores
- Modelo entidad relación Siesa
- Programas
- Formatos documentos (manuales, accesos)
- Versiones GTI (sistema de integración) y
satélites.
43
Gateway MG6002N(Proporcionado por Claro)
Router WAN 1x10/100 Mbps wan Ethernet
ACT_0007 Hardware
Inalámbrico USB para 2G/3G/4G USB Modem connectivity
LAN 4x10/100/1000 Mbps Ethernet Port
Servidor de
ACT_0008 Hardware Gmail empresarial
Correos
Servidor para
ACT_0009 Hardware opera con Windows Server 2012 R2
pruebas de BD
Funcionan como estaciones de trabajo para el
área de tecnologías de la información.Los
equipos son de las siguiente marcas:- Notebook
ACT_0011 Hardware Portátiles HP 14-ac186la - Intel Core i3-5005U 8 Gigas
RAM- Notebook HP 14-v007la - AMD A10-
5745M APU - 8 Gigas RAM- Notebook HP x64-
based PC - AMD A10-7300 - 12 Gigas RAM
Unidades de CD
, DVD y
ACT_0012 Hardware
Memorias
extraíbles
Discos duros de
servidores y
ACT_0013 Hardware
estaciones de
trabajo
Con información correspondiente a:
- Ejecutables y archivos de configuración de los
ACT_0014 Hardware Discos externos satélites(programa que consume el Web
Service de siesa), aplicaciones, servicios web,
GTI
8 tomas.
ACT_0015 Hardware UPS Con autonomía de 5 a 20 min
Da soporte a 5 equipos.
Cuenta con dos sedes:
Sedes de
ACT_0016 Instalaciones - Bogotá
operación
- Medellín
ACT_0017 Instalaciones Sala eléctrica Cuarto de suministro eléctrico del edificio
Sistema de aire Perteneciente al edificio donde funcionan las
ACT_0018 Instalaciones
acondicionado oficinas de la organización
ACT_0019 Instalaciones oficinas Ubicadas en el 2 piso del edificio
Se cuenta con:
Recursos - Director comercial
ACT_0020 Dirección
Humanos - Director de proyectos
- Administración
Bases de datos:
SQL server 2014
ACT_0025 Software
Management
Studio
44
3.3. VALORACIÓN DE ACTIVOS
Siguiendo la metodología se define una tabla de valoración de activos que

depende de tres dimensiones de gran importancia para la seguridad de la
información, las cuales son: confidencialidad, integridad y disponibilidad.
3.3.1. Confidencialidad
La confidencialidad se refiere a que la información debe llegar únicamente a las
personas autorizadas. Esta es definida según las características de la información
gestionada y procesada por el activo. Para la presente valoración se toma en
cuenta los siguientes criterios de clasificación.
Tabla 10 Criterios de valoración de Confidencialidad
Escala de
Valor Confidencialidad
Valoración
El activo gestiona y/o Información disponible sólo para un proceso
procesa Información de la entidad y que en caso de ser conocida
Reservada, su uso por terceros sin autorización puede
3 Alto inadecuado puede conllevar un impacto negativo de índole
generar consecuencias legal, operativa, de pérdida de imagen o
graves para la económica.
organización.
El activo gestiona y/o Información disponible para todos los
procesa Información procesos de la entidad y que en caso de ser
Clasificada, su uso conocida por terceros sin autorización
inadecuado puede puede conllevar un impacto negativo para
generar medianas los procesos de la misma. Esta información
2 Medio consecuencias a la es propia de la entidad o de terceros y
organización, como por puede ser utilizada por todos los
ejemplo, reclamaciones funcionarios de la entidad para realizar
de las áreas que soporta. labores propias de los procesos, pero no
puede ser conocida por terceros sin
autorización del propietario.
El activo gestiona y/o Información que puede ser entregada o
procesa Información publicada sin restricciones a cualquier
1 Bajo Pública, no genera persona dentro y fuera de la entidad, sin
consecuencias negativas que esto implique daños a terceros ni a las
para la organización. actividades y procesos de la entidad.
Activos de Información Deben ser tratados como activos de

que deben ser incluidos INFORMACIÓN RESERVADA hasta el
No
0 Clasificada
en el inventario y que momento en que se defina una valoración
aún no han sido entre la escala del 1-3 definida.
clasificados.
Fuente: Elaboración Propia basado en Guía para la gestión y clasificación de activos MinTic
45
3.3.2. Integridad
La integridad es una característica o propiedad de la información que garantiza

que ésta no ha sido alterada (modificada o destruida) de manera no autorizada.
Los criterios de valoración de integridad para los activos de I&S se describen a
continuación:
Tabla 11 Criterios de valoración de Integridad
Escala de
Valoración Integridad
Valoración
El activo gestiona Información cuya pérdida de exactitud y

completitud puede conllevar un impacto negativo de índole
legal o económica, retrasar sus funciones, o generar pérdidas
3 Alto
de imagen severas de la entidad. Es información que apoya la
toma de decisiones estratégicas de la organización.
Los errores deben ser solucionados de inmediato.

completitud puede conllevar un impacto negativo de índole
legal o económica, retrasar sus funciones, o generar pérdida
2 Medio
de imagen moderada a funcionarios de la entidad. La
información gestionada por el activo permite una brecha de
errores que pueden ser solucionados a corto plazo.

completitud conlleva un impacto no significativo para la entidad
1 Bajo
o entes externos.
Los errores pueden ser solucionados en un mediano plazo
El activo de información debe ser incluido en el inventario y

No aún no ha sido clasificado. Debe ser tratado como activo de
0 Integridad nivel 3 hasta el momento en que se defina una
Clasificada
valoración entre la escala del 1-3 definida.
46
3.3.3. Disponibilidad
La disponibilidad asegura que los usuarios autorizados tienen acceso a la

información y activos asociados cuando lo requieren, es decir, con esta propiedad
se previene la denegación de acceso a datos y servicios de información
autorizados. En la tabla se presentan los criterios de valoración de disponibilidad
para los activos de I&S.
Tabla 12 Criterios de valoración de Disponibilidad
Escala de
Valoración Disponibilidad
Valoración
El activo apoya los procesos críticos de la entidad y se

requiere de una recuperación inmediata en caso de falla.
Puesto que, la no disponibilidad de la información puede
3 Alto
conllevar un impacto negativo de índole legal o económica,
retrasar sus funciones, o generar pérdidas de imagen severas
a entes externos.
El activo apoya los procesos no críticos de la entidad y permite
su recuperación en un tiempo no mayor a 3 días. Puede
2 Medio
generar repercusiones económicas, legales o de imagen
moderadas.
El activo apoya los procesos no críticos de la entidad y permite
su recuperación en un tiempo superior a 3 días. La no
disponibilidad de la información puede afectar la operación
1 Bajo
normal de la entidad o entes externos, pero no conlleva a
implicaciones legales, económicas o de imagen.
Activos de Información que deben ser incluidos en el

inventario y que aún no han sido clasificados. Deben ser
0 No Clasificada tratados como activos de Disponibilidad de nivel 3 hasta el
momento en que se defina una valoración entre la escala del
1-3 definida.
47
3.4. ANÁLISIS DE AMENAZAS
Las amenazas suelen ser causas potenciales de incidentes que ocasionan daños
al sistema de información o a la organización. Tras el análisis de los activos en
I&S se detectan las amenazas listadas en la tabla.
Tabla 13 Resumen de Amenazas

C = Comunicaciones; D = Datos; H = Hardware; S = Software;

I = Instalaciones; R = RRHH; S = Software Nro Activos Afectados por Tipo
ID C D H I R S Total
Riesgo Vector Amenaza
Riesgo
Abuso de privilegios de Abuso de información privilegiada

R_001 4 4
acceso y actos no autorizados
Abuso de información privilegiada

R_002 Acceso no autorizado 3 4 7
y actos no autorizados
Alteración de la Ataque interno y/o Ataque

R_003 1 2 2 2 7
información externo
Caída del sistema por Fallos en el sistema y en el medio

R_004 2 2 4
sobrecarga ambiente
Condiciones
inadecuadas de
R_005 Condiciones peligrosas 1 1
temperatura o
humedad
Corrupción de la Ataque interno y/o Ataque

R_006 3 1 4
Corte del suministro

R_007 Fallos de dependencia 1 1 2
eléctrico
Afectación de los
soportes de
R_008 Errores y Omisiones 3 3
almacenamiento de la
información
Sistemas Automatizados y
R_009 Denegación de servicio 1 3 4
Código Malicioso
48
C = Comunicaciones; D = Datos; H = Hardware; S = Software;
I = Instalaciones; R = RRHH; S = Software Nro Activos Afectados por Tipo
ID C D H I R S Total
Riesgo Vector Amenaza
Riesgo
R_010 Desastres naturales Acciones de la naturaleza 3 3
Difusión de software Sistemas Automatizados y

R_011 2 1 3 6
dañino Código Malicioso
Errores de Fallos en el sistema y en el medio

R_012 11 11
configuración ambiente
R_013 Errores de los usuarios Errores y Omisiones 2 2
Errores de
mantenimiento /
actualización de
equipos (hardware)
Errores de
mantenimiento /
actualización de
programas (software)
Errores del
administrador
Ataque interno y/o Ataque
R_017 Extorsión 2 2
externo
R_018 Fuego Condiciones peligrosas 3 3
Abuso de información privilegiada

R_019 Fuga de información 2 3 3 4 12
y actos no autorizados
Indisponibilidad del
R_020 Fallos de dependencia 4 4
personal
Ataque interno y/o Ataque

R_021 Ingeniería social 2 2 4 8
externo
Interceptación de Ataque interno y/o Ataque

R_022 2 2
información (escucha) externo
Introducción de falsa Ataque interno y/o Ataque

R_023 2 2
49
3.5. VALORACIÓN DEL RIESGO
La valoración del riesgo permite estimar la magnitud de los riesgos a los que está
expuesta la organización. La materialización de una amenaza consta de dos
elementos: probabilidad e impacto, estos determinan el nivel del riesgo.
De acuerdo a la probabilidad se determinan los siguientes criterios de valoración:
Tabla 14 Criterios de valoración según Probabilidad
Escala de
Valoración Descripción
Valoración
La amenaza se puede materializar mínimo una vez al

3
Alto mes
La amenaza se puede materializar a lo sumo una vez

2
Medio en el semestre
La amenaza se puede materializar a lo sumo una vez al

1
Bajo año
Según el impacto se determinan los siguientes criterios de valoración:
Tabla 15 Criterios de valoración según Impacto

Escala de
Valoración Descripción
Valoración
3 Alto La ocurrencia del evento tiene impacto a nivel de
confidencialidad, integridad y/o disponibilidad de la
información poniendo en riesgo la reputación de la
empresa y/o inconvenientes legales.
2 Medio La ocurrencia del evento tiene impacto a nivel de
confidencialidad, integridad y/o disponibilidad de la
información sin poner en riesgo la reputación de la
empresa o necesidad de medidas legales.
1 Bajo La ocurrencia del evento no tiene consecuencias
relevantes para la organización.
50
Por la combinación probabilidad - impacto se define el mapa de riesgo que se
presenta a continuación, los números en el interior de las celdas son calculados
por la multiplicación de la probabilidad por el impacto. Indican junto con los tonos
de colores la criticidad del riesgo.
Figura 18 Mapa de Riesgo

MAPA DE RIESGO
3 - Alta 3 6 9
2 - Media 2 4 6
Probabilidad 1- Baja 1 2 3
1 - Bajo 2 - Medio 3 -Alto
Impacto
El detalle de los niveles de riesgo y valoración de riesgo de todos los activos

estudiados se encuentra en el Anexo B - “Informe de Hallazgos” (disponible en
el CD, ver pg. 92) en la sección Valoración del riesgo. A continuación se presenta
un resumen de los resultados obtenidos:
Tabla 16 Resumen Valoración del riesgo

Promedio Probabilidad = PP
Promedio Impacto = PI
Estimado = E
Valoración Riesgo = VR
ID Vector V. Amenaza PP PI E VR
Abuso de información privilegiada y actos no
VA_001 2 3 6 RC
autorizados
VA_002 Acciones de la naturaleza 1 1 1 RB
VA_003 Ataque interno y/o Ataque externo 2 3 6 RC
VA_004 Condiciones peligrosas 1 1 1 RB
VA_005 Errores y Omisiones 3 2 6 RC
VA_006 Fallos de dependencia 2 2 4 RM
VA_007 Fallos en el sistema y en el medio ambiente 3 2 6 RC
VA_008 Intrusión física y/o robo 2 3 6 RC
VA_009 Sistemas Automatizados y Código Malicioso 2 2 4 RM
51
4. CAPÍTULO IV. SELECCIÓN DE SALVAGUARDAS
Luego de estimar el riesgo, se busca establecer medidas de protección, también

conocidas como salvaguardas o tratamiento que permiten prevenir, impedir,
reducir o controlar los riesgos identificados, para esto en el siguiente capítulo se
describen las estrategias para el tratamiento de riesgos, estudiando las diferentes
situaciones que se presentan dentro de la organización, así como las técnicas
como parte del tratamiento, teniendo en cuenta las prioridades de la compañía.
Por otro lado se establece la política de seguridad, con el fin de establecer las
reglas básicas, para garantizar la confidencialidad, integridad y disponibilidad de la
información, así como los controles recomendados, monitoreo y asignación de
responsabilidades, teniendo en cuenta la matriz RASCI.
4.1. ESTRATEGIAS PARA TRATAMIENTO DEL RIESGO
La principal estrategia para el tratamiento de riesgos es estudiar la situación y

determinar en cuáles de los siguientes casos se ubica el riesgo, con el propósito
de enfocarse en el objetivo correcto.
Figura 19 Estrategias para el Tratamiento de riesgo
52
● Cuando existe una vulnerabilidad (defecto, debilidad) es necesario
implementar técnicas que garanticen la reducción de la probabilidad de que
la vulnerabilidad sea explotada.
● Cuando se puede explotar una vulnerabilidad es necesario aplicar

protección en capas, diseños arquitectónicos y controles administrativos
para minimizar el riesgo o prevenir esta ocurrencia.
● Cuando el costo del ataque es menor que la ganancia potencial para el

atacante, es necesario aplicar protección para disminuir la motivación
aumentando el costo del atacante (por ejemplo, usar controles del sistema
para limitar lo que un usuario puede hacer).
● Cuando la pérdida puede ser demasiado grande, es necesario aplicar

principios de diseño, técnicas y procedimientos para limitar el alcance del
ataque, reduciendo así el potencial de pérdida.
A partir de lo anterior y la valoración de riesgos se definen las siguientes

estrategias:
Tabla 17 Estrategias para el Tratamiento de Riesgos
ESTRATEGIAS PARA TRATAMIENTO DE RIESGO
3.Zona de riesgo Moderado 6. Zona de riesgo extremo 9.Zona de riesgo Extremo
Tratamiento: Tratamiento: Tratamiento:
3 - Alta Reducir la probabilidad de Reducir el riesgo Reducir el riesgo
ocurrencia Evitar el riesgo Evitar el riesgo
Evitar el riesgo Compartir o transferir Compartir o transferir
6. Zona de riesgo extremo

2. Zona de riesgo Bajo 4.Zona de riesgo Moderado
Tratamiento:
Tratamiento: Tratamiento:
2 - Media Reducir el riesgo
Reducir la probabilidad de Reducir el riesgo
Evitar el riesgo
Probabilidad ocurrencia Evitar el riesgo
Compartir o transferir
2. Zona de riesgo Bajo 3.Zona de riesgo Moderado

1. Zona de riesgo Bajo
Tratamiento: Tratamiento:
1 - Bajo Tratamiento:
Reducir el riesgo Reducir el riesgo
Asumir el riesgo
Evitar el riesgo Evitar el riesgo
1 - Bajo 2 - Medio 3 - Alto
Impacto
53
4.2. TÉCNICAS PARA EL TRATAMIENTO DEL RIESGO
De acuerdo a las prioridades de la organización y el nivel de riesgo detectado se

definen diferentes técnicas como parte del tratamiento del riesgo:
● Aceptar (A): Indica una aceptación del riesgo tras una decisión informada a
favor de tomar el riesgo que tiene una muy baja probabilidad de ocurrencia.
Esta técnica reconoce el riesgo. La aceptación es una técnica "pasiva" que
se centra en permitir que cualquier resultado ocurra sin tratar de prevenir
ese resultado. Esta técnica se utiliza normalmente para los riesgos "bajos"
o "muy bajos" en los que no es evidente un medio eficiente de reducir el
riesgo.
● Evitar (E): Se intenta evitar la ocurrencia del riesgo puesto que presenta
una probabilidad media o alta y puede ocasionar daños graves a la
organización. Aquí se encuentran las salvaguardas preventivas en la que se
establece anticipadamente políticas, normas, controles y procedimientos
que buscan evitar las circunstancias que lo provocan y reducir las
posibilidades de ocurrencia. Las ideales son las que impiden
completamente la materialización de la amenaza.
● Controlar (C): Esta técnica se compone de acciones que deben tomarse

para reducir la probabilidad de riesgo o el impacto. Por lo general,
identifican una acción o producto que se convierte en parte de los planes de
trabajo y que son supervisados e informados como parte del análisis de
desempeño regular y el informe de progreso del Programa.
● Investigar (I): Esta técnica difiere todas las acciones hasta que se realiza
más trabajo y/o se conocen hechos. Las respuestas basadas en la
investigación no definen ninguna mitigación para reducir un riesgo
individual. Son respuestas a los riesgos en los que no se identifica una
solución clara, y se requiere más investigación.
● Mitigar (M): Se establecen salvaguardas que actúan en el momento que se

presenta o materializa la amenaza. Son medidas que limitan la posible
degradación del activo o permiten detectar inmediatamente el ataque para
frenar el daño que puede ocasionar. Algunas medidas se limitan a permitir
la pronta recuperación del sistema cuando la amenaza lo destruye.
● Transferir (T): Se busca pasar parcial o totalmente el riesgo a otra

compañía, ya sea por medio de una póliza de seguro o un contrato de
54
outsourcing. Es una medida en la que se busca compartir el riesgo. Hay dos
formas básicas de compartir riesgo10:
○ Riesgo cualitativo: se comparte por medio de la externalización de

componentes del sistema, de forma que se reparten
responsabilidades.
○ Riesgo cuantitativo: se comparte por medio de la contratación de

seguros, de forma que a cambio de una prima, el tomador reduce el
impacto de las posibles amenazas y el asegurador corre con las
consecuencias.
A partir del análisis realizado se determinan a grandes rasgos las técnicas para los
riesgos detectados. Para mayor información dirigirse a la sección Técnicas de
tratamiento del “Anexo C - Evaluación y Tratamiento de Riesgos” (disponible en
el CD, ver pg. 92).
Tabla 18 Resumen Técnicas de Tratamiento

Nro. de riesgos por Técnicas de
Tratamiento
ID V.
Amenaza Vector Amenaza A C E I M T Total
Abuso de información privilegiada y actos no
VA_001 autorizados 3 3 1 3
VA_002 Acciones de la naturaleza 1 1 1 1
VA_003 Ataque interno y/o Ataque externo 1 6 3 6
VA_004 Condiciones peligrosas 1 2 1 2
VA_005 Errores y Omisiones 4 5 2 5
VA_006 Fallos de dependencia 2 3 1 3 3
VA_007 Fallos en el sistema y en el medio ambiente 1 1 1 2
VA_008 Intrusión física y/o robo 2 2 1 1 2
VA_009 Sistemas Automatizados y Código Malicioso 2 1 1 2
Suma total 1 12 25 5 13 1 26
10
Magerit_v3
55
4.3. PLAN DE TRATAMIENTO DEL RIESGO
Una vez definidas las estrategias y técnicas, se establece el plan del tratamiento
del riesgo, en el cual, se hace la selección de salvaguardas, incluyendo políticas,
controles, monitoreo y asignación de las responsabilidades, con el fin de evitar,
controlar, transferir y mitigar los riesgos detectados.
4.3.1. Política de Seguridad SGSI
El Plan de implementación del SGSI, exige el desarrollo de una política de

seguridad en la que se establezcan las reglas necesarias para garantizar la
confidencialidad, integridad y disponibilidad de la información en todos los
procesos de Interfaces y Soluciones. Por tanto, esta debe ser definida, asignada y
comunicada a todos los miembros de la organización.
4.3.1.1. Objetivo
El objetivo principal de la política de seguridad del SGSI es establecer las reglas

básicas para garantizar la confidencialidad, integridad y disponibilidad de la
información en las actividades de gestión, procesamiento y almacenamiento en
Interfaces y Soluciones S.A.S.
4.3.1.2. Alcance
Está política aplica para todos los empleados y contratistas de Interfaces y

Soluciones que tienen acceso a la red y a los servicios informáticos disponibles.
Así como personas naturales y jurídicas que desarrollen actividades en Interfaces
y Soluciones que tengan acceso a la red y los servicios informáticos disponibles.
4.3.1.3. Responsables
Todos los empleados de Interfaces y Soluciones, contratistas y terceros externos a

la organización.
4.3.1.4. Definición
Interfaces y Soluciones es consciente de que la información con la que opera es

un recurso vital para el cumplimiento de sus objetivos, por lo tanto, es esencial
garantizar la confidencialidad, integridad y disponibilidad de la misma. De forma
que se compromete con:
● Proteger los activos de información.
56
● Garantizar los requerimientos legales y de la entidad relativos a la
seguridad de la información.
● Gestionar los riesgos identificados.
● Revisar el cumplimiento de las políticas de seguridad de la información.
● Desarrollar un plan de concientización sobre seguridad de la información
para todo el personal.
● Establecer controles de seguridad por medio de implantación de políticas,
estándares y procedimientos que permitan proteger los activos de
información disponibles.
I&S basada en las directrices de seguridad de la información nacional 11 y
adaptándolas al caso de la compañía establece que:
● Antes de asignar el equipo de cómputo a un nuevo usuario, el Área de

desarrollo y gerencia debe asegurarse que no existe información
confidencial en dicho equipo, en caso contrario, debe proceder a respaldar
completamente la información y posteriormente deberá borrarla del equipo.
● El área de gerencia y administración debe establecer las medidas y
mecanismos de control, monitoreo y seguridad, para el correo electrónico y
los accesos a páginas o sitios de Internet con contenidos u orígenes
sospechosos.
● El área de soporte debe realizar pruebas (mínimo una vez al año) de
penetración, así como un análisis de vulnerabilidades de la red para la
medición de la seguridad perimetral de la red interna ante un ataque desde
el exterior.
● El administrador de la seguridad es el autorizado para habilitar páginas
bloqueadas siempre y cuando el acceso a estas se encuentre previamente
autorizado por el director respectivo existiendo una justificación para ello.
● El Área de desarrollo y soporte debe garantizar que los componentes de
red, cuentan con las configuraciones seguras contemplando la actualización
de parches y versiones indicadas por el proveedor.
● El área de gerencia y desarrollo debe llevar registro de todas las personas a
las que se les ha otorgado algún privilegio de acceso.
● El área de gerencia y desarrollo debe revisar los derechos de acceso de
forma bimestral.
● El área de administración es responsable de elaborar un inventario de los
activos de la información disponibles en la organización, éste debe incluir
11
(«L-TI-03-Administración-Seguridad.», 2016)
57
clasificación, ubicación y propietario designado. El inventario debe
mantenerse actualizado.
● El área de gerencia y administración debe garantizar que los empleados
retirados de la entidad devuelvan la información confidencial y reservada
que tiene bajo su resguardo.
● El personal de Interfaces y Soluciones debe utilizar el correo electrónico
únicamente con fines laborales.
● El uso de internet debe de estar controlado por un dispositivo de seguridad
como un proxy, permitiendo solamente a los usuarios autorizados el utilizar
el servicio.
● El uso de internet debe de ser sólo para fines laborales y no para realizar
actividades personales o con fines de lucro.
● En caso de sospecha de revelación de contraseñas a personas no
autorizadas, estas contraseñas deben ser cambiadas inmediatamente.
● Es responsabilidad de los usuarios revisar los archivos adjuntos con el
antivirus antes de descargarlos a cualquier equipo de cómputo.
● Está estrictamente prohibido el uso inapropiado de Internet para desarrollar
actividades ilegales, acceder y/o descargar contenido pornográfico,
descargar cualquier tipo de software sin autorización del área de gerencia,
cargar o descargar software comercial violando las leyes de derecho de
autor.
● Está prohibido ingresar a las áreas de trabajo o extraer de las instalaciones
de Interfaces y Soluciones medios removibles (CD, DVD, USB, Discos
Duros, ZIP, entre otros), sin la debida autorización.
● La clave de usuario debe ser única para cada usuario que solicite acceso.
● La información debe clasificarse en términos de su valor y criticidad como:
Pública, Clasificada o Reservada, y es responsabilidad del propietario que
se haya designado.
● La salida de equipos de cómputo fuera de las instalaciones de la
organización debe ser autorizada formalmente por el gerente y/o el
coordinador del área de desarrollo.
● Las contraseñas deben ser otorgadas a los usuarios de forma segura. Se
debe evitar enviar las contraseñas por correo.
● Las contraseñas deben tener una longitud mínima de 8 caracteres,
combinar caracteres alfanuméricos y ser cambiadas máximo cada 90 días.
● Las contraseñas referentes a las cuentas “predefinidas” incluidas en los
sistemas o aplicaciones adquiridas deben ser desactivadas. De no ser
posible su desactivación, las contraseñas deben ser cambiadas después de
la instalación del producto.
58
● Los gerentes y coordinadores deberán garantizar que se comunica a todo el
personal claramente las responsabilidades relacionadas a la seguridad de
la información antes de darles acceso a la información.
● Los equipos de cómputo deben protegerse de riesgos del medio ambiente,
tales como: polvo, incendios, inundaciones, etc.
● Los puntos de acceso inalámbrico deben estar configurados de manera
segura, tomando en cuenta los siguientes aspectos:
○ Uso de encriptación de 128 bits mínimo.
○ Administración del filtrado de direcciones MAC de los dispositivos
inalámbricos conectados.
○ Establecer el número máximo de dispositivos que pueden
conectarse.
● Los usuarios de los equipos de cómputo no deben tener privilegios de
administrador con el propósito de evitar cualquier modificación a la
configuración estándar establecida por la gerencia de Interfaces y
Soluciones.
● Los usuarios deben garantizar que sus contraseñas no son reveladas ni
compartidas.
● Los usuarios son responsables de las actividades realizadas a través de su
cuenta asignada.
● Queda prohibido hacer uso de la cuenta de correo electrónico para las
siguientes actividades:
○ Generar o enviar correos electrónicos a nombre de otra persona sin
autorización o suplantándola.
○ Crear o reenviar cartas cadena o cualquier otro esquema de
pirámide de mensajes.
○ Enviar correo no deseado (spam).
○ Adjuntar archivos que contengan virus, archivos dañados, programas
que descarguen otros archivos, o cualquier otro programa o software
que pueda perjudicar el funcionamiento de los equipos de otros.
○ Anunciar, enviar, o emitir contenido del cual no se tiene el derecho
de transmisión por ley o bajo relación contractual tal como
información confidencial entregada como parte de las relaciones de
empleo o bajo contratos de confidencialidad.
○ Descargar e intercambiar música, video e imágenes de Internet en
cualquier medio y desde cualquier medio.
● Se debe llevar a cabo un estricto bloqueo de sitios Web que no son
necesarios, ya que consumen recursos de la red a excepción del personal
que por sus funciones lo requieran.
59
● Se debe tener instalados y configurados los siguientes dispositivos de
seguridad para salvaguardar los datos que se transmiten a través de la red:
○ Firewalls.
○ Sistema de prevención y detección de intrusos.
● Si el usuario está utilizando información sensible clasificada como
“reservada o confidencial”, no podrá abandonar su equipo de cómputo,
terminal o estación de trabajo sin antes salir o bloquear el sistema o
aplicación pertinente.
● Todo el personal al momento de su ingreso debe recibir dentro de su
programa de inducción y reinducción una presentación que contenga las
políticas y sanciones de seguridad de la información vigentes.
● Todo el personal será capacitado al menos 1 vez al año en temas y
problemas de seguridad de la información tales como:
○ Procedimientos para el uso adecuado de cuentas y contraseñas.
○ Uso adecuado de los activos de información.
○ Información referente al proceso disciplinario y sanciones.
● Todos los empleados, proveedores y terceras personas que puedan tener
acceso a información reservada o confidencial de Interfaces y Soluciones,
deben firmar un acuerdo de confidencialidad.
● Todos los responsables de equipos deben garantizar el resguardo de los
mismos y la información contenida en los equipos.
● Todos los usuarios deben acceder a los recursos de servicios de
información por medio de la cuenta de usuario asignada.
● Todos los usuarios deberán bloquear su equipo cuando por cualquier razón
dejen su lugar de trabajo, y apagar su equipo de cómputo al término de la
jornada laboral.
4.3.1.5. Sanciones
Cualquier empleado que se descubra que ha violado esta política puede estar
sujeto a medidas disciplinarias, en las que se puede incluir la terminación del
contrato. El incumplimiento de esta política conllevará como primera medida una
notificación al superior inmediato, con copia a Gestión Humana.
En el caso de terceros, esto conllevará una nota solicitando explicación al

representante legal de la firma.
En caso de manipulación indebida de la información puede conllevar a efectos

penales, de igual manera se notificará a los implicados.
60
4.3.2. Controles recomendados
Tras la identificación, estimación y priorización de riesgos se ha desarrollado una

investigación y definición de los controles recomendados a utilizar para su
tratamiento.
La determinación de controles se ha basado en los dominios del Anexo A de la

norma ISO/IEC 27001:2013.
- Documentación de Políticas
Debido a que la gran mayoría de vulnerabilidades detectadas en la organización

están relacionadas con la carencia de políticas y/o documentos formales de
seguridad de la información, se han desarrollado un conjunto de políticas
asociadas a los dominios de la norma con las cuales se busca disminuir la
probabilidad e impacto de materialización de alguna amenaza.
En el “Anexo D. Políticas para la Gestión de la Seguridad” (disponible en el

CD, ver pg. 93) se encuentra el desarrollo de las políticas en las que se incluye
objetivo, alcance, responsables y sanciones de acuerdo a las disposiciones en
ellas.
Tabla 19 Listado de Políticas desarrolladas
Nivel Riesgo
ID Política Dominio V. Amenaza RB RC RM
Abuso de información privilegiada y

X
Política de actos no autorizados
P_0001 Seguridad de la A5 - A18
Información
Ataque interno y/o Ataque externo X
Errores y Omisiones X
Intrusión física y/o robo X
Política de Errores y Omisiones X

Dispositivos
P_0002 A5, A6, A9
Móviles y
Teletrabajo Sistemas Automatizados y Código
X
Malicioso
61
Política de
Seguridad de los X
P_0003 A5, A7 actos no autorizados
Recursos
Humanos
Errores y Omisiones X X

Política de X
actos no autorizados
P_0004 Control de A5, A9
Accesos Fallos de dependencia X

Política de X
P_0005 Controles A5, A10
Criptográficos
Política de
Fallos de dependencia X
P_0006 Seguridad Física A5, A11
y del Entorno
Política de
P_0007 escritorio y A5, A11 X
pantalla limpios

Política de X
A5, A11, actos no autorizados
P_0008 Almacenamiento
A12
y respaldo

X
Política de actos no autorizados
P_0009 Transferencia de A5, A13
Información
62
Política de X
P_0010 Desarrollo A5, A14
Seguro Ataque interno y/o Ataque externo X
Política de S.I Abuso de información privilegiada y

X
P_0011 aplicable a A5, A15 actos no autorizados
proveedores

X
Acciones de la naturaleza X
Ataque interno y/o Ataque externo X X
Política de Condiciones peligrosas X
P_0012 Gestión de A5, A16 Errores y Omisiones X X
Incidentes Fallos de dependencia X X
Fallos en el sistema y en el medio
X X
ambiente
Sistemas Automatizados y Código
X
Malicioso

X
Política de Acciones de la naturaleza X

Gestión de la A5, A17,
P_0013 Ataque interno y/o Ataque externo X X
continuidad del A18
negocio Condiciones peligrosas X
Fallos de dependencia X X
Fallos en el sistema y en el medio
X X
ambiente
Sistemas Automatizados y Código
X
Malicioso
63
- Aplicación de controles correspondientes a los dominios de la norma
Como se ha mencionado en el apartado anterior la selección de controles está

conectada con los 14 dominios definidos por la norma ISO/IEC 27001:2013.
El primero A5 - Política de seguridad, corresponde a lo descrito en el Listado de

Políticas Desarrolladas, comprende todo un anexo en el que se definen las
técnicas y reglamento básico para controlar y evitar la explotación de las
vulnerabilidades.
Los controles de los dominios restantes se explican en el “Anexo C. Evaluación y

Tratamiento de Riesgos” (disponible en el CD, ver pg. 92). Aquí se presenta sólo
un breve fragmento de lo que se puede encontrar en la sección Opciones de
control recomendadas del anexo indicado.
Tabla 20 Asociación de riesgos con controles ISO 27001:2013
ID N.
Riesgo Riesgo V. Amenaza Riesgo A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 A18
Abuso de
privilegios de Ataque
R_001 acceso interno RC X X X X X X
Acceso no Errores y
R_002 autorizado Omisiones RC X X X X X X X X
Alteración de Ataque
R_003 la información interno RC X X X X X X X
Fallos en el
Caída del sistema y en
sistema por el medio
R_004 sobrecarga ambiente RC X X X X
Condiciones
inadecuadas
de
temperatura o Condiciones
R_005 humedad peligrosas RB X X
Corrupción de Fallos de
R_006 la información dependencia RC X X X X
64
ID N.
Corte del
suministro Fallos de
R_007 eléctrico dependencia RB X X X
Afectación de
los soportes de Sistemas
almacenamiento Automatizados
de la y Código
R_008 información Malicioso RM X X X X X X
Denegación de
R_009 servicio Ataque interno RM X X X X
Desastres Acciones de la
R_010 naturales naturaleza RB X X X X
Sistemas
Automatizados
Difusión de y Código
R_011 software dañino Malicioso RM X X X
Fallos en el
sistema y en el
Errores de medio
R_012 configuración ambiente RM X X X
Errores de los Errores y

R_013 usuarios Omisiones RM X X X
Errores de
mantenimiento /
actualización de
equipos Errores y
R_014 (hardware) Omisiones RC X X X X
Errores de
mantenimiento /
actualización de
programas Errores y
R_015 (software) Omisiones RC X X X X
Errores del Errores y

R_016 administrador Omisiones RM X X X X
65
ID N.
Condiciones
R_018 Fuego peligrosas RB X X X X
Fuga de Errores y
R_019 información Omisiones RC X X X X X X X
Indisponibilida Fallos de
R_020 d del personal dependencia RM X X X X
Ingeniería Ataque
R_021 social externo RM X X X X
Interceptación
de información Ataque
R_022 (escucha) externo RC X X X X X X
Introducción
de falsa Ataque
R_023 información interno RC X X X X X X X
Intrusión
Pérdida de física y/o
R_024 equipos robo RM X X X X
Intrusión
Robo de física y/o
R_025 equipos robo RM X X X X
Robo de Intrusión física

R_026 información y/o robo RM X X X X X X X X
66
En el “Anexo C. Evaluación y Tratamiento de Riesgos” (disponible en el CD,
ver pg. 92), adicional a la asociación de dominios también se puede encontrar los
diferentes controles o salvaguardas que permiten reducir el riesgo e identificar la
técnica apropiada según el caso. Así como se resume en la próxima tabla:
Tabla 21 Lista de Controles
Tratamiento
Dominio Control A C E I M T
A6 Acuerdo de confidencialidad. X X
Base de Datos que permita gestionar personas,
responsabilidades, acuerdos, riesgos, activos, etc. X
Designar un líder para la administración de la
seguridad y comité de seguridad. X X
Registro documental de derechos y obligaciones
del personal. X
Separación de deberes. X
A7 Aplicación de medidas disciplinarias X X X
Entrenamiento en seguridad de la información X
Fijar roles y responsabilidades antes de
contratación X
Fijar términos y condiciones del contrato X
Formalizar devolución de recursos y finalización de
responsabilidades X
Generación de conciencia y compromiso con la
seguridad de la información. X
Revocar derechos tras finalización de contrato X
Verificación de hojas de vida X
A8 Clasificar y etiquetar la información X X
Inventario de Activos X X
A9 Firewall X
Gestión de Contraseñas X
Gestión(creación, modificación, bloqueado,
eliminación) de Usuarios basada en roles X
Reglas de acceso(IP, Protocolo, Puertos) X
VPN X
67
Tabla 19 Lista de Controles(Continuación) Tratamiento
Dominio Control A C E I M T
A10 Cifrado de clave pública X
Firmas digitales X
A11 Control de refrigeración y ventilación X
Medidas Contra Incendios(extintores) X
Registro de Ingresos X
Seguridad Perimetral X
Ubicación y protección de los equipos X
A12 Control de software operacional X
Protección contra códigos maliciosos X
Respaldo de la información X X
Restricciones sobre la instalación de software X
Separación de los ambientes de desarrollo,
pruebas y operación X
A13 Análisis periódico del tráfico de la red X
FTP/SSL X
Segmentación de redes para prevenir la intrusión
en la información X
A14 Protección de datos de prueba X
Revisión técnica de las aplicaciones X
Validación en la entrada y salida de datos X
A15 Cláusulas de seguridad para proveedores X
Reporte de debilidades de seguridad de la
A16 información X X X
Reporte de eventos de seguridad de la información X X X
A17 Control técnico de las pólizas de seguro X
Redundancia X X
Verificar la validez y la efectividad de las medidas
de continuidad X X X
A18 Derechos propiedad intelectual (DPI) X
Privacidad y protección de información de datos
personales X
68
4.3.3. Monitoreo
La unión del plan de tratamiento junto con un plan de monitoreo permite conocer
cuán pertinentes son las estrategias implementadas, para así ejecutar acciones
oportunas que permiten anticiparse a los problemas, garantizar la sostenibilidad de
los proyectos y retroalimentar los procesos de toma de decisiones. En la siguiente
tabla se establecen las medidas para monitorear los riesgos y los responsables a
cargo:
Tabla 22 Plan de monitoreo

Tratamiento
Riesgo Nivel Plan de Monitoreo Responsable
A E M T
Auditoría interna de las

Abuso de privilegios Gerente de proyectos
RC x funciones de los
de acceso Gerente comercial
empleados
Registro y evaluación Gerente de proyectos

Acceso no
RC x periódica de logs de Coordinador de
autorizado
aplicaciones críticas proyectos
Coordinador de
Alteración de la Evaluación periódica de
RC x proyectos
información la información registrada
Analista Desarrollador
Evaluación periódica de
Caída del sistema los suministros eléctricos Líder de proyectos
RC x
por sobrecarga Evaluación al proceso de Soporte
respaldo externo
Condiciones
inadecuadas de Evaluación de los Gerente comercial
RB x
temperatura o factores ambientales Auxiliar Administrativa
humedad
Gerente de proyectos
Corrupción de la Evaluación periódica de
RC x Coordinador de
información la información registrada
proyectos
Evaluación periódica de
Corte del suministro los suministros eléctricos Gerente comercial
RB x
eléctrico Evaluación al proceso de Auxiliar Administrativa
respaldo externo
69
Afectación de los Evaluación y
actualización de activos
soportes de Líder de proyectos
RB x de almacenamiento
almacenamiento de Soporte
Evaluación de activos de
la información respaldo
Coordinador de
Denegación de Informes de errores y
RM x proyectos
servicio excepciones
Analista Programador
Evaluación al proceso de Gerente comercial

Desastres naturales RB x
respaldo externo Auxiliar Administrativa
Informes de errores y
seguimiento a resultados
de antivirus Gerente de proyectos
Difusión de software
RM x Reporte vía correo de Coordinador de
dañino
amenazas recientes y proyectos
logs de acciones
tomadas
Errores de
RM x Informes de errores Analista Programador
configuración
Errores de los
RM x Informes de errores Coordinador de
usuarios
proyectos
Errores de
mantenimiento /
RC x Informes de errores Coordinador de
actualización de
proyectos
equipos (hardware)
Errores de
mantenimiento / Coordinador de
actualización de RC x Informes de errores proyectos
programas Analista Programador
(software)
Errores del
RM x Informes de errores Coordinador de
administrador
proyectos
Análisis de riesgos e
Gerente comercial
Extorsión RM x impactos en la operación
Auxiliar Administrativa
empresarial
70
Evaluación de la
aplicación del modelo de
Seguridad y Salud en el
Gerente comercial
Fuego RB x trabajo sugerido por la
Auxiliar Administrativa
ARL
Evaluación al proceso de
respaldo externo
Seguimiento a
capacitaciones sobre Gerente comercial
Fuga de información RC x
responsabilidad en el Gerente de proyectos
manejo de información
Auditoría interna en
Indisponibilidad del cuanto al proceso de Gerente comercial
RM x
personal bienestar y garantías del Gerente de proyectos
empleado
Seguimiento a
capacitaciones sobre Gerente comercial
Ingeniería social RM x
responsabilidad en el Gerente de proyectos
Evaluación de la
Interceptación de
configuración de la red y Gerente comercial
información RC x
encriptación de la Gerente de proyectos
(escucha) información
Seguimiento a
Introducción de falsa capacitaciones sobre
RC x Coordinador de
información responsabilidad en el
proyectos
Evaluación del estado de
pólizas
Gerente comercial
Pérdida de equipos RM x Revisión de reportes de
accesos físicos al centro
de cómputo
Evaluación del estado de
pólizas
Gerente comercial
Robo de equipos RM x Revisión de reportes de
accesos físicos al centro
de cómputo
Evaluación al proceso de
respaldo externo Gerente de proyectos
Robo de información RM x Evaluación de procesos Coordinador de
de encriptación de proyectos
información crítica
71
4.3.4. Asignación de Responsabilidades
Con base en los controles proporcionados por la norma ISO/IEC 27001:2013 y el

diseño de una matriz RASCI12 se intenta que todos los miembros de I&S
comprendan claramente sus roles y responsabilidades correspondientes a la
seguridad de la información. La matriz cuenta con los siguientes roles:
● Encargado – Responsible (R)

Corresponde a quien realiza la tarea. Normalmente existe un solo encargado(R)
por tarea.
● Responsable – Accountable (A)
Es quien se hace responsable de que la tarea se realice y por lo tanto debe rendir
cuentas sobre su ejecución.
● Apoyo – Support (S)
Son recursos asignados al encargado(R) para cumplir la tarea. Estos también
trabajan en ella.
● Consultado – Consulted (C)
Suministra información o alguna capacidad necesaria para la realización de la
tarea.
● Informado - Informed(I)
Es el rol correspondiente a quien se le debe informar sobre el avance y los
resultados de la ejecución de la tarea.
Así, con el objetivo de definir los roles y responsabilidades al interior de la

organización para la implementación del SGSI. Se fijan los roles que los
implicados deben asumir frente a cada uno de los controles de la norma. Entre los
implicados se incluye:
 Propietarios de los activos de información, todos aquellos a quien ha sido

asignado un activo de información en específico. Debe existir registro de
ello.
 Personal, todos aquellos que mantienen una vinculación laboral con
Interfaces y Soluciones.
 Director General, encargado de planificar y controlar las actividades
relacionadas con el SGSI, así como todas las actividades administrativas y
financieras, en el momento asumido por el Director Comercial, Francisco
Pérez.
12
Guía tomada de la actualización de ISO27k Toolkit realizada por Manuel Garcia Zamora,
Quindell (version 3, March 2014).
72
 Dirección ejecutiva, encargado de la coordinación y verificación de las
actividades del SGSI, así como de la correcta administración de los
recursos de la organización, en el momento asumido por el Director de
Proyectos, Jorge Pérez.
 Comité Directivo del SGSI, designado por la Dirección para el Plan de
Implementación del SGSI.
 Líder de seguridad de la información, encargado de la implementación de
técnicas y/o procedimientos para la gestión de incidentes de seguridad de
la información, así como, para la mejora de los procesos dentro de la
organización, en el momento asumido por los coordinadores de proyectos.
 Equipo de seguridad operacional, encargado de la seguridad de las
operaciones y de la implementación de técnicas y/o procedimientos contra
códigos maliciosos, así como el respaldo de la información y el registro de
eventos en ambientes de pruebas, desarrollo y operación, en el momento
asumido por los coordinadores de proyectos y analistas programadores.
 Jefe de RRHH, encargado del manejo de toda la documentación enviada
y/o recibida, así como de las relaciones con los proveedores y/o clientes,
incluyendo las quejas y/o reclamos de los mismos, en el momento asumido
por gestión humana.
 Jefe de adquisiciones, encargado de la gestión de activos, salvaguardando
el estado completo de los mismos y manteniendo el inventario actualizado,
así como la adquisición y devolución de los mismos, en el momento
asumido por gestión humana, director comercial y director de proyectos.
 Jefe de conformidad legal, encargado de la organización de la seguridad de
la información, en lo que respecta a los contactos con las autoridades, así
como los términos y condiciones de los empleados y los acuerdos de
confidencialidad o de no divulgación, en el momento asumido por gestión
humana.
 Jefe de Finanzas, encargado de la disposición de los medios y el registro
de los hechos económicos, para la generación de informes ante la gerencia,
en el momento asumido por gestión humana.
 Delegado de gestión de las instalaciones, encargado de la seguridad física
y del entorno, así como de la implementación de técnicas para el correcto
control de trabajo en áreas seguras.
 Jefe de TI, encargado de la correcta administración y funcionamiento de los
recursos informáticos de la organización, así como el correcto uso de los
mismos, en el momento asumido por el líder de proyectos (soporte).
73
 Jefe de I+D, encargado de las políticas de desarrollo seguro y el correcto
aseguramiento de la confidencialidad, disponibilidad e integridad de la
información, en lo que respecta a las aplicaciones y ambientes de
desarrollo, en el momento asumido por los coordinadores de proyectos.
La matriz que define los roles y responsabilidades para la seguridad de la
información en I&S se presenta a continuación:
74
Tabla 23 Matriz RASCI: A5-A9
Fuente: Elaboración Propia, basado en 2012 ISO27k Forum
75
76
77
5. CAPÍTULO V. EVALUACIÓN - AUDITORÍA DE CUMPLIMIENTO
El presente capítulo proporciona el análisis y resultado del proceso de evaluación

de la seguridad de la información basado en el cumplimiento de la norma ISO/IEC
27001:2013, de acuerdo a los avances obtenidos con el Plan de Implementación
del SGSI para la empresa Interfaces y Soluciones S.A.S. La auditoría de
cumplimiento incluye la evaluación de madurez del SGSI a través de los controles
descritos por la norma y los niveles de madurez definidos para la entidad.
5.1. METODOLOGÍA
La auditoría de cumplimiento está realizada bajo la metodología PHVA y el uso de

CMM (Modelo de Capacidad y Madurez). Este modelo facilita el control sobre los
procesos y así el desarrollo y la permanencia de un mejor SGSI.
CMM es un modelo apoyado en la mejora continua de los procesos13. Por

consiguiente, trata la identificación de elementos actuales y deseables en la
organización que permitan evaluar el progreso o no del cumplimiento de los
controles aplicables definidos para la implementación del SGSI. De manera que,
los elementos identificados para el proceso de evaluación de la auditoría de
cumplimiento son:
● Procedimientos Empíricos(PEmp)
● Documentos Formales(DF)
● Procedimientos Estandarizados(PEst)
● Capacitaciones(C)
● Mejora continua(MC)
● Monitoreo(M)
● Herramientas Automatizadas(HA)
A partir de la cantidad de elementos, esfuerzo y el compromiso tanto de la alta
gerencia como de cada uno de los integrantes de la organización se busca fijar
niveles y criterios de madurez.
Los niveles de madurez son progresivos y organizados de acuerdo a su

importancia y prioridad. Los propuestos para el caso de Interfaces y Soluciones
están dados de 0 a 5 y funcionan como una guía para mejorar la calidad del SGSI.
13
(El Modelo de Capacidad de Madurez y su Aplicación en Empresas Mexicana de Software,
2001)
78
Tabla 26 Elementos para Evaluación de Madurez
Procedimientos Documentos Procedimientos Mejora Herramientas
Capacitaciones(C) Monitoreo(M)
Empíricos(PEmp) Formales(DF) Estandarizados(PEst) continua(MC) Automatizadas(HA)
1 x
2 x x x
3 x x x
4 x x x x x
5 x x x x x x
5.2. EVALUACIÓN DE MADUREZ
Como se ha mencionado a lo largo del documento, la norma guía para el Plan de

Implementación del SGSI (ISO 27001:2013), presenta 14 dominios. Estos
dominios incluyen 35 objetivos de control y 114 controles en total. El objetivo de
esta evaluación de madurez es verificar la aplicabilidad y nivel de implementación
de cada uno de los controles en Interfaces y Soluciones.
Tabla 27 Criterios Evaluación de Madurez
ID Nivel de Madurez Criterios
No se ha contemplado por parte de la organización que existe un problema por solucionar,
0 0 - Inexistente por lo tanto, no se realiza el control.
Se identifican problemas en la organización que requieren ser solucionados, sin embargo,

1 1 - Inicial no se evidencian procesos estandarizados sino procedimientos empíricos aplicados para
cada caso, dichos métodos son desorganizados y no existe documentación formal.
Se realizan procedimientos rutinarios semejantes en las mismas tareas basadas en

procedimientos empíricos y/o estandarizados bajo una documentación formal. No existe
2 2 - Repetible capacitación, mostrando un alto grado de confianza en los conocimientos de los
empleados, con alta probabilidad de errores.
Se cuenta con procedimientos estandarizados y documentados, notificados por medio de

capacitaciones, sin embargo, el seguimiento de los procesos lo realizan los mismos
3 3 - Definido empleados, lo que causa que no se identifiquen desviaciones. Los procedimientos han
formalizado las prácticas existentes en la organización.
Se realiza el monitoreo de los procedimientos estandarizados, generando las acciones

4 4 - Administrado necesarias en el caso que se identifiquen desviaciones. Las herramientas y la
automatización se usan de forma limitada.
Se han llevado los procesos a la mejor práctica, obteniendo resultados de mejoramiento

5 5 - Optimizado continuo. Se cuenta con herramientas para la automatización del flujo de trabajo,
mejorando así la calidad y rapidez en los procesos de la organización.
79
Los criterios de madurez fijados anteriormente, permiten medir la situación de la
organización con respecto a los controles propuestos.
En la siguiente tabla se presenta un breve fragmento de la evaluación de madurez

realizada a Interfaces y Soluciones tras ultimar tareas del Plan de Implementación
del SGSI. Para mayor detalle dirigirse al “Anexo F. Evaluación de Madurez”
(disponible en el CD, ver pg. 93).
Tabla 28 Evaluación de Madurez (Fragmento)
Fuente: Elaboración Propia, basado en AutodiagnosticoSGSI_v2_09072015 - MinTic
ID ESTADO EVIDENCIA
CONTROLES ISO/IEC 27001:2013 EST
A5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACION
A5.1 Orientación de la dirección para la gestión de la seguridad de la información
Objetivo: Brindar orientación y soporte, por parte de la dirección, para la seguridad de la información de
acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes
A5.1.1 Políticas para la Control: Se debe definir un
seguridad de la conjunto de políticas para la
información seguridad de la información,
Documento de
aprobada por la dirección, 2 2 - Repetible
PS-SGSI-01
publicada y comunicada a los
empleados y a las partes
externas pertinentes.
A5.1.2 Revisión de las Control: Las políticas para la
políticas para la seguridad de la información se
seguridad de la deben revisar a intervalos
información. planificados o si ocurren Documento de
1 1 - Inicial
cambios significativos, para PS-SGSI-01
para asegurar su conveniencia,
adecuación y eficacia
continuas.
A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION
A6.1 Organización interna
Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y
operación de la seguridad de la información dentro de la organización.
A6.1.1 Roles y Control: Se deben definir y
responsabilidade asignar todas las
s para la responsabilidades de la
seguridad de la seguridad de la información.
Matriz RASCI
información 2 2 - Repetible
I&S
80
A6.1.2 Separación de Control: Los deberes y áreas de
deberes responsabilidad en conflicto se
deben separar para reducir las
posibilidades de modificación Matriz RASCI
1 1 - Inicial
no autorizada o no intencional, I&S
o el uso indebido de los activos
de la organización
A6.1.3 Contacto con las Control: Se deben mantener

autoridades contactos apropiados con las 0-
autoridades pertinentes. 0
Inexistente
A6.1.4 Contacto con Control: Se deben mantener

grupos de interés contactos apropiados con
especial grupos de interés especial u
1 1 - Inicial
otros foros y asociaciones
profesionales especializadas en
seguridad
A6.1.5 Seguridad de la Control: La seguridad de la
información en información se debe tratar en
la gestión de la gestión de proyectos,
proyectos. independientemente del tipo 2 2 - Repetible
de proyecto.
A6.2 Dispositivos móviles y teletrabajo

Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles
A6.2.1 Política para Control: Se deben adoptar una
dispositivos política y unas medidas de
móviles seguridad de soporte, para Documento de
2 2 - Repetible
gestionar los riesgos PS-SGSI-01
introducidos por el uso de
dispositivos móviles.
A6.2.2 Teletrabajo Control: Se deben implementar
una política y unas medidas de
seguridad de soporte, para
proteger la información a la Documento de
1 1 - Inicial
que se tiene acceso, que es PS-SGSI-01
procesada o almacenada en los
lugares en los que se realiza
teletrabajo.
Fuente: Elaboración Propia, basado en AutodiagnosticoSGSI_v2_09072015 - MinTic
81
5.3. RESUMEN DE RESULTADOS
Luego de revisar el estado de cada uno de los controles proporcionados por la

NTC ISO 270001:2013 en Interfaces y Soluciones, se evidencio que la empresa se
encuentra en un nivel de madurez “1-Inicial”. Los 114 controles aplicables están
clasificados así:
Figura 20 Gráfico Resultado Evaluación de Madurez
11 en estado Inexistente (9,6%)

67 en estado Inicial(58,8%
16 en estado Repetible (14%)
9 en estado Definido (7,9%)
11 en estado Administrado (9.6%)
La siguiente tabla presenta los resultados de madurez por cada dominio evaluado
de la norma:
Tabla 29 Resultados Evaluación de Madurez

Controles
Dominio 0 1 2 3 4 5
Aplicables
A5-Política de seguridad 2 1 1
A6-Organización de la SI 7 1 3 3
A7-Seguridad de los RRHH 6 4 2
A8-Gestión de activos 10 6 2 1 1
A9-Control de accesos 14 8 3 1 2
A10-Criptografía 2 1 1
A11-Seguridad física y ambiental 15 1 12 2
A12-Seguridad en las operaciones 14 1 8 1 2 2
A13-Seguridad en las comunicaciones 7 2 3 1 1
A14-Adquisición de sistemas, desarrollo y
13 2 2 2 5 2
mantenimiento
A15-Relación con proveedores 5 2 3
A16-Gestión de los incidentes de seguridad 7 7
A17-Continuidad del negocio 4 4
A18-Cumplimiento con requerimientos legales y
8 2 5 1
contractuales
Total 114 11 67 16 9 11 0
82
A partir de los datos obtenidos se generó el siguiente gráfico, que permite
observar de forma más clara el estado actual de la organización con respecto a la
aplicación de controles de seguridad de la información.
Figura 21 Evaluación de Madurez Dominios ISO 27001:2013
En los resultados de la evaluación de madurez del SGSI en I&S se destaca que:
● La organización ha dado poca importancia a 11 de los controles de la

norma, puesto que, se confía en una muy baja probabilidad de
materialización de amenazas relacionados con la ausencia de ellos. Estos
se encuentran en el nivel de madurez “0-Inexistente”. Los controles
pertenecientes a esta categoría son:
83
○ A6.1.3 Contacto con las autoridades
○ A11.1.6 Áreas de carga, despacho y acceso público
○ A12.4.4 Sincronización de relojes
○ A13.1.1 Controles de redes
○ A13.1.3 Separación en las redes
○ A14.1.2 Seguridad de servicios de las aplicaciones en redes públicas
○ A14.1.3 Protección de transacciones de los servicios de las
aplicaciones
○ A15.1.2 Tratamiento de la seguridad dentro de los acuerdos con
proveedores
○ A15.1.3 Cadena de suministro de tecnología de información y
comunicación
○ A18.2.2 Cumplimiento con las políticas y normas de seguridad
○ A18.2.3 Revisión del cumplimiento técnico
● En un 90,3% de los controles, pertenecientes a la NTC ISO 27001:2013,

Interfaces y Soluciones ha identificado los problemas y ha empezado a
tomar las medidas correspondientes. Muchas de ellas están aún en una
etapa “1-Inicial” en la que se empieza a tomar conciencia y aplicar
procedimientos empíricos al 58.8% de los controles.
● El Plan de Implementación del SGSI ha permitido fortalecer la seguridad de

la información con la documentación formal y procedimientos
estandarizados de alrededor del 31,5% de los controles.
● La capacitación hace parte del avance en las medidas de seguridad de al

menos el 17,5% de los controles evaluados y sólo el 9,6% cuentan
adicionalmente con supervisión y/o monitoreo de las actividades y en
algunos casos con herramientas que permiten automatizar las tareas de
forma limitada.
● Ninguno de los controles aplican en el nivel de madurez más alto (5 -

Optimizado), lo cual indica, que se carece de herramientas que permitan
automatizar los controles para el Sistema de Gestión de la Seguridad de la
Información.
Aunque, la organización se encuentra en un nivel bajo de madurez, se observa un

avance en varios de los dominios. Puesto que, gran parte del cumplimiento de los
controles para la seguridad de la información eran inexistentes al iniciar el Plan de
implementación del SGSI.
84
La implementación del SGSI es un proceso que requiere bastante tiempo, trabajo
y algunos costos económicos, Sin embargo, beneficia el crecimiento y alcance de
los objetivos de la organización si se gestiona de forma adecuada bajo el ciclo de
mejora continua. Por consiguiente, se sugiere establecer capacitaciones,
monitoreo, automatización de los controles y auditorías internas que permitan
incrementar los niveles de madurez del SGSI.
Además, se aconseja revisar el “Anexo E. Recomendaciones para el SGSI

27001:2013” (disponible en el CD, ver pg. 93), realizado con el propósito de
preparar a I&S para los procesos de evaluación, auditoría, certificación o
acreditación correspondientes a la seguridad de TI.
85
CONCLUSIONES
 Al iniciar el Plan de Implementación del SGSI, para la empresa Interfaces

y Soluciones, la identificación de necesidades y requerimientos permitió
evidenciar la preocupación de la gerencia por los temas relacionados con
la seguridad de la información, la carencia de documentos, procedimientos
y guías formales para la correcta gestión de la información y datos de
clientes, empleados, socios comerciales, entre otros.
 La Gestión de Riesgos realizada en la compañía estableció las bases

para la mejora continua del SGSI. Por tanto, se identificaron y clasificaron
los activos, se identificaron las amenazas, las vulnerabilidades y se
estimaron los riesgos de acuerdo a criterios de confidencialidad,
disponibilidad, integridad de la seguridad de la información y prioridades
de la organización. Se resalta una alta probabilidad e impacto de la
materialización de amenazas relacionadas con abuso de información
privilegiada y actos no autorizados, ataques internos, ataques externos,
intrusión física y/o robo, errores y omisiones, fallos en el sistema y en el
medio ambiente, mientras no se siga el plan de tratamiento y
recomendaciones realizadas.
 De acuerdo al análisis realizado de riesgos y controles proporcionados por

la ISO/IEC 27001:2013 a través de sus 14 dominios, se estableció el plan
de tratamiento de la organización en el que se incluye:
o Definición y comunicación de Políticas de seguridad del SGSI
o Desarrollo, mantenimiento y monitoreo de Bases de Datos para la
Gestión de activos, responsables, riesgos y activos de información
o Adquisición e implementación de extintores, bases de refrigeración
para los portátiles y verificación de las condiciones ambientales de
las áreas con activos críticos de información
o Implementación de herramientas tecnológicas con una adecuada
configuración de firewall, VPN, etc.
o Uso de software para cifrado de información(DiskCryptor), para
backups automatizados (Cobian Backup), para monitoreo de la
red(Wireshark)
o Configuración de Directorios Activos para restringir la instalación de
programas, entre otros.
86
 La definición, asignación y comunicación de las responsabilidades tienen
un papel trascendental en el correcto funcionamiento del SGSI; motivo por
el cual, se decidió el uso de la Matriz RASCI (Responsible, Accountable,
Support, Consulted, Informed). Puesto que, esta matriz busca establecer
el compromiso de todos los miembros con la protección de la información,
delimitar las actividades del personal dentro de la organización, alinear los
procesos con estándares, mejores prácticas y contribuye al
establecimiento de directrices de seguridad de la información.
 El presente trabajo fija las bases mínimas para la implementación del

SGSI en Interfaces y Soluciones. El proceso está arraigado en la mejora
continua y por tanto, nunca concluye. Sin embargo, es posible preparar a
I&S para la certificación bajo la norma 27001 por medio de capacitaciones,
monitoreo, automatización de los controles y auditorías internas que
permitan incrementar los niveles de madurez del SGSI. Para todo este
proceso, es necesario la participación activa de todos los implicados
(gerentes, personal, clientes, proveedores, etc.) en la seguridad y
tratamiento de la información.
87
RECOMENDACIONES
La evaluación de madurez indica que la organización está avanzando en un

proceso de concientización y tomando las medidas preventivas adecuadas según
sus prioridades. Sin embargo, se recomienda revisar la posibilidad de aplicar las
medidas correspondientes a los controles que aún se encuentran en el nivel “0-
inexistente”. Para dichos controles se sugiere que14:
● Se deben mantener contactos apropiados con las autoridades pertinentes.
● Se deben controlar los puntos de acceso tales como las áreas de despacho
y carga y otros puntos por donde pueden entrar personas no autorizadas y,
si es posible, aislarlos de las instalaciones de procesamiento de información
para evitar el acceso no autorizado.
● Los relojes de todos los sistemas de procesamiento de información

pertinentes dentro de la organización o ámbito de seguridad se deben
sincronizar con una única fuente de referencia de tiempo.
● Las redes se deben gestionar y controlar para proteger la información en

sistemas y aplicaciones.
● Los grupos de servicios de información, usuarios y sistemas de información

se deben separar en las redes.
● La información involucrada en los servicios de las aplicaciones que pasan

sobre redes públicas se debe proteger de actividades fraudulentas, disputas
contractuales y divulgación y modificación no autorizadas.
● La información involucrada en las transacciones de los servicios de las

aplicaciones se debe proteger para evitar la transmisión incompleta, el
enrutamiento errado, la alteración no autorizada de mensajes, la
divulgación no autorizada, y la duplicación o reproducción de mensajes no
autorizada.
● Se deben establecer y acordar todos los requisitos de seguridad de la

información pertinentes con cada proveedor que pueda tener acceso,
procesar, almacenar, comunicar o suministrar componentes de
infraestructura de TI para la información de la organización.
14
Según Guía de seguridad y privacidad de la información nacional.
88
● Los acuerdos con proveedores deben incluir requisitos para tratar los
riesgos de seguridad de la información asociados con la cadena de
suministro de productos y servicios de tecnología de información y
comunicación.
● Los directores deben revisar con regularidad el cumplimiento del

procesamiento y procedimientos de información dentro de su área de
responsabilidad, con las políticas y normas de seguridad apropiadas, y
cualquier otro requisito de seguridad.
● Los sistemas de información se deben revisar periódicamente para

determinar el cumplimiento con las políticas y normas de seguridad de la
información.
Teniendo en cuenta los controles a intervenir por parte de Interfaces y Soluciones,

en especial aquellos que se encuentran en el nivel "0-inexistente", es importante
seguir las recomendaciones básicas, con el fin de preparar a la organización en
los procesos de evaluación, auditoría, certificación y/o acreditación en seguridad
de TI, siempre teniendo en cuenta difundir a los funcionarios de Interfaces y
Soluciones los resultados en los procesos de evaluación, y establecer medidas
con el fin de sostener y mejorar el SGSI, más allá del proceso de implementación,
siempre generando la revisión de las metas propuestas.
89
BIBLIOGRAFÍA
1) Alonso, C. G. M., Gabriel, D. O., Ignacio, A. A., & Elio, S. R. (2014). Procesos Y
Herramientas Para La Seguridad De Redes. Madrid: Editorial UNED.
2) Cisco. (s. f.). ¿Qué es un firewall? - Cisco. Recuperado a partir de
http://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-firewall.html
3) Corrales, J. D., & Ponce, E. A. (2012). Técnicos de Soporte Informático de la
Comunidad de Castilla Y León. Temario Volumen II Ebook. Sevilla, España:
MAD-Eduforma.
4) Deloitte. (2016). Deloitte 2016 Cyber Risk Information Security Study -
Latinoamérica - Resultados Generales vf.pdf. Recuperado a partir de
https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Deloitte%20
2016%20Cyber%20Risk%20%20Information%20Security%20Study%20-
%20Latinoam%C3%A9rica%20-%20Resultados%20Generales%20vf.pdf
5) Estrada, A. C. (2011). Seguridad por niveles: Seguridad de acuerdo al modelo
de capas TCP/IP. Alejandro Corletti.
6) García, A., Javier, A., Tovar, C., & Patricia, L. (2016). Desarrollo de un Marco
de Trabajo para la Gestión del SGSI en PYMES Desarrolladoras de Software
en Bogotá Basado en la Metodología MGSM-PYME. Recuperado
.edu.co/handle/11349/2807
7) García Romero, Claudia Ivette. (2001). El Modelo de Capacidad de Madurez y
su Aplicación en Empresas Mexicana de Software. Universidad de las
Américas Puebla.
8) Gómez, N. (2010, abril 6). Calidad Y Gestión Empresarial. ISO 9001 e ISO
14001: Control de los registros según ISO 9001:2008. Recuperado a partir de
http://hederaconsultores.blogspot.com.co/2010/04/control-de-los-registros-
segun-iso.html
9) Gutiérrez, P. (2013, enero 3). Tipos de criptografía: simétrica, asimétrica e
hibrida. Recuperado a partir de https://www.genbetadev.com/seguridad-
informatica/tipos-de-criptografia-simetrica-asimetrica-e-hibrida
10) Guzmán García, Alexánder, & Taborda Bedoya, Carlos Alberto. (2015). Diseño
de un sistema de gestión de la seguridad informática – SGSI–, para empresas
del área textil en las ciudades de Itagüí, Medellín y Bogotá D.C., a través de la
auditoría. Recuperado a partir de
http://repository.unad.edu.co/handle/10596/3448
11) Henares, J. S. (2016). Elaboración de un plan de implementación de la
ISO/IEC 27001:2013 en un ayuntamiento. Recuperado a partir de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/45704/7/jturhTFM0116
memoria.pdf
90
12) Huerta, A. (2012). Análisis de riesgos con MAGERIT en el ENS (I). Recuperado
a partir de https://www.securityartwork.es/2012/04/24/analisis-de-riesgos-con-
magerit-en-el-ens-i/
13) INEM, E. (s. f.). PHVA y los Sistemas de Gestión de Calidad - Emprendimiento
INEM. Recuperado a partir de
https://sites.google.com/site/emprendimientoinem08/phva-y-los-sistemas-de-
gesti%C3%B3n-de-la-calidad
14) J, A., & Bertolín, J. A. (2008). Seguridad de la información. Redes, Informática
y SI. Editorial Paraninfo.
15) López, P. A. (2010). Seguridad informática. Editex.
16) Luz, E. por S. D. (2011, mayo 12). SFTP y FTPS : Diferencias entre SFTP y
FTPS para la transferencia segura de ficheros. Recuperado a partir de
https://www.redeszone.net/2011/05/12/sftp-y-ftps-diferencias-entre-sftp-y-ftps-
para-la-transferencia-segura-de-ficheros/
17) Ministerio de Hacienda y administraciones Públicas. (2012). Magerit versión
3.0: Metodología de análisis y gestión de riesgos de los Sistemas de
Información. Libro I: Método - file.html. España. Recuperado a partir de
cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html
18) MINTIC. (2016, marzo 14). Controles_Seguridad.pdf. Recuperado a partir de
.gov.co/gestionti/615/articles-5482_G8_Controles_Seguridad.pdf
19) Moreno, J. Z. (2015). Ciberdiccionario: Conceptos de ciberseguridad en
lenguaje entendible. Javier Zubieta.
20) Oblitas, C. A. C., Cueva, G. A. M., & Martínez, J. A. S. (2016). Desarrollo de un
SGSI para los Colegios Profesionales en la Región Lambayeque. Caso de
estudio: Colegio de Ingenieros. Flumen, 8(2). Recuperado a partir de
.edu.pe/index.php/flumen/article/view/249
21) Pantheanet. (s. f.). Tema 4: Capa de transporte del modelo OSI. Recuperado a
partir de http://pantheanet.blogspot.com.co/2012/01/tema-4-capa-de-
transporte-del-modelo.html
22) Pérez Villa, M. V. F. N. (2017). Reflexiones para implementar un sistema de
gestión de calidad (ISO 9001: 2000) en cooperativas y empresas de economía
solidaria. Bogotá: U. Cooperativa de Colombia.
23) Rasmussen, N., & Standley, B. (2012). Estrategias de enfriamiento para salas
de cableado y otros espacios pequeños. Recuperado .com/salestools/NRAN-
6NDTJM/NRAN-6NDTJM_R1_LS.pdf
24) sbqconsultores. (2013, mayo 2). ISO 27001: ¿Qué beneficios nos aporta
implantarla? Recuperado a partir de http://www.sbqconsultores.es/iso-27001-
que-beneficios-nos-aporta-implantarla/
91
25) Tejada, E. C. (2015). Auditoría de seguridad informática. IFCT0109. Antequera,
Málaga: IC Editorial.
26) UNAD. (2015). Repositorio Institucional UNAD: Diseño de un sistema de
gestión de la seguridad informática – SGSI–, para empresas del área textil en
las ciudades de Itagüí, Medellín y Bogotá D.C., a través de la auditoría.
Recuperado a partir de http://repository.unad.edu.co/handle/10596/3448
27) Universidad de Colima. (s. f.). Las 7 capas del modelo OSI y sus funciones
principales. Recuperado a partir de
http://docente.ucol.mx/al950441/public_html/osi1hec_B.htm
28) Vazquez, E. (2014). 11. Politicas de seguridad y firewall - 605 Redes de
computadoras. Recuperado a partir de
https://sites.google.com/site/605bredesdecomputadoras/home/11-politicas-de-
seguridad-y-firewall
29) Viteri, J. T. M., Valero, M. I. G., Mayorga, J. A. C., Mayorga, I. I. C., & León, Á.
R. E. (2016). Análisis y Evaluación del Riesgo de la Información: Caso de
Estudio Universidad Técnica de Babahoyo. UNIANDES EPISTEME, 3(2, jun).
Recuperado .158.26/ojs/index.php/EPISTEME/article/view/224
30) Watkins, S. (2013). ISO27001:2013 Assessments Without Tears. Reino Unido:
IT Governance Publishing.
92
ANEXOS
Los Anexos desarrollados para el presente Plan de Implementación del SGSI para
la empresa Interfaces y Soluciones corresponden a:
 ANEXO A. DIAGNÓSTICO INICIAL

 ANEXO B. INFORME DE HALLAZGOS
 ANEXO C. EVALUACIÓN Y TRATAMIENTO DE RIESGOS
 ANEXO D. POLÍTICAS PARA LA GESTIÓN DE LA SEGURIDAD
 ANEXO E. RECOMENDACIONES PARA EL SGSI 27001:2013
 ANEXO F. EVALUACIÓN DE MADUREZ
A continuación, sólo citaremos una breve descripción de ellos, la documentación

completa se podrá consultar en los anexos disponibles en el CD.
ANEXO A. DIAGNÓSTICO INICIAL
Describe el estado de la Seguridad de la Información (SI) en Interfaces y

Soluciones S.A.S hasta la fecha. El diagnóstico de la SI en la organización es de
los primeros pasos para la realización del plan de implementación del SGSI, de
forma que se evalúa el cumplimiento de cada uno de los catorce dominios
descritos por la norma ISO/IEC 27001:2013.
ANEXO B. INFORME DE HALLAZGOS
Se informa de los hallazgos correspondientes a riesgos y vulnerabilidades que

pueden afectar el buen desempeño del área de Tecnologías de la Información de
la Entidad. Se hace uso de la metodología MAGERIT, para la gestión de riesgos, a
través de la cual se identifican los activos de la organización, las posibles
amenazas y el impacto que puedan ocasionar. Así mismo, se definen los criterios
de clasificación según la probabilidad de ocurrencia e impacto.
ANEXO C. EVALUACIÓN Y TRATAMIENTO DE RIESGOS
Se presenta un resumen detallado de la evaluación y tratamiento de riesgos

realizado a Interfaces y Soluciones, la identificación y priorización de los riesgos y
el tratamiento de los mismos. Teniendo en cuenta los dominios y controles
correspondientes de la norma ISO/IEC 27001:2013 se definen las estrategias y
93
técnicas de tratamiento, junto con el grupo de controles recomendados para cada
uno de los riesgos.
ANEXO D. POLÍTICAS PARA LA GESTIÓN DE LA SEGURIDAD
Se describen formalmente los controles técnicos, responsables y configuraciones

de seguridad adecuados para la protección de los activos de información por
medio de políticas específicas para: Seguridad de la Información, Dispositivos
Móviles y Teletrabajo, Seguridad de los Recursos Humanos, Control de Accesos,
Controles Criptográficos, Seguridad Física y del Entorno, Escritorio y pantalla
limpios, Almacenamiento y respaldo, Transferencia de Información, Desarrollo
Seguro, Seguridad de la Información(S.I) aplicable a proveedores y Gestión de la
continuidad del negocio.
ANEXO E. RECOMENDACIONES PARA EL SGSI 27001:2013
El documento proporciona información relativa a la norma ISO/IEC 27001, los

beneficios que esta trae consigo tras su implementación, las etapas del proceso
de certificación y las recomendaciones básicas a tener en cuenta. Se incluye la
puntualización de controles pendientes a intervenir por Interfaces y Soluciones,
junto con, las sugerencias para preparar a la organización en materia de los
procesos de evaluación, auditoría, certificación o acreditación correspondientes a
la seguridad de TI.
ANEXO F. EVALUACIÓN DE MADUREZ
El documento se presenta en una hoja de cálculo que comprende:

● Definición de los niveles de madurez según los elementos existentes y
deseables en seguridad de la información de la organización.
● Evaluación individual de los 114 controles proporcionados por la norma
ISO/IEC 27001:2013 según los criterios de madurez establecidos.
● Resumen de resultados y gráficos correspondientes.
94

Moyano or Juel A Luz Adriana 2017

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Moyano or Juel A Luz Adriana 2017

Uploaded by

Copyright:

Available Formats

PLAN DE IMPLEMENTACIÓN DEL SGSI BASADO EN LA NORMA ISO

27001:2013 PARA LA EMPRESA INTERFACES Y SOLUCIONES

LUZ ADRIANA MOYANO ORJUELA

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

LUZ ADRIANA MOYANO ORJUELA

TRABAJO DE GRADO PARA OPTAR AL TÍTULO DE:

ASESOR. ING. JAIRO HERNÁNDEZ GUTIÉRREZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

Tabla 1 Factibilidad de recursos humanos ............................................................ 22

Figura 1 Estructura Organizacional ........................................................................ 27

Interfaces y Soluciones S.A.S (I&S) es una organización desarrolladora de

Durante el desarrollo se especifican cinco capítulos, que se detallan de la

La planeación, en el cual se identifica el planteamiento del problema, los objetivos

En el contexto organizacional, se realiza el reconocimiento y se detalla la

En la gestión de riesgos, se realiza el inventario de activos y su valoración, el

En la selección de salvaguardas se define las estrategias, técnicas y el plan de

Por último, en la evaluación y/o auditoría de cumplimiento, se genera la evaluación

Interfaces y Soluciones S.A.S (I&S) is a software development company whose

In the organizational context, the recognition is made and the organizational

The selection of safeguards defines the strategies, techniques and risk

Interfaces y Soluciones S.A.S (I&S) es una empresa que se ha especializado en

Actualmente no existe un control adecuado que asegure la confidencialidad,

El trabajo se enfoca en el aseguramiento de los controles adecuados sobre la

En el presente capítulo se realiza el planteamiento del problema, describiendo los

Plan de implementación del SGSI basado en la Norma ISO 27001:2013 para la

1.3. PLANTEAMIENTO DEL PROBLEMA

1.3.1. Descripción del problema

Interfaces y Soluciones (I&S) es una empresa de desarrollo de software apoyada

Como en muchas de las organizaciones existentes, actualmente apoya sus

Cada uno de los procesos realizados, basados a través de la experiencia, no han

Para I&S es de suma importancia asegurar la confidencialidad, integridad y

Con la implementación de un SGSI se busca generar sentido de pertenencia y

1.3.2. Formulación del Problema

¿De qué manera la implementación de un SGSI en Interfaces y Soluciones puede

1.4. ALCANCES Y LIMITACIONES

En este proyecto se pretende analizar la situación actual de los procesos y

Se establece generar los siguientes entregables:

- Informe de hallazgos de vulnerabilidades y riesgos.

El proyecto estará limitado por los siguientes factores:

- Disponibilidad de tiempo del director de proyectos e implementadores de la

1.5.1. Objetivo General

1.5.2. Objetivos Específicos

● Identificar las necesidades y requerimientos de la empresa Interfaces y

El establecimiento de un sistema de gestión de seguridad de la información

1.7. MARCO TEÓRICO

● Seguridad Informática: Es una disciplina que se enfoca en la protección

- Cuáles son los elementos que componen el sistema.

Por medio de la seguridad informática se debe asegurar que el acceso y la

● Integridad: Por medio de esta propiedad se garantiza que los datos

● Confidencialidad: Este se refiere al atributo que deben tener los

● Disponibilidad2: se debe garantizar que la información se encuentra

● Activo: es un recurso del sistema de información, necesario para garantizar

● Gestión de Riesgos: Según el nivel del riesgo al que se someten los

● ISO 27001. Se conoce como una norma internacional emitida por la

● Reduce el riesgo de que se produzcan pérdidas de información en las

● Establece una metodología gracias a la cual se puede gestionar la

● Implanta medidas de seguridad para que los propios clientes puedan

● Permite a las organizaciones continuar operando con normalidad en caso

1.7.1. Trabajos relacionados

De acuerdo a la encuesta realizada por Deloitte4 en el 2016: en Latinoamérica

Se han realizado trabajos relacionados con la implementación de SGSI en

● Desarrollo de un Marco de Trabajo para la Gestión del SGSI en PYMES