Modelo Seguridad Informática Importronic

MODELO DE SEGURIDAD INFORMÁTICA DE LA EMPRESA IMPORTRONIC S.A.
DE LA CIUDAD DE PEREIRA EN EL AÑO 2017
CRISTIAN DAVID LÓPEZ QUINTERO
CORPORACIÓN UNIVERSITARIA REMINGTON – CAT PEREIRA
FACULTAD DE CIENCIAS ECONÓMICAS Y ADMINISTRATIVAS
INGENIERÍA DE SISTEMAS
PEREIRA
2017
Modelo de Seguridad Informática de la empresa Importronic S.A. de la ciudad de Pereira en
el año 2017
Cristian David López Quintero
Trabajo de Seminario en Seguridad Informática
Tutores
Fernando Temoche. Asesor temático

William Castillo. Asesor metodológico y financiero
Mariana del Carmen Restrepo. Asesora en Competencias Comunicativas
Corporación Universitaria Remington – CAT Pereira

Facultad de Ciencias Económicas y Administrativas
Ingeniería de sistemas
Pereira
2017
3
Nota de aceptación
Firma presidente del jurado
Firma del jurado
Firma del jurado
Pereira, xx de noviembre de 2017

4
Dedicatoria
A mi madre Margarita Quintero Vélez que ha sido un apoyo incondicional. Para una persona
que fue un pilar fundamental en el proceso y crecimiento de mi vida, para mi abuela Estella
Vélez quien falleció hace mucho tiempo, gracias por brindarme toda una vida de enseñanzas y
fortalezas gracias a ti soy el ser humano que quiere salir adelante cada día con esfuerzo y
dedicación este gran objetivo te lo dedico con todo mi corazón, y a todas esas personas que no
creían en mí, a todas ellas mil gracias por darme a entender que no muere quien pelea. Gracias a
ellos tuve la fortaleza física y mental para conseguir uno de mis objetivos personales que es
crecer profesionalmente, para ampliar mis conocimientos y poder desenvolverme mucho mejor
en el entorno socioeconómico para adquirir una mejor calidad de vida para mi futuro.
5
Agradecimientos
El autor desea dar sus agradecimientos a:
Importronic S.A. Empresa importadora de repuestos electrónicos, situada en la carrera 14 # 104

– 89, sector Belmonte, que permitió la realización del trabajo en sus instalaciones.
Jaime Gutiérrez. Gerente de Importronic S.A, quien con su apoyo económico y su gran
disposición por atender mis necesidades, permitió la culminación satisfactoria de este trabajo
Universidad Remington y su grupo de tutores, quienes aportaron con su conocimiento a la
realización de este trabajo.

6
Contenido
Pág.
Introducción ................................................................................................................................... 26
1. Situación problema................................................................................................................. 28
1.1. Antecedentes del problema ............................................................................................ 28
1.2. Planteamiento del problema ........................................................................................... 29
1.3. Pregunta problema .......................................................................................................... 30
2. Objetivos ................................................................................................................................ 31
2.1. Objetivo general ............................................................................................................. 31
2.2. Objetivos específicos ...................................................................................................... 31
3. Justificación ............................................................................................................................ 33
4. Marco referencial ................................................................................................................... 35
4.1. Marco teórico ................................................................................................................. 35
4.1.1. Una nueva teoría sobre la seguridad informática ..................................................... 35
4.1.2. Caso seguridad del juego por la oscuridad ............................................................... 36
4.1.3. Tipos de seguridad informática ................................................................................ 37
4.1.4. Modelo de seguridad de información de Mc Cumber .............................................. 40
4.1.5. Teoría de la auditoria Informática, un enfoque metodológico ................................. 43
4.2. Marco Conceptual. ......................................................................................................... 52
4.2.1. Sistemas de información .......................................................................................... 52
4.2.2. ANSI......................................................................................................................... 83
4.3. Marco legal ..................................................................................................................... 85
4.3.1. Derechos de Autor .................................................................................................... 85
4.3.2. Ley 23 de 1982, ley de derechos de autor ............................................................... 86

7
4.3.3. Ley 44 1993 se modifica el Acto de Derechos de Autor de 1982 ............................ 86
4.3.4. Ministerio del TIC .................................................................................................... 86
4.3.5. ISO 27001 ................................................................................................................ 87
4.3.6. Decreto 1360 de 1989, Equipara el software a una creación literaria ...................... 88
4.3.7. Ley Estatutaria 1581 de 2012, Ley de protección de datos personales ................... 88
4.3.8. Ley 603 de 2000 Reporte de gestión cumplimiento normas .................................... 89
4.3.9. Norma técnica colombiana, (NTC): NTC 5415-1, NTC 5420, NTC 4243 .............. 89
4.4. Marco geográfico ........................................................................................................... 91
4.4.1. Microlocalización ..................................................................................................... 91
4.5. Macrolocalización Pereira. .......................................................................................... 91
4.6. Población Pereira. ........................................................................................................ 92
4.7. Geografía Pereira ......................................................................................................... 93
4.8. Demografía Pereira. ..................................................................................................... 93
4.9. Datos Macroeconómicos de Pereira............................................................................. 93
5. Diseño metodológico.............................................................................................................. 95
5.1. Beneficios del aplicativo ................................................................................................ 95
5.2. Limitaciones del aplicativo ............................................................................................ 95
5.3. Etapas metodológicas ..................................................................................................... 96
6. Desarrollo del aplicativo ........................................................................................................ 97
6.1. Matriz de riesgos: datos .................................................................................................. 98
6.2. Matriz de riesgo de sistemas ........................................................................................ 112
6.3. Matriz de riesgo de personal ........................................................................................ 114
6.4. Análisis de riesgos, promedios de la probabilidad de amenazas ................................. 116
6.5. Factores de riesgo ......................................................................................................... 116

8
6.5.1. Inventario de Activos Informáticos ........................................................................ 117
6.5.2. Lista de chequeo (Sistema Operativo Windows Server 2012) ............................... 117
6.5.3. Análisis de los puntos críticos ................................................................................ 119
6.5.4. Procesos evaluados: datos e información, sistemas e infraestructura, personal ..... 120
6.5.5. Objetivos de control ............................................................................................... 121
7. Recursos ............................................................................................................................... 122
7.1. Recursos materiales. ..................................................................................................... 122
7.2. Institucionales. .............................................................................................................. 122
7.3. Financieros. .................................................................................................................. 122
Cronograma .................................................................................................................................. 123
8. Conclusiones ........................................................................................................................ 124
9. Recomendaciones ................................................................................................................. 125
10. Referencias bibliográficas ................................................................................................ 126
11. Anexos .............................................................................................................................. 132

9
Lista de cuadros
pág.
Tabla 1. Clases de sistemas de información ................................................................................... 54
Tabla 2. Clasificación de activos de información .......................................................................... 66
Tabla 3. Matriz de riesgo: datos ..................................................................................................... 98
Tabla 4. Matriz de riesgo de sistemas .......................................................................................... 112
Tabla 5. Matriz de riesgo de personal .......................................................................................... 114
Tabla 6 Análisis de riesgos, promedios de la probabilidad de amenazas .................................. 116
Tabla 7. Activos Informáticos ...................................................................................................... 117
Tabla 8. Lista de Chequeo SO (Windows Server2012) ............................................................... 119
Tabla 9. Presupuesto .................................................................................................................... 122
Tabla 10. Cronograma de trabajo de seminario ........................................................................... 123

10
Lista de figuras
Pág.
Figura No 1. Cubo de Mccumber ................................................................................................... 43
Figura No 2. Modelo general de un sistema de información ......................................................... 52
Figura No 3. Componentes básicos de un sistema de información ................................................ 56
Figura No 4. Pirámide documental de una política de seguridad ................................................... 60
Figura No 5. Fases de la creación de políticas ............................................................................... 61
Figura No 6. Elementos que interactúan en la identificación del riesgo. ....................................... 63
Figura No 7. La tríada CIA ............................................................................................................ 64
Figura No 8. Amenazas .................................................................................................................. 67
Figura No 9. Amenazas más importantes según CSI ..................................................................... 68
Figura No 10. Porcentaje por tipo de impacto ............................................................................... 69
Figura No 11. Vulnerabilidades ..................................................................................................... 70
Figura No 12. Clasificación y flujo de información....................................................................... 71
Figura No 13. Análisis de Riesgo................................................................................................... 72
Figura No 14. Probabilidad de Amenaza ....................................................................................... 74
Figura No 15. Magnitud de Daño................................................................................................... 76
Figura No 16. Estimar la magnitud de daño................................................................................... 76
Figura No 17. Matriz de análisis de riesgo..................................................................................... 78
Figura No 18. Formato matriz de análisis de riesgo ...................................................................... 79
Figura No 19. Ejemplo matriz de análisis de riesgo con datos ...................................................... 80
Figura No 20. Reducción de Riesgo............................................................................................... 81
Figura No 21. Ubicación geográfica de la empresa Importronic S.A. ........................................... 91
Figura No 22. Pereira, Capital del Eje ........................................................................................... 92

11
Figura No 23. Análisis de factores de riesgo .............................................................................. 116
Figura No 24. Hallazgos de puntos críticos ................................................................................. 135

12
Lista de anexos
Pág.
CD con memorias del proyecto final 133
Hallazgos 134
13
Glosario
Adware. Adware es un software, generalmente no deseado, que facilita el envío de
contenido publicitario a un equipo.
Amenaza. Una amenaza informática es toda circunstancia, evento o persona que tiene el
potencial de causar daño a un sistema en forma de robo, destrucción, divulgación,
modificación de datos o negación de servicio (DoS).
Amenazas polimorfas. Las amenazas polimorfas son aquellas que tienen la capacidad
de mutar y en las cuales cada instancia del malware es ligeramente diferente al anterior a
este. Los cambios automatizados en el código realizados a cada instancia no alteran la
funcionalidad del malware, sino que prácticamente inutilizan las tecnologías tradicionales
de detección antivirus contra estos ataques.
Antispam. Antispam es un producto, herramienta, servicio o mejor práctica que detiene
el spam o correo no deseado antes de que se convierta en una molestia para los usuarios. El
antispam debe ser parte de una estrategia de seguridad multinivel.
Antivirus. Antivirus es una categoría de software de seguridad que protege un equipo de
virus, normalmente a través de la detección en tiempo real y también mediante análisis del
sistema, que pone en cuarentena y elimina los virus. El antivirus debe ser parte de una
estrategia de seguridad estándar de múltiples niveles.
Aplicaciones engañosas. Las aplicaciones engañosas son programas que intentan
engañar a los usuarios informáticos para que emprendan nuevas acciones que normalmente
están encaminadas a causar la descarga de malware adicional o para que los usuarios
divulguen información personal confidencial. Un ejemplo es el software de seguridad
fraudulento, que también se denomina scareware.

14
Ataques multi-etapas. Un ataque en múltiples etapas es una infección que normalmente
implica un ataque inicial, seguido por la instalación de una parte adicional de códigos
maliciosos. Un ejemplo es un troyano que descarga e instala adware.
Ataques Web. Un ataque Web es un ataque que se comete contra una aplicación cliente
y se origina desde un lugar en la Web, ya sea desde sitios legítimos atacados o sitios
maliciosos que han sido creados para atacar intencionalmente a los usuarios de ésta.
Blacklisting o Lista Negra. La lista negra es el proceso de identificación y bloqueo de
programas, correos electrónicos, direcciones o dominios IP conocidos maliciosos o
malévolos.
Bot. Un bot es una computadora individual infectada con malware , la cual forma parte
de una red de bots (bot net).
Botnet. Conjunto de equipos bajo el control de un bot maestro, a través de un canal de
mando y control. Estos equipos normalmente se distribuyen a través de Internet y se
utilizan para actividades malintencionadas, como el envío de spam y ataques distribuidos
de negación de servicio. Las botnet se crean al infectar las computadoras con malware, lo
cual da al atacante acceso a las máquinas. Los propietarios de computadoras infectadas
generalmente ignoran que su máquina forma parte de una botnet, a menos que tengan
software de seguridad que les informe acerca de la infección.
Caballo de Troya. Son un tipo de código malicioso que parece ser algo que no es. Una
distinción muy importante entre troyanos y virus reales es que los troyanos no infectan
otros archivos y no se propagan automáticamente. Los caballos de troya tienen códigos
maliciosos que cuando se activan causa pérdida, incluso robo de datos. Por lo general,
también tienen un componente de puerta trasera, que le permite al atacante descargar
amenazas adicionales en un equipo infectado. Normalmente se propagan a través de

15
descargas inadvertidas, archivos adjuntos de correo electrónico o al descargar o ejecutar
voluntariamente un archivo de Internet, generalmente después de que un atacante ha
utilizado ingeniería social para convencer al usuario de que lo haga.
Canal de control y comando. Un canal de mando y control es el medio por el cual un
atacante se comunica y controla los equipos infectados con malware, lo que conforma un
botnet.
Carga destructiva. Una carga destructiva es la actividad maliciosa que realiza el
malware. Una carga destructiva es independiente de las acciones de instalación y
propagación que realiza el malware.
Crimeware. Software que realiza acciones ilegales no previstas por un usuario que
ejecuta el software. Estas acciones buscan producir beneficios económicos al distribuidor
del software.
Ciberdelito. El ciberdelito es un delito que se comete usando una computadora, red o
hardware. La computadora o dispositivo puede ser el agente, el facilitador o el objeto del
delito. El delito puede ocurrir en la computadora o en otros lugares.
Definiciones de virus . Una definición de virus es un archivo que proporciona
información al software antivirus, para identificar los riesgos de seguridad. Los archivos de
definición tienen protección contra todos los virus, gusanos, troyanos y otros riesgos de
seguridad más recientes. Las definiciones de virus también se denominan firmas antivirus.
Descarga inadvertida. Una descarga inadvertida es una descarga de malware mediante
el ataque a una vulnerabilidad de un navegador Web, equipo cliente de correo electrónico o
plug-in de navegador sin intervención alguna del usuario. Las descargas inadvertidas
pueden ocurrir al visitar un sitio Web, visualizar un mensaje de correo electrónico o pulsar
clic en una ventana emergente engañosa.

16
Economía clandestina. La economía clandestina en línea es el mercado digital donde se
compran y se venden bienes y servicios obtenidos a través de la ciberdelincuencia, con el
fin de cometer delitos informáticos. Dos de las plataformas más comunes a disposición de
los participantes en la economía clandestina en línea son los canales en servidores IRC y
foros Web. Los dos tienen grupos de discusión que utilizan participantes para comprar y
vender bienes y servicios fraudulentos. Los artículos vendidos son datos de tarjetas de
crédito, información de cuentas bancarias, cuentas de correo electrónico y toolkits de
creación de malware. Los servicios incluyen cajeros que pueden transferir fondos de
cuentas robadas en moneda real, phishing y hosting de páginas fraudulentas y anuncios de
empleo para cargos como desarrolladores de fraude o socios de phishing.
Encriptación. La encriptación es un método de cifrado o codificación de datos para
evitar que los usuarios no autorizados lean o manipulen los datos. Sólo los individuos con
acceso a una contraseña o clave pueden descifrar y utilizar los datos. A veces, el malware
utiliza la encriptación para ocultarse del software de seguridad. Es decir, el malware cifrado
revuelve el código del programa para que sea difícil detectarlo.
Exploits o Programas intrusos . Los programas intrusos son técnicas que aprovechan
las vulnerabilidades del software y que pueden utilizarse para evadir la seguridad o atacar
un equipo en la red.
Filtración de datos. Una filtración de datos sucede cuando se compromete un sistema,
exponiendo la información a un entorno no confiable. Las filtraciones de datos a menudo
son el resultado de ataques maliciosos, que tratan de adquirir información confidencial que
puede utilizarse con fines delictivos o con otros fines malintencionados
Firewall. Un firewall es una aplicación de seguridad diseñada para bloquear las
conexiones en determinados puertos del sistema, independientemente de si el tráfico es

17
benigno o maligno. Un firewall debería formar parte de una estrategia de seguridad
estándar de múltiples niveles.
Firma antivirus . Una firma antivirus es un archivo que proporciona información al
software antivirus para encontrar y reparar los riesgos. Las firmas antivirus proporcionan
protección contra todos los virus, gusanos, troyanos y otros riesgos de seguridad más
recientes. Las firmas antivirus también se denominan definiciones de virus.
Greylisting o Lista Gris. La lista gris es un método de defensa para proteger a los
usuarios de correo electrónico contra el spam. Los mensajes de correo electrónico son
rechazados temporalmente de un remitente que no es reconocido por el agente de
transferencia de correos. Si el correo es legítimo, el servidor de origen tratará de nuevo y se
aceptará el correo electrónico. Si el correo es de un remitente de spam, probablemente no se
reintentará su envío y por lo tanto, no logrará pasar el agente de transferencia de correos.
Gusanos. Los gusanos son programas maliciosos que se reproducen de un sistema a otro
sin usar un archivo anfitrión, lo que contrasta con los virus, puesto que requieren la
propagación de un archivo anfitrión infectado.
Ingeniería Social . Método utilizado por los atacantes para engañar a los usuarios
informáticos, para que realicen una acción que normalmente producirá consecuencias
negativas, como la descarga de malware o la divulgación de información personal. Los
ataques de phishing con frecuencia aprovechan las tácticas de ingeniería social.
Lista blanca o Whitelisting. La lista blanca es un método utilizado normalmente por
programas de bloqueo de spam, que permite a los correos electrónicos de direcciones de
correo electrónicos o nombres de dominio autorizados o conocidos pasar por el software de
seguridad.
18
Keystroke Logger o Programa de captura de teclado (Keylogger). Es un tipo de
malware diseñado para capturar las pulsaciones, movimientos y clics del teclado y del
ratón, generalmente de forma encubierta, para intentar robar información personal, como
las cuentas y contraseñas de las tarjetas de crédito.
Malware. El malware es la descripción general de un programa informático que tiene
efectos no deseados o maliciosos. Incluye virus, gusanos, troyanos y puertas traseras. El
malware a menudo utiliza herramientas de comunicación populares, como el correo
electrónico y la mensajería instantánea, y medios magnéticos extraíbles, como dispositivos
USB, para difundirse. También se propaga a través de descargas inadvertidas y ataques a
las vulnerabilidades de seguridad en el software. La mayoría del malware peligroso
actualmente busca robar información personal que pueda ser utilizada por los atacantes
para cometer fechorías.
Mecanismo de propagación . Un mecanismo de propagación es el método que utiliza
una amenaza para infectar un sistema.
Negación de servicio (DoS). La negación de servicio es un ataque en el que el
delincuente intenta deshabilitar los recursos de una computadora o lugar en una red para los
usuarios. Un ataque distribuido de negación de servicio (DDoS) es aquel en que el atacante
aprovecha una red de computadoras distribuidas, como por ejemplo una botnet, para
perpetrar el ataque.
Pharming. Método de ataque que tiene como objetivo redirigir el tráfico de un sitio
Web a otro sitio falso, generalmente diseñado para imitar el sitio legítimo. El objetivo es
que los usuarios permanezcan ignorantes del redireccionamiento e ingresen información
personal, como la información bancaria en línea, en el sitio fraudulento. Se puede cometer

19
pharming cambiando el archivo de los equipos anfitriones en la computadora de la víctima
o atacando una vulnerabilidad en el software del servidor DNS.
Phishing. A diferencia de la heurística o los exploradores de huella digital, el software
de seguridad de bloqueo de comportamiento se integra al sistema operativo de un equipo
anfitrión y supervisa el comportamiento de los programas en tiempo real en busca de
acciones maliciosas. El software de bloqueo de comportamiento bloquea acciones
potencialmente dañinas, antes de que tengan oportunidad de afectar el sistema. La
protección contra el comportamiento peligroso debe ser parte de una estrategia de
seguridad estándar de múltiples niveles.
Protección heurística (Heuristics-Based Protection). Forma de tecnología antivirus
que detecta las infecciones mediante el escrutinio de la estructura general de un programa,
las instrucciones de sus computadoras y otros datos contenidos en el archivo. Una
exploración heurística hace una evaluación sobre la probabilidad de que el programa sea
malicioso con base en la aparente intención de la lógica. Este plan puede detectar
infecciones desconocidas, ya que busca lógica generalmente sospechosa, en lugar de
huellas específicas de malware, tales como los métodos tradicionales de antivirus de firmas.
La protección heurística debería hacer parte de una estrategia de seguridad estándar de
múltiples niveles
Redes punto a punto (P2P) . Red virtual distribuida de participantes que hacen que una
parte de sus recursos informáticos estén a disposición de otros participantes de la red, todo
sin necesidad de servidores centralizados. Las redes puntos a punto son utilizadas para
compartir música, películas, juegos y otros archivos. Sin embargo, también son un
mecanismo muy común para la distribución de virus, bots, spyware, adware, troyanos,
rootkits, gusanos y otro tipo de malware.

20
Rootkits. Componente de malware que utiliza la clandestinidad para mantener una
presencia persistente e indetectable en un equipo. Las acciones realizadas por un rootkit,
como la instalación y diversas formas de ejecución de códigos, se realizan sin el
conocimiento o consentimiento del usuario final.
Los rootkits no infectan las máquinas por sí mismos como lo hacen los virus o gusanos,
sino que tratan de proporcionar un entorno indetectable para ejecutar códigos maliciosos.
Los atacantes normalmente aprovechan las vulnerabilidades en el equipo seleccionado o
utilizan técnicas de ingeniería social para instalar manualmente los rootkits. O, en algunos
casos, los rootkits pueden instalarse automáticamente al ejecutarse un virus o gusano o
incluso simplemente al navegar en un sitio Web malicioso.
Una vez instalados, el atacante puede realizar prácticamente cualquier función en el
sistema, incluyendo acceso remoto, intercepción de comunicaciones, así como procesos de
ocultamiento, archivos, claves de registro y canales de comunicación.
Seguridad basada en la reputación . La seguridad basada en la reputación es una
estrategia de identificación de amenazas que clasifica las aplicaciones con base en ciertos
criterios o atributos para determinar si son probablemente malignas o benignas. Estos
atributos pueden incluir diversos aspectos como la edad de los archivos, la fuente de
descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego, se
combinan los atributos para determinar la reputación de seguridad de un archivo. Las
calificaciones de reputación son utilizadas después por los usuarios informáticos para
determinar mejor lo que es seguro y permitirlo en sus sistemas. La seguridad basada en la
reputación debe ser parte de una estrategia de seguridad estándar de múltiples niveles.
Sistema de detección de intrusos. Un sistema de detección de intrusos es un servicio
que monitorea y analiza los eventos del sistema para encontrar y proporcionar en tiempo
21
real o casi real advertencias de intentos de acceso a los recursos del sistema de manera no
autorizada. Es la detección de ataques o intentos de intrusión, que consiste en revisar
registros u otra información disponible en la red. Un sistema de detección de intrusos debe
ser parte de una estrategia de seguridad estándar de múltiples niveles.
Sistema de prevención de intrusos . Un sistema de prevención de intrusos es un
dispositivo (hardware o software) que supervisa las actividades de la red o del sistema en
busca de comportamiento no deseado o malicioso y puede reaccionar en tiempo real para
bloquear o evitar esas actividades. Un sistema de prevención de intrusos debe ser parte de
una estrategia de seguridad estándar de múltiples niveles.
Software de seguridad fraudulento (rogue). Un programa de software de seguridad
rogue es un tipo de aplicación engañosa que finge ser software de seguridad legítimo, como
un limpiador de registros o detector antivirus, aunque realmente proporciona al usuario
poca o ninguna protección y, en algunos casos, puede de hecho facilitar la instalación de
códigos maliciosos contra los que busca protegerse.
Spam. También conocido como correo basura, el spam es correo electrónico que
involucra mensajes casi idénticos enviados a numerosos destinatarios. Un sinónimo común
de spam es correo electrónico comercial no solicitado (UCE). El malware se utiliza a
menudo para propagar mensajes de spam al infectar un equipo, buscar direcciones de
correo electrónico y luego utilizar esa máquina para enviar mensajes de spam. Los
mensajes de spam generalmente se utilizan como un método de propagación de los ataques
de phishing
Spyware. Paquete de software que realiza un seguimiento y envía información de
identificación personal o información confidencial a otras personas. La información de
identificación personal es la información que puede atribuirse a una persona específica,

22
como un nombre completo. La información confidencial incluye datos que la mayoría de
personas no estaría dispuesta a compartir con nadie e incluye datos bancarios, números de
cuentas de tarjeta de crédito y contraseñas. Los receptores de esta información pueden ser
sistemas o partes remotas con acceso local.
Toolkit. Paquete de software diseñado para ayudar a los hackers a crear y propagar
códigos maliciosos. Los toolkits frecuentemente automatizan la creación y propagación de
malware al punto que, incluso los principiante delincuentes cibernéticos son capaces de
utilizar amenazas complejas. También pueden utilizarse toolkits para lanzar ataques web,
enviar spam y crear sitios de phishing y mensajes de correo electrónico.
Variantes. Las variantes son nuevas cepas de malware que piden prestado códigos, en
diversos grados, directamente a otros virus conocidos. Normalmente se identifican con una
letra o letras, seguidos del apellido del malware; por ejemplo, W32.Downadup.A,
W32.Downadup.B y así sucesivamente.
Vector de ataque. Un vector de ataque es el método que utiliza una amenaza para atacar
un sistema.
Virus. Programa informático escrito para alterar la forma como funciona una
computadora, sin permiso o conocimiento del usuario. Un virus debe cumplir con dos
criterios:
Debe ejecutarse por sí mismo: generalmente coloca su propio código en la ruta de
ejecución de otro programa.
Debe reproducirse: por ejemplo, puede reemplazar otros archivos ejecutables con una
copia del archivo infectado por un virus. Los virus pueden infectar computadores de
escritorio y servidores de red.

23
Muchos de los virus actuales están programados para operar sigilosamente la
computadora del usuario con el fin de robar información personal y utilizarla para cometer
delitos. Otros menoscaban el equipo dañando los programas, eliminando archivos o
volviendo a formatear el disco duro. Aún existen otros que no están diseñados para causar
daño, aunque simplemente se reproducen y hacen manifiestan su presencia presentando
mensajes de texto, video y audio, aunque este tipo de ataques de notoriedad no son tan
comunes, puesto que los autores de virus y demás malware tiene como fin obtener
ganancias ilegales.
Virus más propagado. Amenaza que se dice está en su apogeo e indica que ya se está
extendiendo entre los usuarios informáticos.
Vulnerabilidad. Una vulnerabilidad es un estado viciado en un sistema informático (o
conjunto de sistemas) que afecta las propiedades de confidencialidad, integridad y
disponibilidad (CIA) de los sistemas. Las vulnerabilidades pueden hacer lo siguiente:
Permitir que un atacante ejecute comandos como otro usuario
Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas
de acceso a los datos
Permitir a un atacante hacerse pasar por otra entidad
Permitir a un atacante realizar una negación de servicio. Glosario de Seguridad 101.
(2017).
24
Resumen
El trabajo acá planteado corresponde a diseñar una aplicación en xxxxxxxx, con sede la ciudad
de Pereira, en el año 2017. La razón de diseñar esta aplicación es que en el sssssssssssssssss.
Para ello y mediante un desarrollo metodológico se analiza la estructura actual del xxx, su marco
teórico, conceptual, geográfico y legal y posteriormente se realiza el aplicativo el cual
actualmente se encuentra en proceso de realizar pruebas pilotos.
Palabras claves. Sistema. Aplicativo, transporte, eficacia, eficiencia, costos, gastos, Ineficiencia,
obsolescencia, equipo automotor, regulación, logística, costos, competitividad, libro fiscal

25
Abstract
The
26
Introducción
Debido a la gran necesidad que se está presentando en el mercado global sobre la búsqueda de
herramientas de seguridad en la información en las empresas y el aporte científico de por si
costoso y que no se encuentra al alcance de todas las empresas, se hace cada día más importante
y necesario que para los procesos internos de cualquier empresa se tengan unos protocolos de
seguridad informática, pues cada día la información, nuevos virus, problemas electrónicos,
ataques cibernéticos, personas inescrupulosas al interior de las empresas o no suficientemente
preparadas para el desarrollo de sus labores en sus puestos de trabajo, hacen que estas
herramientas sean más útiles y necesarias para el buen funcionamiento de las empresas, es por lo
tanto básico que éstas tengan en cuenta todos los tipos o riesgos de seguridad a los que pueden
estar sometidos al momento de manipular la información y así mediante la incorporación de
medidas y buenos métodos de seguridad evitar cualquier interferencia, mal procesos, perdida de
información u anomalía de ella.
La seguridad informática en la actualidad es un punto fundamental para el control,
administración, y lo más importante para tener la información protegida y blindada de cualquier
anomalía, virus, o ataque virtual que pueda dañar o destruir dicha información que es lo más
importante en una empresa.
En este trabajo se plantean desarrollar un aplicativo que permita que la empresa Importronic
S.A., incorpore a su estructura interna, un protocolo de seguridad informático que minimice los
riesgos de pérdida de información por cualquiera de los factores tratados en párrafos anteriores,
para realizar dicho aplicativo el autor determinar realizar unos objetivos que se deben cumplir, se
investiga el marco de referencia acorde al trabajo, se plantea igualmente el desarrollo del
aplicativo, y se proponen una posible solución en seguridad informática para la empresa

27
Importronic S.A, finalmente se realizan unas conclusiones y recomendaciones de tipo empresarial
y de alta gerencia.
28
1. Situación problema
1.1. Antecedentes del problema
La empresa Importronic S.A. , situada en carrera 14 # 104 – 89, sector Belmonte de la ciudad
de Pereira, ( Ris.), y cuyo objeto social es la importación de repuestos electrónicos, equipos de
medida y sonido para su posterior comercialización en la región cafetera, presenta actualmente
problemas gravísimos en cuanto a la seguridad informática ya que sus sistemas son vulnerables a
riesgos y amenazas a las que normalmente se ve expuesta su información en cada uno de los
procesos y áreas de la compañía, no se tienen estandarizados controles que lleven a mitigar
delitos informático o amenaza a los que están expuestos los datos comprometiendo la integridad,
confidencialidad y disponibilidad de la información. Aunque existen los protocolos y
procedimientos rudimentarios como los recomendados en los software instalados, ello se realiza
por iniciativa y experiencia empírica de los empleados que tiene a cargo los equipos de
cómputos, redes y digitación de la información pero no se documentada, no hay una bitácora que
documente fallas, anomalías o novedades de los sistemas o procedimientos informáticos.
El problema planteado se debe principalmente a la falta de recursos financieros por parte de
la empresa pues es una PYME que no cuenta en su presupuesto el rubro que permita realizar el
correspondiente asesoramiento e instalación y desarrollo de un aplicativo de y para proteger su
informática de amenazas externas, y se recalca que la única protección que se presenta es la que
se deriva de los conocimientos empíricos que a través de la experiencia de sus empleados se
realiza pero ni siquiera estos conocimientos, protocolos, o formas de asegurarse no se encuentran
documentados ni mucho menos asegurar a seguridad y blindaje informático.

29
En la visita que el autor de esta propuesta realizó a la empresa observo algunas falencias al
interior de ella como que los equipos, redes y medios tecnológicos con los que cuenta
actualmente la Importronic S.A. , no se encuentran protegidos de la manera más óptima, se ha
detectado que los usuarios pueden tener acceso a cualquier página web, a correos no deseados, y
esto puede abrir una brecha para que cualquier virus pueda atacar la red y dañarla, los servidores
no cuenta con un firewall de buenas características que pueda proteger la información y así
mismo la red está deteriorada y no presenta un mantenimiento adecuado no cumple las reglas de
una correcta instalación, se encontró que solo una persona es la encargada de las claves de toda la
red, es decir se ha detectado que la empresa tiene graves fallas en su seguridad informática a
todo nivel.
El problema planteado y las causas de la no implementación hacen que sea urgente y
necesario adoptar y crear políticas que regulen las buenas prácticas en cada una de las áreas de la
empresa, que protejan su información relacionada con transacciones, facturación, procesos
logísticos y recursos relacionados con su objeto social y para esto, es indispensable realizar un
análisis de riesgos de la seguridad de su información que permita posteriormente realizar un
aplicativo que beneficia a la empresa y minimice sus riesgos de pérdida de información o calidad
de la misma
1.2. Planteamiento del problema
Carencia de un aplicativo de Seguridad Informática de la empresa Importronic S.A. de la
ciudad de Pereira en el año 2017, que blinde y asegure la información, optimice sus procesos
tanto de software como de software y que sea garante de su eficacia.

30
1.3. Pregunta problema
¿Será qué identificar los elementos que afectan la seguridad de la información de empresa
Importronic S.A., de la ciudad de Pereira, (Ris.), permitirán la posterior implementación de un
modelo de evaluación Informático que la hagan más eficiente y eficaz en sus procesos
informáticos?
31
2. Objetivos
2.1. Objetivo general
Identificar los elementos que afectan la seguridad de la información de empresa Importronic
S.A., y la posterior implementación de un modelo de evaluación Informático que la hagan más
eficiente y eficaz en sus procesos informáticos, en la ciudad de Pereira, (Ris.), para el II
semestre de año 2017.
2.2. Objetivos específicos
 Realizar una evaluación preliminar que identifique los puntos críticos de los
procesos de hardware y software, en cuanto a información tramitada y funcionamiento de la
red, en la empresa Importronic S.A., en la ciudad de Pereira, (Ris.), para el II semestre de
año 2017.
 Diseñar una matriz de riesgos que pondere los puntos más críticos de
vulnerabilidad de todos los activos informáticos, la información y la red, en la empresa
Importronic S.A., en la ciudad de Pereira, (Ris.), para el II semestre de año 2017.
 Clasificar los activos informáticos de la empresa, que permitan su más óptimo
funcionamiento y uso en la empresa Importronic S.A., en la ciudad de Pereira, (Ris.), para el
II semestre de año 2017.
 Desarrollar un aplicativo de evaluación Informático en la empresa Importronic
S.A., en la ciudad de Pereira, (Ris.), para el II semestre de año 2017.

32
 Realizar pruebas piloto mediante simulacro que determinen el correcto
funcionamiento del aplicativo. en la empresa Importronic S.A., en la ciudad de
Pereira, (Ris.), para el II semestre de año 2017.

33
3. Justificación
Uno de los avances más importantes de las últimas décadas es el alcance significativo que ha
adquirido la tecnología y todos sus componentes ( TICs), y con ello el cambio tan drástico que el
mundo ha tenido con el paso de los años, el competitivo y exigente campo laboral ha podido
adaptarse rápida y positivamente al manejo de la tecnología. Lo es también el rápido crecimiento
de las empresas dedicadas a la construcción de modelos y software dedicados a la protección de
los equipos e información que se deriva de su uso.
Teniendo como resultado que la información de una empresa es de vital importancia, y no
llegando muy lejos se podría decir que es lo más relevante dentro de cualquier organización u
empresa, de esta manera se hace necesario establecer un modelo de seguridad informática para
mantener el control adecuado de todos los procesos y las herramientas con los cuales se manipula
la información como lo son los activos informáticos y que tan actualizados están, lo anterior
combinado con la necesidad de establecer unas políticas de seguridad y planes estratégicos para
conocer y detectar las fortalezas y vulnerabilidades que se generen en todos los procesos internos
de la empresa y sus entornos.
La tecnología informática a nivel mundial, nacional y local se ha convertido en una
herramienta fundamental para la solución de los procesos internos de una empresa, ya que brinda
el almacenamiento, ejecución y la rapidez de manipular la información en cualquier momento y
usarla en el momento preciso. Pero hay que tener en cuenta que debido a la gran evolución de las
tecnologías, la información se ha visto vulnerada por todo tipo de virus y otros factores externos
que pueden poner en peligro la información y aún más el futuro de una empresa.
Las organizaciones vienen siendo objeto de incontables intentos a diario por hacerse a la
información y control de sus equipos de cómputo por parte de los delincuentes informáticos. Para
34
muchas de las empresas que han sido víctimas de ataques informáticos, no ha sido prioridad
capacitar el personal y la indagación respecto a las posibles medidas de seguridad que deben
tomarse para prevenirlos. Por ende, el desarrollo de sistemas de seguridad en las empresas se
convierte en una necesidad vital, la cual pretende colocar en manos de las empresas los
conocimientos y las diferentes herramientas que se encuentran disponibles en pro de elevar el
nivel de seguridad informática de la organización. Al tener claros las características de las
modelos o protocolos que se implementan en materia de seguridad informática, es más probable
acertar en evitar o minimizar al menos el riesgo de pérdida de información y conservación de
software y hardware.
El modelo de seguridad informática que se pretende implementar en la empresa
Importronic S.A , garantizará que todos los procesos internos, equipos y red, se encuentren
totalmente protegidos y así mismo la empresa se presentara ante su mercado con mejores
indicadores de productividad y desarrollo tecnológico lo que le permitirá ser más competitiva

35
4. Marco referencial
4.1. Marco teórico
4.1.1. Una nueva teoría sobre la seguridad informática
Una reciente investigación cuyo tema principal es la seguridad basada en la oscuridad,
es decir, en que se puede mejorar la seguridad de un sistema escondiendo lo más posible
cómo funciona dentro de la computadora es una idea no compartida por muchos
programadores porque no parece una técnica adecuada, es decir, no se intenta hacer un
programa que sea intrínsecamente seguro, sino que se busca simplemente que sea difícil de
hallar en un sistema que lo esté operando.
La solución a esto no es escribir un mal programa, sino usar “ofuscación” como paso
final. Esto es, tomar un programa bien escrito y desarrollar un rango de transformaciones
sintácticas para hacer la ingeniería en reversa algo tan difícil que de hecho, sea desechable
como opción para decodificar código.
Sin embargo, uno de los principios de protección de código es el “principio de
Kerckhoff”, que declara que no hay seguridad por oscuridad. Igualmente, está el “principio
de fortificación”, que indica que el defensor tiene que defenderse de todos los vectores de
ataque, mientras que el atacante solamente necesita uno.
Estos dos principios se aplican generalmente a sistemas y no sólo al software, pero es
causa para preocuparse ya que al final de cuenta todos los sistemas son en muchos sentidos
acumulación de software. Y aunque la ofuscación puede ser valiosa en algún sentido, no
deja de ser vergonzosa como técnica de seguridad.

36
Sin embargo, la nueva investigación sugiere que la seguridad es un juego de
información incompleta y que se puede aprender mucho examinando los comportamientos
de los atacantes, así como los algoritmos que usan para sus agresiones. El “oscurecer” el
juego, de acuerdo al estudio, da alguna ventaja y mejora las posibilidades de “ganar el
juego”. En breve: la ofuscación es un buen principio general, pues dificulta al atacante
saber cómo atacarlo a uno. Vale la pena leer el estudio por la presentación que hace sobre
el tema de la seguridad en general. De hecho, la idea moderna en la seguridad es el usar la
idea de que incluso si el ataque conoce el algoritmo, no puede quebrar la seguridad sin una
gran capacidad de cómputo para romper los códigos de seguridad. Así pues, entonces la
seguridad por oscuridad puede ser incluso una buena idea de protección. (Manuel, 2011)
4.1.2. Caso seguridad del juego por la oscuridad
Shannon buscaba seguridad contra el atacante con poderes computacionales ilimitados:
"si una fuente de información transmite alguna información, entonces el atacante de
Shannon seguramente extraerá esa información”. Diffie y Hellman refinaron el modelo
atacante de Shannon teniendo en cuenta el hecho de que los atacantes reales están
limitados computacionalmente. Esta idea se convirtió en uno de los mayores nuevos
paradigmas en informática, y llevó a la criptografía moderna
Shannon también buscó seguridad contra el atacante con poderes lógicos y
observacionales ilimitados, expresados a través de la máxima de que "el enemigo conoce el
sistema". Esta visión sigue siendo endosada en la criptografía. La formulación popular, que
se remonta a Kerckhoffs, es que "no hay seguridad por la oscuridad", lo que significa que
los algoritmos no se pueden ocultar del atacante, y que la seguridad sólo debe confiar en
las claves secretas. De hecho, la criptografía moderna va incluso más lejos que Shannon o
37
Kerckhoffs en tácitamente asumiendo que " si hay un algoritmo que puede romper el
sistema, entonces el atacante seguramente encontrará ese algoritmo", El atacante no es
visto como una computadora omnipotente más, pero todavía se interpreta como un
programador omnipotente.
Por lo tanto, el paso de Diffie-Hellman desde potencias computacionales ilimitadas a
limitadas no se ha extendido en un paso desde poderes lógicos o de programación
ilimitados hasta limitados. ¿Es la suposición de que todos los algoritmos factibles
eventualmente serán descubiertos e implementados realmente diferente de la suposición de
que todo lo que es computable será calculado finalmente? El presente artículo explora
algunas maneras de refinar los modelos actuales del atacante y del defensor, teniendo en
cuenta sus limitados poderes lógicos y de programación. Si el atacante adaptativo consulta
activamente al sistema para buscar sus vulnerabilidades, ¿puede el sistema obtener alguna
seguridad aprendiendo activamente los métodos del atacante y adaptándose a ellos?
(Pavlovic, 2012)
4.1.3. Tipos de seguridad informática
Existen diversos tipos de seguridad informática que una empresa debe vigilar para evitar
pérdida de datos y/o prestigio. Se trata de uno de los temas más importantes en las
organizaciones. Con tantas cosas ocurriendo en Internet, se vuelve extremadamente
necesario asegurar el contenido de nuestra red y nuestras comunicaciones ante posibles
problemas de pérdida o interceptación de datos.
La seguridad informática es la rama de la tecnología de la información que se ocupa de
la protección de datos en una red, sus comunicaciones o una computadora independiente.

38
Debido a que todas las organizaciones son dependientes de la informática, la tecnología
relacionada con la seguridad requiere un desarrollo constante.
Seguridad de Hardware. La seguridad de hardware se puede relacionar con un
dispositivo que se utiliza para escanear un sistema o controlar el tráfico de red. Los
ejemplos más comunes incluyen cortafuegos o firewalls de hardware y servidores proxy.
Otros ejemplos menos comunes incluyen módulos de seguridad de hardware (HSM), los
cuales suministran claves criptográficas para funciones críticas tales como el cifrado,
descifrado y autenticación para varios sistemas. De entre los diferentes tipos de seguridad
informática, son los sistemas de hardware los que pueden proporcionar una seguridad más
robusta, además de que también pueden servir como capa adicional de seguridad para los
sistemas importantes.
La seguridad de hardware también se refiere a cómo podemos proteger nuestros equipos
físicos de cualquier daño. Para evaluar la seguridad de un dispositivo de hardware, es
necesario tener en cuenta las vulnerabilidades existentes desde su fabricación, así como
otras fuentes potenciales, tales como código que se ejecuta en dicho hardware y los
dispositivos entrada y salida de datos que hay conectados en la red.
Seguridad de Software. La seguridad de software se utiliza para proteger el software
contra ataques maliciosos de hackers y otros riesgos, de forma que nuestro software siga
funcionando correctamente con este tipo de riesgos potenciales. Esta seguridad de software
es necesaria para proporcionar integridad, autenticación y disponibilidad.
Entre los tipos de seguridad informática, este campo de la seguridad de software es
relativamente nuevo. Los primeros libros y clases académicas sobre este tema aparecieron
en 2001, lo que demuestra que ha sido recientemente cuando desarrolladores, arquitectos

39
de software y científicos informáticos han comenzado a estudiar sistemáticamente cómo
construir software seguro.
Los defectos de software tienen diversas ramificaciones de seguridad, tales como
errores de implementación, desbordamientos de buffer, defectos de diseño, mal manejo de
errores, etc. Con demasiada frecuencia, intrusos maliciosos pueden introducirse en nuestros
sistemas mediante la explotación de algunos de estos defectos de software.
Las aplicaciones que tienen salida a Internet presentan además un riesgo de seguridad
más alto. Se trata del más común hoy en día. Los agujeros de seguridad en el software son
habituales y el problema es cada vez mayor.
La seguridad de software aprovecha las mejores prácticas de la ingeniería de software e
intenta hacer pensar en la seguridad desde el primer momento del ciclo de vida del
software.
Seguridad de red. La seguridad de red se refiere a cualesquiera actividades diseñadas
para proteger la red. En concreto, estas actividades protegen la facilidad de uso, fiabilidad,
integridad y seguridad de su red y datos. La seguridad de red efectiva se dirige a una
variedad de amenazas y la forma de impedir que entren o se difundan en una red de
dispositivos.
Amenazas a la red
 Virus, gusanos y caballos de Troya
 Software espía y publicitario
 Ataques de día cero, también llamados ataques de hora cero
 Ataques de hackers
 Ataques de denegación de servicio

40
 Intercepción o robo de datos
 Robo de identidad
Hay que entender que no hay una solución única que protege de una variedad de
amenazas. Son necesarios varios niveles de seguridad, si uno falla, los demás siguen en
pie.
Seguridad de la red se lleva a cabo a través de hardware y software. El software debe ser
actualizado constantemente para lograr protegerse de amenazas emergentes. Un sistema de
seguridad de la red por lo general se compone de muchos componentes. Idealmente, todos
los componentes trabajan juntos, lo que minimiza el mantenimiento y mejora la seguridad.
Los componentes de seguridad de red incluyen:
 Antivirus y antispyware
 Cortafuegos, para bloquear el acceso no autorizado a su red
 Sistemas de prevención de intrusiones (IPS), para identificar las amenazas de rápida
propagación, como el día cero o cero horas ataques
 Redes privadas virtuales (VPN), para proporcionar acceso remoto seguro.
(Universidad Internacional de Valencia , 2016).
4.1.4. Modelo de seguridad de información de Mc Cumber
En 1991, John McCumber creó un modelo marco para establecer y evaluar información
seguridad (Aseguramiento de la información) programas, ahora conocidos como :El cubo
McCumber. Este modelo de seguridad es representado como un tridimensional Cubo de
Rubik-como red.
El concepto de este modelo es que: en el desarrollo y aseguramiento de la información
en los sistemas, las organizaciones deben considerar la interrelación de todos los diferentes
41
factores que afectan a los sistemas. Idear un robusto sistema, permite el aseguramiento de
la información y de los programas, uno debe considerar no sólo los objetivos de seguridad
del programa, pero también cómo estos objetivos se refieren específicamente a los
diferentes estados en que la información puede residir en un sistema y toda la gama de las
salvaguardas de seguridad disponibles que deben ser considerados en el diseño. El modelo
McCumber ayuda a recordar a considerar todos los aspectos de diseño importantes sin ser
demasiado concentrado en alguno en particular (es decir, depender exclusivamente de los
controles técnicos a expensas de las políticas necesarias y formación del usuario final).
Dimensiones y atributos del cubo McCumber
 Confidencialidad: garantía de que información sensible no es intencional o
accidentalmente revelada a personas no autorizadas individuos.
 Integridad: aseguramiento de que información no intencional o accidentalmente se
modifica de tal manera en cuanto a poner en entredicho su fiabilidad.
 Disponibilidad de: asegurar que las personas autorizadas tengan acceso oportuno y
confiable a los datos y otros recursos cuando sea necesario.
Estados de información
 Almacenamiento: datos en reposo (DAR) en un sistema de información, como el
que se almacena en memoria o en una cinta magnética o disco.
 Transmisión: transferencia de datos entre sistemas de información - también
conocido como datos en tránsito (DIT).
 Proceso: realizar operaciones de datos con el fin de lograr un objetivo deseado.
Salvaguardias
42
 Políticas y prácticas: controles administrativos, como directivas de gestión, que
proporcionan una base para saber cómo .Aseguramiento de la información, debe ser
implementado dentro de una organización. (Ejemplos: las políticas de uso aceptable o
procedimientos de respuesta a incidentes) - también conocido como operaciones de.
 Factores humanos: garantizar que los usuarios de sistemas de información son
conscientes de sus roles y responsabilidades en materia de protección de sistemas de
información y son capaces de las siguientes normas. (ejemplo: para el usuario final de
formación sobre evitando infecciones por virus de computadora o reconocer tácticas de
ingeniería social) también conocido como personal
 Tecnología: software y soluciones basadas en hardware diseñadas para proteger los
sistemas de información, ejemplos: antivirus, firewalls, sistemas de detección de intrusos,
entre otros.
La idea es retrasar el avance de la seguridad como un arte y apoyarlo con una
metodología estructurada que funciona independientemente de la evolución de la
tecnología. La base de esta metodología es la interrelación entre la confidencialidad,
integridad y disponibilidad con almacenamiento, transmisión y procesamiento mientras
aplica las políticas, procedimientos, lado humano y tecnología. (McCumbe, 2004)

43
Figura No 1. Cubo de Mccumber
F u e n t e . https://eeppiiccaa.wordpress.com/2010/03/17/diagramas-cubo-mccumber/, Seguridad y el Cubo de

McCumber
Descripción del cubo. Así, el Cubo de McCumber es una aproximación estructurada que analiza todas
las facetas de los requerimientos de la seguridad de la información, proveyendo al mismo tiempo un léxico
común que puede emplearse para especificar requerimientos, tomar decisiones que mitiguen el riesgo, y
desarrollar e implementar salvaguardas.
El desarrollo del Cubo de McCumber fue necesario para definir un modelo preciso no constreñido por
cambios organizacionales o técnicos. En él hay nueve intercesiones distintas, cada una con 3 capas de
profundidad. Todos los aspectos de la seguridad de los sistemas de información pueden ser vistos dentro del
framework de este modelo.
La metodología de uso del Cubo de McCumber está basada en descomponerlo en sus bloques
constitutivos y usarlos como la base para determinar las salvaguardas necesarias para cada estado de la
información.
Una vez sea identificado el estado a analizar (Eje Y: Transmisión, Almacenamiento, Procesamiento) se
comienza evaluar los aspectos relevantes de la seguridad del sistema (Eje X: Confidencialidad, Integridad,
Disponibilidad) que impacten los recursos de información.
El eje Z del cubo define las tres categorías primarias de salvaguardas que pueden ser usadas para asegurar
la cantidad apropiada de seguridad (Tecnología, Políticas y Procedimientos, Factores Humanos).
Por ejemplo, para asegurar la confidencialidad apropiada en una transmisión, asignar valores a la
información (alta, media, baja) nos ayudará a determinar en que grado se cumplen estos requerimientos de
seguridad. Esto resulta extremadamente útil para realizar comparaciones coste-beneficio.
Siguiendo con el ejemplo, si la información a transmitir tiene un valor alto, se necesitará tecnología y
políticas de seguridad para proteger su confidencialidad. Pero probablemente no habrá necesidad de ninguna
intervención humana para esta misma tarea. (Germán, Elegant Themes, 2015)
4.1.5. Teoría de la auditoria Informática, un enfoque metodológico
la función de auditoría informática ha pasado de ser una función meramente de ayuda al
auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el
futuro, más con la importancia que para las organizaciones tienen los sistemas informáticos
44
y de información que son su objeto de estudio y análisis. El auditor informático pasa a ser
auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en:
 Seguridad.
 Control interno y operativo.
 Eficiencia y eficacia.
 Tecnología informática.
 Continuidad de operaciones.
 Gestión de riesgos.
No solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e
implicaciones operativas que dichos sistemas tienen en el contexto empresarial. Con esta
amplitud de miras, ¿cómo se va a organizar la función dentro de la empresa? Está claro que
en este caso estamos hablando de una función interna de auditoría informática.
La concepción típica que he visto en las empresas hasta ahora, es que la función de
auditoría informática está intrínsecamente relacionada dentro de lo que es la función de
auditoría interna. Esta concepción se basa en el nacimiento histórico de la auditoría
informática y en la dificultad de separar el elemento .informático de lo que es la auditoría
operativa y financiera, al igual que lo es separar la operativa de una empresa de los
sistemas de información que los soportan. (Universidad Autonoma del estado de Hidalgo,
2011)
Ubicación jerárquica de la función de informática. La alta dirección de cualquier
organización tiene que estar consciente de que la función de auditoría se debe ejercer con
el criterio básico de independencia personal jerárquica, es decir, que el desempeño de las
actividades profesionales en el proceso de evaluación y control no debe verse afectado por

45
aspectos emocionales ni de autoridad emanados de los responsables e involucrados en el
momento de la auditoría. En la medida en que la dirección establezca políticas claras que
especifiquen que la función del auditor es asegurar el control y la seguridad de todos los
elementos relacionados con la informática y que responde a una necesidad de la alta
dirección, el apoyo y participación de todas las áreas del negocio fluirá de manera natural.
Asimismo, se evitará que esto se convierta en un proceso tenso y complicado, o en una
actividad burocrática e improductiva. Se recomienda ubicar la función de auditoría en
informática en un nivel organizacional que le asegure la independencia y soporte requerido
de la alta dirección, a fin de contar con una entidad confiable y eficiente. La falta de una
posición organizacional adecuada a las características especificas que la rodean, puede
convertirla en foco de frustración e incertidumbre con el paso del tiempo. El control y la
seguridad no pueden establecerse ni supervisarse desde los niveles inferiores de una
empresa; su posición debe ser estratégica o por perfiles especiales del negocio, táctico.
Nunca se ejercerán desde un nivel operativo; la alternativa es que los haga personal
profesional externo. Si la auditoría en informática es ejercida por personal externo a la
empresa, se recomienda que el seguimiento, coordinación, apoyo y aprobación del trabajo
efectuado por los asesores externos sea llevado a cabo por la alta dirección (director o
gerentes de auditoría y del área de informática). (Universidad Autonoma del estado de
Hidalgo, 2011)
Tipos de estructuras donde se ubica la auditoría en informática. La auditoría en
informática se debe considerar en un alto nivel organizacional, de igual manera que
cualquier otra rama de la auditoría tradicional. La ubicación deseable es subordinada
jerárquicamente a una dirección o subdirección, ya sea una dirección administrativa o de

46
informática. El objetivo primordial para la alta dirección del negocio es asegurar que el
desempeño de las actividades de auditoría en informática se ejecuten oportuna y
eficientemente, de manera que se logre que los auditores cuenten con:
 Independencia funcional.
 Libertad de acción.
 Facultad para la toma de decisiones.
 Negociación con los niveles gerenciales.
 Involucramiento en proyectos de alto impacto en el negocio.
Las dimensiones de las estructuras mencionadas podrán variar de acuerdo con el giro
de cada organización, el grado de penetración que tengan los servicios y productos de la
función de informática y el estilo de operación de la organización. Es importante resaltar
que en la actualidad existe muy poca difusión y aún menor aceptación por parte de las
empresas de la necesidad de contar con una función de auditoría en informática; sin
embargo, es factible pronosticar - con un alto grado de certidumbre - que el crecimiento
acelerado de las inversiones y proyectos de informática, donde se involucran todas las
empresas, forzará a que se tome una decisión al respecto, aunque a la auditoría en
informática se le llame aseguramiento de calidad, evaluación de informática o auditoría de
sistemas y sea ejercida por personal externo o interno de la empresa.
Una cantidad considerable de empresas aún cuestiona la rentabilidad y productividad de
la función de informática. Prueba de ello son las empresas e instituciones donde la función
de informática depende de la dirección o las gerencias de recursos humanos, finanzas,
manufactura (empresas industriales), etc. y en algunos casos que resultan increíbles en
estos tiempos, de alguna jefatura de contabilidad o de los usuarios. Lo anterior muestra la

47
dificultad que encuentra la función de auditoría en informática para ubicarse de manera
formal en las empresas, pues la informática, área sobre la cual operar, se encuentra
débilmente ubicada. A menudo la función de auditoría en informática se encuentra ubicada
dentro del área de auditoría y en un número menor de empresas o negocios en la función de
informática. Es importante señalar lo anterior, ya que el auditor en informática tendrá
diferentes alcances y enfoques en el momento de ejecutar su trabajo. Las mismas áreas del
negocio tienen una visión distinta de la función, de acuerdo a la dirección o gerencia donde
se encuentran.
Funciones de la auditoría en informática. En cualquiera de las estructuras
mencionadas hay que asegurar al negocio un conjunto de acciones mínimas que vuelvan
rentable la auditoría en informática.
Funciones mínima. Evaluación y verificación de los controles y procedimientos
relacionados con la función de informática dentro de la organización. La validación de los
controles y procedimientos utilizados para el aseguramiento permanente del uso eficiente
de los sistemas de información computarizados y de los recursos de informática dentro de
la organización.
a) Evaluación, verificación e implantación oportuna de los controles y procedimientos
que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de
informática.
b) Aseguramiento permanente de la existencia y cumplimiento de los controles y
procedimientos que regulan las actividades y utilización de los recursos de informática de
acuerdo con las políticas de la organización.

48
c) Desarrollar la auditoría en informática conforme normas y políticas estandarizadas a
nivel nacional e internacional.
d) Evaluar las áreas de riesgo de la función de informática y justificar su evaluación
con la alta dirección del negocio.
e) Elaborar un plan de auditoría en informática en los plazos determinados por el
responsable de la función.
f) Obtener la aprobación formal de los proyectos del plan y difundidos entre los
involucrados para su compromiso.
g) Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de
la auditoría en informática.
Una vez formalizada la función en cualquiera de las situaciones organizacionales
señaladas, se define un mecanismo de administración y control de la función. Dicho
mecanismo garantizará que todos los recursos y proyectos involucrados en el proceso de
desempeño y gestión de la auditoría en informática, obedezcan los principios básicos de un
proceso administrativo. Entre otros, los elementos más importantes e indispensables son la
planeación, el personal, el control y el seguimiento del desempeño.
Objetivos principales de la administración de la auditoría en informática:
 Asegurar que la función de auditoría cubra y proteja los mayores riesgos y
exposiciones existentes en el medio informático en el negocio.
 Asegurar que los recursos de informática (hardware, software, telecomunicaciones,
servicios, personal, etc.) sean orientados al logro de los objetivos y las estrategias de las
organizaciones.
49
 Asegurar la formulación, elaboración y difusión formal de las políticas, controles y
procedimientos inherentes a la auditoría en informática que garanticen el uso y
aprovechamiento óptimo y eficiente de cada uno de los recursos de informática en el
negocio.
 Asegurar el cumplimiento formal de las políticas, controles y procedimientos
definidos en cada proyecto de auditoría en informática mediante un seguimiento oportuno.
 Asegurar que se den los resultados esperados por el negocio mediante la
coordinación y apoyo reciproco con:
1. Auditoría.
2. Asesores externos.
3. Informática.
4. Alta dirección.
Con el fin de que los objetivos y metas de la función de auditoría en informática se
lleven a cabo con éxito, es necesario considerar lo siguiente:
 •Elaborar y formalizar los planes de auditoría en informática.
 Organizar y administrar la función de manera eficiente.
 Dirigir y controlar los proyectos de auditoría en informática con oportunidad.
 Revisar y evaluar de manera periódica el desempeño de los auditores en informática.
Evaluar el desempeño de la función de informática. (Universidad Autonoma del estado
de Hidalgo, 2011)
Funciones del departamento de auditoría Informática:

50
 Evaluar los sistemas que aseguran el cumplimiento de las políticas, planes,
procedimientos, normas y reglamentos, emitiendo sugerencias de mejora en los controles
internos establecidos.
 Vigilar el cumplimiento de las normas e instrucciones establecidas por la Dirección
de la Sociedad, realizando el seguimiento de las recomendaciones emitidas.
 Revisar y evaluar la fiabilidad del sistema contable establecido y que éste responde a
la normativa legal e interna.
 Evaluar, asimismo, a través de la auditoria informática, la adecuación, utilidad,
eficiencia, fiabilidad y salvaguarda de la información mecanizada de la Sociedad así como
la organización de los servicios que la elaboran y procesan.
 Verificar la existencia de los activos y revisar los medios de salvaguarda de los
mismos.
 Colaborar con los auditores externos, integrando su labor con los objetivos del
Departamento de Auditoría Interna.
 El auditor externo debe tener acceso a los informes de auditoría interna y debe ser
informado de cualquier asunto que, estando en conocimiento de los auditores internos,
pueda afectar a su trabajo. De igual manera, los auditores externos deberán comunicarles
cualquier asunto que pudiera afectar a la auditoría interna. Deberán estar coordinados para
evitar duplicidades en el trabajo a realizar, por medio de reuniones periódicas y la puesta
en común de técnicas de auditoría, métodos y terminología.
 Asistir a los miembros de la organización, proporcionándoles análisis,
recomendaciones, consejo e información concerniente a las actividades revisadas. Evaluar
la posibilidad de establecer (y en caso afirmativo, implantarlo) un sistema de control a

51
distancia para asegurar el mantenimiento de un seguimiento permanente, por medios
informáticos, de operaciones anómalas, al objeto de prevenir y detectar rápidamente
incidencias de normativa, mediante un modelo de indicadores ponderado que permita
ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad
pueden perjudicar sustancialmente a la organización o pueden provocar pérdidas de
rentabilidad o de negocio.
 Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de
la normativa en la elaboración y publicación de la información financiera, proporcionando
un grado razonable de control en el cumplimiento de fechas y plazos legales de la
documentación a entregar por parte de Sociedad al Organismo Supervisor.
 Proporcionar un grado razonable de seguridad acerca del cumplimiento de las leyes
y normativa en vigor aplicable.
 Informar a la Dirección de cuantas anomalías o irregularidades se detecten,
recomendando las mejores acciones correctoras.
 Evaluar que la organización cuenta con los medios humanos y materiales que
garanticen la adecuada gestión del negocio, a través de la oportuna segregación de
funciones.
 Elaborar un Código de Conducta a nivel corporativo, que sea aprobado por el
Consejo de Administración de la Sociedad.
 Evaluar periódicamente el cumplimiento del mismo. En caso preciso, la ejecución de
investigaciones especiales. (Hernández, 2003)

52
4.2. Marco Conceptual.
4.2.1. Sistemas de información
Definición de sistemas de información. Con el advenimiento de las tecnologías de
información y comunicación TIC, las organizaciones vieron oportunidad para implementar
sistemas de información, los cuales permitan la consulta y acceso a datos relevantes y
pertinentes para la toma de decisiones estratégicas basadas en evidencias, bajo una figura
de procesos d negocio, entendido como conjunto de actividades lógicamente coordinadas,
relacionadas y desarrolladas por la organización en aras de producir resultados de negocio
puntuales y específicos.
En primera instancia, es preciso esclarecer que el término sistema hace referencia a un
“conjunto de componentes que interactúan entre sí para lograr un objetivo común. Aunque
existe una gran variedad de sistemas, la mayoría de ellos pueden representarse a través de
un modelo formado por cinco bloques básicos: elementos de entrada, elementos de salida,
sección de transformación, mecanismos de control y objetivos”. (Graciela, 2014)
Gestión del riesgo en seguridad de la información
Figura No 2. Modelo general de un sistema de información
Fuente. Fernández Alarcón, Vicente, (2010).

53
Descripción. Entrada: corresponde a la recolección o captura de datos internos o externos a la organización para
ser capturados en el sistema de información.
Transformación: las entradas son manipuladas, analizadas y procesadas con la finalidad de darles sentido para
quienes son los usuarios del sistema.
Salida: consiste en la distribución de la información procesada para el usuario quien la utilizará durante un tiempo
específico en determinado proceso o actividad.
El concepto sistema de información es definido por (Laudon y Laudon 2006), como
“un conjunto de componentes interrelacionados que recolectan (o recuperan), procesan,
almacenan y distribuyen información para apoyar los procesos de toma de decisiones y de
control en una organización. Además de apoyar la toma de decisiones, la coordinación y el
control, también pueden ayudar a los gerentes y trabajadores del conocimiento a analizar
problemas, visualizar temas complejos y crear nuevos productos”, de tal manera la
información se constituye el cimiento para los negocios en el marco de la sociedad del
conocimiento. Bajo esta perspectiva, la organización actual ha cambiado, al tener en cuenta
que la información y el conocimiento se posicionan como recursos estratégicos valiosos.
(Graciela, 2014)
54
Clases de sistemas de información
Tabla 1. Clases de sistemas de información
Fuente. Laudon y Laudon (2006), citado en: Trujillo Diana Graciela y Rozo Julio César (2014). Y citado en Linea:
http://repository.lasalle.edu.co/bitstream/handle/10185/18057/T33.14%20T789g.pdf?sequence=1
Descripción. Laudon y Laudon, hacen una clasificación de los sistemas de información desde la perspectiva del proceso de negocio que se desee atender, de esta
manera los clasifica en: sistemas de ventas y marketing, sistemas de manufactura y producción, sistemas financieros y contables y sistemas de recursos humanos,
como se observa en la tabla No 1. (Laudon y Laudon, 2014).
55
Para Whitman y Mattord (2010), la seguridad de la información es definida como: “la
protección de la información y sus elementos críticos, incluyendo el software y hardware,
que usa, almacena y transmite la información; por medio de aplicación de políticas,
entrenamiento, programas de concientización y mecanismos”
En concordancia con lo antes mencionado, un importante activo al que se le debe
garantizar su protección es la información, pues certifica la continuidad de una
organización. Es por esto que, sin importar su tamaño se debe determinar un grupo de
responsables encargados de velar por su seguridad; así como establecer que el manejo de la
información se realice enmarcado en los tres criterios de seguridad de la información:
confidencialidad, integridad y disponibilidad, de cara a mitigar los peligros a los que se
encuentra expuesta. El Instituto SANS 1 , al respecto asegura “se refiere a los procesos y
metodologías las cuales son diseñadas e implementadas para proteger la información
electrónica, documental o cualquier otra forma de información”. (Instituto SANS, 2010)
Aquí es evidente un punto crucial para las naciones en las cuales su economía está
basada en el conocimiento, principalmente porque sin la implementación de
procedimientos enfocados a proteger la información no sería un factor de éxito para
aumentar las regalías en el sector de bienes y servicios. Ahora bien, la norma ISO 27001:
2005 define este concepto de la siguiente forma “la seguridad de la información es la
protección de la información contra una gran variedad de amenazas con el fin de asegurar
la continuidad del negocio, minimizar el riesgo y maximizar el retorno de inversiones y
oportunidades de negocio”. (Norma ISO/IEC 27001., 2005) , (Graciela, 2014)
1 El Instituto SANS Es una institución fundada en Maryland, Estados Unidos en 1989 con el ánimo de analizar
diferentes aspectos asociados a la seguridad de la información y gestión de incidentes; así como especializar a
profesionales en esta disciplina.
56
En esta definición se adhieren otros factores a tener en cuenta para referirse a seguridad
de la información como son la gestión del riesgo y su probabilidad de ocurrencia; así como
la mitigación de los mismos. De otro lado deja entrever la dimensión que adquieren los
pilares confidencialidad, integridad y disponibilidad, más conocidos como triada C.I.D.
que serán abarcados al detalle más adelante en este mismo capítulo.
Componentes de los sistemas de información. Con base en los fundamentos dados por
Laudon y Laudon, (Graciela, 2014) los sistemas de información proporcionan a la
organización información respectiva de lugares, personas, eventos importantes para la
gestión (Ilustración 4); así las cosas puede considerarse se encuentran constituidos por
componentes tales como:
Figura No 3. Componentes básicos de un sistema de información
Fuente. Laudon y Laudon, (2006), citado en: Trujillo Diana Graciela y Rozo Julio César (2014). (Graciela, 2014)
Descripción.
Datos. Las entradas del sistema son los datos, donde cada uno es considerado como la secuencia de
hechos que representan eventos ocurridos en la organización o en el entorno; sin embargo, se encuentran
aislados, sin ordenar, ni organizar; por tanto no pueden ser entendidos por el humano para ser utilizados de
manera efectiva. Hardware, necesario para la funcionalidad del sistema de información, con base en este
57
puede almacenar, procesar y comunicar la información a los usuarios que la organización decida hacer
partícipes de sus sistemas.
Software, o programas de cómputo son un conjunto de instrucciones lógicas que dirigen y controlan el
procesamiento de tareas puntuales que permiten comprender los problemas para los que están diseñados los S.I. , .
Recurso humano o usuario, que en últimas es la persona que interactúa con el sistema de información, es el
encargado de alimentarlo con datos relevantes y actualizados, para gestionarlos y, a su vez es quien manipula, utiliza
los informes y resultados generados.
Procedimientos, que son ejecutados sobre los datos para producir diferentes tipos de resultados, forman parte
importante del software del sistema de información y su objetivo consiste en que las entradas sean procesadas
correctamente para generar resultados esperados, a la luz de satisfacer las necesidades existentes y soluciones
enfocadas la gestión de información basada en las tecnologías de información.
Objetivos de seguridad de la información. De acuerdo con (Freitas p. 43. 2014), los
principales objetivos que proporciona la salvaguarda de la información a una organización
son:
Cumplir con los requisitos regulatorios, legales y contractuales del negocio frente al
manejo seguro de la información.
 Asegurar la formación del personal en materia de seguridad de la información.
Identificar, clasificar y conservar los activos de información críticos producto del análisis
de riesgos realizados a la organización bajo estándares de clasificación definidos y
conforme a los criterios establecidos por los entes de certificación. Identificar
periódicamente riesgos asociados a seguridad de la información y adoptar medidas de
protección.
 Gestionar adecuadamente los incidentes de seguridad garantizando confidencialidad,
integridad y disponibilidad de la información. Monitorear y mejorar continuamente
disposiciones y controles internos que permitan ampliar los controles respecto a la
seguridad.
 Ampliar las oportunidades de negocio al garantizar la seguridad de la información.
en todos los procesos, (Vidalina, 2014).

58
Políticas de seguridad de la información. Si bien es cierto que la seguridad es vital
para el normal funcionamiento de una entidad, también se debe reconocer el elevado costo
que esta representa, es por ello que la formulación de la política se obtiene luego de un
riguroso análisis de cada riesgo asociado a los activos, proceso comúnmente conocido
como gestión del riesgo, con el cual los oficiales de seguridad documentan una política
cuantificable y que en términos presupuestales se encuentre alineada a la estrategia de la
organización.
Se define política de seguridad como "una declaración de intenciones de alto nivel que
cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y
delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se
requerirán." (Holbrook, Paul; Reynolds, 2013). A esta definición se adhieren elementos
importantísimos para el funcionamiento de un sistema de gestión de seguridad de la
información, ya que demuestra el papel vital que juegan los niveles de la dirección respecto
a decisiones tomadas para la implementación, monitoreo y control sobre los activos de
información; para ello la política debe contener: seguridad frente al personal, adquisición
de productos, seguridad física de las instalaciones, sistemas de protección eléctrica, control
de nivel de emisiones electromagnéticas, vigilancia de la red y de los elementos de
conectividad, protección en el acceso y configuración de los servidores, copias de
seguridad, borrado de información.
La norma NTC-ISO/IEC 27002: 2007, enuncia “toda intención y directriz expresada
formalmente por la Dirección”. Como el conjunto de políticas tanto generales como
específicas que tienen como propósito que los empleados en sus diversas modalidades
busquen proteger la información de amenazas internas y externas, a fin de garantizar la

59
confidencialidad, integridad y disponibilidad de los activos de información, así como
productos y servicios institucionales, minimizar o eliminar los riesgos de pérdida, daño,
hurto, uso inadecuado o fuga de información y asegurar el eficiente cumplimiento de
objetivos estratégicos de una entidad que adopte este sistema. En tal sentido, las políticas
de seguridad son diseñadas como herramienta organizacional para determinar directrices,
lineamientos y recomendaciones orientadas al adecuado uso de las tecnologías de
información para obtener su mayor provecho y evitar el uso indebido de las mismas;
expresado de la siguiente forma: "una política de seguridad es un conjunto de requisitos
definidos por los responsables de un sistema, que indica en términos generales que está y
que no está permitido en el área de seguridad durante la operación general del sistema."
(Villalón Huerta, Antonio, 2013, p. 90). (Graciela, 2014).
La política delimita todo el espectro de seguridad referido a plataformas y
procedimientos para ejercer control sobre las vulnerabilidades detectadas. De acuerdo con
lo anterior, establecer una política requiere estudiar rigurosamente las debilidades y fallas
del sistema para actualización constantemente que atienda el dinámico contexto de la
organización moderna, por tanto, debe ser una política ajustada a la realidad de la empresa,
con una redacción en términos entendibles para el personal y que la política se pueda
cumplir y medir. Expresado así “la política se refleja en una serie de normas, reglamentos y
protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del
sistema; pero ante todo una política de seguridad es una forma de comunicarse con los
usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con
personas. (Spafford, 2013). (Graciela, 2014)

60
Etapas en el desarrollo de una política de seguridad
Figura No 4. Pirámide documental de una política de seguridad
Fuente. Poveda Julio Alejandro, (2011). Universidad de La Salle. Bogotá,
La Universidad Nacional de Colombia, propone el siguiente modelo para la elaboración
de la política de seguridad:
 Fase de desarrollo: creación, revisión y aprobación, esta fase consiste en realizar la
planificación junto con la investigación del por qué se requiere, su objetivo y alcance
para la redacción del documento, para su posterior revisión y aprobación por la
dirección.
 Fase de implementación: comunicación, cumplimiento y excepciones, en
esta etapa la política es divulgada a la organización para implementarla; sin embargo
por temas de operación es necesario revisar aquellas situaciones por las cuales la
61
política no puede ser cumplida, es decir las excepciones a las cuales debe realizarse
seguimiento y evaluación.
 Fase de mantenimiento: concienciación, monitoreo, garantía de
cumplimiento y mantenimiento, en esta etapa se evidencian la unión de esfuerzos en
pro del conocimiento, seguimiento, reportes de cumplimiento, la vigencia y
actualización de la política mediante el control de las versiones.
 Fase de eliminación: hace referencia al ciclo de vida de la política, es
decir, cuando es necesario prescindir de esta por agentes inherentes a la organización
como reemplazos u otros asociados, aquí cabe decir que se debe documentar la
decisión, así como sus responsables.
El desarrollo de la política contempla cada uno de estos pasos para garantizar su
cumplimiento, así mismo estas fases no son estáticas, es inevitable realizar un proceso
cíclico para su medición y ejecución. (Graciela, 2014)
Figura No 5. Fases de la creación de políticas
Fuente. https://es.slideshare.net/yarishred/politicas-de-seguridad-restriciones
62
Concepto de riesgo. Cualquier sistema de información se encuentra expuesto a diversas
amenazas y más aún cuando la interoperabilidad de las redes es más frecuente, la consulta
eficiente de la información marca cada vez más la diferencia en una sociedad altamente
competitiva y en donde las organizaciones no dan tregua. Para ofrecer servicios de calidad
es vital la información; no obstante gracias al avance de las tecnologías de la información y
la comunicación, la forma de gestionarla cambia. Al llegar a este punto surge una duda qué
es el riesgo: “el proceso que se encarga de identificar y cuantificar la probabilidad de que
se produzcan amenazas y de establecer un nivel aceptable de riesgo para la organización,
considerando el impacto potencial de un incidente no deseado.”. (Areitio Javier, 2012).
(Graciela, 2014)
Medición del riesgo
Por lo general el riesgo se puede representar mediante la siguiente fórmula:
Riesgo: Probabilidad de ocurrencia * Magnitud de impacto.

63
Figura No 6. Elementos que interactúan en la identificación del riesgo.
Fuente. Graciela, Trujillo Diana, (2014). Gestión del riesgo en seguridad de la información
Descripción. Proceso. Conjunto de actividades que se realizan en secuencia para la consecución de un objetivo.
Esta dado a partir de las características propias de cada institución y puede variar de acuerdo a sus necesidades
específicas y al core 2 del negocio; es importante que los procesos se encuentren definidos para establecer la toma
de decisiones y en general identificar las entradas existentes en la organización, su desarrollo y luego la obtención de
resultados, tal cual lo define la Norma Técnica Colombiana "conjunto de actividades mutuamente relacionadas o que
interactúan, las cuales transforman elementos de entrada en resultados.". (Graciela, 2014)
Amenazas Es la materialización del riesgo, sucede cuando aún conociendo el riesgo no se han tomado las
acciones suficientes para evitarlo. Esta es la última instancia a la que debe llegar la organización y el fin de esta
tesis, asegurar, o por lo menos minimizar la probabilidad de que una amenaza se efectúe; cuando esta sucede el daño
es bastante considerable, el ataque o la intrusión se ha realizado con éxito y ahora la información se encuentra
expuesta.
Activo Es todo aquello que adquiere valor para la organización, aquellos recursos propios del sistema
informativo o aquellos que se relacionan de alguna manera con este, y que permite la dinámica eficiente de la
gestión de la organización y por ende de la información que procesa, por esto se identifican varios niveles de activos
distribuidos jerárquicamente estableciendo una cadena que ofrece valor al correcto funcionamiento de los procesos
que ejecuta la institución. De acuerdo con Mc Connell, los activos están dados de la siguiente manera, guardando
un orden lógico de acuerdo a lo que representa cada uno así:
2 Entendido como el conjunto de actividades que realiza una empresa para generar valor y ventaja competitiva en el
mercado, lo cual la caracteriza y diferencia de las otras.
64
Activo Informático. En seguridad de la información, seguridad informática y
seguridad de red un Activo es cualquier dato, dispositivo u otro componente del entorno
que apoya actividades relacionadas con la información. Los activos incluyen generalmente
hardware (servidores y switches), software (por ejemplo, aplicaciones de misión crítica y
sistemas de apoyo) e información confidencial. Los activos deben ser protegidos de acceso
ilícito, uso, revelación, alteración, destrucción o robo, resultando en pérdida de la
organización.
La tríada CIA. El objetivo de seguridad de la información es asegurar la
Confidencialidad, Integridad y Disponibilidad de de activos de varios amenazas. Por
ejemplo, un Hacker podría ataque un sistema para robar números de tarjetas de crédito por
explotando un vulnerabilidad. Expertos de seguridad de información deben evaluar el
posible impacto de un ataque y emplear adecuados contramedidas. En este caso podría
poner un cortafuegos y cifrar sus números de tarjeta de crédito.
Figura No 7. La tríada CIA
Fuente. https://b-one-informatica.blogspot.com.co/2016/02/la-triada-cid-seguridad-informatica.html
Descripción.
Confidencialidad. La confidencialidad es la propiedad que impide la divulgación de información a personas o
sistemas no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que
cuenten con la debida autorización.
65
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser
transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El
sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene
la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta
en modo alguno, se ha producido una violación de la confidencialidad.
La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por
encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información
privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información
confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
Integridad. Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual
a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información
tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.
La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala
intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido
permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada,
asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos
de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la
información.
Disponibilidad. La disponibilidad es la característica, cualidad o condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la
disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo
requieran.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de
seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella
deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe estar disponible en todo
momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del
sistema.
Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder
manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un
sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad
de la información del negocio.
La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en
el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales
mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de
web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores
espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades
dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar. ( B-One Informatics, 2015)
La Triada CID Seguridad informática. 2015. B-One Informatics,
http://copro.com.ar/Activo_(seguridad_informatica).html
66
Tabla 2. Clasificación de activos de información
Fuente. Graciela, Trujillo Diana, (2014). Gestión del riesgo en seguridad de la información
Matriz de Riesgos. Una matriz de riesgos es una sencilla pero eficaz herramienta para
identificar los riesgos más significativos inherentes a las actividades de una empresa, tanto de
procesos como de fabricación de productos o puesta en marcha de servicios. Por lo tanto, es un
instrumento válido para mejorar el control de riesgos y la seguridad de una organización (Peña,
2015).
Protejete Wordpress. (2011). Gestión de Riesgo en la Seguridad Informática.
Amenazas y Vulnerabilidades
Amenazas, es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede
producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la
Seguridad Informática, los elementos de información. Debido a que la seguridad informática
tiene como propósitos de garantizar la confidencialidad, integridad, disponibilidad y de los datos
e informaciones, las amenazas y los consecuentes daños que puede causar un evento exitoso,
también hay que ver en relación con la confidencialidad, integridad, disponibilidad y
autenticidad de los datos e informaciones. (Protejete wordpress, 2011)

67
Figura No 8. Amenazas
Fuente. Protejete Wordpress. (2011). Gestión de Riesgo en la Seguridad Informática.

Descripción.
Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo como por
ejemplo las agresiones técnicas, naturales o humanos, sino también amenazas de origen interno, como la negligencia
del propio personal o las condiciones técnicas, procesos operativos internos (Nota: existen conceptos que defienden
la opinión que amenazas siempre tienen carácter externo)
Generalmente se distingue y divide tres grupos
 Criminalidad: son todas las acciones, causado por la intervención humana, que
violan la ley y que están penadas por esta. Con criminalidad política se entiende todas las
acciones dirigido desde el gobierno hacia la sociedad civil.
 Sucesos de origen físico: son todos los eventos naturales y técnicos, sino también
eventos indirectamente causados por la intervención humana.
 Negligencia y decisiones institucionales: son todas las acciones, decisiones u
omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al
mismo tiempo son las amenazas menos predecibles porque están directamente relacionado
con el comportamiento humano.

68
Existen amenazas que difícilmente se dejan eliminar (virus de computadora) y por eso
es la tarea de la gestión de riesgo de preverlas, implementar medidas de protección para
evitar o minimizar los daños en caso de que se realice una amenaza.
Para mostrar algunas de las amenazas más preocupantes, consultamos dos estadísticas,
el primer grafo sale de la “Encuesta sobre Seguridad y Crimen de Computación 2008” del
Instituto de Seguridad de Computación (CSI por sus siglas en inglés) que base en 433
respuestas de diferentes entidades privadas y estatales en los EE.UU. (Protejete wordpress,
2011)
Figura No 9. Amenazas más importantes según CSI

Descripción.
El segundo tiene su origen en una encuesta que se hizo en el año 2007, con 34 organizaciones sociales a
nivel centroamericano
69
Figura No 10. Porcentaje por tipo de impacto

Descripción. Ambas figuras, muestran el porcentaje de todos los encuestados que sufrieron ese tipo de ataque.
Como se observa, existen algunas similitudes respecto a las amenazas más preocupantes
 Ataques de virus (>50%)
 Robo de celulares, portátiles y otros equipos (>40%)
 Pero también existen otras amenazas que, aunque no aparezcan en ambas encuestas, son muy alarmantes y
que se debe tomar en consideración
 Falta de respaldo de datos
 Perdida de información por rotación, salida de personal
 Abuso de conocimientos internos (no consultado en encuesta de organizaciones sociales)
 Mal manejo de equipos y programas
 Acceso non-autorizado
70
Figura No 11. Vulnerabilidades

Descripción.
La Vulnerabilidad, es la capacidad, las condiciones y características del sistema mismo (incluyendo la
entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. En otras
palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una amenaza o de
recuperarse de un daño.
Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe una amenaza,
tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar un daño.
Dependiendo del contexto de la institución, se puede agrupar las vulnerabilidades en grupos
característicos: Ambiental, Física, Económica, Social, Educativo, Institucional y Política. (Protejete
wordpress, 2011)
Análisis de riesgo. El primer paso en la Gestión de riesgo es el análisis de riesgo que tiene como
propósito determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que los
debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.
71
Figura No 12. Clasificación y flujo de información

Descripción.
Clasificación y flujo de información. La clasificación de datos tiene el propósito de garantizar la
protección de datos (personales) y significa definir, dependiendo del tipo o grupo de personas internas y
externas, los diferentes niveles de autorización de acceso a los datos e informaciones. Considerando el
contexto de nuestra misión institucional, tenemos que definir los niveles de clasificación como por ejemplo:
confidencial, privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona que tiene
derecho de acceder a los datos, el grado y mecanismo de autenticación.
Una vez clasificada la información, tenemos que verificar los diferentes flujos existentes de información
internos y externos, para saber quiénes tienen acceso a qué información y datos.
Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante, porque
ambas cosas influyen directamente en el resultado del análisis de riesgo y las consecuentes medidas de
protección. Porque solo si sabemos quienes tienen acceso a qué datos y su respectiva clasificación, podemos
determinar el riesgo de los datos, al sufrir un daño causado por un acceso no autorizado. (Protejete
wordpress, 2011)
72
Figura No 13. Análisis de Riesgo

Descripción.
Análisis de Riesgo. Existen varios métodos de como valorar un riesgo y al final, todos tienen los mismos
retos -las variables son difíciles de precisar y en su mayoría son estimaciones- y llegan casi a los mismos
resultados y conclusiones.
En el ámbito de la Seguridad Informática, el método más usado es el Análisis de Riesgo.
La valoración del riesgo basada en la fórmula matemática
Riesgo = Probabilidad de Amenaza x Magnitud de Daño
Para la presentación del resultado (riesgo) se usa una gráfica de dos dimensiones, en la cual, el eje-x
(horizontal, abscisa) representa la “Probabilidad de Amenaza” y el eje-y (vertical, ordenada) la “Magnitud de
Daño”. La Probabilidad de Amenaza y Magnitud de Daño pueden tomar condiciones entre Insignificante (1)
y Alta (4). En la práctica no es necesario asociar valores aritméticos a las condiciones de las variables, sin
embargo facilita el uso de herramientas técnicas como hojas de cálculo.
Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Daño no es fijo y puede
ser adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente la Probabilidad de
Amenaza puede tomar hasta seis diferentes condiciones.

73
El reto en la aplicación del método es precisar o estimar las condiciones (valores) de las dos variables,
porque no basen en parámetros claramente medibles. Sin embargo, el análisis de riesgo nos permite ubicar el
riesgo y conocer los factores que influyen, negativa- o positivamente, en el riesgo.
En el proceso de analizar un riesgo también es importante de reconocer que cada riesgo tiene sus
características:
 Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad)
 Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)
 No siempre es percibido de igual manera entre los miembros de una institución que Tal vez puede
terminar en resultados inadecuados y por tanto es importante que participan las personas especialistas de los
diferentes elementos del sistema (Coordinación, Administración financiera, Técnicos, Conserje, Soporte
técnico externo etc.)
El modelo se pude aplicar a los diferentes elementos de manera aislada, sino también al sistema completo,
aunque en el primer caso, el resultado final será más preciso pero también requiere más esfuerzo. Entre más
alta la Probabilidad de Amenaza y Magnitud de Daño, más grande es el riesgo y el peligro al sistema, lo que
significa que es necesario implementar medidas de protección. (Protejete wordpress, 2011)

74
Probabilidad de Amenaza
Figura No 14. Probabilidad de Amenaza

Descripción.
Se habla de un Ataque, cuando una amenaza se convirtió en realidad, es decir cuando un evento se
realizó. Pero el ataque no dice nada sobre el éxito del evento y sí o no, los datos e informaciones fueron
perjudicado respecto a su confidencialidad, integridad, disponibilidad y autenticidad.
Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas
 ¿Cuál es el interés o la atracción por parte de individuos externos, de atacarnos? Algunas razones
pueden ser que manejamos información que contiene novedades o inventos, información comprometedora
etc, talvez tenemos competidores en el trabajo, negocio o simplemente por el imagen o posición pública que
tenemos.
 ¿Cuáles son nuestras vulnerabilidades? Es importante considerar todos los grupos de
vulnerabilidades. También se recomienda incluir los expertos, especialistas de las diferentes áreas de trabajo
para obtener una imagen más completa y más detallada sobre la situación interna y el entorno.
 ¿Cuántas veces ya han tratado de atacarnos? Ataques pasados nos sirven para identificar una
amenaza y si su ocurrencia es frecuente, más grande es la probabilidad que pasará otra vez. En el caso de que
ya tenemos implementadas medidas de protección es importante llevar un registro, que muestra los casos
75
cuando la medida se aplico exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si
todavía existe la amenaza y segundo, cuál es su riesgo actual.
Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de Amenaza. Sin
embargo, antes tenemos que definir el significado de cada condición de la probabilidad (Baja, Mediana,
Alta). Las definiciones mostradas en la imagen anterior solo son un ejemplo aproximado, pero no
necesariamente refleja la realidad y la opinión común y por tanto se recomienda que cada institución defina
sus propias condiciones. (Protejete wordpress, 2011)

76
Figura No 15. Magnitud de Daño
Magnitud de Daño. Se habla de un impacto, cuando un ataque exitoso perjudicó la
confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones.
Figura No 16. Estimar la magnitud de daño

Descripción.
Estimar la Magnitud de Daño generalmente es una tarea muy compleja. La manera más fácil es expresar el
daño de manera cualitativa, lo que significa que aparte del daño económico, también se considera otros
valores como daños materiales, imagen, emocionales, entre otros. Expresarlo de manera cuantitativa, es decir
77
calcular todos los componentes en un solo daño económico, resulta en un ejercicio aun más complejo y
extenso.
Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias pueden ser múltiples, a
veces son imprevisibles y dependen mucho del contexto donde manejamos la información, sea en una ONG
(derechos humanos, centro de información etc.), en una empresa privada (banco, clínica, producción etc.), en
una institución Estatal o en el ámbito privado. Otro factor decisivo, respecto a las consecuencias, es también
el entorno donde nos ubicamos, es decir cuáles son las leyes y prácticas comunes, culturales que se aplica
para sancionar el incumplimiento de las normas.
Un punto muy esencial en el análisis de las consecuencias es la diferenciación entre los dos propósitos de
protección de la seguridad informática, la seguridad de la información y la protección de datos, porque nos
permite determinar, quien va a sufrir el daño de un impacto, nosotros, otros o ambos. En todo caso, todos
nuestros comportamientos y decisiones deben ser dirigidos por una conciencia responsable, de no causar daño
a otros, aunque su realidad no tenga consecuencias negativas.
Otras preguntas que podemos hacernos para identificar posibles consecuencias negativas causadas por un
impacto son:
 ¿Existen condiciones de incumplimiento de confidencialidad (interna y externa)?
Esto normalmente es el caso cuando personas no son autorizadas tienen acceso a
información y conocimiento ajeno que pondrá en peligro nuestra misión.
 ¿Existen condiciones de incumplimiento de obligación jurídicas, contratos y
convenios? No cumplir con las normas legales fácilmente puede culminar en sanciones
penales o económicas, que perjudican nuestra misión, existencia laboral y personal.
 ¿Cuál es el costo de recuperación? No solo hay que considerar los recursos
económicos, tiempo, materiales, sino también el posible daño de la imagen pública y
emocional.
Considerando todos los aspectos mencionados, nos permite clasificar la Magnitud del
Daño. Sin embargo, otra vez tenemos que definir primero el significado de cada nivel de
daño (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo son un
ejemplo aproximado, pero no necesariamente refleja la realidad y la opinión común y por
tanto se recomienda que cada institución defina sus propios niveles. (Protejete wordpress,
2011)
78
Matriz de análisis de riesgo, sus fundamentos. La Matriz la basé en el método de
Análisis de Riesgo con un grafico de riesgo, usando la formula Riesgo = Probabilidad de
Amenaza x Magnitud de Daño
La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y
condiciones respectivamente
1 = Insignificante (incluido Ninguna)
2 = Baja
3 = Mediana
4 = Alta
Figura No 17. Matriz de análisis de riesgo

Descripción.
El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño, está
agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores.
 Bajo Riesgo = 1 – 6 (verde)
 Medio Riesgo = 8 – 9 (amarillo)
 Alto Riesgo = 12 – 16 (rojo)

79
La Matriz contiene una colección de diferentes Amenazas (campos verdes) y elementos de información
(campos rojos). Para llenar la matriz, tenemos que estimar los valores de la Probabilidad de Amenaza
(campos azules) por cada amenaza y la magnitud de daño (campos amarillas) por cada elemento de
información. (Protejete wordpress, 2011)
Figura No 18. Formato matriz de análisis de riesgo

Descripción.
Para la estimación de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente)
está relacionado con el recurso más vulnerable de los elementos de información, sin embargo usado para
todos los elementos. Si por ejemplo existe una gran probabilidad de que nos pueden robar documentos y
equipos en la oficina, porque ya entraron varias veces y no contamos todavía con una buena vigilancia
nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarán una portátil, que está
en la oficina (con gran probabilidad se van a llevarla), o si robarán un documento que está encerrado en una
caja fuerte escondido (es menos probable que se van a llevar este documento).
Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunos riesgos
saldrán demasiado altos), algo que posteriormente tendremos que corregirlo. Sin embargo, excluir algunos
resultados falsos todavía es mucho más rápido y barato, que hacer un análisis de riesgo detallado, sobre todo
cuando el enfoque solo es combatir los riesgos más graves, ambos variables y visualiza el grado de riesgo.
(Protejete wordpress, 2011)

80
Figura No 19. Ejemplo matriz de análisis de riesgo con datos
Descripción.
Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que
corre cada elemento de información de sufrir un daño significativo, causado por una amenaza, sino también
sobre las medidas de protección necesarias
 Proteger los datos de RR.HH, Finanzas contra virus
 Proteger los datos de Finanzas y el Coordinador contra robo
 Evitar que se compartan las contraseñas de los portátiles
También, como se mencionó anteriormente, existen combinaciones que no necesariamente tienen mucho
sentido y por tanto no se las considera para definir medidas de protección
 Proteger el Personal (Coordinador y Personal técnico) contra Virus de computación
 Evitar la falta de corriente para el Coordinador. (Protejete wordpress, 2011)
Reducción de riesgo
La reducción de riesgo se logra a través de la implementación de Medidas de
protección, que basen en los resultados del análisis y de la clasificación de riesgo.

81
Figura No 20. Reducción de Riesgo

Descripción.
Las medidas de protección están divididas en medidas físicas y técnicas, personales y organizativas.
En referencia al Análisis de riesgo, el propósito de las medidas de protección, en el ámbito de la Seguridad
Informática, solo tienen un efecto sobre los componentes de la Probabilidad de Amenaza, es decir aumentan
nuestra capacidad física, técnica, personal y organizativa, reduciendo así nuestras vulnerabilidades que están
expuestas a las amenazas que enfrentamos. Las medidas normalmente no tienen ningún efecto sobre la
Magnitud de Daño, que depende de los Elementos de Información y del contexto, entorno donde nos
ubicamos. Es decir, no se trata y muy difícilmente se puede cambiar el valor o la importancia que tienen los
datos e informaciones para nosotros, tampoco vamos a cambiar el contexto, ni el entorno de nuestra misión.
(Protejete wordpress, 2011)
82

Descripción.
La fuerza y el alcance de las medidas de protección, dependen del nivel de riesgo
 Alto riesgo: Medidas deben evitar el impacto y daño.
 Medio riesgo: Medidas solo mitigan la magnitud de daño pero no evitan el impacto.
Considerando que la implementación de medidas de protección están en directa relación con inversiones
de recursos económicos y procesos operativos, es más que obvio, que las medidas, para evitar un daño,
resultarán (mucho) más costosas y complejas, que las que solo mitigan un daño.
Para que las medias sean exitosas, es esencial que siempre verificamos su factibilidad, es decir que
técnicamente funcionan y cumplen su propósito, que están incorporadas en los procesos operativos
institucionales y que las personas se apropian de estás. Es indispensable que están respaldadas, aprobadas por
aplicadas por la coordinación, porque sino, pierden su credibilidad. También significa que deben ser
diseñadas de tal manera, que no paralizan o obstaculizan los procesos operativos porque deben apoyar el
cumplimiento de nuestra misión, no impedirlo.
Otro punto clave es, que las personas que deben aplicar y apropiarse de las medias saben
sobre su existencia, propósito e importancia y son capacitadas adecuadamente en su uso, de
tal manera, que las ven como una necesidad institucional y no como otro cortapisa laboral.
83
Debido a que la implementación de las medidas no es una tarea aislada, única, sino un
proceso continuo, su manejo y mantenimiento debe estar integrado en el funcionamiento
operativo institucional, respaldado por normas y reglas que regulan su aplicación, control y
las sanciones en caso de incumplimiento. (Protejete wordpress, 2011)
Control de Riesgo. El propósito del control de riesgo es analizar el funcionamiento, la
efectividad y el cumplimiento de las medidas de protección, para determinar y ajustar sus
deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo
institucional, donde se define los momentos de las intervenciones y los responsables de
ejecución.
Medir el cumplimiento y la efectividad de las medidas de protección requiere que
levantemos constantemente registros sobre la ejecución de las actividades, los eventos de
ataques y sus respectivos resultados. Estos tenemos que analizados frecuentemente.
Dependiendo de la gravedad, el incumplimiento y el sobrepasar de las normas y reglas,
requieren sanciones institucionales para los funcionarios.
En el proceso continuo de la Gestión de riesgo, las conclusiones que salen como
resultado del control de riesgo, nos sirven como fuente de información, cuando se entra otra
vez en el proceso de la Análisis de riesgo. (Protejete wordpress, 2011)
4.2.2. ANSI
(American NationalStandardsInstitute - Instituto Nacional Americano de Estándares).
ASNI es una organización encargada de estandarizar ciertas tecnologías en EEUU. Es
miembro fundador de la ISO, que es la organización internacional para la estandarización.

84
Y tiene representantes en la IEC (International ElectrotechnicalCommission) a través del
U.S. NationalCommittee (USNC). La organización tiene su sede en Washington, DC., y su
oficina de operaciones está localizada en la ciudad de Nueva York.
Breve historia de ANSI
* Fue formada el 14 de mayo de 1918.
* Su primer nombre fue American EngineeringStandardsCommittee (AESC).
* Fue llamada American StandardsAssociation (ASA) en 1928.
* Luego UnitedStates of AmericaStandardsInstitute (USASI) en 1966.
* Obtuvo su nombre actual en 1969.
* Tiene como miembros a 125000 compañías y 3,5 millones de profesionales (2016).
Funcionamiento de ANSI. En sí misma ANSI no desarrolla estándares, el instituto
supervisa el desarrollo y uso de estándares mediante la acreditación de los procedimientos
del desarrollo de estándares de las organizaciones.
Una acreditación de ANSI significa que los procedimientos usados por las
organizaciones en el desarrollo de estándares cumplen con los requerimientos de apertura,
equilibrio, consenso y debido proceso.
ANSI también designa estándares específicos como American NationalStandards (ANS
o normal nacionales estadounidenses), cuando el instituto determina que los estándares
fueron desarrollados en un ambiente que es equitativo, accesible y sensible a las
necesidades de las diversas partes interesadas. Estándares de consenso voluntario aceleran
la aceptación de los productos y dejan claro cómo mejorar la seguridad de los mismos para
la protección de los consumidores. Hay aproximadamente 9.500 ANS que llevan la
designación ANSI (Alegsa, ALEGSA.COM.AR, 2016)

85
4.3. Marco legal
4.3.1. Derechos de Autor
 Con la expedición y vigencia del Decreto Reglamentario Único del Sector Interior, No.
1066 del 26 de mayo de 2015 (artículos 1.2.1.3, 2.6.1.1.1 y siguientes) expedido por el
señor Presidente de la República, fueron compiladas en el mismo, en lo que a la
Dirección Nacional de Derecho de Autor se refiere, los Decretos Reglamentarios 1360
de 1989, 460 de 1995, 3942 de 2010 y 1258 de 2012, los cuales, a partir de la vigencia
de dicho Decreto Reglamentario Único, quedaron derogados.
 El Decreto Reglamentario Único del Sector Interior No. 1066 de 2015, compiló los
Decretos Reglamentarios números 1360 de 1989 y 460 de 1995 (Inscripción de soporte
lógico (software) y el Registro Nacional del Derecho de Autor, respectivamente), 3942
de 2010 y 1258 de 2012 (Gestión Colectiva del Derecho de Autor y facultades de
Inspección, Vigilancia y Control de la Dirección Nacional de Derecho de Autor,
respectivamente).
 Con esta compilación, quedaron derogados los decretos reglamentarios 1360 de 1989,
460 de 1995, 3942 de 2010 y 1258 de 2012.
 En consecuencia, a partir del día 26 de mayo de 2015, los trámites relacionados con el
Registro de Derecho de Autor, como las actuaciones a cargo de la DNDA en ejercicio
de sus facultades legales de inspección, vigilancia y control sobre las sociedades de
gestión colectiva, se adelantarán con fundamento en lo dispuesto por el Decreto
Reglamentario Único No. 1066 de 2015, de este compilado normativo (Mininterior,
2016).
86
4.3.2. Ley 23 de 1982, ley de derechos de autor
Es la ley de derechos de autor que contempla los derechos morales y patrimoniales del
software considera por vez primera al software ("soporte lógico") como una creación propia del
dominio literario. Posteriormente, mediante el Decreto Presidencial número 1360 del 23 de junio
de 1989, se reglamenta la inscripción del soporte lógico (software) en el Registro Nacional de
Derecho de Autor. En este decreto queda escrito en forma explícita: "El soporte lógico (software)
comprende uno o varios de los siguientes elementos: el programa de computador, la descripción
de programa y el material auxiliar". (Ley 23 de 1982, 1982)
4.3.3. Ley 44 1993 se modifica el Acto de Derechos de Autor de 1982
Se modifica el Acto de Derechos de Autor de 1982; adicionalmente, el respaldo legal a los
autores de software fue ratificado y detallado en 1993, por la comisión del Acuerdo de Cartagena
mediante la Decisión 351, concerniente a régimen común sobre derecho de autor y derechos
conexos. La legislación colombiana en forma explícita establece sanciones de "prisión de dos (2)
a cinco (5) años y multa de cinco (5) a veinte (20) salarios mínimos mensuales" para quien
"reproduzca fonogramas, videogramas, soporte lógico (software) u obras cinematográficas sin
autorización previa y expresa del titular, o transporte, almacene, conserve, distribuya, importe,
venda, ofrezca, adquiera para la venta o distribución o suministre a cualquier título dichas
reproducciones". ( Ley 44 1993, 1993)
4.3.4. Ministerio del TIC
Desde el 30 de julio de 2009, fecha en la que el expresidente de la República Álvaro
Uribe Vélez sancionó la Ley 1341, el entonces Ministerio de Comunicaciones se convirtió
en Ministerio de Tecnologías de la Información y las Comunicaciones. La nueva Ley creó
un marco normativo para el desarrollo del sector y para la promoción del acceso y uso de
87
las TIC a través de la masificación, el impulso a la libre competencia, el uso eficiente de la
infraestructura y, en especial, el fortalecimiento de la protección de los derechos de los
usuarios (Mintic, Mintic, 2017).
Las Tecnologías de la Información (TI): que buscan gestionar estratégicamente los
sistemas de información a través de su diseño, soporte y mejoramiento para apoyar la
gestión de los procesos y soportar el flujo de la información que circula por las
dependencias en términos de accesibilidad, disponibilidad, seguridad, confiabilidad y
generación de conocimiento. Su implementación en el Ministerio TIC permite promover su
utilización como una pieza clave para el mejoramiento continuo, la innovación
organizacional y la preservación de la memoria institucional. La implementación de los
planes de ajuste tecnológico, protocolos de IPv6, seguridad de la información y manejo de
redes, entre otros, hacen parte de este componente.
La articulación de estos permitirá en la entidad la implementación de buenas prácticas de
eficiencia administrativa que redunden en reducciones de consumo de papel, elaboración de
documentos electrónicos y sistematización de trámites, procesos y procedimientos, entre
otros resultados (Mintic, Mintic, 2017).
4.3.5. ISO 27001
Es una norma internacional emitida por la Organización Internacional de Normalización
(ISO) y describe cómo gestionar la seguridad de la información en una empresa. La
revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es
ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a
la norma británica BS 7799-2.

88
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de
lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del
mundo en el tema y proporciona una metodología para implementar la gestión de la
seguridad de la información en una organización. También permite que una empresa sea
certificada; esto significa que una entidad de certificación independiente confirma que la
seguridad de la información ha sido implementada en esa organización en cumplimiento
con la norma ISO 27001.
Funcionamiento de la ISO 27001. El eje central de ISO 27001 es proteger la
confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo
hace investigando cuáles son los potenciales problemas que podrían afectar la información
(es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar
que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de
riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente (Kosutic,
2017).
4.3.6. Decreto 1360 de 1989, Equipara el software a una creación literaria
Equipara el software a una creación literaria, aunque el software va más allá del código en sí
mismo, su apariencia puede ser objeto de protección igualmente por el derecho de autor (Decreto
1360, 1989). (Decreto 1360 de 1989, 1989)
4.3.7. Ley Estatutaria 1581 de 2012, Ley de protección de datos personales
Ley de protección de datos personales, que determina el tratamiento que se debe dar a la
información personal almacenada en las bases de datos tanto privadas como públicas para
proteger su integridad y confidencialidad. (Republica de Colombia, 2012)

89
4.3.8. Ley 603 de 2000 Reporte de gestión cumplimiento normas
Sin embargo, uno de los logros más importantes de la legislación colombiana en materia de
protección de derechos de autor fue la, en la cual todas las empresas deben reportar en sus
Informes Anuales de Gestión el cumplimiento de las normas de propiedad intelectual y derechos
de autor. La Dirección de Impuestos y Aduanas Nacionales (DIAN) quedó encargada de
supervisar el cumplimiento de estas leyes, mientras que las Superintendencias quedaron
responsables de vigilar y controlar a estas empresas. (Ley 603 de 2000, 2010).
4.3.9. Norma técnica colombiana, (NTC): NTC 5415-1, NTC 5420, NTC 4243
Tecnología de la información, evaluación del producto de software
Objeto. Esta parte de la NTC 5415 sirve como introducción de las restantes partes.
Ofrece una visión general de las otras partes y explica la relación entre la serie NTC 5415 y
el modelo de calidad de la serie NTC 5420. Esta parte de la norma define los términos
técnicos utilizados en las otras partes, contiene requisitos generales para la especificación y
evaluación de la calidad del software y clarifica los conceptos generales. Además, aporta un
marco para la evaluación de la calidad de todos los tipos de productos de software y
establece requisitos para métodos de medición y evaluación de los productos de software.
La norma está dirigida a ser usada por desarrolladores, compradores y evaluadores
independientes, en particular los responsables de la evaluación de los productos de
software. Los resultados de la evaluación producidos por la aplicación de la norma pueden
ser usados por gestores, desarrolladores y responsables de mantenimiento para medir la
conformidad con los requisitos y para realizar mejoras donde sea necesario. Los resultados
de la evaluación también pueden ser utilizados por analistas para establecer las relaciones
entre métricas internas y externas. El personal encargado de la mejora de los procesos
puede utilizar los resultados de la evaluación para determinar como se pueden mejorar los
90
procesos mediante el estudio y el examen de la información de la calidad de producto del
proyecto.
Conformidad. La especificación y evaluación del software está conforme con esta parte
de la NTC 5415 si utiliza el proceso descrito en el capítulo 6 y un modelo de calidad como
se requiere en el numeral 8.3. La conformidad con la totalidad de la NTC 5415 significa la
conformidad con todas las partes publicadas de la NTC 5415 que sean de aplicación.
Referencias normativas. Los siguientes documentos normativos referenciados son
indispensables para la aplicación de este documento normativo. Para referencias fechadas,
se aplica únicamente la edición citada. Para referencias no fechadas, se aplica la última
edición del documento normativo referenciado (incluida cualquier corrección).
NTC 4243:1997, Tecnología de la información. Proceso del ciclo de vida del software
(ISO/lEC 12207:1995). NTC 5420-1, Tecnología de la información. Calidad del producto
de software. Parte 1: Modelo de calidad. (ISO/IEC 9126-1). NTC-ISO 9000:2005, Sistemas
de gestión de la calidad. Fundamentos y vocabulario. ISO/IEC 2382-1:1993, Information
Technology. Vocabulary Part 1: Fundamental Terms. (ICONTEC, 2006)

91
4.4. Marco geográfico
4.4.1. Microlocalización
Figura No 21. Ubicación geográfica de la empresa Importronic S.A.
Fuente: Google maps
Descripción: En este mapa se visualiza la ubicación exacta de la empresa Pereira, Risaralda, Colombia.
La empresa Importadora Electrónica S.A lleva en el mercado de la electrónica aproximadamente 50 años,
importando y comercializando equipos y componentes electrónicos con los cuales ha cubierto importantes sectores
de la economía colombiana como la industria electrónica, el comercio electrónico al por menor y el sector educativo,
En la actualidad la empresa cuenta con 19 empleados vinculados directamente y 2 personas por prestación de
servicios.
Durante este trasegar, la empresa ha visto la necesidad de adoptar estándares de calidad que le permitan ser más
competitiva, garantizando la calidad en sus procesos internos y la satisfacción de sus clientes.
Es de importancia resaltar que la empresa Importadora Electrónica S.A es líder en el mercado de la electrónica a
nivel nacional y una de las pocas empresas del sector que cuenta con certificación de calidad ISO9001:2008, siendo
el desarrollo de este sistema de seguridad en la información un punto de partida para que las otras empresas del
sector lo implementen.
4.5. Macrolocalización Pereira.
El municipio de Pereira está localizado a cuatro grados 49 minutos de latitud norte, 75 grados
42 minutos de longitud y 1.411 metros sobre el nivel del mar en el centro de la región occidental
del territorio colombiano. Tiene una temperatura promedio de 21° C y un área de 702 Km2 Su
localización estratégica, dentro de la región cafetera, lo ubica en el panorama económico nacional
e internacional. Este potencial se fortalece con la integración a la red vial que une a los tres
92
centros urbanos más importantes del territorio nacional y con acceso a los medios marítimos y
aéreos con flujo internacional.
Limita al norte con el municipio de Dosquebradas, al sur con el departamento del Quindío, al
este con el departamento del Tolima y al oeste con el Valle del Cauca. Pereira cuenta con
recursos hídricos importantes, como los ríos Otún, Consota, Barbas y Cestillal. Un total de 8.7
metros cúbicos por segundo, son captados del río Otún, el 82% se destina para la generación de
energía. (Alcaldía de Pereira , 2016)
Figura No 22. Pereira, Capital del Eje
, Fuente, http://risaraldahoy.com/juan-pablo-gallo-declaro-a-pereira-como-capital-del-eje/
Descripción: Imagen del día que se declaro a Pereira, Capital del Eje fue establecido por el alcalde Juan Gallo Maya
como la imagen de ciudad que acompañará su administración. “Buscaremos con nuestra marca Pereira Capital del
Eje ser un referente de desarrollo, de progreso y competitividad a nivel nacional” explicó el.
4.6. Población Pereira.
Pereira tiene 488.839 habitantes, de las cuales 410.535 se encuentran en el área urbana y
78.304 en el área rural. Es la ciudad más poblada de la región del Eje cafetero, su área
93
metropolitana (AMCO - Área Metropolitana Centro de Occidente) comprende además los
municipios de La Virginia y Dosquebradas, sumando 687.041 habitantes. El departamento de
Risaralda, del cual Pereira es su capital, tiene 935.910 habitantes. (DANE, 2016)
4.7. Geografía Pereira
El suelo de Pereira se distribuye según sus climas así:
Clima cálido el 9.9 %, clima medio el 60.7 %, clima frio el 11.5%, páramo 17.7%, su
precipitación media anual es de 2.750 mm.
Esta característica climática y la conformación de los suelos, brinda también una variedad en
la cobertura vegetal y paisajística, potencializando el municipio de Pereira con una de las
biodiversidades más ricas de la nación. No obstante, la ciudad se presenta como zona de alta
vulnerabilidad sísmica por el tipo de suelos que la conforman y por las fallas geológicas que la
atraviesan. (Alcaldía de Pereira , 2016)
4.8. Demografía Pereira.
Las proyecciones de población del DANE, indican que el municipio de Pereira, acoge el
49,4% de la población del departamento de Risaralda, y el 0,99% de la nación. El grado de
urbanización de la población de esta entidad territorial, es del 84,2%, aunque solo el 4,5% de su
territorio es urbano. Este es el segundo municipio en el país, con la mayor extensión rural en
proporción a su territorio. (DANE, 2008)
4.9. Datos Macroeconómicos de Pereira.
La estructura empresarial se concentra en las actividades de servicios relacionados con
comercio, restaurantes y hoteles (70.8% del número de empresas registradas en la Cámara de
Comercio), finanzas y seguros (14,7%) y otros servicios (15%); en tanto las empresas de
industria manufacturera registradas ascienden al 8.3% del total de las empresas. Cabe resaltar
que el 94% de las empresas que desarrollan actividad económica en el municipio son de carácter
94
micro, mientras que solo el 0.3% se puede clasificar como gran empresa. (Direccion Nacional de
Planeacion, (DNP), 2016)
Los estudios sobre movimiento de carga en Colombia, Risaralda y el Eje Cafetero, indican que
estos no son significativos para Pereira, en términos de volúmenes de carga de origen o destino.
Sin embargo Risaralda es corredor de gran parte del volumen de mercancías que circulan entre el
occidente colombiano y la costa Caribe. De acuerdo con los estudios nacionales, se observan
potencialidades para el Eje Cafetero en áreas logísticas de consolidación de cargas regionales; no
obstante existen empresas ya establecidas en Pereira y Dosquebradas, que acopian materias
primas o productos, y luego los distribuyen a otras regiones colombianas, actuando como
verdaderos centros de logística. (Direccion Nacional de Planeacion, (DNP), 2016)
Los expertos de desarrollo local, señalan que en un horizonte de cinco años, sectores como la
industria, agroindustria, metalmecánica, unidos a la articulación de los sectores público y
privado, actuaran como variables impulsoras del desarrollo del municipio, con dos variables
externas fundamentales, los TLC y la zona franca. (MINTRABAJO, Republica de Colombia,
2016)
95
5. Diseño metodológico
5.1. Beneficios del aplicativo
La implementación de este modelo de evaluación de seguridad informática impactara de
manera positiva los procesos que estén implicados con todo el manejo de información en la
empresa Importronic S.A, entre los múltiples beneficios que se presentaran, se pueden
enumerar los siguientes:
 Una adecuada administración de la red interna.
 Concientización y buenas costumbres sobre el uso de los equipos de computo.
 La seguridad optima en el uso de claves y contraseñas.
 La buena manipulación y ejecución de correos electrónicos internos y externos
 Se optimizara la red, para la rapidez de información importante.
 Se podrá controlar el acceso inadecuado a la red wifi de la empresa, para administrar
de manera eficiente el ancho de banda.
 Se establecerá un administrador de red para evitar dependencia de otro usuario y
darle un mejor manejo a los equipos de computo.
 Así mismo se podrá controlar e identificar todos los puntos críticos que sigan
existiendo para darles la mejor solución y evitar riesgos a futuro.
 Controlar las configuraciones de los usuarios.
5.2. Limitaciones del aplicativo
 La evaluación solo se basa en los puntos más críticos, no es a nivel global

96
 La correcta implementación y seguimiento, depende del cambio de actitud y
concientización del personal de la empresa en cuanto a los beneficios de dicha
implementación, (se siente el rechazo al cambio).
 Es difícil aplicar una evaluación detallada, ya que la gerencia es reacia con su
información y toda su estructura organizativa.
 La seguridad informática es un proceso costoso que no genera una utilidad, y para la
gerencia es poco productivo este tipo de inversión.
 Se requiere de más tiempo para analizar y evaluar de manera eficiente y efectiva
todos los procesos de una empresa.
5.3. Etapas metodológicas
Etapa N.° 1. Realizar una evaluación preliminar que identifique los puntos críticos de los
procesos de hardware y software, en cuanto a información tramitada y funcionamiento de la red.
Etapa N.° 2 Diseñar una matriz de riesgos que pondere los puntos más críticos de
vulnerabilidad de todos los activos informáticos, la información y la red.
Etapa N.° 3. Clasificar los activos informáticos de la empresa, que permitan su más óptimo
funcionamiento y uso.
Etapa N.° 4. Desarrollar un aplicativo de evaluación Informático en la empresa Importronic
S.A., en la ciudad de Pereira, (Ris.), para el II semestre de año 2017.
Etapa N.° 5. Realizar pruebas piloto mediante simulacro que determinen el correcto
funcionamiento del aplicativo.

97
6. Desarrollo del aplicativo
Para iniciar el modelo de evaluación informática de la empresa Importronic S.A se detectaran
los puntos críticos, y se investigara como es el proceso de los activos informáticos, como es el
funcionamiento de la red y todos sus usuarios, accesos de internet(wifi) y después de recopilar
toda la informacion anterior se generara la matriz de riesgos para identificar los puntos más
críticos en los que la empresa está presentando fallas informáticas, fallas de red, equipos de
cómputo y todo lo relacionado con los activos informáticos que son los que presentan una
posible vulnerabilidad y pueden poner en riesgo la información que es lo más importante de la
empresa.
NOTA
TODAS Y CADA UNA DE LAS TABLAS DE LAS MATRICES REQUIEREN SU
DESCRIPCIÓN. QUE ES? CUAL ES SU OBJETIVO QUE RESULTADOS SE
OBTUVIERON, COMO, ES DECIR SE PUEDE HACER UNA DESCRIPCIÓN DE TODA LA
MATRIZ EN CUAL TABAL SE INTRODUCEN DATOS QUE HACE LA MATRIZ CON
ELLOS .
POR QUE ESTA EXPLICACIÓN DEBE SER TAMBIÉN EL MANUAL DEL
MODELO
LA MATRIZ DE SISTEMAS Y PERSONAL NO TIENE CALIFICACIÓN EN NINGUNO
DE SUS ÍTEM HORIZONTALES, POR QUE? SI NO SE NECESITAN EXPLICAR SU
RAZÓN , SI NO ES MEJOR QUITARLOS

Planes,
Datos e
(Proyectos,
Documentos
Información
Evaluaciones,
institucionales
Informes, etc.)
x
Confidencial, Privado, Sensitivo
Obligación por ley / Contrato / Convenio

Tabla 3. Matriz de riesgo: datos
Clasificación
Costo de recuperación (tiempo, económico,

6.1. Matriz de riesgos: datos
material, imagen, emocional)
[1 =
Daño:
2 = Bajo
1
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
1
1
Allanamiento (ilegal, legal)
1
1
Persecución (civil, fiscal, penal)
1
1
Orden de secuestro / Detención
3
3
Sabotaje (ataque físico y electrónico)
1
1
Daños por vandalismo
1
1
Extorsión
1
1
Fraude / Estafa
1
1
Robo / Hurto (físico)

Robo / Hurto de información
2
2
electrónica
Matriz de Análisis de Riesgo: datos
2
2
Intrusión a Red interna

4
4
Infiltración
Virus / Ejecución no autorizado de
4
4
programas
1
1
Actos originados por la criminalidad común y motivación política
Violación a derechos de autor

1
1
Incendio
2
2
Inundación / deslave
2
2
Sismo
4
4
Polvo
3
3
Falta de ventilación
4
4
Electromagnetismo
3
3
Sobrecarga eléctrica
Sucesos de origen físico
4
4
Falla de corriente (apagones)

98
3
3
Falla de sistema / Daño disco duro

etc.)
Datos e
RR.HH
Servicios
Finanzas
bancarios
Contactos
Productos
Información
Directorio de
institucionales
Folletos, Fotos,
(Investigaciones,
x
x
x
x
x

Clasificación

[1 =
Daño:
3
1
2
1
1
2 = Bajo
4 = Alto]
Continuación, Tabla 3. Matriz de riesgo: datos
3 = Mediano
Magnitud de
Insignificante
3
1
2
1
1
1
3
1
2
1
1
1
3
1
2
1
1
1
9
3
6
3
3
3 Sabotaje (ataque físico y electrónico)
3
1
2
1
1
1
3
1
2
1
1
1
Extorsión
3
1
2
1
1
1
Fraude / Estafa
3
1
2
1
1
1

2
6
2
4
2
2
Robo / Hurto de información electrónica

2
6
2
4
2
2

4
8
4
4
4
12
Infiltración
4
4
8
4
4

12
programas
1
3
1
2
1
1

3
1
2
1
1
Incendio
2
6
2
4
2
2
2
6
2
4
2
2
Sismo
4
4
8
4
4
12
Polvo
3
9
3
6
3
3
4
4
8
4
4
Electromagnetismo
12
3
9
3
6
3
3

4
8
4
4
12
3
9
3
6
3
3

99
Correo
Datos e
internos
externos
electrónico
Información
colaborativos
Bases de datos
Bases de datos
Bases de datos
x
x
x
x

Clasificación

[1 =
Daño:
2 = Bajo
1
1
1
2
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
1
1
1
2
1
1
1
1
2
1
1
1
1
2
1
3
3
3
6
3
1
1
1
2
1

1
1
1
2
1
Extorsión
1
1
1
2
1
Fraude / Estafa
1
1
1
2
1

2
2
2
4
2

2
2
2
4
2

4
4
4
8
4
Infiltración
4
4
4
8
4

programas
1
1
1
1
2

1
1
1
1
2
Incendio
2
2
2
4
2
2
2
2
4
2
Sismo
4
4
4
8
4
Polvo
3
3
3
6
3
4
4
4
8
4
Electromagnetismo
3
3
3
6
3
4
4
4
8
4

3
3
3
6
3
100

etc.)
etc.)
interna
Datos e
externa
(Planes,
(Planes,
(Intranet)
Respaldos
Informática
Página Web
Página Web
Información
Infraestructura
Documentación,
Documentación,
x
x
x
x
x
Clasificación

[1 =
Daño:
4
4
2
2
1
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
4
4
2
2
1
1
1
4
4
2
2
1 Persecución (civil, fiscal, penal)
1
4
4
2
2
1
2
1
2
1
6
6
3
3
4
4
2
2
1
1
4
4
2
2
1
1
Extorsión
4
4
2
2
1
1
Fraude / Estafa
4
4
2
2
1
1
8
8
4
4
2
2

8
8
4
4
2
2

8
8
4
4
16
16
Infiltración
8
8
4
4
16
16
programas
4
4
2
2
1
1

4
4
2
2
1
1
Incendio
8
8
4
4
2
2
8
8
4
4
2
2
Sismo
6
1
6
1
8
8
4
4
Polvo
6
6
3
3
12
12
8
8
4
4
16
16
Electromagnetismo
6
6
3
3
12
12
6
1
6
1
8
8
4
4

2
1
2
1
6
6
3
3
101

102
Actos originados por la criminalidad común y motivación
Clasificación Sucesos de origen físico
política






Electromagnetismo
Magnitud de
Fraude / Estafa
Daño:
Infiltración
programas
Extorsión
Incendio
[1 =
Sismo
Polvo
Datos e
Insignificante
Información
2 = Bajo
3 = Mediano
4 = Alto]
1 1 1 3 1 1 1 1 2 2 4 4 1 1 2 2 4 3 4 3 4 3
Base de datos
x 1 1 1 1 3 1 1 1 1 2 2 4 4 1 1 2 2 4 3 4 3 4 3
de Contraseñas
Datos e
información no x 1 1 1 1 3 1 1 1 1 2 2 4 4 1 1 2 2 4 3 4 3 4 3
institucionales
Navegación en
x 4 4 4 4 12 4 4 4 4 8 8 16 16 4 4 8 8 16 12 16 12 16 12
Internet
Chat interno x 1 1 1 1 3 1 1 1 1 2 2 4 4 1 1 2 2 4 3 4 3 4 3
Chat externo x 3 3 3 3 9 3 3 3 3 6 6 12 12 3 3 6 6 12 9 12 9 12 9
Llamadas
telefónicas x 1 1 1 1 3 1 1 1 1 2 2 4 4 1 1 2 2 4 3 4 3 4 3
internas
Llamadas
telefónicas x 2 2 2 2 6 2 2 2 2 4 4 8 8 2 2 4 4 8 6 8 6 8 6
externas
Fuente: autor
Planes,
Datos e
Finanzas
(Proyectos,
Fuente: autor
Documentos
Información
Evaluaciones,
institucionales
Informes, etc.)
x
x

Clasificación

[1 =
Daño:
Continuación Tabla 4. Matriz de riesgos: datos
1
1
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
Falta de inducción, capacitación y
4
4
4 sensibilización sobre riesgos
Mal manejo de sistemas y
2
2
2
herramientas
institucionales
Utilización de programas no
3
3
3
autorizados / software 'pirateado'

Falta de pruebas de software nuevo
1
1
1
con datos productivos
1
1
1
Perdida de datos
Infección de sistemas a través de

3
3
3
unidades portables sin escaneo

Manejo inadecuado de datos críticos
1
1
1
(codificar, borrar, etc.)

Unidades portables con información
1
1
1
sin cifrado
Transmisión no cifrada de datos
1
1
1
críticos
Manejo inadecuado de contraseñas

4
4
4
(inseguras, no cambiar, compartidas,

BD centralizada)
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones
Compartir contraseñas o permisos a

4
4
4
terceros no autorizados
Transmisión de contraseñas por
3
3
3
teléfono
103
Datos e
RR.HH
Finanzas
Servicios
Servicios
bancarios
bancarios
Información
x
x
x
x
Clasificación

[1 =
Continuación Tabla 4. Matriz de Riesgo: datos
Daño:
2
1
1
1
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
8
4
4
4
4
sensibilización sobre riesgos
4
2
2
2
2
herramientas
institucionales
6
3
3
3
3

2
1
1
1
1

2
1
1
1
1
Perdida de datos
6
3
3
3
3

2
1
1
1
1

2
1
1
1
1
sin cifrado
2
1
1
1
1
críticos

8
4
4
4
4

BD centralizada)

8
4
4
4
4
6
3
3
3
3
teléfono
104
etc.)
Correo
Datos e
Contactos
Productos
electrónico
Información
Directorio de
institucionales
Folletos, Fotos,
(Investigaciones,
x
x
x

Clasificación
Costo de recuperación (tiempo,

económico, material, imagen, emocional)
[1 =
Daño:
2
3
1
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
8
4
4
12
4
6
2
2
herramientas
institucionales
6
9
3
3

2
3
1
1

2
3
1
1
Perdida de datos
6
9
3
3

2
3
1
1

2
3
1
1
sin cifrado
2
3
1
1
críticos

8
4
4
12

BD centralizada)

8
4
4
12
6
9
3
3
teléfono
105
interna
Datos e
internos
externos
(Intranet)
Página Web
Información
colaborativos
Bases de datos
Bases de datos
Bases de datos
x
x
x
x

Clasificación

[1 =
Daño:
1
1
1
1
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
4
4
4
4
4
2
2
2
2
2
institucionales
herramientas
3
3
3
3
3
1
1
1
1
1

1
1
1
1
1
Perdida de datos

3
3
3
3
3

1
1
1
1
1

1
1
1
1
1
sin cifrado

1
1
1
1
1
críticos

4
4
4
4
4

BD centralizada)

4
4
4
4
4
106
etc.)
etc.)
Datos e
externa
(Planes,
(Planes,
Respaldos
Informática
Página Web
Información
Infraestructura
Documentación,
Documentación,
x
x
x
x
Clasificación

[1 =
Daño:
4
4
2
2
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
8
8
4
16
16
8
8
4
4
2
institucionales
herramientas
6
6
3
12
12

4
4
2
2
1

4
4
2
2
1
Perdida de datos

6
6
3
12
12

4
4
2
2
1

4
4
2
2
1
sin cifrado

4
4
2
2
1
críticos

8
8
4
16
16

BD centralizada)

8
8
4
16
16
107
Datos e
Datos e
Internet
internas
externas
Llamadas
Llamadas
telefónicas
telefónicas
Información
Contraseñas
Chat interno
Chat externo
institucionales
Navegación en
información no
Base de datos de
x
x
x
x
x
x
x
Clasificación

[1 =
Daño:
2
1
3
1
4
1
1
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
8
4
4
4
4
4
12
16
4
2
6
2
8
2
2
2
institucionales
herramientas
6
3
9
3
3
3
3
12
2
1
3
1
4
1
1
1
2
1
3
1
4
1
1
1
Perdida de datos

6
3
9
3
3
3
3
12

2
1
3
1
4
1
1
1

2
1
3
1
4
1
1
1
sin cifrado

2
1
3
1
4
1
1
1
críticos

8
4
4
4
4
4
12
16

BD centralizada)

8
4
4
4
4
4
12
16
108
Planes,
Datos e
RR.HH
Servicios
Finanzas
bancarios
Contactos
Productos
Fotos, etc.)
(Proyectos,
es, Folletos,
Documentos
Información
Directorio de
Evaluaciones,
(Investigacion
institucionales
institucionales
Informes, etc.)
x
x
x
x
x
x
Clasificación

[1 =
Daño:
3
1
2
1
1
1
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
9
3
6
3
3
3
3
Transmisión de contraseñas por teléfono
Exposición o extravío de equipo, unidades
3
1
2
1
1
1
1
de almacenamiento, etc
3
1
2
1
1
1
1
Sobrepasar autoridades
Falta de definición de perfil, privilegios y
9
3
6
3
3
3
3
restricciones del personal
Falta de mantenimiento físico (proceso,
6
2
4
2
2
2
2
repuestos e insumos)
Falta de actualización de software

3
1
2
1
1
1
1
(proceso y recursos)
Fallas en permisos de usuarios (acceso a

6
2
4
2
2
2
2
archivos)
Acceso electrónico no autorizado a

3
1
2
1
1
1
1
sistemas externos
6
2
4
2
2
2
2
sistemas internos
Red cableada expuesta para el acceso no
6
2
4
2
2
2
2
autorizado
Red inalámbrica expuesta al acceso no
6
2
4
2
2
2
2
autorizado
9
3
6
3
3
3
3
Dependencia a servicio técnico externo

Falta de normas y reglas claras (no
4
8
4
4
4
4
12
institucionalizar el estudio de los riesgos)

Falta de mecanismos de verificación de
4
8
4
4
4
4
12
normas y reglas / Análisis inadecuado de

datos de control
4
8
4
4
4
4
12
Ausencia de documentación
109
Correo
interna
Datos e
externa
internos
externos
(Intranet)
Respaldos
electrónico
Página Web
Página Web
Información
colaborativos
Bases de datos
Bases de datos
Bases de datos
x
x
x
x
x
x

Clasificación
x
[1 =
Daño:
2
2
1
1
1
1
2
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
6
6
3
3
3
3
6
3
Transmisión de contraseñas por teléfono
Exposición o extravío de equipo, unidades
2
2
1
1
1
1
2
1
de almacenamiento, etc
2
2
1
1
1
1
2
1
Falta de definición de perfil, privilegios y
6
6
3
3
3
3
6
3
restricciones del personal
4
4
2
2
2
2
4
2

2
2
1
1
1
1
2
1

4
4
2
2
2
2
4
2
archivos)

2
2
1
1
1
1
2
1
sistemas externos
4
4
2
2
2
2
4
2
sistemas internos
4
4
2
2
2
2
4
2
autorizado
4
4
2
2
2
2
4
2
autorizado
6
6
3
3
3
3
6
3

8
8
4
4
4
4
8
4
institucionalizar el estudio de los riesgos)

8
8
4
4
4
4
8
4
normas y reglas / Análisis inadecuado de

datos de control
8
8
4
4
4
4
8
4
110
internas
externas
Informática
Contraseñas
Chat interno
Chat externo
Base datos de
Fuente. Autor.
institucionales
Infraestructura
Datos e Información
Llamadas telefónicas
Llamadas telefónicas
Datos información no
Navegación en Internet
x
x
x
x
x
x
x
x
x
Clasificación

[1 =
Daño:
2
1
3
1
4
1
1
4
4
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante
6
3
9
3
3
3
3
12
12
12
teléfono
Exposición o extravío de equipo,
2
1
3
1
4
1
1
4
4
1
unidades de almacenamiento, etc
2
1
3
1
4
1
1
4
4
1
Falta de definición de perfil, privilegios
6
3
9
3
3
3
3
12
12
12
y restricciones del personal

4
2
6
2
8
2
2
8
8
2

2
1
3
1
4
1
1
4
4
1
Descripción. Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]


4
2
6
2
8
2
2
8
8
2
archivos)

2
1
3
1
4
1
1
4
4
1
sistemas externos
4
2
6
2
8
2
2
8
8
2
sistemas internos
4
2
6
2
8
2
2
8
8
2
autorizado
4
2
6
2
8
2
2
8
8
2
autorizado
6
3
9
3
3
3
3
12
12
12

8
4
4
4
4
4
12
16
16
16
institucionalizar el estudio de los

riesgos)
8
4
4
4
4
4
12
16
16
16
normas y reglas / Análisis inadecuado

de datos de control
8
4
4
4
4
4
12
16
16
16
111
Portátiles
Servidores
Cortafuego
switch, etc.)
Computadoras
punto de acceso, etc.)
Sistemas e Infraestructura
Tabla 4. Matriz de riesgo de sistemas
Equipos de la red cableada (router,

6.2. Matriz de riesgo de sistemas
Equipos de la red inalámbrica (router,

Acceso exclusivo
Acceso ilimitado
Clasificación

[1 =
Daño:
2 = Bajo
4 = Alto]
3 = Mediano
Magnitud de
Insignificante

1

1

3

1

1
Extorsión
1
Fraude / Estafa
1

2

electrónica
2

4
Infiltración

4
programas
1

112
113
Continuación Tabla 4. Matriz de riesgo de sistemas
Clasificación Actos originados por la criminalidad común y motivación política




Magnitud de
Fraude / Estafa
Acceso exclusivo
Acceso ilimitado
Daño:
Infiltración
programas
electrónica
Extorsión
[1 =
Sistemas e Infraestructura Insignificante
2 = Bajo
3 = Mediano
4 = Alto]
1 1 1 3 1 1 1 1 2 2 4 4 1
Programas de administración
(contabilidad, manejo de personal, etc.)
Programas de manejo de proyectos
Programas de producción de datos
Programas de comunicación (correo
electrónico, chat, llamadas telefónicas,
etc.)
Impresoras
Memorias portátiles
PBX (Sistema de telefonía convencional)
Celulares
Edificio (Oficinas, Recepción, Sala de
espera, Sala de reunión, Bodega, etc.)
Vehículos
Fuente. Autor
Descripción. Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
114
6.3. Matriz de riesgo de personal
Tabla 5. Matriz de riesgo de personal
Clasificación Actos originados por la criminalidad común y motivación política

Perfil medio, experto en su área

Imagen pública de alto perfil,
funcionamiento institucional
autorizado de programas
Perfil bajo, no indispensable
Persecución (civil, fiscal,
Sabotaje (ataque físico y
Violación a derechos de

Orden de secuestro /
Virus / Ejecución no
Magnitud de
para funcionamiento
indispensable para
Fraude / Estafa
Daño:
electrónico)
Infiltración
electrónica
Detención
Extorsión
institucional
[1 =
penal)
autor
Personal Insignificante
2 = Bajo
3 = Mediano
4 = Alto]
1 1 1 3 1 1 1 1 2 2 4 4 1
Junta Directiva
Dirección / Coordinación
Administración
Personal técnico
Recepción
Piloto / conductor
Informática / Soporte técnico
interno
Soporte técnico externo
Servicio de limpieza de planta
Servicio de limpieza externo
Servicio de mensajería de
propio
Servicio de mensajería de
externo
Fuente: autor
115
Continuación Tabla 5. Matriz de riesgo de personal
Clasificación Sucesos de origen físico
Perfil bajo, no indispensable para

Perfil medio, experto en su área
Falla de sistema / Daño disco

Imagen pública de alto perfil,
Electromagnetismo
Magnitud de
indispensable para
Daño:
Incendio
Sismo
Polvo
[1 = Insignificante
duro
Personal
2 = Bajo
3 = Mediano
4 = Alto]
1 2 2 4 3 4 3 4 3
Junta Directiva
Dirección / Coordinación
Administración
Personal técnico
Recepción
Piloto / conductor
Informática / Soporte técnico interno
Soporte técnico externo
Servicio de limpieza de planta
Servicio de limpieza externo
Servicio de mensajería de propio
Servicio de mensajería de externo
Fuente: autor
116
6.4. Análisis de riesgos, promedios de la probabilidad de amenazas
Tabla 6 Análisis de riesgos, promedios de la probabilidad de amenazas
Probabilidad de Amenaza
Criminalidad 0 Negligencia
y Político y
Institucional
Datos e 3,1 4,7 4,0

información
Magnitud Sistemas e 0,1 0,2 0,1

de Daño infraestructura
Personal 0,2 0,2 0,2

Fuente: autor
Descripción.
6.5. Factores de riesgo
Análisis de Factores de Riesgo

Figura No 23. Análisis de factores de riesgo
Criminalidad y Político / Datos e

Información
Criminalidad y Político / Sistemas e
Infraestructura
Criminalidad y Político / Personal
Magnitud de Daño
Sucesos de origen físico / Datos e

Información
Sucesos de origen físico / Sistemas e
Infraestructura
Sucesos de origen físico / Personal
Negligencia y Institucional / Datos e

Información
Negligencia y Institucional / Sistemas e
Infraestructura
Negligencia y Institucional / Personal
Umbral Medio Riesgo
Umbral Alto Riesgo
Probalidad de Amenaza
Fuente: autor
Descripción.
117
6.5.1. Inventario de Activos Informáticos
Para obtener y recopilar información del hardware y software de la empresa Importronic
S.A. , se realizara un inventario de todos los activos informáticos para poder identificar uno
a uno su funcionamiento y las posibles brechas de seguridad que puedan tener cada uno de
ellos.
Tabla 7. Activos Informáticos
Activos Informáticos Cantidad

Servidores Windows server 2
Switch TP-LINK 48 Puertos 1
Router TP-LINK 4
Equipos de Computo 8
Portátiles 3
Impresoras 2
Fuente: autor
Descripción.
6.5.2. Lista de chequeo (Sistema Operativo Windows Server 2012)
Se realizara una lista de chequeo para identificar y determinar cómo es el acceso y
manejo de los usuarios en los equipos de cómputo en cuanto al sistema operativo de la
empresa Importronic S.A., el objetivo del sistema operativo Windows es:
 Computadoras
 Se les realiza seguimiento a través de la red
 Necesitan dos cosas para acceder a un dominio
 Una cuenta de usuario y una contraseña
 Un objeto del tipo computador que sea registrados por el servidor
 Nombre, localización y propiedades del computador quedan registrados
 Especifica quien está autorizado a utilizar este computador

118
 Directiva de grupo GPO
 Permiten controlar y configurar las opciones del SO conectados a un dominio
 Consisten en configuración de computador o de usuarios
 Son implementados al momento de inicio y apagado del computador
 Uno de los beneficios es controlar las configuraciones de los usuarios

119
Tabla 8. Lista de Chequeo SO (Windows Server2012)
Criterios de Evaluación
Proceso: Sistemas operativos
Tema No. Criterio a evaluar de la prueba Aplica No
Aplica
1 Crea un esquema de división en subredes que cumplan
con la cantidad requerida de subredes y direcciones de
host
2 Asigna una dirección IP, una máscara de subred y un
Diseño de direccionamiento
Gateway predeterminado a las Pc
con ipv4
3 Configurar las interfaces Ethernet del router con una
dirección IP y una máscara de subred
4 Crea una interface loopback en el router con una
dirección IP y una máscara de subred
VLSM Máscara variable o 5 Diseña el esquema de direcciones utilizando VLSM
máscara de subred de
longitud variable 6 Cablea y configura la red IPv4
7 Crea redes VLAN y asignar puertos de Switch
VLANs
8 En ruta tráfico entre VLANs
OSPF v2 Protocolo de Red 9 Configura el routing OSPFv2
10 Configura instrucciones de NAT estática
NAT
11 Configura las interfaces internas y externas adecuadas
DHCP relay Protocolo 12 Configura un servidor de DHCPv4 y un agente de
Cliente-servidor retransmisión DHCP
13 Configura el protocolo de enlaces troncales (VTP) en
los Switches
VTP
14 Crea las VLAN en el servidor VTP y distribuye la
información de estas VLAN a los Switches en la red
15 Configura la seguridad de puerto Port Security en un
Port Security
puerto de acceso de los Switch
DHCP Snooping 16 Configura DHCP Snooping en los Switch
SSID 17 Establece el nombre de la red (SSID) en el AP Linksys
Wpa2 18 Establece el modo de seguridad wpa2 en el APLinksys
19 Configura las opciones de filtrado MAC en al
Filtrado Mac
APLinksys
Fuente: Autor
Descripción.
6.5.3. Análisis de los puntos críticos
Después de realizar la matriz de riesgos y obtener los resultados correspondientes
analizaremos los puntos críticos de cada proceso para generar los controles adecuados y evitar
que los puntos críticos se materialicen y puedan causar posibles daños informáticos (Hardware,
Software).
120
6.5.4. Procesos evaluados: datos e información, sistemas e infraestructura, personal
Puntos críticos encontrados después de crear y cuantificar la matriz de riesgos:
 Infiltración
 Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD
centralizada)
 Transmisión de contraseñas por teléfono
 Virus / Ejecución no autorizado de programas
 Sabotaje (ataque físico y electrónico)
 Falta de inducción, capacitación y sensibilización sobre riesgos
 Mal manejo de sistemas y herramientas
 Utilización de programas no autorizados / software 'pirateado'
 Infección de sistemas a través de unidades portables sin escaneo
 Falta de definición de perfil, privilegios y restricciones del personal
 Falta de mantenimiento físico (proceso, repuestos e insumos)
 Acceso electrónico no autorizado a sistemas externos
 Red cableada expuesta para el acceso no autorizado
 Dependencia a servicio técnico externo
 Falta de Firewall
 Acceso ilimitado a páginas web, wifi, y redes sociales
 La administración de la red y activos informáticos dependen de una sola persona
 Cableado de red no estructurado

121
6.5.5. Objetivos de control
Ahora se definirán los objetivos de control adecuados, que se deberán determinar para evitar
los riegos nombrados anteriormente. Para ello debemos tener en cuenta que el “Hardware son
carreteras para el ataque, en la mayoría de las veces el acceso físico es requerido, y finalmente
estos ataques pueden realizarse por medio de la red”.

122
7. Recursos
7.1. Recursos materiales.
 Computador
 Útiles y papelería
7.2. Institucionales.
 UNIREMIGTON CAT, Pereira.
 Importronic S.A. Empresa importadora de repuestos electrónicos, situada en la carrera

14 # 104 – 89, sector Belmonte, que permitió la realización del trabajo en sus
instalaciones.
7.3. Financieros.
Tabla 9. Presupuesto
Descripción Valor
Transporte(taxi, servicio urbano, moto) $ 600.000
Valor del diplomado $ 1.100.000
Fotocopias e impresión $ 10.000
Horas uso equipo de computo $ 30.740
Otros $ 100.000
Total $ 1.840.740
Fuente: autor
Descripción.
123
Cronograma
Tabla 10. Cronograma de trabajo de seminario

Cronograma de trabajos de grado y productos de diplomados ii semestre año 2017
No Actividad Junio Julio Agosto Septiembre Octubre Noviembre
. S3 S4 S1 S2 S3 S4 S1 S2 S3 S4 S5 S1 S2 S3 S S S S S S S S S
4 1 2 3 4 1 2 3 4
1 Desarrollo Diplomados.
2 Entrega metodológica I (Entregar
hasta los objetivos).
3 Entrega temática I
4 Entrega metodológica II (Entregar
hasta Marco Metodológico).
5 Entrega temática II
6 Solicitud formato para inscribir
aplicativo en coordinación académica
7 Aprobación Metodológica (Revisión

III antiplagio).
8 Aprobación temática y financiera.
9 Entrega de formato de inscripción
debidamente firmado por los asesores,
y envío de documento final al correo
carlos@funec.org
10 Sustentación producto para optar el
título.
Fuente. FUNEC, CAT, Pereira
Descripción. La tabla se encuentra segmentada por mes y semanas
Nota: Los estudiantes aspirantes a grados de Abril de 2018 deben estar al día académica y financieramente al 15 de Diciembre de 2017.
El tiempo para exponer son 20 minutos, y los jurados tendrán 10 minutos de preguntas.
El correo para enviar los borradores del proyecto y el proyecto final es: carlos@funec.org
Deberán solicitar formato en dirección académica para inscripción y solicitud de fecha de sustentación
124
8. Conclusiones
La
125
9. Recomendaciones
126
10. Referencias bibliográficas
Glosario de Seguridad 101. (2017). Symantec Corporation. Recuperado de la base de datos
de: https://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad
Bibliografía
Ley 44 1993. Inscripción del Soporte Lógico (software) en el Registro Nacional del
Derecho de Autor. (5 de Febrero de 1993). Secretaría General de la Alcaldía Mayor de Bogotá
D.C. Recuperado el 20 de Enero de 2017, de Ley 44 de 1993, Congreso de Colombia:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=3429
B-One Informatics. (s.d. de s.m. de 2015). La Triada CID. Recuperado el 28 de Septiembre de
2017, de Seguridad informática.: http://copro.com.ar/Activo_(seguridad_informatica).html
Ley 23, Derecho de Autor. (28 de Enero de 1982). Congreso de Colombia. Recuperado el 19 de
Marzo de 2017, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=3431
Alcaldía de Pereira. (12 de Diciembre de 2016). Información del Municipio, Alcaldía de
Pereira / Mi Municipio /. Recuperado el 20 de Enero de 2017, de
http://www.pereira.gov.co/MiMunicipio/Paginas/Informacion-del-Municipio.aspx
Alegsa, L. (06 de 07 de 2016). Alegsa.com.ar. Recuperado el 24 de Julio de 2017, de
http://www.alegsa.com.ar/Dic/integridad_de_datos.php
Alegsa, L. (12 de julio de 2016). ALEGSA.COM.AR. Recuperado el 23 de julio de 2017, de
http://www.alegsa.com.ar/Dic/ansi.php
Alfonso, A. (28 de junio de 2012). Seguridad de la información y riesgo tecnológico. Recuperado
el 24 de 07 de 2017, de http://zonaasegurada.blogspot.com.co/2012/06/que-es-el-triangulo-
cia.html
127
Cisco. (28 de enero de 2013). CISCO. Recuperado el 22 de julio de 2017, de
https://search.cisco.com/search?query=FECHA%20DE%20PUBLCACION&locale=enUS&cat=
&mode=text&clktyp=enter&autosuggest=false
DANE. (30 de Agosto de 2016). Área metropolitana de Centro Occidente, Proyección DANE
2012, Censo 2005. Recuperado el 30 de Enero de 2017, de www.dane.gov.co, proyecciones de
población municipal a 2016:
DANE. (s.d. de Marzo de 2008). Proyecciones municipales. Metodología 2006-2020.
Recuperado el 30 de Enero de 2017, de Proyección DANE 2012, Censo 2005:
https://www.dane.gov.co/files/investigaciones/poblacion/proyepobla06_20/MProyeccionesMunic
ipalesedadsexo.pdf
Decreto 1360. Se reglamenta la inscripción del soporte lógico (software) . (23 de Junio de
1989). Congreso de Colombia. Recuperado el 19 de Marzo de 2017, de
Duque Escobar Gonzalo, Universidad Nacional. (18 de Junio de 2007). digital@unal.edu.co.
Obtenido de http://www.bdigital.unal.edu.co/1567/
Enciclopedia, c. (25 de febrero de 2013). Enciclopedia culturalia. Recuperado el 23 de julio de
2017, de https://edukavital.blogspot.com.co/2013/02/confidencialidad.html
Find The Company. (2015). Importadora Electrónica S.A. Recuperado el 26 de Agosto de 2016,
de http://fichas.findthecompany.com.mx/l/130476473/Importadora-Electronica-S-A-en-Pereira
Gerencie. (12 de Junio de 2010). Balance inicia. Recuperado el 16 de Enero de 2017, de
https://www.gerencie.com/balance-inicial.html
Elegant Themes Germán. (9 de Julio de 2015). Empresa, Estrategia, Innovación Seguridad y el
Cubo de McCumber . ( 2017. S.m. , s.d.)Obtenido de https://www.germanbacca.com/seguridad-
y-el-cubo-de-mccumber/.
128
Graciela, T. D. (s.d. de s.m. de 2014). Gestión del riesgo en seguridad de la información.
Recuperado el 28 de Septiembre de 2017, de Universidad de la Salle:
Group, T. P. (s.d. de s.m. de 2017). ¿Qué es PHP? Recuperado el 28 de Abril de 2017, de
http://php.net/manual/es/intro-whatis.php
Hernández, H. E. (2003). Auditoría en Informática. México: Mcgraw-Hill.
Hosting Peru. (24 de 07 de 2017). HOSTINGPERU. Recuperado el 22 de JULIO de 2017, de
http://clientes.hostingperu.com.pe/knowledgebase/234/1-Que-es-un-Badware-o-Malware.html
ICONTEC. (28 de Junio de 2006). Tienda ICONTEC. Recuperado el 28 de Septiembre de 2017,
de Norma técnica NTC colombiana: 5415-1: https://tienda.icontec.org/wp-
content/uploads/pdfs/NTC5415-1.pdf
Instituto SANS. (12 de Noviembre de 2010). Instituto de Redes y Seguridad. Para la prevalencia
de debilidad y sus consecuencias. Recuperado el 28 de Septiembre de 2017, de
. Sysadmin Audit,
Jojooa. (22 de 11 de 2012). UniversoJus.com. Recuperado el 24 de 07 de 2017, de
https://sites.google.com/site/jojooa/informatica-tecnologia/definicion-de-tcp-que-es-tcp
Kosutic, D. norma ISO 27001. (25 de 03 de 2017). 27001Academy. Recuperado el 08 de 08 de
2017, de https://advisera.com/27001academy/es/que-es-iso-27001/
Laudon y Laudon, C. e. (s.d. de s.m. de 2014). Concepto de seguridad de la informació.
Recuperado el 28 de Septiembre de 2017, de Universidad de la Salle facultad de Ciencias
Económicas y Sociales:
http://repository.lasalle.edu.co/bitstream/handle/10185/18057/t33.14%20t789g.pdf?sequence=1
129
Ley 23 de 1982. Adición a los derechos de autor. (28 de Enero de 1982). Secretaría General de
la Alcaldía Mayor de Bogotá D.C. Recuperado el 20 de Enero de 2017, de Congreso de
Colombia, Ley 23 de 1982: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=3431
Ley 44. (5 de Febrero de 1993). Congreso de Colombia. Recuperado el 5 de Marzo de 2017, de
http://www.derechodeautor.gov.co/documents/10181/182597/44.pdf/7875d74e-b3ef-4a8a-8661-
704823b871b5
Ley 603. (31 de Julio de 2000). Modifica el artículo 47 de la Ley 222 de 1.995. Cumplimiento
de las normas sobre derechos de autor. Congreso de Colombia. Recuperado el 19 de Marzo de
2017, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=3429
Ley estatutaria 1581. Conocer, actualizar y rectificar las informaciones que se hayan
recogido sobre ellas en bases de datos o archivos, (18 de Octubre de 2012). Congreso de
Colombia. Recuperado el 19 de Marzo de 2017, de
López, M. (02 de 10 de 2011). UNOCERO. Recuperado el 21 de 06 de 2017, de Una nueva
teoría sobre la seguridad informática: https://www.unocero.com/2011/10/02/una-nueva-teoria-
sobre-la-seguridad-basada-en-la-oscuridad/
Manuel, L. M. (2 de Octubre de 2011). UNOCERO. Recuperado el 24 de Septiembre de 2017,
de Seguridad informática: https://www.unocero.com/noticias/ciencia/una-nueva-teoria-sobre-la-
seguridad-basada-en-la-oscuridad/
McCumbe, J. (15 de Junio de 2004). Modelo de seguridad de información de Mc Cumber
McCumber cubo. Recuperado el Septiembre de 2017, de Evaluación y gestión de riesgos de
seguridad en sistemas informáticos: una metodología estructurada:
http://copro.com.ar/McCumber_cubo.html.
130
Medina, C. (s.d. de s.m. de 2014). Revista Gerencie. Recuperado el 15 de Enero de 2017, de
http://www.degerencia.com/articulos.php?artid=322
Mexico, U. (22 de 05 de 2015). Universidad Nacional UNAM. Obtenido de
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/DefinicionPolitica.php
Mininterior. (16 de 10 de 2016). Direccion Nacional de Derecho de Autor. Recuperado el 19 de
08 de 2017, de http://derechodeautor.gov.co/decretos
Mintic. (06 de 07 de 2017). Mintic. Recuperado el 07 de 08 de 2017, de
http://www.mintic.gov.co/portal/604/w3-propertyvalue-6082.html
Mintic. (21 de 07 de 2017). Mintic. Recuperado el 07 de 08 de 2017, de
http://www.mintic.gov.co/portal/604/w3-propertyvalue-6077.html
MINTRABAJO, República de Colombia. (s.d. de s.m. de 2016). Perfil Productivo Rural y
Urbano del Municipio de Pereira. . Recuperado el 30 de Enero de 2017, de
file:///C:/Users/Pc/Downloads/perfil_productivo_pereira.pdf
MINTRASPORTE. (2017). Sistema de Información de Costos Eficientes para el Transporte
Automotor de Carga SICE-TAC. Bogota D.E.: MINTRASPORTE.
Norma ISO/IEC 27001. (s.d. de s.m. de 2005). Organización Internacional de Estandarización.
Recuperado el 28 de Septiembre de 2017, de Tecnología de la Información – Técnicas de
seguridad – Sistemas de gestión de seguridad de la información – Requerimientos.:
Ortiz, M. L. (s.d. de s.m. de 2017). Recuperado el 06 de Abril de 2017, de
http://migueleonardortiz.com.ar/mysql/que-es-mysql-y-como-funciona/994
Pavlovic, D. (16 de Septiembre de 2012). Cornell University Library. Recuperado el 24 de
Septiembre de 2017, de Gaming security by obscurity: https://arxiv.org/abs/1109.5542v1.

131
Press, O. U. (s.d. de s.m. de 2017). Diccionario Oxford. Recuperado el 15 de Enero de 2017, de
https://es.oxforddictionaries.com/definicion/software
Protejete Wordpress. (27 de Septiembre de 2011). Gestión de Riesgo en la Seguridad
Informática. Recuperado el 28 de Septiembre de 2017, de https://protejete.wordpress.com
Spafford, G. (2013). Manual de seguridad en redes. Recuperado el 28 de Septiembre de 2017, de
http://www.arcert.gov.ar
Universidad Internacional de Valencia. (10 de Octubre de 2016). Tecnología. Recuperado el
24 de Septiembre de 2017, de http://www.viu.es/tres-tipos-seguridad-informatica-debes-conocer/.
Universidad Autónoma del estado de Hidalgo. (s.d. de Julio de 2011). Informática.
Recuperado el 28 de Septiembre de 2017, de
https://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica
/auditoria_informatica.pdf
Valencia, U. (09 de 09 de 2016). VIU. Obtenido de http://www.viu.es/la-seguridad-informatica-
puede-ayudarme/
Valeriano, M. (11 de 10 de 2013). SlideShare. Obtenido de https://es.slideshare.net/meztli9/16-
activos-inf
Vásquez, B. (14 de 08 de 2010). Tecnologia e Informatica. Recuperado el 24 de 07 de 2017, de
https://solvasquez.wordpress.com/2009/11/06/virus-informaticos/
Venemedia. (05 de 08 de 2014). Conceptodefinicion.de. Recuperado el 24 de 07 de 2017, de
http://conceptodefinicion.de/criptografia/
Vidalina, D. F. (s.d. de s.m. de 2014). Recuperado el 28 de Septiembre de 2017, de Políticas de
Seguridad:
132
11. Anexos
133
Anexo A. CD con memorias del proyecto final
134
Anexo B. Hallazgos
Para identificar los puntos críticos de la empresa Importronic S.A. se realizó una entrevista
verbal con el Sr John Fredy Arredondo Pulgarin Asesor comercial, que es la única persona
conocedora y encargada del funcionamiento de la red, usuarios, claves, administrador de los
servidores y de cualquier falla que tengan los activos informáticos de la empresa.
Con esta entrevista se conocieron las vulnerabilidades de los activos informáticos que posee la
empresa Importronic S.A. y esto ayudo a generar la matriz de riesgos para poder establecer los
controles adecuados e implantar las políticas de seguridad que ayudaran a mejorar la calidad y la
seguridad informática de la empresa para evitar riesgos y ataques cibernéticos que puedan poner
en peligro la información y el funcionamiento de todos los procesos de la empresa.
Para efectuar el control adecuado se hicieron pruebas fotográficas para detallar más a fondo
todos los riesgos que tiene la empresa en cuanto al manejo de la red.

135
Figura No 24. Hallazgos de puntos críticos
Cableado cuarto de Servidores UPS

comunicaciones
Descripción: En esta imagen se Descripción: La empresa maneja Descripción: Esta es la UPS que
puede observar lo mal distribuido del dos servidores que tienen sistema evita el riesgo de pérdida de
cableado y el riesgo que está operativo Windows Server 2012, información al momento de
ocurriendo por no realizar un para almacenar la información y ejecución en caso de fallas eléctricas.
cableado estructurado. bases de datos de la empresa
Importronic S.A.
Equipo de cómputo y servidores Rack Cableado del Rack
Descripción: con este equipo se Descripción: estante metálico cuya Descripción: podemos observar que
manipulan los servidores en caso de finalidad principal es la de alojar el cableado del rack no está
que se presente alguna falla en las equipamiento electrónico, segmentado adecuadamente y esto
base de datos, y de toda la red de la informático y de comunicaciones genera fallas al momento de
empresa. donde las medidas para la anchura identificar los activos informáticos
están normalizadas para que sean de la empresa en caso de fallas de
compatibles con el equipamiento de red, o de comunicación.
cualquier marca o fabricante
Router Bodega 3 Router Bodega 3 Conexión del router
Descripción: Imagen del router Descripción: Se detecta el mismo Descripción: Se detecta la forma
donde se detecta la mala ubicación y problema pero adjuntando que está inadecuada de realizar la conexión
esto genera perdida de la señal wifi mal posicionado y los cables están eléctrica del router, con añadiduras
en el sector de la bodega número 3. mal ponchados. que no son las mejores para realizar
este tipo de conexión, y esto genera
que la red pueda tener deficiencias.
Fuente. Autor
136
9. RECOMENDACIONES
• Actualice y licencie su cortafuegos y antivirus.
• Realice revisión periódica de su listado de contactos y practique la utilización de firma

digital o autenticación del mensaje a través de hash.
• No realice transacciones desde páginas web no confiables
• No instale herramientas de escritorio remoto, siempre y cuando no se almacene un

llavero de claves seguro y confiable.
• Evite conectarse desde redes inalámbricas abiertas que no tienen ninguna seguridad. •
Cerciórese de la información de contacto con el fin de verificar el auténtico originador del
mensaje.
• No descomprima archivos de extensión desconocida sin antes verificar el “vista previa”

el contenido del mismo.
• Elimine correos electrónicos “Spam”, de esta forma evitará ir a sitios web no seguros.
• Actualice los parches de seguridad del navegador web.
• Gestión adecuada de información confidencial y de terceros (títulos financieros,

chequeras, tarjetas, productos crediticios, etc.)
• Implemente servidor de correos electrónicos SPF (Sender Polcy Framework).
Recomendaciones
PYMES:http://www.ccp.gov.co/ciberseguridad/recomendaciones/pymes
10. SUGERENCIAS: En caso de ser víctima no olvide que:
• Debe preservar la página, sitio web, correo electrónico, objeto del ataque, apóyese del
área de sistemas para tomar esta evidencia que será útil dentro de la investigación formal.
• Documente la evidencia recolectada y haga uso de los protocolos de cadena de

custodia.
• Aislé los navegadores no configurados o sin actualizar
• Active la configuración del cortafuegos/filtrado de spam
• No Instale herramientas de acceso remoto o desactive las mismas al momento de dejar

en desuso el equipo de cómputo.
• Revise la configuración del cliente de correo de correo de su empresa de manera

confiable
137
• Clasifique la Información de su empresa de manera que los ciberdelincuentes no tengan
acceso a información financiera.
• Realice respaldos o Backups de su información
• Haga una lista de chequeo de los sitios web visitados o consultados para que sean
validados como fuentes originales de sitios transaccionales.
• Ajuste me manera periódica las políticas de uso de antivirus
• Revise constantemente la prestación de servicios ante terceros y servicios de soporte

Modelo Seguridad Informática Importronic

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Modelo Seguridad Informática Importronic

Uploaded by

Copyright:

Available Formats

MODELO DE SEGURIDAD INFORMÁTICA DE LA EMPRESA IMPORTRONIC S.A.

DE LA CIUDAD DE PEREIRA EN EL AÑO 2017

CRISTIAN DAVID LÓPEZ QUINTERO

CORPORACIÓN UNIVERSITARIA REMINGTON – CAT PEREIRA

FACULTAD DE CIENCIAS ECONÓMICAS Y ADMINISTRATIVAS

Cristian David López Quintero

Trabajo de Seminario en Seguridad Informática

Fernando Temoche. Asesor temático

Corporación Universitaria Remington – CAT Pereira

Firma presidente del jurado

Firma del jurado

Firma del jurado

Pereira, xx de noviembre de 2017

El autor desea dar sus agradecimientos a:

Importronic S.A. Empresa importadora de repuestos electrónicos, situada en la carrera 14 # 104

Universidad Remington y su grupo de tutores, quienes aportaron con su conocimiento a la

realización de este trabajo.

1.1. Antecedentes del problema ............................................................................................ 28

1.2. Planteamiento del problema ........................................................................................... 29

1.3. Pregunta problema .......................................................................................................... 30

2.1. Objetivo general ............................................................................................................. 31

2.2. Objetivos específicos ...................................................................................................... 31

4. Marco referencial ................................................................................................................... 35

4.1. Marco teórico ................................................................................................................. 35

4.1.1. Una nueva teoría sobre la seguridad informática ..................................................... 35

4.1.2. Caso seguridad del juego por la oscuridad ............................................................... 36

4.1.3. Tipos de seguridad informática ................................................................................ 37

4.1.4. Modelo de seguridad de información de Mc Cumber .............................................. 40

4.1.5. Teoría de la auditoria Informática, un enfoque metodológico ................................. 43

4.2. Marco Conceptual. ......................................................................................................... 52

4.2.1. Sistemas de información .......................................................................................... 52

4.3. Marco legal ..................................................................................................................... 85

4.3.1. Derechos de Autor .................................................................................................... 85

4.3.2. Ley 23 de 1982, ley de derechos de autor ............................................................... 86

4.3.4. Ministerio del TIC .................................................................................................... 86

4.3.5. ISO 27001 ................................................................................................................ 87

4.3.8. Ley 603 de 2000 Reporte de gestión cumplimiento normas .................................... 89

4.4. Marco geográfico ........................................................................................................... 91

4.4.1. Microlocalización ..................................................................................................... 91

4.5. Macrolocalización Pereira. .......................................................................................... 91

4.6. Población Pereira. ........................................................................................................ 92

4.7. Geografía Pereira ......................................................................................................... 93

4.8. Demografía Pereira. ..................................................................................................... 93

4.9. Datos Macroeconómicos de Pereira............................................................................. 93

5.1. Beneficios del aplicativo ................................................................................................ 95

5.2. Limitaciones del aplicativo ............................................................................................ 95

5.3. Etapas metodológicas ..................................................................................................... 96

6. Desarrollo del aplicativo ........................................................................................................ 97

6.1. Matriz de riesgos: datos .................................................................................................. 98

6.2. Matriz de riesgo de sistemas ........................................................................................ 112

6.3. Matriz de riesgo de personal ........................................................................................ 114

6.4. Análisis de riesgos, promedios de la probabilidad de amenazas ................................. 116

6.5. Factores de riesgo ......................................................................................................... 116

6.5.3. Análisis de los puntos críticos ................................................................................ 119

6.5.5. Objetivos de control ............................................................................................... 121

7. Recursos ............................................................................................................................... 122

7.1. Recursos materiales. ..................................................................................................... 122

7.2. Institucionales. .............................................................................................................. 122

7.3. Financieros. .................................................................................................................. 122

Cronograma .................................................................................................................................. 123

8. Conclusiones ........................................................................................................................ 124

9. Recomendaciones ................................................................................................................. 125