Hmafla TFM0618 Memoria

UNIVERSIDAD ABIERTA DE CATALUÑA
MASTER INTERUNIVERSITARIO EN SEGURIDAD DE LAS TIC

TRABAJO DE FINAL DE MASTER
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN SEGURIDAD DE

LA INFORMACIÓN
BASADO EN LA NORMA NTC - ISO/IEC 27001:2013
HÉCTOR ANDRÉS MAFLA TRUJILLO
DIRECTOR:
ANTONIO JOSÉ SEGOVIA HENARES
Junio 2018
Empresa de Manejo de Obras
Urbanismo y Desarrollo Sostenible
Plan Maestro para la

Implementación de un
Sistema de Gestión de
Seguridad de la
Información
Basado en la norma NTC - ISO/IEC 27001:2013
Carrera 13 # 33 – 01 p. 555-8056 [email protected]

Bogotá, D.C. w. 300-5559743 www.manejodeobras.gov.co
PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Héctor Andrés Mafla Trujillo
2 | 100
Tabla de contenido
0. Normas de referencia ........................................................................ 7
1. Situación actual ................................................................................. 8
1.1. Contextualización ......................................... 8
1.2. Alcance ......................................................... 11
1.3. Objetivos........................................................ 11
1.3.1. General .......................................................................................................................... 11
1.3.2. Específicos ..................................................................................................................... 11
2. Análisis diferencial ........................................................................... 11

2.1. Análisis diferencial NTC - ISO/IEC
27001:2013 ............................................................... 11
2.2. Análisis diferencial GTC - ISO/IEC
27002:2015 ............................................................... 14
2.3. Conclusiones del análisis diferencial ....... 16
3. Gestión Documental ........................................................................ 16
3.1. Política General de Seguridad ................. 16
3.2. Política de Seguridad ................................. 16
3.3. Procedimiento de Auditorías Internas..... 17
3.4. Gestión de Indicadores .............................. 17
3.5. Procedimiento Revisión por Dirección .... 18
3.6. Gestión de Roles y Responsabilidades ... 18
3.7. Metodología de Análisis de Riesgos ........ 18
3.8. Declaración de Aplicabilidad .................. 18
4. Análisis de Riesgos ........................................................................... 19
4.1. Inventario de Activos Organizacionales 19
4.2. Valoración de los activos .......................... 24
4.3. Dimensiones de Seguridad........................ 25
4.4. Tabla Resumen ............................................. 26
4.5. Análisis de Amenazas ................................. 29
4.6. Impacto potencial ...................................... 43
4.7. Nivel de riesgo aceptable y riesgo residual
46
4.8. Conclusiones ................................................ 51
5. Propuestas de Proyectos ................................................................. 52
3 | 100
5.1. Propuestas ..................................................... 53

5.2. Resultados ..................................................... 58
6. Auditoría de Cumplimiento ............................................................. 60
6.1. Metodología ................................................. 60
6.2. Evaluación de la Madurez ........................ 62
6.3. Presentación de Resultados ...................... 91
6.4. Resultados ..................................................... 92
7. CONCLUSIONES ................................................................................ 97
8. BIBLIOGRAFÍA Y REFERENCIAS........................................................ 100

4 | 100
LISTA DE TABLAS
Tabla 1. Criterios de valoración de los requerimientos de la norma. Fuente: Propia. ................ 12
Tabla 2. Resumen del análisis diferencial del SGSI frente a la norma de referencia. Fuente:
Propia ........................................................................................................................................................... 13
Tabla 3. Resumen análisis diferencial frente a la Guía Técnica GTC – ISO/IEC 27.002. Fuente:
propia. ......................................................................................................................................................... 15
Tabla 4. Inventario de activos - (D)Datos. Fuente: propia. .............................................................. 19
Tabla 5. Inventario de activos - (Aux)Equipamiento auxiliar. Fuente: propia. ............................. 20
Tabla 6. Inventario de activos - (HW)Hardware. Fuente: propia. ................................................... 20
Tabla 7. Inventario de activos - (I)Instalaciones. Fuente: propia. ................................................... 21
Tabla 8. Inventario de activos - (R)Red. Fuente: propia. .................................................................. 21
Tabla 9. Inventario de activos - (S)Servicios. Fuente: propia. .......................................................... 22
Tabla 10. Inventario de activos - (SW)Software. Fuente: propia. .................................................... 22
Tabla 11. Inventario de activos - (P) Personas. Fuente: propia. ...................................................... 23
Tabla 12. Valoración de las dimensiones de seguridad. Fuente: Modelo TFM UOC ................... 26
Tabla 13. Valoración de los activos. Fuente: Propia. ......................................................................... 26
Tabla 14. Amenazas comunes. Fuente: Norma ISO 27005 ................................................................ 29
Tabla 15. Frecuencia de ocurrencia de la amenaza. Fuente: Manual Administración del Riesgo
....................................................................................................................................................................... 33
Tabla 16. Niveles de medición del impacto. Fuente: Manual Administración del Riesgo ......... 33
Tabla 17. Valoración de amenazas para Activos de tipo Datos. Elaboración propia. .............. 34
Tabla 18. Valoración de amenazas para Activos de tipo Equipamiento auxiliar. Elaboración
propia. ......................................................................................................................................................... 35
Tabla 19. Valoración de amenazas para Activos de tipo Hardware. Elaboración propia. ...... 36
Tabla 20. Valoración de amenazas para Activos de tipo Instalaciones. Elaboración propia. . 37
Tabla 21. Valoración de amenazas para Activos de tipo Red. Elaboración propia. ................. 38
Tabla 22. Valoración de amenazas para Activos de tipo Servicios. Elaboración propia. ......... 40
Tabla 23. Valoración de amenazas para Activos de tipo Software. Elaboración propia. ........ 41
Tabla 24.Valoración de amenazas para Activos de tipo Personas. Elaboración propia. ......... 42
Tabla 25. Impacto potencial. Elaboración propia. ............................................................................ 44
Tabla 26. Niveles de clasificación de riesgo. Fuente: Manual Administración del riesgo. ......... 46
Tabla 27. Criterios de aceptación del riesgo. Fuente: Manual Administración del Riesgo........ 47
Tabla 28. Cálculo del riesgo. Elaboración propia. ............................................................................. 48
Tabla 29. Dominios con menor grado de implementación. Fuente propia. ................................ 53
Tabla 30. Estado esperado de los controles luego de los proyectos. Fuente propia. ................ 58
Tabla 31. Modelo de Madurez de la Capacidad. Descripción tomada de
https://es.wikipedia.org/wiki/Modelo_de_Capacidad_y_Madurez ............................................... 60
Tabla 32. Evaluación de la Madurez de los Controles ....................................................................... 62
Tabla 33. Nivel de madurez de los controles del SGSI, según el modelo CMM. Fuente propia 91

5 | 100
LISTA DE ILUSTRACIONES
Ilustración 1. Historia de las normas de referencia. Parte 1. Fuente: Propia. ................................... 7
Ilustración 2. Historia de las normas de referencia. Parte 2. Fuente: Propia. ................................... 8
Ilustración 3. Organigrama de la Empresa. Fuente: propia ................................................................ 9
Ilustración 4. Diagrama de red a alto nivel. Fuente: Propia. ............................................................ 10
Ilustración 5. Análisis diferencial frente a los requisitos de la norma NTC - ISO/IEC 27.001. Fuente:
Propia ........................................................................................................................................................... 13
Ilustración 6. Análisis diferencial frente a los requisitos de la guía GTC - ISO/IEC 27.002. Fuente:
Propia. .......................................................................................................................................................... 15
Ilustración 7. Jerarquía para la valoración de activos. Fuente: Propia.......................................... 25
Ilustración 8. Planeación temporal de los proyectos propuestos para el primer año. Fuente
propia........................................................................................................................................................... 57
Ilustración 9. Planeación temporal de los proyectos propuestos para el segundo año. Fuente
propia........................................................................................................................................................... 57
Ilustración 10. Evolución de los controles luego de finalizar los proyectos. Fuente propia. ....... 59
Ilustración 11. Nivel de madurez de los controles del SGSI, según el modelo CMM. Fuente propia
....................................................................................................................................................................... 91
Ilustración 12. Comparativo del nivel de madurez de los controles. Fuente propia ................... 92

6 | 100
0. Normas de referencia
Para el presente trabajo se han elegido como referencia, las normas técnicas colombianas
NTC – ISO/IEC 27001:2013 y GTC – ISO/IEC 27002:2015, las cuales son idénticas por traducción
(IDT) a la ISO/IEC 27001:2013 e ISO 27002:2013 respectivamente. Lo anterior por la facilidad
para su consecución en mi país, Colombia.
Es bien sabido que las normas más conocidas, las que más se siguen como referencia para
implementar sistemas de gestión de seguridad de la información son las ISO de la familia 27000.
De ellas la 27001 que es certificable, pues define los requisitos para que un tercero audite y de
fe, de que un sistema en particular los cumple.
De la mano de ella, se presenta otra norma, que no es certificable, pues se ha considerado

como un código de buenas prácticas, está la norma ISO/IEC 27002:2014.
A continuación, una síntesis de lo que ha sido la historia de las dos normas:
Ilustración 1. Historia de las normas de referencia. Parte 1. Fuente: Propia.
Para el caso de la versión colombiana de la norma 27002, ha sido catalogada como Guía
Técnica y fue publicada en 2015. Sin embargo, como se manifestó previamente, es una
traducción idéntica de la norma ISO/IEC 27002:2014

7 | 100
Ilustración 2. Historia de las normas de referencia. Parte 2. Fuente: Propia.
1. Situación actual
En este apartado se presenta una breve descripción de la Empresa de Manejo de Obras, su
objeto social, una breve descripción de su plataforma de T.I. y un análisis diferencial del estado
de la Empresa frente a las normas NTC - ISO/IEC 27001:2013 y 27002:2015.
1.1. Contextualización
La Empresa de Manejo de Obras fue creada mediante el Acuerdo 56 de 1972 del Concejo
Distrital. Tiene como misión “Generar bienestar en los habitantes de la ciudad mejorando la
calidad de vida, mediante el desarrollo de infraestructura para el transporte, contribuyendo
a la construcción de una ciudad incluyente, sostenible y moderna”.
La Empresa hoy está conformada por 493 trabajadores, entre contratistas y empleados de
carrera administrativa.
Se encuentra ubicada en la ciudad de Bogotá, D.C., en la Calle del Churo # 13-44.
La estructura jerárquica es la siguiente:

8 | 100
Dirección General
Oficina Asesora de
Oficina Asesora de
Tecnologías de
Planeación
Información
Oficina de Control Oficina Seguridad

Interno Información
Subdirección de Subdirección de Subdirección

Secretaría General
Proyectos Infraestructura Jurídica
Oficina de Oficina de Atención

Diseños Adquisición Predios
Contratos al Ciudadano
Oficina de
Factibilidad Construcción
Comunicaciones
Mantenimiento Talento humano
Administración
financiera
Recursos Físicos
Ilustración 3. Organigrama de la Empresa. Fuente: propia
La Empresa de Manejo de Obras tiene la siguiente plataforma tecnológica:
 Un (1) Centro de Procesamiento de Datos – CPD

o Un (1) sistema de aire acondicionado de precisión en alta disponibilidad
o Un (1) sistema de detección y extinción de fuego, basado en gas FM200
o Dos (2) UPS (Sistema de alimentación ininterrumpida de energía eléctrica)
 50 servidores físicos:
o 20 con Windows Server 2012
o 10 con Linux Ubuntu Server
o 20 Servidores para virtualización
 60 Servidores virtuales
o 20 servidores para producción de algunos S.I desarrollados internamente
o 20 servidores para desarrollo
o 20 servidores para pruebas
9 | 100
 Dos (2) switches de Core

 Cuatro (4) switches Top of Rack (ToR)
 10 switches de borde
 Dos (2) canales de internet (1 principal + 1 de respaldo)
 Una (1) solución de almacenamiento SAN
 Una solución de backup, con software Veritas
 Un (1) RAC de base de datos Oracle
 Siete (7) Sistemas de información
o Un S.I. de inteligencia de negocio (BI)
o Un ERP (Sistema administrativo y financiero + Personal y nómina + Almacén)
o Un S.I. para gestión de proyectos de obra
o Un CMS
o Un S.I. para gestión de planes de mejoramiento
o Un S.I para gestión de activos de información
o Un S.I de gestión documental.
 Seguridad perimetral
Un firewall Fortinet en alta disponibilidad, con los módulos:
o Fortigate,
o Fortianalyzer y
o FortiSandbox
 Un antivirus corporativo para “endpoint” de siguiente generación
Ilustración 4. Diagrama de red a alto nivel. Fuente: Propia.

10 | 100
1.2. Alcance
El Sistema de Gestión de Seguridad de la Información de la Empresa de Manejo de Obras,
cubrirá todos sus procesos, se ejecutará la sede principal. Aplicará a los servidores públicos,
contratistas de apoyo a la gestión, terceros que prestan servicios y demás usuarios que
accedan a la información institucional.
1.3. Objetivos
1.3.1. General
Definir y desarrollar un plan maestro para la implementación de un sistema de gestión
de seguridad de la información, para que sea un punto de referencia en el
aseguramiento de la confidencialidad, integridad y disponibilidad de la información
necesaria para el desarrollo de los proyectos.
1.3.2. Específicos
 Analizar el estado actual del SGSI de la Empresa de Manejo de Obras.
 Definir y elaborar los documentos necesarios para la operación del SGSI.
 Aplicar la metodología de riesgos definida sobre los activos identificados.
 Definir proyectos que permitan el tratamiento de los riegos hacia su mitigación.
 Medir el cumplimiento del SGSI mediante una auditoría.
2. Análisis diferencial
Este tipo de análisis es muy útil cuando se requiere conocer el estado actual de algo, frente a
un punto de comparación; en este caso, se pretende conocer cuál es el estado actual del
sistema de gestión de seguridad de la información de la Empresa de Manejo de Obras; sus
puntos de comparación son la norma técnica colombiana NTC – ISO/IEC 27.001:2013 y la guía
técnica colombiana NTC – ISO/IEC 27.002:2015.
Otro punto muy importante de un análisis diferencial, es que permite identificar la brecha
existente entre el estado actual y el punto de comparación, para que una vez se cuente con
ella, se pueda definir un plan de acción u hoja de ruta a seguir para cumplir con el propósito
inicial, que para efectos prácticos es el mismo punto de comparación mencionado en el
párrafo previo.
A continuación, se presenta este análisis en dos subcapítulos separados.
2.1. Análisis diferencial NTC - ISO/IEC 27001:2013

Para realizar el análisis diferencial, se tomó un modelo realizado internamente, que permite
mediante la calificación de 3 criterios, identificar el nivel de cumplimiento de cada
requerimiento de la norma de referencia. Estos criterios y sus correspondientes valores son:
 ¿Existe mecanismo que lo implementa?

o No 0%
11 | 100
o Si 30%
 ¿Se aplica?
o Nunca 0%
o Algunas veces 20%
o Siempre 40%
 ¿Genera resultados?
o No 0%
o Si 30%
Entonces:
si el requerimiento tiene un control que lo implementa: 30%
si el control se aplica siempre: 40%
y, si genera resultados: 30%
TOTAL 100%
Por el contrario, si el requerimiento no tiene un mecanismo que lo implementa, este se califica

en cero (0), es decir, los otros criterios no son tenidos en cuenta.
Asimismo, si el requerimiento tiene un mecanismo que lo implementa, pero nunca es aplicado,

este se califica en 30% y no se tiene en cuenta el criterio “¿Genera resultados?”. Sin embargo,
si el mecanismo que lo implementa se aplica algunas veces, se suman 30% por la existencia
del mecanismo y 20% por el criterio de aplicación, dando un valor del 50% para dicho
requerimiento. En este punto, sí se tiene en cuenta el valor del criterio “¿Genera resultados?”,
que si es no, no sumará al porcentaje del requerimiento, pero si por el contrario sí genera
resultados, se le suma el 30% de este criterio al 50% previo, por lo tanto el total sería 80%.
En la siguiente tabla se muestran las posibles combinaciones de los criterios de valoración de

los requerimientos y su calificación total, siempre y cuando haya un mecanismo que
implemente el control, pues como ya se explicó, si no existe dicho mecanismo, la calificación
total es cero (0):
¿Existe
¿Genera Porcentaje de
mecanismo que ¿Se aplica?
Resultados? cumplimiento
lo implementa?
Si Nunca No 30
Si Nunca Si 30
Si Algunas veces No 50
Si Algunas veces Si 80
Si Siempre No 70
Si Siempre Si 100
Tabla 1. Criterios de valoración de los requerimientos de la norma. Fuente: Propia.
Una vez explicada la metodología de evaluación del análisis diferencial, o análisis de brechas,
se presenta el resumen del diagnóstico realizado en la siguiente tabla.

12 | 100
RESUMEN ANÁLISIS DIFERENCIAL NTC – ISO/IEC 27.001
Porcentaje de
Numeral Requisito a cumplir
cumplimiento
4 Contexto de la organización 100

5 Liderazgo 68
6 Planificación 86
7 Soporte 80
8 Operación 80
9 Evaluación del desempeño 60
10 Mejora 86
Porcentaje de implementación del SGSI: 80
Tabla 2. Resumen del análisis diferencial del SGSI frente a la norma de referencia. Fuente: Propia
Nota: En la columna porcentaje de cumplimiento se pueden encontrar valores distintos a los

mostrados en la tabla 1, pues al ser un resumen de todos los criterios, se toma como promedio
por cada numeral de la norma.
Ilustración 5. Análisis diferencial frente a los requisitos de la norma NTC - ISO/IEC 27.001. Fuente: Propia

13 | 100
2.2. Análisis diferencial GTC - ISO/IEC 27002:2015

Para este análisis se empleó un instrumento similar al mencionado previamente, para el análisis
de la norma certificable. A continuación, se presentan los criterios y los posibles valores:
 Estado (de implementación)

o Sin implementar 0%
o Iniciado 10%
o Parcialmente Implementado 20%
o Totalmente Implementado 40%
 ¿Se aplica?
o Nunca 0%
o Algunas Veces 20%
o Siempre 40%
 ¿Genera resultados?
o No 0%
o Sí 20%
Entonces:
si el control está totalmente implementado: 40%
si el control se aplica siempre: 40%
y, si genera resultados: 20%
TOTAL 100%
Para este análisis, también se tuvo en cuenta el valor de los criterios “Estado” y “¿Se aplica?”,
de manera que si el control no está implementado (Estado), la calificación es cero (0), y no
se tienen en cuenta los otros dos criterios. Si el control está en estado iniciado, el control se
califica con 10% de este criterio más el 10% del valor del criterio ¿se aplica? y no se tiene en
cuenta el criterio “¿genera resultado?”. Si el control está en estado “Parcialmente
implementado”, su calificación será 20% más el 20% del valor del criterio “¿se aplica?” más el
20% del valor del criterio “¿genera resultados?”. Finalmente, si el control está Totalmente
implementado, los demás criterios toman su valor pleno.
A continuación, en la tabla 3 se presenta el resumen del análisis diferencial de la

implementación de los controles sugeridos por la Guía Técnica GTC – ISO/IEC 27.002.
RESUMEN ANÁLISIS DIFERENCIAL GTC – ISO/IEC 27.002

Promedio
Cumplimiento
Numeral Nombre Dominio cumplimiento de
por dominio
los 114 controles
A.5 Políticas de seguridad de la información 100%
A.6 Organización de la seguridad de la información 48%
A.7 Seguridad de los recursos humanos 38% 55%
A.8 Gestión de activos 68%
A.9 Control de acceso 73%
14 | 100
RESUMEN ANÁLISIS DIFERENCIAL GTC – ISO/IEC 27.002

Promedio
Cumplimiento
Numeral Nombre Dominio cumplimiento de
por dominio
los 114 controles
A.10 Criptografía 60%
A.11 Seguridad física y del entorno 87%
A.12 Seguridad de las operaciones 62%
A.13 Seguridad de las comunicaciones 69%
A.14 Adquisición, desarrollo y mantenimiento de sistemas 41%
A.15 Relación con los proveedores 29%
A.16 Gestión de incidentes de seguridad de la información 23%
Aspectos de seguridad de la información de la gestión de
A.17 7%
continuidad de negocio
A.18 Seguridad de las comunicaciones 72%
Tabla 3. Resumen análisis diferencial frente a la Guía Técnica GTC – ISO/IEC 27.002. Fuente: propia.
Ilustración 6. Análisis diferencial frente a los requisitos de la guía GTC - ISO/IEC 27.002. Fuente: Propia.
En el anexo 1 se presenta el análisis detallado de todos los controles de la norma. En este

archivo, el análisis se presenta en 2 hojas de contenido, una para el estándar certificable NTC
– ISO/IEC 27001:2013 y otra para los controles sugeridos por Guía Técnica Colombiana GTC-
ISO/IEC 27002: 2015. En el archivo anexo se incluye una hoja llamada “Portada”, que presenta
un resumen del análisis, para que en caso de que un lector desprevenido tenga acceso
solamente a ese documento, pueda tener un panorama general del estado del SGSI de la
Empresa.

15 | 100
2.3. Conclusiones del análisis diferencial

Se puede observar, tanto en la tabla 2 como en la ilustración 2, que el SGSI de la Empresa de
Manejo de Obras, tiene un buen nivel de cumplimiento de los requisitos de la norma 27.001.
Sin embargo, en los numerales 5 (Contexto de la organización) y 9 (Evaluación del
desempeño) se presenta un desfase significativo, pues el numeral 5 está evaluado en 68% y el
9 en 60%. En este sentido, las tareas del plan de acción deberán estar enfocadas a mejorar el
cumplimiento de estos requisitos.
Asimismo, los requisitos soporte y operación, están calificados en 80% por lo que también se
hace necesario definir tareas para ajustar su cumplimiento.
Finalmente, frente a los requisitos planificación y mejora, que se encuentran en un 86% de

avance, deben continuar su implementación para lograr llegar al 100%, por lo que se requiere
definir tareas específicas en el plan de acción que estén orientadas a ello.
En el documento anexo, se incluyó también una hoja electrónica que servirá como plantilla
para la elaboración del plan de acción y seguimiento.
3. Gestión Documental
Para la Empresa de Manejo de Obras, es claro que uno de los elementos importantes del SGSI
es la documentación de las Políticas, Manuales de Gestión, Procedimientos, Guías, Instructivos
y Formatos. A continuación, se presentan los documentos que la Empresa ha elaborado, y
más adelante los que están pendientes por elaborar.
3.1. Política General de Seguridad

La Empresa de Manejo de Obras se compromete a generar las condiciones de seguridad
necesarias en términos de confidencialidad, integridad y disponibilidad adecuadas a la
información que ella produce y maneja, en todos sus medios de conservación y divulgación,
con los recursos asignados para administrar de forma efectiva los riesgos asociados a sus
activos de información, aumentar la credibilidad y confianza de las partes interesadas,
implementar estrategias para el mejoramiento continuo y cumplir con la normatividad vigente.
Esta política fue adoptada mediante la resolución interna 34113 de 2015.
3.2. Política de Seguridad

La Empresa de Manejo de Obras ha adoptado las políticas obligatorias de seguridad de la
información mediante la resolución 34217 de 2015, la cual puede ser consultada en el anexo
2 Políticas Seguridad de la Información. Estas políticas son de obligatorio cumplimiento por
todos los colaboradores de la Empresa, tanto trabajadores de carrera administrativa,

16 | 100
contratistas de apoyo a la gestión, contratistas de obra, como terceros vinculados por

outsourcing.
3.3. Procedimiento de Auditorías Internas

En la Empresa de Manejo de Obras, el procedimiento de auditoría interna se viene ejecutando
desde 2014, y en él se describen los pasos que la Oficina de Control Interno debe seguir para
realizar auditorías de primera parte, además de definir una serie de políticas operativas para
desarrollar esta labor, tal como la independencia de los auditores, las instancias que deben
aprobar el programa anual de auditoría, la obligación de definir un plan para cada ejercicio
de auditoría que se realice, que la actuación de los auditores deberá estar en marcada
dentro de los principios y valores establecidos en el código de ética y que para los ejercicios
de auditoría el enfoque estará basado en evidencias, entre otros.
El documento del procedimiento en cuestión, se encuentra en el Anexo 3 Procedimiento

Auditorías Internas.
3.4. Gestión de Indicadores

Los indicadores del Sistema de Gestión de Seguridad de la Información, de la Empresa de
Manejo de Obras se gestionan con el documento DU-PE-01, el cual se puede consultar en el
anexo 4 Metodología Indicadores. En él básicamente se encuentran dos (2) secciones, una
llamada definición e identificación de indicadores, y otra llamada seguimiento. En la primera
se encuentran campos como:
 Número: Es un ordinal de la tabla de indicadores

 Control asociado: Se refiere al número y texto descriptivo del control al cual se está
haciendo seguimiento mediante este indicador.
 Nombre indicador: Indica a qué se refiere el indicador.
 Objetivo: Qué se quiere medir con el indicador.
 Tipo: Podrá ser uno de estos valores eficacia, eficiencia o efectividad.
 Fórmula: Se refiere a la fórmula con la cual se calculará el indicador.
 Fuente de datos: De donde se toma la información para el reporte del indicador.
 Unidad de medida: Hace referencia a la Unidad en la cual está dado el valor final del
indicador.
 Frecuencia de medición: Cada cuanto se medirá un indicador. Se puede dar caso de
tener un indicador “no periódico”.
 Meta anual: Es el valor programado para cada año del indicador.
 Responsable: Es el rol del responsable de reportar la medición del indicador.
En la sección de seguimiento se reporta el valor de cada indicador al momento del corte, de

acuerdo con la periodicidad de su medición y se contrasta contra el valor planeado.

17 | 100
3.5. Procedimiento Revisión por Dirección

“La Alta Dirección debe revisar el SGSI de la organización a intervalos planificados, para
asegurarse de su conveniencia, adecuación y eficacias continuas.” 1
Para ello se ha elaborado el procedimiento revisión por la dirección, que define los pasos que
se deben llevar a cabo para que el representante de la Dirección General realice una reunión
de forma programada, donde se presentará el estado del Sistema de Gestión de Seguridad
de la Información a los demás directivos que conforman la “Alta Dirección”, se analizarán sus
oportunidades de mejora. El principal producto de este procedimiento es el informe de la
revisión, el cual se tendrá que conservar como registro.
Este procedimiento se encuentra en el anexo 5 Procedimiento Revisión Por la Dirección.
3.6. Gestión de Roles y Responsabilidades

En la Empresa de Manejo de Obras, el Sistema de Gestión de la Seguridad de la información
está conformado por todos sus funcionarios y contratistas, y desde la Dirección General hasta
el más bajo de los cargos asistenciales, tiene una responsabilidad frente al Sistema. Estas se
reflejan en la Guía de Roles y Responsabilidades Frente al SGSI, que puede ser consultada en
el Anexo 6a Guía de Roles y responsabilidades frente al SGSI.
3.7. Metodología de Análisis de Riesgos

Para la Empresa de Manejo de Obras, la gestión de los riesgos se realiza bajo la metodología
del Departamento Administrativo de la Función Pública, de Colombia, la cual está basada en
el estándar ISO 31000. Para más detalles, se pueden consultar los anexos: Anexo 7a
DocumentoPolíticaAdministracióndelRiesgo y Anexo 7b ManualAdministracióndelRiesgo.
3.8. Declaración de Aplicabilidad

La Declaración de Aplicabilidad para Empresa de Manejo de Obras es más que una simple
lista de controles aplicados o por aplicar. Es una manera de tener bajo control las medidas de
seguridad implementadas y aquellas que están en proceso de implementación.
Para conocer más en detalle este documento, se pueden consultar los anexos: Anexo 8a
Resolución Declaración de Aplicabilidad SGSI y Anexo 8b Declaración de Aplicabilidad.
1 Norma técnica colombiana NTC-ISO-IEC 27001:2013. Numeral 9.3 Revisión por la dirección

18 | 100
4. Análisis de Riesgos
El análisis de riesgos es la etapa en la administración del riesgo para comprender la naturaleza
del riesgo y determinar su nivel2, mediante un proceso sistemático, que ha sido definido en el
Manual de Administración del Riesgo [ver. Anexo 7b].
Como muchos sistemas de gestión, el SGSI de La Empresa de Manejo de Obras se basa en el

análisis de riesgos para poder definir planes y proyectos que permitan la protección de la
información. Para ello es indispensable la identificación de sus activos de información o
activos organizacionales.
4.1. Inventario de Activos Organizacionales

Un activo es “todo tipo de elemento que requiere la organización para poder realizar las
actividades de negocio que le son propias.” 3
Es una buena práctica agrupar los activos organizacionales para facilitar su tratamiento, para
el presente plan se consideran los siguientes tipos de activos: Instalaciones (I), Hardware(HW),
Software (Sw), Datos (D), Red (R), Servicios (S), Equipamiento auxiliar (Aux), Personal (P). En la
siguiente tabla se presenta el inventario de activos organizacionales, agrupados de acuerdo
con la tipificación anterior.
Tabla 4. Inventario de activos - (D)Datos. Fuente: propia.
INVENTARIO DE ACTIVOS – TIPO: DATOS

DEPENDENCIA
NOMBRE DEL
CODIGO CANT DESCRIPCIÓN ENTRE PROPIETARIO TIPO DE ACTIVO
ACTIVO
ACTIVOS
Configuración Reglas o políticas de configuración y
(D.01) 1 (HW.06) Oficina TI Datos
fortigate filtrado del firewall
Configuración Reglas o políticas de configuración del

(D.03) 1 (SW.13) Oficina TI Datos
antivirus antivirus
Código fuente de Código fuente de las aplicaciones

(D.04) los sistemas de 4 desarrolladas internamente, al cual se (D.05) - (SW.01) Oficina TI Datos
información le hace un control de versiones
Licenciamiento Documentación digital y electrónica
(D.05) software 1 que permite el uso de software (I.05) Oficina TI Datos
comercial adquirido
hojas de vida de Talento

(D.06) Curriculum vitae de los empleados (SW.05) Datos
los empleados Humano
Archivo físico no Documentación variada que aún no ha

(D.07) (Aux.04) – (I.06) Recursos físicos Datos
digitalizado sido digitalizada.
Oficina de
(D.08) Contratos Contratos formalizados (SW.05) Datos
Contratos
2 Tomado de: anexo 7b: Manual de administración del riesgo.

3 Tomado del módulo 2. Análisis de riesgos PID_00177810, por Daniel Cruz Allende.
19 | 100
INVENTARIO DE ACTIVOS – TIPO: DATOS

DEPENDENCIA
NOMBRE DEL
CODIGO CANT DESCRIPCIÓN ENTRE PROPIETARIO TIPO DE ACTIVO
ACTIVO
ACTIVOS
Correspondencia Correspondencia de entrada a la (SW.10) -
(D.09) Recursos fisicos Datos
radicada Empresa. (SW.14)
Datos del sistema Esquemas con los datos del sistema

(D.10) (SW.14) Oficina TI Datos
ERP ERP
Datos del sistema

Esquemas con los datos del sistema de
(D.11) de proyectos de (SW.14) Oficina TI Datos
información de proyectos de obra.
obra

(D.12) Datos del CMS (SW.14) Oficina TI Datos
los portales web de la Empresa

Datos de planes
(D.13) información de planes de (SW.14) Oficina TI Datos
de mejoramiento
mejoramiento.
Datos del
sistema de Esquemas con los datos del sistema de
(D.14) (SW.14) Oficina TI Datos
activos de información de activos de información.
información
datos del sistema
(D.15) de gestión (SW.14) Oficina TI Datos
información de gestión documental.
documental.
Tabla 5. Inventario de activos - (Aux)Equipamiento auxiliar. Fuente: propia.
INVENTARIO DE ACTIVOS – TIPO: EQUIPAMIENTO AUXILIAR

DEPENDENCIA PROPIETARI TIPO DE
CODIGO NOMBRE DEL ACTIVO CANT DESCRIPCIÓN
ENTRE ACTIVOS O ACTIVO
Sistema de aire
Sistema de control ambiental Equipamiento
(Aux.01) Acondicionado de 1 (I.01) Oficina TI
para el CPD auxiliar
precisión
Sistema de detección y Sistema de prevención y Equipamiento
(Aux.02) 1 (I.01) Oficina TI
extinción de fuego control de fuego para el CPD auxiliar
Sistema de alimentación
UPS para los equipos alojados Equipamiento
(Aux.03) ininterrumpida de 2 (I.01) Oficina TI
en el CPD auxiliar
energía eléctrica
Elementos para almacenar Equipamiento

(Aux.04) Archivadores (I.05) Oficina TI
carpetas legajadoras auxiliar
Tabla 6. Inventario de activos - (HW)Hardware. Fuente: propia.
INVENTARIO DE ACTIVOS – TIPO: HARDWARE

NOMBRE DEL DEPENDENCIA TIPO DE
CODIGO CANT DESCRIPCIÓN PROPIETARIO
ACTIVO ENTRE ACTIVOS ACTIVO
Servidores físicos (I.01) - (Aux.01) -
(HW.01) 20 Servidores de procesamiento Oficina TI Hardware
Win2012 (Aux.02) - (Aux.03)
Servidores físicos Linux (I.01) - (Aux.01) -
(HW.02) 10 Servidores de procesamiento Oficina TI Hardware
Ubuntu (Aux.02) - (Aux.03)

20 | 100
INVENTARIO DE ACTIVOS – TIPO: HARDWARE

Servidores físicos host Servidores para (I.01) - (Aux.01) -

(HW.03) 20 Oficina TI Hardware
para virtualizar virtualización (Aux.02) - (Aux.03)
Solución corporativa para

Solución (I.01) - (Aux.01) -
(HW.04) 1 almacenamiento de Oficina TI Hardware
almacenamiento SAN (Aux.02) - (Aux.03)
información
Equipos que conforman la (I.01) - (Aux.01) -
(HW.05) Solución backup 1 Oficina TI Hardware
solución de backup (Aux.02) - (Aux.03)
(I.01) - (Aux.01) -
(HW.06) Fortigate 1 Firewall Oficina TI Hardware
(Aux.02) - (Aux.03)
Tabla 7. Inventario de activos - (I)Instalaciones. Fuente: propia.
INVENTARIO DE ACTIVOS – TIPO: INSTALACIONES

NOMBRE DEL DEPENDENCIA PROPIETARI TIPO DE
CODIGO CANT DESCRIPCIÓN
ACTIVO ENTRE ACTIVOS O ACTIVO
Corresponde al sitio físico donde
Centro de funcionan todos los equipos
(I.01) Procesamiento 1 tecnológicos que conforman el (I.05) Oficina TI Instalaciones
de Datos – CPD centro de procesamiento de
datos.
Encerramientos en cada piso
Cuartos de
(I.02) 9 utilizados para proteger los (I.05) Oficina TI Instalaciones
cableado
switches de cableado horizontal
Oficinas Recursos
(I.03) 20 Puestos de trabajo con puerta (I.05) Instalaciones
directivos físicos
Puestos de Recursos
(I.04) 745 Puestos de trabajo abiertos (I.05) Instalaciones
trabajo físicos
Recursos
(I.05) Edificio principal 1 Sede principal de la Empresa N/A Instalaciones
físicos
Instalaciones físicas apropiadas y
acondicionadas para la Recursos
(I.06) Archivo central 1 (I.05) Instalaciones
conservación de información en físicos
papel
Punto de ingreso a las Recursos

(I.07) Recepción 1 (I.05) Instalaciones
instalaciones dela Entidad físicos
Tabla 8. Inventario de activos - (R)Red. Fuente: propia.
INVENTARIO DE ACTIVOS – TIPO: RED

NOMBRE DEL DEPENDENCIA
CODIGO CANT DESCRIPCIÓN PROPIETARIO TIPO DE ACTIVO
ACTIVO ENTRE ACTIVOS
Equipo activo de comunicación
(I.01) - (Aux.01) -
(R.01) Switch de Core 2 de red principal, ubicado en el Oficina TI Red
(Aux.02) - (Aux.03)
CPD
Switch Top of Equipo activo de comunicación (I.01) - (Aux.01) -
(R.02) 4 Oficina TI Red
Rack de red, ubicado en cada rack (Aux.02) - (Aux.03)
equipo activo de comunicación
(R.03) Switch de borde 10 (I.01) - (I.02) Oficina TI Red
de red, ubicado en cada piso

21 | 100
INVENTARIO DE ACTIVOS – TIPO: RED

Canal de red que permite la (I.01) - (Aux.01) -
(R.04) Canales Internet 2 Oficina TI Red
conectividad con la red Internet (Aux.02) - (Aux.03)
Tabla 9. Inventario de activos - (S)Servicios. Fuente: propia.
INVENTARIO DE ACTIVOS – TIPO: SERVICIOS

Correo
(S.01) 1 Servicio prestado por un tercero (R.04) Oficina TI Servicios
electrónico
(S.02) Intranet 1 Micrositio web de consulta interna (SW.01) Oficina TI Servicios
(S.03) Página web 1 Sucursal virtual de la empresa (R.04) Oficina TI Servicios
Carpetas Servicio para almacenamiento de

(S.04) 2 (HW.01) - (HW.04) Oficina TI Servicios
compartidas información laboral no estructurada
Directorio
(S.05) 1 Servicios de directorio (HW.01) Oficina TI Servicios
activo
Tabla 10. Inventario de activos - (SW)Software. Fuente: propia.
INVENTARIO DE ACTIVOS – TIPO: SOFTWARE

Servidores Servidores que a través del modelo de
(SW.01) virtuales 20 virtualización permiten la operación de (HW.03) Oficina TI Software
producción aplicaciones o servicios en producción

(SW.02) virtuales 20 virtualización permiten definir ambientes (HW.03) Oficina TI Software
desarrollo separados para desarrollo
(SW.03) virtuales 20 virtualización permiten definir ambientes (HW.03) Oficina TI Software
pruebas separados para pruebas
Sistema de Información de Inteligencia de Dirección

(SW.04) Sistema B.I 1 (SW.01) Software
Negocios general
sistema de información que incluye módulos:

Secretaría
(SW.05) Sistema ERP 1 administrativo y financiero + Personal y (SW.01) Software
general
nómina + Almacén
Sistema
Sistema de información para la gestión de Subdirección de
(SW.06) Proyectos de 1 (HW.02) - (S.05) Software
proyectos, mediante la metodología PMI infraestructura
Obra
Gestor de contenidos para la intranet y el Oficina de

(SW.07) CMS 1 (HW.02) Software
portal web comunicaciones

22 | 100
INVENTARIO DE ACTIVOS – TIPO: SOFTWARE

Sistema para la gestión de los planes de

S.I. Planes de Oficina de
(SW.08) 1 mejoramiento, que se generan como (HW.02) - (S.05) Software
Mejoramiento control interno
producto de las auditorías
Oficina de
S.I. Activos de Sistema para la gestión de los activos de
(SW.09) 1 (HW.02) - (S.05) seguridad de la Software
Información información organizacionales
información
S.I. Gestión Sistema para la gestión de la correspondencia Secretaría
(SW.10) 1 (HW.02) - (S.05) Software
documental y el archivo general
Herramienta que facilita el análisis de las

(SW.11) Fortianalyzer 1 (HW.06) Oficina TI Software
posibles amenazas e ineficiencias de la red
Herramienta para el análisis de los archivos

(SW.12) Fortisandbox 1 (HW.06) Oficina TI Software
digitales que circulan por la red de la entidad
Software de tipo corporativo que detecta la
presencia de malware en los diferentes
(SW.13) Antivirus 1 (HW.02) Oficina TI Software
medios de almacenamiento de un
computador
Bases de datos
(SW.14) 1 Repositorio de la información estructura (HW.02) Oficina TI Software
de los SI
RAC base de Sistema de alta disponibilidad para la base de

(SW.15) 1 (HW.02) Oficina TI Software
datos Oracle datos. Conformado por 2 nodos
Firmware "Software" interno del firewall,

(SW.16) 1 (HW.06) Oficina TI Software
fortigate que permite su operación
Sistema
Sistema Operativo de código abierto muy
(SW.17) Operativo 30 (HW.02) Oficina TI Software
empleado en el ámbito de servidores
Ubuntu
Sistema
(SW.18) Operativo 80 Sistema operativo de propiedad de Microsoft (HW.01) Oficina TI Software
Windows
Aplicación de software que permite la

(SW.19) Hipervisor 20 ejecución de varios sistemas operativos en (HW.03) Oficina TI Software
una misma máquina, de manera simultanea
Tabla 11. Inventario de activos - (P) Personas. Fuente: propia.
INVENTARIO DE ACTIVOS – TIPO: PERSONAS

CÓDIGO CANT DESCRIPCIÓN PROPIETARIO TIPO DE ACTIVO
(P.01) Director 1 N/A N/A Dirección general Personal
Subdirector de Subdirección de
(P.02) 1 N/A N/A Personal
Proyectos proyectos
Subdirector de Subdirección de
Infraestructura infraestructura

23 | 100
INVENTARIO DE ACTIVOS – TIPO: PERSONAS

CÓDIGO CANT DESCRIPCIÓN PROPIETARIO TIPO DE ACTIVO
Subdirección
(P.04) Subdirector Jurídico 1 N/A N/A Personal
jurídica
Oficina de
(P.05) Jefe Contratación 1 N/A N/A Personal
contratos
Secretaría
(P.06) Secretario General 1 N/A N/A Personal
general
Jefe Administración Administración
Financiera financiera
(P.08) Jefe Recursos Físicos 1 N/A N/A Recursos físicos Personal
Administrador Base de
(P.09) 2 N/A N/A Oficina TI Personal
Datos
(P.10) Oficial de Seguridad 1 N/A N/A Oficina TI Personal
(P.11) Arquitecto de TI 2 N/A N/A Oficina TI Personal
(P.12) Operador CPD 3 N/A N/A Oficina TI Personal
(P.13) Webmaster 1 N/A N/A Oficina TI Personal
Operador de Redes y
Comunicaciones
Responsable Mesa de
Servicios
Operador Mesa de
Servicios
4.2. Valoración de los activos

La valoración de los activos se debe pensar de tal modo que se tenga en cuenta el valor y la
importancia que tienen para la Empresa. Otra manera de valorar los activos es definir un
modelo jerárquico, que permita dar un mayor valor a aquellos activos de los cuales dependen
otros, tal como se muestra en la siguiente ilustración:

24 | 100
Ilustración 7. Jerarquía para la valoración de activos. Fuente: Propia.
En la ilustración 7 se puede apreciar el modelo jerárquico planteado. Por ejemplo, si falla el

hipervisor, todos los activos que dependen de él, muy probablemente también van a
presentar una falla o no estarán disponibles.
4.3. Dimensiones de Seguridad

Para la Empresa de Manejo de Obras las dimensiones ACIDA con las cuales se valorarán los
activos de información son las siguientes:
Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o
bien que garantiza la fuente de la que proceden los datos. [UNE 71504: 2008].
Confidencialidad: Propiedad o característica consistente en que la información ni se pone a

disposición, ni se revela a individuos, entidades o procesos no autorizados. [UNE - ISO/IEC
27001:2007].
Integridad: Propiedad o característica consistente en que el activo de información no ha sido

alterado de manera no autorizada. [ISO/IEC 13335-1:2004].
Disponibilidad: Propiedad o característica de los activos consistente en que las entidades o

procesos autorizados tienen acceso a los mismos cuando lo requieren. [UNE 71504:2008].

25 | 100
Trazabilidad: del inglés Accountability. Propiedad o característica consistente en que las

actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. [UNE
71504:2008].
Después de haber explicado las dimensiones, es preciso tener de presente la escala de 5

criterios que se empleará durante la valoración:
Tabla 12. Valoración de las dimensiones de seguridad. Fuente: Modelo TFM UOC
VALOR CRITERIO
5 Daño muy grave para la empresa
4 Daño grave para la empresa
3 Daño importante para la empresa
2 Daño menor para la empresa
1 Irrelevante para la empresa
4.4. Tabla Resumen

En la siguiente tabla se resume la valoración de los activos previamente identificados, de
acuerdo a las cinco dimensiones ya citadas también.
Tabla 13. Valoración de los activos. Fuente: Propia.
INVENTARIO DE ACTIVOS
IMPORTANCIA
TIPO DE ACTIVO CODIGO NOMBRE DEL ACTIVO [A] [C] [I] [D] [T]
DEL ACTIVO
Datos (D.01) Configuración fortigate 5 5 5 5 4 Muy alto
Datos (D.02) Firmware fortigate 5 1 5 5 4 Alto
Datos (D.03) Configuración antivirus 5 5 5 5 4 Muy alto

Código fuente de los sistemas de
Datos (D.04) 5 4 5 4 3 Muy alto
información
Datos (D.05) Licenciamiento software comercial 5 1 5 4 5 Alto
Datos (D.06) hojas de vida de los empleados 4 5 5 4 3 Muy alto
Datos (D.07) Archivo físico no digitalizado 4 5 5 4 3 Muy alto
Datos (D.08) Contratos 3 2 5 3 2 Medio
Datos (D.09) Correspondencia radicada 3 2 4 4 3 Alto
Datos (D.10) S.I. de inteligencia de negocio (BI) 3 3 3 3 2 Medio
Datos (D.11) Datos del sistema ERP 2 4 3 4 2 Medio
Datos del sistema de proyectos de

Datos (D.11) 2 2 3 4 1 Medio
obra

26 | 100
IMPORTANCIA
DEL ACTIVO
Datos (D.12) Datos del CMS 2 2 3 4 2 Medio
Datos (D.13) Datos de planes de mejoramiento 3 2 3 3 2 Medio
Datos del sistema de activos de

Datos (D.14) 3 3 2 3 2 Medio
información
datos del sistema de gestión

Datos (D.15) 3 4 3 3 2 Medio
documental.
Sistema de aire Acondicionado de
Equipamiento auxiliar (Aux.01) 5 Alto
precisión
Sistema de detección y extinción de
fuego
Sistema de alimentación
ininterrumpida de energía eléctrica
Equipamiento auxiliar (Aux.04) Sistema de control de acceso al CPD 5 Alto
Equipamiento auxiliar (Aux.05) Archivadores 3 Medio
Hardware (HW.01) Servidores físicos Win2012 2 4 4 3 3 Alto
Hardware (HW.02) Servidores físicos Linux Ubuntu 2 4 4 3 3 Alto

Servidores físicos host para
Hardware (HW.03) 2 4 4 4 3 Alto
virtualizar
Hardware (HW.04) Solución almacenamiento SAN 2 4 5 3 3 Alto
Hardware (HW.05) Solución backup 2 4 5 3 3 Alto
Hardware (HW.06) Fortigate 2 4 5 3 3 Alto

Centro de Procesamiento de Datos –
Instalaciones (I.01) 2 5 5 4 4 Alto
CPD
Instalaciones (I.02) Cuartos de cableado 2 4 5 4 3 Alto
Instalaciones (I.03) Oficinas directivos 3 3 2 4 4 Alto
Instalaciones (I.04) Puestos de trabajo 2 3 3 1 4 Medio
Instalaciones (I.05) Edificio principal 2 2 4 4 3 Medio
Instalaciones (I.06) Archivo central 3 5 5 4 3 Alto
Red (R.01) Switch de Core 4 3 3 5 5 Alto
Red (R.02) Switch Top of Rack 4 3 3 5 5 Alto
Red (R.03) Switch de borde 4 3 3 4 5 Alto
Red (R.04) Canales Internet 2 2 4 5 3 Alto
Servicios (S.01) Correo electrónico 5 4 4 4 3 Alto
Servicios (S.02) Intranet 5 3 4 4 5 Muy alto
Servicios (S.03) Página web 5 3 4 4 5 Muy alto
Servicios (S.04) Carpetas compartidas 5 4 5 3 3 Alto
Servicios (S.05) Directorio activo 5 5 5 5 3 Muy alto
Software (SW.01) Servidores virtuales producción 2 4 4 4 3 Alto
Software (SW.02) Servidores virtuales desarrollo 2 4 4 4 3 Alto
Software (SW.03) Servidores virtuales pruebas 2 4 4 4 3 Alto

27 | 100
IMPORTANCIA
DEL ACTIVO
Software (SW.04) Sistema B.I 2 5 4 5 2 Alto
Software (SW.05) Sistema ERP 2 5 4 4 3 Alto
Software (SW.06) Sistema Proyectos de Obra 2 3 4 5 3 Alto
Software (SW.07) CMS 2 3 3 4 3 Medio
Software (SW.08) S.I. Planes de Mejoramiento 2 1 4 3 3 Medio
Software (SW.09) S.I. Activos de Información 2 3 4 2 3 Medio
Software (SW.10) S.I. Gestión documental 3 5 4 5 3 Alto
Software (SW.11) Fortianalyzer 2 2 3 1 2 Bajo
Software (SW.12) Fortisandbox 2 2 3 4 3 Medio
Software (SW.13) Antivirus 3 2 4 5 3 Alto
Software (SW.14) Bases de datos de los SI 4 4 5 5 4 Muy alto
Software (SW.15) RAC base de datos Oracle 3 3 5 5 3 Alto
Software (SW.16) Firmware fortigate 5 1 5 5 4 Alto
Software (SW.17) Sistema Operativo Ubuntu 4 1 3 3 2 Medio
Software (SW.18) Sistema Operativo Windows 4 1 3 3 2 Medio
Software (SW.19) Hipervisor 4 2 3 4 2 Medio
Personal (P.01) Director 5 5 Bajo
Personal (P.02) Subdirector de Proyectos 5 5 Bajo
Personal (P.03) Subdirector de Infraestructura 5 5 Bajo
Personal (P.04) Subdirector Jurídico 5 5 Bajo
Personal (P.05) Jefe Contratación 5 5 Bajo
Personal (P.06) Secretario General 5 5 Bajo
Personal (P.07) Jefe Administración Financiera 5 5 Bajo
Personal (P.08) Jefe Recursos Físicos 5 5 Bajo
Personal (P.09) Administrador Base de Datos 5 5 Bajo
Personal (P.10) Oficial de Seguridad 5 4 Bajo
Personal (P.11) Arquitecto de TI 5 4 Bajo
Personal (P.12) Operador CPD 5 5 Bajo
Personal (P.13) Webmaster 4 4 Bajo

Operador de Redes y
Personal (P.14) 4 4 Bajo
Comunicaciones
Personal (P.15) Responsable Mesa de Servicios 4 4 Bajo
Personal (P.16) Operador Mesa de Servicios 1 3 Muy bajo

28 | 100
4.5. Análisis de Amenazas

Una amenaza, de acuerdo con la norma ISO 27000 es, palabras más, palabras menos: “la
causa potencial de un incidente no deseado, que puede ocasionar daños a un sistema u
organización”, por lo que es preciso tenerlas siempre muy presentes y hacer un estudio
(análisis) a conciencia.
Lo primero entonces es, conocer las posibles amenazas y saber que pueden ser de origen
natural o humano, y que pueden ser accidentales o voluntarias. Para el presente estudio se
tendrán en cuenta las amenazas del catálogo ofrecido por la norma ISO 27005, como se
muestra en la siguiente tabla:
Tabla 14. Amenazas comunes. Fuente: Norma ISO 27005
Amenazas más Comunes

A-1. Naturales
A-1.1 Desastre Natural - Temblor (Sísmicos)
A-1.2 Desastre Natural - Huracán, Tifón, Vendaval (Climático)
A-1.3 Desastre Natural - Inundación
A-1.4 Desastre Natural - Rayos, tormenta eléctrica (Meteorológico)
A-1.5 Desastre Natural - Cenizas, Lava (Volcánicos)
A-2. Del entorno

A-2.1 Ataque malicioso - Explosivos
A-2.2 Ataque malicioso - Aparato incendiario
A-2.3 Ataque malicioso - Químicos
A-2.4 Ataque malicioso - Daño premeditado / Vandalismo
A-2.5 Ataque malicioso - Uso de armas (actos de guerra / inquietud civil)
A-2.6 Ataque malicioso - Radiación electromagnética
A-2.7 Ataque malicioso - Intención de robo
A-2.8 Ataque malicioso - Manipulación de datos o software
A-2.9 Ataque malicioso - Manipulación de equipo informático
A-2.10 Ataque malicioso - Acceso a servicios del sitio
A-2.11 Acción Industrial - (Espionaje)
A-2.12 Acceso no autorizado al Sitio - (Sector)
A-2.13 Acceso no autorizado al Edificio
A-2.14 Acceso no autorizado a la Sala - (Oficina)
A-3. Del Medio Ambiente
A-3.1 Daño Accidental - Nave Aérea (Accidente importante)
A-3.2 Daño Accidental - Colisión Vehicular (Accidente importante)
A-3.3 Daño Accidental - Material del Edificio
A-3.4 Daño Accidental - Incendio (Fuego)
A-3.5 Daño Accidental - Agua o Suciedad (Daño por agua)
A-3.6 Daño Accidental - Falla de Aire Acondicionado

29 | 100

A-3.7 Daño Accidental - Extremos de temperatura / humedad
A-3.8 Daño Accidental - Contaminación Química (Contaminación)
A-3.9 Daño Accidental - Roturas por personal o equipos (Destrucción del equipo o los medios)
A-3.10 Daño Accidental - Radiación electromagnética (Perturbaciones debidas a la radiación)
A-3.11 Daño Accidental - durante la construcción del edificio / mantenimiento
A-3.12 Contaminación por polvo / polen / esporas (Corrosión, congelamiento)
A-3.13 Daño animal (roedores / insectos / bacteriológico)
A-3.14 Daño Accidental - Impulso electromagnético (PEM) (Perturbaciones debidas a la radiación)
A-4. Por Suministro
A-4.1 Falla de suministro de energía
A-4.2 Falla de suministro de energía de respaldo (UPS)
A-4.3 Subidas de Voltaje / fluctuaciones
A-4.4 Carga electrostática
A-4.5 Falla de suministro de agua o de aire acondicionado
A-4.6 Falla en el suministro de combustible (Gasolina u otros)
A-4.7 Falla / Degradación de equipo informático
A-4.8 Falla / Degradación de sistema de comunicaciones
A-4.9 Falla de comunicaciones de largo alcance (canales dedicados, fibra óptica)
A-4.10 Suministro de personal por muerte y/o lesiones
A-5. Por Software
A-5.1 Uso ilegal de software
A-5.2 Uso de Software por usuarios no autorizados
A-5.3 Uso de Software ilegal o Software malicioso
A-5.4 Falla de software / corrupción
A-5.5 Descuido o Falla para usar parches de software para mejorar debilidades de seguridad conocidas
A-5.6 Importación / Exportación ilegal de software
A-5.7 Robo de Software (o aplicaciones de la organización)
A-5.8 Descarga no controlada de software
A-5.9 Virus de arranque (virus boot)
A-5.10 Virus de archivo
A-5.11 Virus de macros
A-5.12 Código Troyano o Programas de propagación (worms)
A-5.13 Encubrimiento de identidad de usuario
A-5.14 Intento sistemático de uso de contraseñas
A-5.15 Uso inapropiado de equipo de comunicaciones
A-5.16 Uso inapropiado de medios de almacenamiento
A-5.17 Acceso a los sistemas / documentos por el personal de mantenimiento y aseo
A-5.18 Mal Uso de recursos
A-5.19 Abuso de derechos de usuario
A-5.20 Abuso de derechos de administrador

30 | 100

A-5.21 Ingeniería Social
A-5.22 Lectura / Copia / Remoción no autorizada de documentos archivados
A-5.23 Interrupción del servicio durante instalación / actualización al equipo
A-5.24 Documentos dejados en la fotocopiadora, impresora, scanner, fax
A-5.25 Rechazo intencional de comunicaciones
A-5.26 Lectura / copia no autorizada de comunicaciones recibidas
A-5.27 Robo de equipo (de cómputo, de telecomunicaciones, de almacenamiento de datos)
A-5.28 Robo de equipo móvil (portátil, tableta, smartphone)
A-5.29 Infiltración de comunicaciones
A-5.30 Comunicaciones a rutas equivocadas
A-5.31 Mal uso de puertos de acceso remoto para administración o diagnóstico
A-5.32 Re - ruteo de comunicaciones
A-5.33 Análisis de tráfico
A-5.34 Engaño o suplantación de direcciones IP
A-5.35 Engaño de Servicios de directorio de nombres (DNS)
A-5.36 Análisis de flujo de mensaje
A-5.37 Bombas de correo electrónico
A-5.38 Sobrecarga deliberada de servicio
A-5.39 Interceptación de líneas de comunicación
A-5.40 Manipulación de líneas de comunicación
A-6. Acciones No Autorizadas
A-6.1 Uso no autorizado de equipos
A-6.2 Uso de instalaciones de red en forma no autorizada
A-6.3 Uso no autorizado de medios de almacenamiento
A-6.4 Conexión a equipo no autorizado
A-6.5 Uso no autorizado de sistemas informáticos
A-6.6 Uso de software en forma no autorizada
A-6.7 Acceso a red por usuario no autorizado
A-6.8 Procesamiento Ilegal de los datos
A-6.9 Uso no autorizado de datos almacenados en plantas telefónicas
A-6.10 Divulgación de datos o documentos
A-7. Por Operación
A-7.1 Deterioro de los medios de almacenamiento
A-7.2 Errores de transmisión
A-7.3 Error operacional del personal
A-7.4 Error en la ejecución del mantenimiento
A-7.5 Falla técnica de los componentes de red
A-7.6 Falla de los servicios de comunicación
A-7.7 Falla para recibir información
A-7.8 Daño a las líneas de comunicación

31 | 100

A-7.9 Sobrecarga de tráfico de datos en las redes
A-7.10 Enlaces que permanecen activos al completar comunicaciones a través de las redes
A-7.11 Déficit de personal
A-7.12 Errores de Usuario
A-7.13 Exposición de contraseña
A-7.14 Exposición de documentos / datos
A-7.15 Comunicación descuidada de información a receptor no autorizado
A-7.16 Coacción al personal
A-7.17 Engaño / Chantaje al personal
A-7.18 Copia no controlada de documentos
A-7.19 Eliminación no controlada de documentos
A-8. Por Control
A-8.1 Uso no controlado de recursos
A-8.2 Uso no controlado de enlaces de comunicación
A-8.3 Pérdida de confidencialidad
A-8.4 Perdida de disponibilidad a usuarios autorizados
A-8.5 Infracción a la ley de derechos de autor
A-8.6 Degradación del tiempo de respuesta
A-8.7 Degradación de disponibilidad
A-8.8 Manipulación de datos inadvertida
A-8.9 Eliminación negligente de datos
A-8.10 Conversación cruzada
A-8.11 Degradación de documentos en papel
A-8.12 No disponibilidad de respaldos
A-8.13 Corrupción de los datos (electrónicos o físicos)
A-8.14 Negación de Servicios
A-8.15 Robo / Pérdida de equipo / Datos del operador
A-8.16 Manipulación de equipo de operador por familiar o visitante
A-8.17 Falla para respaldar datos / documentos
A-8.18 Falla para cambiar contraseñas regularmente
A-8.19 Falla para usar medidas de seguridad proporcionadas
A-8.20 Falla en los datos respaldados
A-8.21 Abuso de medidas de seguridad - Seguimientos, mal uso de señales de acceso
A-8.22 Mal uso de los servicios de correo
A-8.23 Publicidad adversa de medios protegidos (Entrevistas no autorizadas)
A-8.24 Tiempo de respuesta extendido a través de diferentes zonas de tiempo / horas de trabajo
A-8.25 Brecha de legislación
A-8.26 Explotación de debilidad conocida
A-8.27 Recuperación de medios de almacenamiento o procesamiento reciclados o desechados
A-8.28 Uso de datos de provenientes de fuente no confiables

32 | 100

A-8.29 Emisión o detección de la ubicación (posición) de equipo o funcionario
A-9. Aspectos Generales
A-9.1 Falta de seguimiento de auditoria
A-9.2 Dificultad para hacer verificaciones
A-9.3 Dificultad de validación
A-9.4 Deficiente control de metodología de codificación de la información
A-9.5 Dificultad para encontrar fallas y/o problemas
A-9.6 Registros inadecuados de cambios / modificaciones
A-9.7 Oportunidad para acceso a sistemas por "puertas traseras" no controladas
A-9.8 Rendimiento no esperado de los procesos
A-9.9 Usuarios desconocidos
A-9.10 Improbabilidad de pruebas completas de plataformas, sistemas o procesos
A-9.11 Frustración del usuario
Una vez listadas las amenazas, es necesario mencionar que para la evaluación se empleará
la siguiente tabla de frecuencias:
Tabla 15. Frecuencia de ocurrencia de la amenaza. Fuente: Manual Administración del Riesgo
FRECUENCIA
Valor Concepto Explicación
5 Casi segura Se conoce que ha ocurrido en el último año.
4 Alta Se conoce que ha ocurrido en los dos últimos años.
3 Posible Se conoce que ha ocurrido en los últimos 5 años

Se conoce que ha ocurrido por lo menos una vez en la
2 Baja
Entidad. Aunque no en los últimos 5 años.
Existe la probabilidad, aunque no se conoce que haya
1 Remota
ocurrido en la Entidad
Tabla 16. Niveles de medición del impacto. Fuente: Manual Administración del Riesgo
IMPACTO
# NIVEL
5 Catastrófico
4 Mayor
3 Moderado
2 Menor
1 Insignificante

33 | 100
A continuación, se presenta la valoración de los activos frente a las amenazas. Para lo cual
se agruparon los activos por tipo y se tomaron las amenazas que aplican a cada tipo.
Tabla 17. Valoración de amenazas para Activos de tipo Datos. Elaboración propia.
VALORACIÓN DE AMENAZAS
DATOS FREC. [A] [C] [I] [D] [T]
(D.01) Configuración fortigate 3 50% 75% 100% 100%
(D.02) Firmware fortigate 3 50% 75% 100% 100%
(D.03) Configuración antivirus 3 50% 75% 100% 100%
(D.04) Código fuente de los sistemas de información 3 50% 75% 100% 100%
(D.05) Licenciamiento software comercial 3 50% 75% 100% 100%
(D.06) hojas de vida de los empleados 3 50% 75% 100% 100%
(D.07) Archivo físico no digitalizado 3 50% 75% 100% 100%
(D.08) Contratos 3 50% 75% 100% 100%
(D.09) Correspondencia radicada 3 50% 75% 100% 100%
LISTA DE AMENAZAS
A-2. Del entorno
A-2.1 Ataque malicioso - Explosivos 1 75%
A-2.2 Ataque malicioso - Aparato incendiario 1 100%
A-2.3 Ataque malicioso - Químicos 1 50%
A-2.4 Ataque malicioso - Daño premeditado / Vandalismo 1 100%
A-2.7 Ataque malicioso - Intención de robo 2 100%
A-2.8 Ataque malicioso - Manipulación de datos o software 1 100%
A-2.9 Ataque malicioso - Manipulación de equipo informático 2 75%
A-2.11 Acción Industrial - (Espionaje) 1 50%
A-2.13 Acceso no autorizado al Edificio 2 20%
A-2.14 Acceso no autorizado a la Sala - (Oficina) 3 75%
A-3.4 Daño Accidental - Incendio (Fuego) 3 75%
A-3.5 Daño Accidental - Agua o Suciedad (Daño por agua) 3 50%
Daño Accidental - Contaminación Química
A-3.8 1 50%
(Contaminación)
Daño Accidental - Roturas por personal o equipos
A-3.9 2 100%
(Destrucción del equipo o los medios)
Daño Accidental - durante la construcción del edificio /
A-3.11 2 25%
mantenimiento
Contaminación por polvo / polen / esporas (Corrosión,
A-3.12 3 15%
congelamiento)
A-3.13 Daño animal (roedores / insectos / bacteriológico) 2 50%
A-5. Por Software
A-5.10 Virus de archivo 2 60%
Acceso a los sistemas / documentos por el personal de
A-5.17 1 50%
mantenimiento y aseo
Documentos dejados en la fotocopiadora, impresora,
A-5.24 3 50%
scanner, fax
A-6.8 Procesamiento Ilegal de los datos 1 50% 50%
Uso no autorizado de datos almacenados en plantas
A-6.9 1 75%
telefónicas
A-6.10 Divulgación de datos o documentos 3 75%
A-7. Por Operación
A-7.1 Deterioro de los medios de almacenamiento 2 50% 75%

34 | 100
DATOS FREC. [A] [C] [I] [D] [T]
A-7.3 Error operacional del personal 3 50%
A-7.7 Falla para recibir información 2 25%
A-7.12 Errores de Usuario 3 25% 25% 25%
A-7.14 Exposición de documentos / datos 3 75%
Comunicación descuidada de información a receptor no
A-7.15 2 50%
autorizado
A-7.16 Coacción al personal 2 25% 25%
A-7.17 Engaño / Chantaje al personal 2 25% 25%
A-7.18 Copia no controlada de documentos 3 25%
A-7.19 Eliminación no controlada de documentos 3 100%
A-8. Por Control
A-8.8 Manipulación de datos inadvertida 2 100%
A-8.9 Eliminación negligente de datos 3 100%
A-8.11 Degradación de documentos en papel 2 75%
A-8.13 Corrupción de los datos (electrónicos o físicos) 3 75%
A-8.20 Falla en los datos respaldados 3 75%
Recuperación de medios de almacenamiento o
A-8.27 3 75%
procesamiento reciclados o desechados
A-8.28 Uso de datos de provenientes de fuente no confiables 2 50%
A-9.9 Usuarios desconocidos 2 50%
A-9.11 Frustración del usuario 2 75%
Tabla 18. Valoración de amenazas para Activos de tipo Equipamiento auxiliar. Elaboración propia.
EQUIPAMIENTO AUXILIAR FREC. [A] [C] [I] [D] [A]
(Aux.01) Sistema de aire Acondicionado de precisión 4 100%
(Aux.02) Sistema de detección y extinción de fuego 4 100%
(Aux.03) Sistema de alimentación ininterrumpida de energía eléctrica 4 100%
(Aux.04) Sistema de control de acceso al CPD 4 100%
LISTA DE AMENAZAS
A-1. Naturales
A-1.3 Desastre Natural - Inundación 2 25%
A-1.4 Desastre Natural - Rayos, tormenta eléctrica (Meteorológico) 4 25%
A-2. Del entorno
A-3.3 Daño Accidental - Material del Edificio 1 25%

35 | 100
EQUIPAMIENTO AUXILIAR FREC. [A] [C] [I] [D] [A]
A-3.9 Daño Accidental - Roturas por personal o equipos (Destrucción del
2
equipo o los medios) 25%
A-3.12 Contaminación por polvo / polen / esporas (Corrosión,
1
congelamiento) 25%
A-4. Por Suministro
A-4.1 Falla de suministro de energía 2 100%
A-4.3 Subidas de Voltaje / fluctuaciones 2 25%
A-4.4 Carga electrostática 1 25%
A-4.7 Falla / Degradación de equipo informático 2 50%
A-6.1 Uso no autorizado de equipos 2 25%
A-6.5 Uso no autorizado de sistemas informáticos 2 25%
A-7. Por Operación
A-7.4 Error en la ejecución del mantenimiento 2 50%
A-7.12 Errores de Usuario 3 25%
A-7.17 Engaño / Chantaje al personal 1 50%
A-8. Por Control
A-8.1 Uso no controlado de recursos 2 50%
A-8.14 Negación de Servicios 3 100%
A-9.2 Dificultad para hacer verificaciones 1 15%
A-9.5 Dificultad para encontrar fallas y/o problemas 1 15%
Tabla 19. Valoración de amenazas para Activos de tipo Hardware. Elaboración propia.
HARDWARE FREC. [A] [C] [I] [D] [A]
(HW.01) Servidores físicos Win2012 4 75% 75% 100%
(HW.02) Servidores físicos Linux Ubuntu 4 75% 75% 100%
(HW.03) Servidores físicos host para virtualizar 4 75% 75% 100%
(HW.04) Solución almacenamiento SAN 4 75% 75% 100%
(HW.05) Solución backup 4 75% 75% 100%
(HW.06) Fortigate 4 75% 75% 100%
LISTA DE AMENAZAS
A-1. Naturales
A-1.4 Desastre Natural - Rayos, tormenta eléctrica
4
(Meteorológico) 25%
A-2. Del entorno
36 | 100
HARDWARE FREC. [A] [C] [I] [D] [A]
A-3.9 Daño Accidental - Roturas por personal o equipos
(Destrucción del equipo o los medios) 1
25%
1
congelamiento) 25%
A-4. Por Suministro
A-4.1 Falla de suministro de energía 4 50% 100%
A-4.2 Falla de suministro de energía de respaldo (UPS) 4 50% 100%
A-4.3 Subidas de Voltaje / fluctuaciones 3 50% 50%
A-4.4 Carga electrostática 3 50% 50%
A-4.5 Falla de suministro de agua o de aire acondicionado 3 75% 75%
A-4.7 Falla / Degradación de equipo informático 2 50% 50%
A-6.1 Uso no autorizado de equipos 1 45% 50%
A-6.3 Uso no autorizado de medios de almacenamiento 1 50% 50%
A-6.4 Conexión a equipo no autorizado 2 50%
A-7. Por Operación
A-7.1 Deterioro de los medios de almacenamiento 2 50% 50%
A-7.12 Errores de Usuario 2 25% 100%
A-7.16 Coacción al personal 1 60% 50% 100%
A-7.17 Engaño / Chantaje al personal 1 50% 100%
A-8. Por Control
A-8.15 Robo / Pérdida de equipo / Datos del operador 2 100%
A-8.19 Falla para usar medidas de seguridad proporcionadas 2 50%
A-8.26 Explotación de debilidad conocida 2 100%
A-9.6 Registros inadecuados de cambios / modificaciones 3 75%
A-9.7 Oportunidad para acceso a sistemas por "puertas traseras"
2
no controladas 50%
A-9.8 Rendimiento no esperado de los procesos 3 50%
A-9.11 Frustración del usuario 2 75% 75%
Tabla 20. Valoración de amenazas para Activos de tipo Instalaciones. Elaboración propia.
INSTALACIONES FREC. [A] [C] [I] [D] [A]
(I.01) Centro de Procesamiento de Datos – CPD 4 50% 75% 100%
(I.02) Cuartos de cableado 4 50% 75% 100%
37 | 100
INSTALACIONES FREC. [A] [C] [I] [D] [A]
(I.03) Oficinas directivos 4 50% 75% 100%
(I.04) Puestos de trabajo 4 50% 75% 100%
(I.05) Edificio principal 4 50% 75% 100%
(I.06) Archivo central 4 50% 75% 100%
(I.07) Recepción 4 50% 75% 100%
LISTA DE AMENAZAS
A-1. Naturales
A-1.1 Desastre Natural - Temblor (SÍsmicos) 4 100%
A-1.2 Desastre Natural - Huracán, Tifón, Vendaval (Climático) 1 10%
4
A-2. Del entorno
A-2.13 Acceso no autorizado al Edificio 2 50% 50%
A-3.1 Daño Accidental - Nave Aérea (Accidente importante) 1 100%
A-3.6 Daño Accidental - Falla de Aire Acondicionado 2 75% 75%
A-3.7 Daño Accidental - Extremos de temperatura / humedad 2 25%
A-3.8 Daño Accidental - Contaminación Química (Contaminación) 1 25%
A-3.11 Daño Accidental - durante la construcción del edificio /
1
mantenimiento 25%
A-3.13 Daño animal (roedores / insectos / bacteriológico) 2 25%
A-4. Por Suministro
A-4.5 Falla de suministro de agua o de aire acondicionado 3 100%
Tabla 21. Valoración de amenazas para Activos de tipo Red. Elaboración propia.
RED FREC. [A] [C] [I] [D] [A]
(R.01) Switch de Core 4 100% 100% 100%
(R.02) Switch Top of Rack 4 100% 100% 100%
(R.03) Switch de borde 4 100% 100% 100%
(R.04) Canales Internet 4 100% 100% 100%

38 | 100
LISTA DE AMENAZAS
A-1. Naturales
4
A-2. Del entorno
A-3.9 Daño Accidental - Roturas por personal o equipos
(Destrucción del equipo o los medios) 1
25%
1
congelamiento) 25%
A-4. Por Suministro
A-4.1 Falla de suministro de energía 4 50% 100%
A-4.3 Subidas de Voltaje / fluctuaciones 3 50% 100%
A-4.4 Carga electrostática 3 50% 50%
A-4.7 Falla / Degradación de equipo informático 2 50% 50%
A-4.8 Falla / Degradación de sistema de comunicaciones 2 75% 75%
A-4.9 Falla de comunicaciones de largo alcance (canales
2
dedicados, fibra óptica) 50% 50%
A-5. Por Software
A-5.15 Uso inapropiado de equipo de comunicaciones 3 75%
A-5.21 Ingeniería Social 4 75%
A-5.23 Interrupción del servicio durante instalación /
3
actualización al equipo 100%
A-5.29 Infiltración de comunicaciones 2 100% 50%
A-5.30 Comunicaciones a rutas equivocadas 1 100%
A-5.32 Re - ruteo de comunicaciones 2 100%
A-5.33 Análisis de tráfico 3 100%
A-5.34 Engaño o suplantación de direcciones IP 2 100%
A-5.35 Engaño de Servicios de directorio de nombres (DNS) 2 100%
A-5.36 Análisis de flujo de mensaje 2 50%
A-5.38 Sobrecarga deliberada de servicio 2 50%
A-5.39 Interceptación de líneas de comunicación 1 100%
A-5.40 Manipulación de líneas de comunicación 1 100%
A-6.2 Uso de instalaciones de red en forma no autorizada 2 100%
A-6.4 Conexión a equipo no autorizado 3 100%

39 | 100
A-6.7 Acceso a red por usuario no autorizado 4 100% 100% 100%
A-7. Por Operación
A-7.2 Errores de transmisión 4 100%
A-7.5 Falla técnica de los componentes de red 3 100%
A-7.6 Falla de los servicios de comunicación 3 100%
A-7.8 Daño a las líneas de comunicación 4 100%
A-7.9 Sobrecarga de tráfico de datos en las redes 3 100%
A-7.12 Errores de Usuario 4 100% 100%
A-7.16 Coacción al personal 2 100% 100% 100% 100%
A-8. Por Control
A-8.2 Uso no controlado de enlaces de comunicación 2 100%
A-8.6 Degradación del tiempo de respuesta 2 25%
A-8.14 Negación de Servicios 3 100%
A-8.18 Falla para cambiar contraseñas regularmente 4 50%
A-8.19 Falla para usar medidas de seguridad proporcionadas 4 100% 100%
A-8.26 Explotación de debilidad conocida 2 100% 100% 100%
A-9.7 Oportunidad para acceso a sistemas por "puertas
2
traseras" no controladas 100% 100% 100%
Tabla 22. Valoración de amenazas para Activos de tipo Servicios. Elaboración propia.
SERVICIOS FREC. [A] [C] [I] [D] [A]
(S.01) Correo electrónico 4 100% 100% 100% 100%
(S.02) Intranet 4 100% 100% 100% 100%
(S.03) Página web 4 100% 100% 100% 100%
(S.04) Carpetas compartidas 4 100% 100% 100% 100%
(S.05) Directorio activo 4 100% 100% 100% 100%
LISTA DE AMENAZAS
A-5. Por Software
A-5.23 Interrupción del servicio durante instalación /
3
actualización al equipo 75%
A-7. Por Operación
A-7.6 Falla de los servicios de comunicación 4 100%
A-7.9 Sobrecarga de tráfico de datos en las redes 4 50%
A-7.12 Errores de Usuario 4 25% 25% 10%
A-8. Por Control

40 | 100
SERVICIOS FREC. [A] [C] [I] [D] [A]
A-8.19 Falla para usar medidas de seguridad proporcionadas 3 15%
A-8.22 Mal uso de los servicios de correo 4 25%
1
traseras" no controladas 100% 100% 100%
A-9.11 Frustración del usuario 2 100% 100% 100%
Tabla 23. Valoración de amenazas para Activos de tipo Software. Elaboración propia.
SOFTWARE FREC. [A] [C] [I] [D] [A]
(SW.01) Servidores virtuales producción 4 0% 100% 100% 100%
(SW.02) Servidores virtuales desarrollo 4 0% 100% 100% 100%
(SW.03) Servidores virtuales pruebas 4 0% 100% 100% 100%
(SW.04) Sistema B.I 4 0% 100% 100% 100%
(SW.05) Sistema ERP 4 0% 100% 100% 100%
(SW.06) Sistema Proyectos de Obra 4 0% 100% 100% 100%
(SW.07) CMS 4 0% 100% 100% 100%
(SW.08) S.I. Planes de Mejoramiento 4 0% 100% 100% 100%
(SW.09) S.I. Activos de Información 4 0% 100% 100% 100%
(SW.10) S.I. Gestión documental 4 0% 100% 100% 100%
(SW.11) Fortianalyzer 4 0% 100% 100% 100%
(SW.12) Fortisandbox 4 0% 100% 100% 100%
(SW.13) Antivirus 4 0% 100% 100% 100%
(SW.14) Bases de datos de los SI 4 0% 100% 100% 100%
(SW.15) RAC base de datos Oracle 4 0% 100% 100% 100%
LISTA DE AMENAZAS
A-5. Por Software
A-5.2 Uso de Software por usuarios no autorizados 2 100% 50% 25%
A-5.3 Uso de Software ilegal o Software malicioso 2 100% 100% 100%
A-5.4 Falla de software / corrupción 3 50% 50%
A-5.5 Descuido o Falla para usar parches de software para
mejorar debilidades de seguridad conocidas 4
75%
A-5.7 Robo de Software (o aplicaciones de la organización) 2 75%
A-5.14 Intento sistemático de uso de contraseñas 4 50%
A-5.17 Acceso a los sistemas / documentos por el personal de
2
mantenimiento y aseo 50%
A-5.19 Abuso de derechos de usuario 3 50%
A-5.20 Abuso de derechos de administrador 3 75%
A-5.21 Ingeniería Social 3 100% 100% 100%
A-5.22 Lectura / Copia / Remoción no autorizada de documentos
3
archivados 100% 100%
41 | 100
SOFTWARE FREC. [A] [C] [I] [D] [A]
A-6.5 Uso no autorizado de sistemas informáticos 3 100% 100%
A-7. Por Operación
A-7.4 Error en la ejecución del mantenimiento 3 50% 50%
A-7.12 Errores de Usuario 4 50%
A-7.13 Exposición de contraseña 4 75% 75%
A-7.14 Exposición de documentos / datos 3 50%
A-8. Por Control
A-8.9 Eliminación negligente de datos 4 100%
A-8.12 No disponibilidad de respaldos 3 100% 100%
A-8.20 Falla en los datos respaldados 2 100%
A-9.6 Registros inadecuados de cambios / modificaciones 4 75%
3
traseras" no controladas 75% 75%
A-9.10 Improbabilidad de pruebas completas de plataformas,
3
sistemas o procesos 50%
A-9.11 Frustración del usuario 2 100% 100% 100%
Tabla 24.Valoración de amenazas para Activos de tipo Personas. Elaboración propia.
PERSONAS FREC. [A] [C] [I] [D] [A]
(P.01) Director 4 50% 60% 50% 50% 0%
(P.02) Subdirector de Proyectos 4 50% 60% 50% 50% 0%
(P.03) Subdirector de Infraestructura 4 50% 60% 50% 50% 0%
(P.04) Subdirector Jurídico 4 50% 60% 50% 50% 0%
(P.05) Jefe Contratación 4 50% 60% 50% 50% 0%
(P.06) Secretario General 4 50% 60% 50% 50% 0%
(P.07) Jefe Administración Financiera 4 50% 60% 50% 50% 0%
(P.08) Jefe Recursos Físicos 4 50% 60% 50% 50% 0%
(P.09) Administrador Base de Datos 4 50% 60% 50% 50% 0%
(P.10) Oficial de Seguridad 4 50% 60% 50% 50% 0%
(P.11) Arquitecto de TI 4 50% 60% 50% 50% 0%
(P.12) Operador CPD 4 50% 60% 50% 50% 0%
(P.13) Webmaster 4 50% 60% 50% 50% 0%
(P.14) Operador de Redes y Comunicaciones 4 50% 60% 50% 50% 0%
(P.15) Responsable Mesa de Servicios 4 50% 60% 50% 50% 0%
(P.16) Operador Mesa de Servicios 4 50% 60% 50% 50% 0%
LISTA DE AMENAZAS

42 | 100
PERSONAS FREC. [A] [C] [I] [D] [A]
A-5. Por Software
A-5.13 Encubrimiento de identidad de usuario 1 50% 25% 25% 25%
A-5.21 Ingeniería Social 1 25% 25% 25%
A-6.10 Divulgación de datos o documentos 3 60%
A-7. Por Operación
A-7.11 Déficit de personal 4 50%
A-7.17 Engaño / Chantaje al personal 2 50% 50% 50%
A-8. Por Control
A-8.4 Perdida de disponibilidad a usuarios autorizados 3 50%
4.6. Impacto potencial

“Se denomina impacto a la medida del daño sobre el activo derivado de la materialización
de una amenaza”4.
Después de tener los valores de todos los activos, y el valor máximo del impacto, también por
cada activo, se puede calcular el impacto potencial, que le puede generar a la Empresa el
hecho de que se materialice una de las amenazas sobre uno de los activos.
Para calcular el impacto potencial se emplea la siguiente fórmula:
Impacto Potencial = Valor del activo x impacto mayor
Al tener los dos (2) valores necesarios para realizar este cálculo, la valoración de los activos
en la tabla 12 y los impactos en las tablas 16 a 23, se procede a realizar el cálculo de este
valor, como se muestra en la siguiente tabla:
4 Tomado de: MAGERIT v. 3 - Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información.
43 | 100
Tabla 25. Impacto potencial. Elaboración propia.
CÁLCULO DE IMPACTO POTENCIAL

IMPACTO
VALORACIÓN DEL ACTIVO % IMPACTO
POTENCIAL
VALOR
TIPO DE
COD [A] [C] [I] [D] [T] DEL [A] [C] [I] [D] [T] [A] [C] [I] [D] [T]
ACTIVO
ACTIVO
Datos (D.01) 5 5 5 5 4 Muy alto 50% 75% 100% 100% 0 2,5 3.75 5 5 0
Datos (D.02) 5 1 5 5 4 Alto 50% 75% 100% 100% 0 2,5 0,75 5 5 0
Datos (D.03) 5 5 5 5 4 Muy alto 50% 75% 100% 100% 0 2,5 3,75 5 5 0
Datos (D.04) 5 4 5 4 3 Muy alto 50% 75% 100% 100% 2,5 3 5 4 0
Datos (D.05) 5 1 5 4 5 Alto 50% 75% 100% 100% 2,5 0,75 5 4 0
Datos (D.06) 4 5 5 4 3 Muy alto 50% 75% 100% 100% 2 3,75 5 4 0
Datos (D.07) 4 5 5 4 3 Muy alto 50% 75% 100% 100% 2 3,75 5 4 0
Datos (D.08) 3 2 5 3 2 Medio 50% 75% 100% 100% 1,5 1,5 5 3 0
Datos (D.09) 3 2 4 4 3 Alto 50% 75% 100% 100% 1,5 1,5 4 4 0
Datos (D.10) 3 3 3 3 2 Medio 50% 75% 100% 100% 1,5 2,25 3 3 0
Datos (D.11) 2 4 3 4 2 Medio 50% 75% 100% 100% 1 3 3 4 0
Datos (D.11) 2 2 3 4 1 Medio 50% 75% 100% 100% 1 1,5 3 4 0
Datos (D.12) 2 2 3 4 2 Medio 50% 75% 100% 100% 1 1,5 3 4 0
Datos (D.13) 3 2 3 3 2 Medio 50% 75% 100% 100% 1,5 1,5 3 3 0
Datos (D.14) 3 3 2 3 2 Medio 50% 75% 100% 100% 1,5 2,25 2 3 0
Datos (D.15) 3 4 3 3 2 Medio 50% 75% 100% 100% 1,5 3 3 3 0

Equipamiento
(Aux.02) 5 Muy bajo 100% 5
auxiliar
Equipamiento
(Aux.03) 5 Muy bajo 100% 5
auxiliar
Equipamiento
(Aux.04) 5 Muy bajo 100% 5
auxiliar
Equipamiento
(Aux.05) 3 Muy bajo 100% 3
auxiliar
Hardware (HW.01) 2 4 4 3 3 Alto 100% 100% 100% 0 4 4 3 0
Hardware (HW.02) 2 4 4 3 3 Alto 75% 75% 100% 0 3 3 3 0
Hardware (HW.03) 2 4 4 4 3 Alto 75% 75% 100% 0 3 3 4 0
Hardware (HW.04) 2 4 5 3 3 Alto 75% 75% 100% 0 3 3,75 3 0
Hardware (HW.05) 2 4 5 3 3 Alto 75% 75% 100% 0 3 3,75 3 0
Hardware (HW.06) 2 4 5 3 3 Alto 75% 75% 100% 0 3 3,75 3 0
Instalaciones (I.01) 2 5 5 4 4 Alto 75% 75% 100% 0 3,75 3,75 4 0
Instalaciones (I.02) 2 4 5 4 3 Alto 50% 75% 100% 0 2 3,75 4 0
Instalaciones (I.04) 2 3 3 1 4 Medio 50% 75% 100% 0 1,5 2,25 1 0
Instalaciones (I.05) 2 2 4 4 3 Medio 50% 75% 100% 0 1 3 4 0

44 | 100

IMPACTO
POTENCIAL
VALOR
TIPO DE
ACTIVO
ACTIVO
Red (R.01) 4 3 3 5 5 Alto 50% 75% 100% 0 1,5 2,25 5 0
Red (R.02) 4 3 3 5 5 Alto 100% 100% 100% 0 3 3 5 0
Red (R.03) 4 3 3 4 5 Alto 100% 100% 100% 0 3 3 4 0
Red (R.04) 2 2 4 5 3 Alto 100% 100% 100% 0 2 4 5 0
Servicios (S.01) 5 4 4 4 3 Alto 100% 100% 100% 100% 5 4 4 4 0
Servicios (S.02) 5 3 4 4 5 Muy alto 100% 100% 100% 100% 5 3 4 4 0
Servicios (S.04) 5 4 5 3 3 Alto 100% 100% 100% 100% 5 4 5 3 0
Software (SW.01) 2 4 4 4 3 Alto 0% 100% 100% 100% 0 4 4 4 0
Software (SW.02) 2 4 4 4 3 Alto 0% 100% 100% 100% 0 4 4 4 0
Software (SW.03) 2 4 4 4 3 Alto 0% 100% 100% 100% 0 4 4 4 0
Software (SW.04) 2 5 4 5 2 Alto 0% 100% 100% 100% 0 5 4 5 0
Software (SW.05) 2 5 4 4 3 Alto 0% 100% 100% 100% 0 5 4 4 0
Software (SW.06) 2 3 4 5 3 Alto 0% 100% 100% 100% 0 3 4 5 0
Software (SW.07) 2 3 3 4 3 Medio 0% 100% 100% 100% 0 3 3 4 0
Software (SW.10) 3 5 4 5 3 Alto 0% 100% 100% 100% 0 5 4 5 0
Software (SW.11) 2 2 3 1 2 Bajo 0% 100% 100% 100% 0 2 3 1 0
Software (SW.13) 3 2 4 5 3 Alto 0% 100% 100% 100% 0 2 4 5 0
Software (SW.14) 4 4 5 5 4 Muy alto 0% 100% 100% 100% 0 4 5 5 0
Software (SW.15) 3 3 5 5 3 Alto 0% 100% 100% 100% 0 3 5 5 0
Software (SW.16) 5 1 5 5 4 Alto 0% 100% 100% 100% 0 1 5 5 0
Personal (P.01) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0
Personal (P.02) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0
Personal (P.03) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0
Personal (P.04) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0
Personal (P.05) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0

45 | 100

IMPACTO
POTENCIAL
VALOR
TIPO DE
ACTIVO
ACTIVO
Personal (P.06) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0
Personal (P.07) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0
Personal (P.08) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0
Personal (P.09) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0
Personal (P.10) 5 4 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2 0
Personal (P.11) 5 4 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2 0
Personal (P.12) 5 5 Bajo 50% 60% 50% 50% 0% 2,5 0 0 2,5 0
Personal (P.13) 4 4 Bajo 50% 60% 50% 50% 0% 2 0 0 2 0
Personal (P.14) 4 4 Bajo 50% 60% 50% 50% 0% 2 0 0 2 0
Personal (P.15) 4 4 Bajo 50% 60% 50% 50% 0% 2 0 0 2 0
Personal (P.16) 1 3 Muy bajo 50% 60% 50% 50% 0% 0,5 0 0 1,5 0
4.7. Nivel de riesgo aceptable y riesgo residual

Antes de tocar el tema del riesgo aceptable y riesgo residual, es conveniente tener presente
que, de acuerdo con la metodología de la Entidad, los posibles niveles del riesgo inherente se
muestran en la siguiente tabla. Este valor es el producto de la frecuencia (o probabilidad) por
el impacto.
Tabla 26. Niveles de clasificación de riesgo. Fuente: Manual Administración del riesgo.
IMPACTO
1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
Casi 5 10 15 20 25
5
segura MODERADO ALTO ALTO EXTREMO EXTREMO
4 8 12 16 20
4 Alta
MODERADO MODERADO ALTO EXTREMO EXTREMO
FRECUENCIA
3 6 9 12 15
3 Posible
INFERIOR MODERADO MODERADO ALTO ALTO
2 4 6 8 10
2 Baja
INFERIOR MODERADO MODERADO MODERADO ALTO
1 2 3 4 5
1 Remota
INFERIOR INFERIOR INFERIOR MODERADO MODERADO
“Aceptar un riesgo es que una vez analizadas las características del riesgo, su calificación y su
nivel residual, se toma la decisión de asumir el riesgo bajo esas condiciones, es decir, que se
continuarán con los controles definidos e implementados. Esta decisión es importante, toda

46 | 100
vez que presume que no es necesario un mayor costo en la inclusión de controles, puesto que
saldría más costoso dichas soluciones adicionales que el impacto que genera la ocurrencia
del riesgo, y por otro lado, se entiende que la Entidad está en la capacidad de gestionar el
riesgo residual que se asume” 5.
En este punto es importante tener presente el concepto de Riesgo Residual, que hace
referencia al riesgo que se mantiene, aún después de aplicar controles o salvaguardas para
tratar el riesgo inherente.
El nivel de aceptación de riesgo, para la Empresa de Manejo de Obras, estará determinado

por los criterios que se muestran en el siguiente cuadro, que fue extraído del Manual de
Administración del Riesgo:
Tabla 27. Criterios de aceptación del riesgo. Fuente: Manual Administración del Riesgo.
Criterios de Aceptación del Riesgo

NIVEL DE RIESGO
DECISIÓN
RESIDUAL
Se asumen el riesgo residual.
Inferior No requiere plan de tratamiento.
Continúa con los controles existentes.
Se asume el riesgo residual.
El plan de tratamiento es opcional, a decisión del líder del
proceso.
Moderado
Se recomienda establecer tratamiento a las causas que
carezcan de controles, o mejorar los controles existentes de
acuerdo a sus calificaciones más bajas.
Alto
No se asume el riesgo en estos niveles, por lo tanto se requiere
establecer un Plan de Tratamiento.
Extremo
Una vez se han recordado los conceptos, o en términos coloquiales, con las reglas claras, se
procede a calcular el riesgo. En la siguiente tabla, cálculo del riesgo, se pintaron de color azul
agua marina los riesgos que están en nivel moderado, en amarillo ocre los que están en nivel
alto y en rojo los de nivel extremo, siguiendo los parámetros de las dos tablas previas.
5 Tomado del Anexo 7b. Manual de Administración del Riesgo.

47 | 100
Tabla 28. Cálculo del riesgo. Elaboración propia.
CÁLCULO DEL RIESGO
ACTIVO % IMPACTO RIESGO

NOMBRE DEL
COD FREC. [A] [C] [I] [D] [T] [A] [C] [I] [D] [T]
ACTIVO
Configuración
(D.01) 3 2,5 3,75 5 5 0 7,5 11,25 15 15 0
fortigate
Configuración
(D.03) 3 2,5 3,75 5 5 0 7,5 11,25 15 15 0
antivirus
Código fuente de
(D.04) los sistemas de 3 2,5 3 5 4 0 7,5 9 15 12 0
información
Licenciamiento
(D.05) software 3 2,5 0,75 5 4 0 7,5 2,25 15 12 0
comercial
hojas de vida de
(D.06) 3 2 3,75 5 4 0 6 11,25 15 12 0
los empleados
Archivo físico no
(D.07) 3 2 3,75 5 4 0 6 11,25 15 12 0
digitalizado
(D.08) Contratos 3 1,5 1,5 5 3 0 4,5 4,5 15 9 0
Correspondencia
(D.09) 3 1,5 1,5 4 4 0 4,5 4,5 12 12 0
radicada
S.I. de
(D.10) inteligencia de 3 1,5 2,25 3 3 0 4,5 6,75 9 9 0
negocio (BI)
Datos del sistema
(D.11) 3 1 3 3 4 0 3 9 9 12 0
ERP
Datos del sistema
(D.11) de proyectos de 3 1 1,5 3 4 0 3 4,5 9 12 0
obra
(D.12) Datos del CMS 3 1 1,5 3 4 0 3 4,5 9 12 0
Datos de planes
(D.13) 3 1,5 1,5 3 3 0 4,5 4,5 9 9 0
de mejoramiento
Datos del
sistema de
(D.14) 3 1,5 2,25 2 3 0 4,5 6,75 6 9 0
activos de
información
datos del sistema
(D.15) de gestión 3 1,5 3 3 3 0 4,5 9 9 9 0
documental.
Sistema de aire
(Aux.01) Acondicionado 4 5 0 0 0 20 0
de precisión
Sistema de
detección y
(Aux.02) 4 5 0 0 0 20 0
extinción de
fuego
Sistema de
alimentación
(Aux.03) ininterrumpida 4 5 0 0 0 20 0
de energía
eléctrica
Sistema de
(Aux.04) Control de 4 5 0 0 0 20 0
acceso al CPD

48 | 100
CÁLCULO DEL RIESGO

NOMBRE DEL
ACTIVO
(Aux.05) Archivadores 4 3 0 0 0 12 0
Servidores físicos
(HW.01) 4 0 4 4 3 0 0 16 16 12 0
Win2012
Servidores físicos
(HW.02) 4 0 3 3 3 0 0 12 12 12 0
Linux Ubuntu
Servidores físicos
(HW.03) host para 4 0 3 3 4 0 0 12 12 16 0
virtualizar
Solución
(HW.04) almacenamiento 4 0 3 3,75 3 0 0 12 15 12 0
SAN
(HW.05) Solución backup 4 0 3 3,75 3 0 0 12 15 12 0
(HW.06) Fortigate 4 0 3 3,75 3 0 0 12 15 12 0
Centro de
(I.01) Procesamiento 4 0 3,75 3,75 4 0 0 15 15 16 0
de Datos – CPD
Cuartos de
(I.02) 4 0 2 3,75 4 0 0 8 15 16 0
cableado
Oficinas
(I.03) 4 0 1,5 1,5 4 0 0 6 6 16 0
directivos
Puestos de
(I.04) 4 0 1,5 2,25 1 0 0 6 9 4 0
trabajo
(I.05) Edificio principal 4 0 1 3 4 0 0 4 12 16 0
(I.06) Archívo central 4 0 2,5 3,75 4 0 0 10 15 16 0
(I.07) Recepción 4 0 1,5 2,25 4 0 0 6 9 16 0
(R.01) Switch de Core 4 0 1,5 2,25 5 0 0 6 9 20 0
Switch Top of
(R.02) 4 0 3 3 5 0 0 12 12 20 0
Rack
(R.03) Switch de borde 4 0 3 3 4 0 0 12 12 16 0
(R.04) Canales Internet 4 0 2 4 5 0 0 8 16 20 0
Correo
(S.01) 4 5 4 4 4 0 20 16 16 16 0
electrónico
(S.02) Intranet 4 5 3 4 4 0 20 12 16 16 0
(S.03) Página web 4 5 3 4 4 0 20 12 16 16 0
Carpetas
(S.04) 4 5 4 5 3 0 20 16 20 12 0
compartidas

49 | 100
CÁLCULO DEL RIESGO

NOMBRE DEL
ACTIVO
(S.05) Directorio activo 4 5 5 5 5 0 20 20 20 20 0
Servidores
(SW.01) virtuales 4 0 4 4 4 0 0 16 16 16 0
producción
Servidores
(SW.02) virtuales 4 0 4 4 4 0 0 16 16 16 0
desarrollo
Servidores
(SW.03) 4 0 4 4 4 0 0 16 16 16 0
virtuales pruebas
(SW.04) Sistema B.I 4 0 5 4 5 0 0 20 16 20 0
(SW.05) Sistema ERP 4 0 5 4 4 0 0 20 16 16 0
Sistema
(SW.06) Proyectos de 4 0 3 4 5 0 0 12 16 20 0
Obra
(SW.07) CMS 4 0 3 3 4 0 0 12 12 16 0
S.I. Planes de
(SW.08) 4 0 1 4 3 0 0 4 16 12 0
Mejoramiento
S.I. Activos de
(SW.09) 4 0 3 4 2 0 0 12 16 8 0
Infromación
S.I. Gestión
(SW.10) 4 0 5 4 5 0 0 20 16 20 0
documental
(SW.11) Fortianalyzer 4 0 2 3 1 0 0 8 12 4 0
(SW.12) Fortisandbox 4 0 2 3 4 0 0 8 12 16 0
(SW.13) Antivirus 4 0 2 4 5 0 0 8 16 20 0
Bases de datos
(SW.14) 4 0 4 5 5 0 0 16 20 20 0
de los SI
RAC base de
(SW.15) 4 0 3 5 5 0 0 12 20 20 0
datos Oracle
Firmware
(SW.16) 4 0 1 5 5 0 0 4 20 20 0
fortigate
Sistema
(SW.17) Operativo 4 0 1 3 3 0 0 4 12 12 0
Ubuntu
Sistema
(SW.18) Operativo 4 0 1 3 3 0 0 4 12 12 0
Windows
(SW.19) Hipervisor 4 0 2 3 4 0 0 8 12 16 0
(P.01) Director 4 2,5 0 0 2,5 0 10 0 0 10 0
Subdirector de
(P.02) 4 2,5 0 0 2,5 0 10 0 0 10 0
Proyectos

50 | 100
CÁLCULO DEL RIESGO

NOMBRE DEL
ACTIVO
Subdirector de
(P.03) 4 2,5 0 0 2,5 0 10 0 0 10 0
Infraestructura
Subdirector
(P.04) 4 2,5 0 0 2,5 0 10 0 0 10 0
Jurídico
(P.05) Jefe Contratación 4 2,5 0 0 2,5 0 10 0 0 10 0
Secretario
(P.06) 4 2,5 0 0 2,5 0 10 0 0 10 0
General
Jefe
(P.07) Administración 4 2,5 0 0 2,5 0 10 0 0 10 0
Financiera
Jefe Recursos
(P.08) 4 2,5 0 0 2,5 0 10 0 0 10 0
Físicos
Administrador
(P.09) 4 2,5 0 0 2,5 0 10 0 0 10 0
Base de Datos
Oficial de
(P.10) 4 2,5 0 0 2 0 10 0 0 8 0
Seguridad
(P.11) Arquitecto de TI 4 2,5 0 0 2 0 10 0 0 8 0
(P.12) Operador CPD 4 2,5 0 0 2,5 0 10 0 0 10 0
(P.13) Webmaster 4 2 0 0 2 0 8 0 0 8 0
Operador de
(P.14) Redes y 4 2 0 0 2 0 8 0 0 8 0
Comunicaciones
Responsable
(P.15) Mesa de 4 2 0 0 2 0 8 0 0 8 0
Servicios
Operador Mesa
(P.16) 4 0,5 0 0 1,5 0 2 0 0 6 0
de Servicios
4.8. Conclusiones
Los activos más críticos son Servicios y Software, seguidos por los Equipos Auxiliares, Redes y
Hardware, en esta última específicamente los servidores físicos con Windows.
Las amenazas que mayor afectación pueden causar a los activos son las del grupo A-8 Por
Control y A-5 Por Software.
En los activos de tipo personal, la dimensión que mayor criticidad presenta es la

confidencialidad.

51 | 100
5. Propuestas de Proyectos
Después de tener un análisis de riesgos detallado, como el presentado en el capítulo anterior,
se precisa plantear unos proyectos que le permitan a la Empresa de Manejo de Obras, mitigar
los riesgos más críticos, y a su vez, cerrar la brecha frente al cumplimiento de la norma de
referencia.
Teniendo en cuenta el nivel de cumplimiento inicial que demarcó el avance en la

implementación de la norma, los proyectos que se planearán en seguida, se deberán
desarrollar en un término no mayor a dos (2) años calendario.
Las Amenazas con mayor probabilidad de materialización, después de analizar la frecuencia

y el impacto potencial son las siguientes 15:
 A-1.1 Desastre Natural - Temblor (Sísmicos)

 A-3.4 Daño Accidental - Incendio (Fuego)
 A-3.5 Daño Accidental - Agua o Suciedad (Daño por agua)
 A-4.1 Falla de suministro de energía
 A-4.2 Falla de suministro de energía de respaldo (UPS)
 A-6.7 Acceso a red por usuario no autorizado
 A-7.2 Errores de transmisión
 A-7.6 Falla de los servicios de comunicación
 A-7.8 Daño a las líneas de comunicación
 A-7.11 Déficit de personal
 A-7.12 Errores de Usuario
 A-8.9 Eliminación negligente de datos
 A-8.14 Negación de Servicios
 A-8.18 Falla para cambiar contraseñas regularmente
 A-8.19 Falla para usar medidas de seguridad proporcionadas
De la misma manera, al analizar los tipos de activo con mayor afectación por los riesgos,
encontramos que en nivel extremo están: Equipamiento auxiliar, Instalaciones, Redes, Servicios
y Software, mientras que en nivel alto están Datos, Hardware y Personal.
De otra parte, si se retoma el análisis diferencial frente a la implementación de los controles

de la guía técnica colombiana GTC-ISO/IEC 27002:2015, y se identifican los dominios de menor
cumplimiento, se pueden mencionar los siguientes cinco (5):

52 | 100
Tabla 29. Dominios con menor grado de implementación. Fuente propia.
DOMINIOS DE MENOR IMPLEMENTACIÓN

%
NUMERAL DOMINIO
CUMPL
Aspectos de seguridad de la información de la
A.17 7%
gestión de continuidad de negocio
Gestión de incidentes de seguridad de la
A.16 23%
información
A.15 Relación con los proveedores 29%
A.7 Seguridad de los recursos humanos 38%
Adquisición, desarrollo y mantenimiento de
A.14 41%
sistemas
Con estos tres insumos mencionados previamente, se plantean los siguientes proyectos
integrales.
5.1. Propuestas
Con los riesgos identificados y calificados, y los dominios de menor implementación en la
Empresa, se plantean los siguientes proyectos, que se espera permitan a la empresa de
Manejo de Obras y en particular a su SGSI, mitigar los riegos encontrados. Se proponen en
total nueve (9) proyectos, que se resumen en la siguiente tabla, y se amplían en seguida:
PROYECTOS PROPUESTOS
Cod Nombre Costo
Sensibilización y entrenamiento en seguridad de la

PR.01 COP$ 28.000.000
información
PR.02 Plan de Recuperación de Desastres COP$ 1.800.000.000
PR.03 Modernización de las UPS COP$ 376.000.000
PR.04 Modernización del cableado estructurado COP$ 600.000.000
PR.05 Adquisición e implantación de un sistema DLP COP$ 25.000.000
PR.06 Gestión de incidentes de seguridad COP$ 0
PR.07 Hacer parte de un CSIRT de gobierno COP$ 0
Actualizar la documentación operativa (políticas y
PR.08 COP$ 0
procedimientos)
Definir una metodología de desarrollo de software
PR.09 COP$ 0
seguro
TOTAL COP$ 2.829.000.000
USD$ 1.000.000
Código del proyecto: PR.01

Nombre del proyecto: Sensibilización y entrenamiento en seguridad de la información
Responsable: Oficial de seguridad de la Información
Dominios afectados: A.7 Seguridad de los recursos humanos

53 | 100
Duración: 1 año. Esta duración es la inicial, pues este tipo de proyecto es permanente y se
debe renovar año a año.
Costos: COP$ 28.000.000
Riesgo (s) a mitigar:
 A-8.18 Falla para cambiar contraseñas regularmente
Impacto sobre los dominios de la seguridad: Ver sección 5.2. Resultados

Nombre del proyecto: Plan de Recuperación de Desastres
Responsable: Jefe Oficina Asesora de Tecnología
Dominios afectados: A.17.1 Continuidad de seguridad de la información
Duración: 6 meses (el plan y los servicios se contratarán a 3 años)
Costos: COP$ 1.800.000.000
 A-1.1 Desastre Natural - Temblor (Sísmicos)
 A-3.4 Daño Accidental - Incendio (Fuego)
 A-3.5 Daño Accidental - Agua o Suciedad (Daño por agua)
 A-4.1 Falla de suministro de energía)

Nombre del proyecto: Modernización de las UPS
Dominios afectados: A.17.1 Continuidad de seguridad de la información
Duración: 10 meses
Costos: COP$ 376.000.000
 A-4.1 Falla de suministro de energía)
 A-4.2 Falla de suministro de energía de respaldo (UPS)

Nombre del proyecto: Modernización del cableado estructurado
Dominios afectados:
 A.16 Gestión de incidentes de seguridad de la información
 A.17.1 Continuidad de seguridad de la información
Duración: 10 meses
Costos: COP$600.000.000
 A-7.2 Errores de transmisión
 A-7.6 Falla de los servicios de comunicación

54 | 100
 A-7.8 Daño a las líneas de comunicación


Nombre del proyecto: Adquisición e implantación de un sistema DLP
Responsable: Jefe Oficina de Seguridad de la Información
Dominios afectados: A.8. Gestión de activos
Duración: 8 meses
Costos: COP$ 25.000.000

Nombre del proyecto: Gestión de incidentes de seguridad
Responsable: Oficial de Seguridad de la Información
Dominios afectados: A.16. Gestión de incidentes de seguridad de la información
Duración: 3 meses
Costos: COP$ 0

Nombre del proyecto: Hacer parte de un CSIRT de gobierno
Dominios afectados: A.16. Gestión de incidentes de seguridad de la información
Duración: 2 meses
Costos: COP$ 0

Nombre del proyecto: Actualizar la documentación operativa (políticas y procedimientos)
Responsable: Oficial de Seguridad de la Información
Dominios afectados:
 7.5. Información documentada
 A.6 Organización de la seguridad de la información
 A.15. Relaciones con los proveedores (en la medida en que se puede documentar la
forma de proteger la información, en la relación contractual)
Duración: 6 meses
Costos: COP$ 0

55 | 100


Nombre del proyecto: Definir una metodología de desarrollo de software seguro
Responsable: Jefe Oficina Asesora de Tecnología – Jefe Oficina de Seguridad de la
Información
Dominios afectados:
 A.12.1.4. Separación de los ambientes de desarrollo, prueba y operación
 A.14 Adquisición, desarrollo y mantenimiento de sistemas
Duración: 2 meses
Costos: COP$ 0

56 | 100
Diagramas de planificación de los proyectos en el tiempo
Planeación de los proyectos

Primer año 60 Duración del plan
PROYECTOS SEMANAS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52
PR.01 Sensibilización y entrenamiento en seguridad de la
información
PR.02 Plan de Recuperación de Desastres
PR.03 Modernización de las UPS
PR. 04 Modernización del cableado estructurado
PR.05 Adquisición e implantación de un sistema DLP
PR.06 Gestión de incidentes de seguridad
PR.07 Hacer parte de un CSIRT de gobierno
PR.08 Actualizar la documentación operativa (políticas y

procedimientos)
PR.09 Definir una metodología de desarrollo de software seguro
Ilustración 8. Planeación temporal de los proyectos propuestos para el primer año. Fuente propia
Planeación de los proyectos

Segundo año 60 Duración del proyecto
PROYECTOS SEMANAS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52
PR.01 Sensibilización y entrenamiento en seguridad de la
información
PR.02 Plan de Recuperación de Desastres
PR.03 Modernización de las UPS
PR. 04 Modernización del cableado estructurado
PR.05 Adquisición e implantación de un sistema DLP
PR.06 Gestión de incidentes de seguridad
PR.07 Hacer parte de un CSIRT de gobierno
PR.08 Actualizar la documentación operativa (políticas y

procedimientos)
PR.09 Definir una metodología de desarrollo de software seguro
Ilustración 9. Planeación temporal de los proyectos propuestos para el segundo año. Fuente propia

57 | 100
5.2. Resultados
Una vez que los proyectos planteados se finalicen, se espera tener el siguiente estado de
cumplimiento frente a la guía técnica GTC-ISO-IEC 27002:2015
Tabla 30. Estado esperado de los controles luego de los proyectos. Fuente propia.
EVOLUCIÓN EN EL CUMPLIMIENTO DE CONTROLES LUEGO DE

FINALIZAR LOS PROYECTOS
Cumplimiento Primer Segundo
Nombre dominios
actual año año
A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 100% 100% 100%
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 48% 75% 80%
INFORMACIÓN
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 38% 65% 85%
A.8 GESTIÓN DE ACTIVOS 68% 72% 90%
A.9 CONTROL DE ACCESO 73% 75% 80%
A.10 CRIPTOGRAFÍA 60% 62% 65%
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 87% 90% 92%
A.12 SEGURIDAD DE LAS OPERACIONES 62% 75% 95%
A.13 SEGURIDAD DE LAS COMUNICACIONES 69% 70% 73%
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE 41% 85% 90%
SISTEMAS
A.15 RELACIÓN CON LOS PROVEEDORES 29% 60% 65%
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA 23% 65% 92%
INFORMACIÓN
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA 7% 70% 94%
GESTION DE CONTINUIDAD DE NEGOCIO
A.18 SEGURIDAD DE LAS COMUNICACIONES 72% 73% 75%

58 | 100
Evolución en el cumplimiento de controles luego de finalizar los proyectos

Cumplimiento actual Primer año Segundo año Calificación objetivo
A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

100%
A.18 SEGURIDAD DE LAS COMUNICACIONES A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
90%
80%
70%
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTION DE
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
CONTINUIDAD DE NEGOCIO
60%
50%
40%
30%
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN A.8 GESTIÓN DE ACTIVOS
20%
10%
0%
A.15 RELACIÓN CON LOS PROVEEDORES A.9 CONTROL DE ACCESO
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS A.10 CRIPTOGRAFÍA
A.13 SEGURIDAD DE LAS COMUNICACIONES A.11 SEGURIDAD FÍSICA Y DEL ENTORNO
A.12 SEGURIDAD DE LAS OPERACI ONES
Ilustración 10. Evolución de los controles luego de finalizar los proyectos. Fuente propia.

59 | 100
6. Auditoría de Cumplimiento
Una vez que se han desarrollado los proyectos planteados para mitigar los riesgos encontrados,
se presume que la Empresa de Manejo de Obras tiene la madurez necesaria para certificar su
SGSI, en este sentido se parte del hecho de que el proceso de auditoría ocurre después de
finalizar la implementación de los proyectos propuestos en el capítulo anterior.
De esta manera, el primer paso es adelantar una auditoría interna que permita evaluar el
estado de la implementación del sistema de gestión, contra la norma de referencia, NTC-
ISO/IEC-27001:2013, específicamente los controles del anexo A de la citada norma.
6.1. Metodología
La auditoría se basará en la evaluación de cumplimiento o capacidad y madurez de los
controles del Anexo A de la norma NTC-ISO/IEC 27001:2013. Para ello, se empleará el modelo
CMM, o Modelo de Capacidad y Madurez, con base en la siguiente escala de valoración:
Tabla 31. Modelo de Madurez de la Capacidad. Descripción tomada de

https://es.wikipedia.org/wiki/Modelo_de_Capacidad_y_Madurez
MODELO DE CAPACIDAD Y MADUREZ

EFECTIVIDAD CMM SIGNIFICADO DESCRIPCIÓN
Carencia completa de cualquier control
reconocible.
0% L0 Inexistente
No se ha reconocido siquiera que existe un
problema a resolver.
Aunque se utilicen técnicas correctas, los esfuerzos
se ven minados por falta de planificación. El éxito
de los controles se basa la mayoría de las veces en
Inicial / Ad-
10% - 49% L1 el esfuerzo personal, aunque a menudo se
hoc
producen fracasos y casi siempre retrasos y
sobrecostes. La efectividad de los controles es
impredecible.
En este nivel las organizaciones disponen de unas
prácticas institucionalizadas de gestión de los
controles, existen unas métricas básicas y un
razonable seguimiento de la calidad. La relación
con subcontratistas y clientes está gestionada
Reproducible,
50% - 69% L2 sistemáticamente.
pero intuitivo
No hay comunicación o entrenamiento formal, las
responsabilidades quedan a cargo de cada
individuo.
Se depende del grado de conocimiento de cada
individuo.
Además de una buena gestión de los controles, a
este nivel las organizaciones disponen de correctos
procedimientos de coordinación entre grupos,
70% - 85% L3 Definido formación del personal, técnicas de ingeniería más
detalladas y un nivel más avanzado de métricas en
los procesos. Se implementan técnicas de revisión
por pares.
60 | 100
MODELO DE CAPACIDAD Y MADUREZ

EFECTIVIDAD CMM SIGNIFICADO DESCRIPCIÓN
Se caracteriza porque las organizaciones disponen
de un conjunto de métricas significativas de
Gestionado y
86% - 99% L4 calidad y productividad, que se usan de modo
medible
sistemático para la toma de decisiones y la gestión
de riesgos. La efectividad de los controles es alta.
La organización completa está volcada en la
mejora continua de los procesos, incluyendo los
100% L5 Optimizado controles de la seguridad de la información. Se
hace uso intensivo de las métricas y se gestiona el
proceso de innovación.
La evaluación de los controles se realizará mediante un análisis de los recursos disponibles:

documentación existente dentro de la Empresa, reportes de evidencias, reportes de
incidentes, reportes de funcionamiento, reportes de evaluaciones, informes de auditorías
pasadas, reportes de entrevistas y observaciones realizadas in situ.

61 | 100
6.2. Evaluación de la Madurez
Para realizar la evaluación se empleará la siguiente tabla, que cita cada uno de los 114 controles. Se incluye una casilla para indicar si cumple o no,
en caso de ser positivo, el nivel de cumplimiento y una casilla más para incluir una observación del equipo auditor.
Tabla 32. Evaluación de la Madurez de los Controles
CUMPLE
NIVEL
DOMINIO OBJETIVO/CONTROL OBSERVACIÓN
A5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN L5

A.5.1. ORIENTACION DE LA Brindar orientación y soporte, por parte de la
DIRECCION PARA LA GESTION Dirección, para la seguridad de la información de
L5
DE LA SEGURIDAD DE LA acuerdo con los requisitos del negocio y con las
INFORMACION leyes y reglamentos pertinentes.
A.5.1.1. Políticas para la DEBE definir un conjunto de políticas para la En la Empresa de Manejo de Obras se cuenta
seguridad de la información Seguridad de la Información, aprobadas por la con 2 documentos de políticas, uno aprobado
dirección, publicada y comunicada a los mediante la resolución 34217 de 2015, que
empleados y partes externas pertinentes. Sí L5 incluye unas políticas obligatorias y de alto
nivel. Y un Documento de Políticas
Operacionales de Seguridad de la
Información.
A.5.1.2. Revisión de las políticas Las políticas para la seguridad de la información se Existe un plan de revisión de las políticas de
para la seguridad de la DEBEN revisar a intervalos planificados o si ocurren manera periódica, al menos una vez al año, o
información cambios significativos para asegurar su Sí L5 cada vez que se presente un cambio
conveniencia, adecuación y eficacias continúas. significativo. Sin embargo, no hay registro de
revisiones de las políticas hasta ahora.
A.6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN L4
A.6.1. ORGANIZACIÓN INTERNA Establecer un marco de referencia de gestión para
iniciar y controlar la implementación y la operación
L4
de la Seguridad de la Información dentro de la
organización.
CUMPLE
NIVEL
A.6.1.1. Roles y Se deben definir y asignar TODAS las Los roles y las responsabilidades están
responsabilidades para la responsabilidades de la Seguridad de la claramente asignadas. La Oficina de
seguridad de la información Información. Seguridad de la Información depende
Sí L4 directamente de la dirección. Los
responsables de los activos están claramente
identificados. Existe un documento en el que
figuran los diferentes roles y responsabilidades.
A.6.1.2. Separación de deberes Los deberes y áreas de responsabilidad en Se tiene definido un solo propietario para
conflicto se deben separar para reducir las cada activo crítico. Ningún funcionario tiene
posibilidades de modificación No Autorizada o No Sí L4 autorización para cambiar o modificar activos
Intencional, o el uso indebido de los activos de la sin el lleno de los requisitos.
organización.
A.6.1.3. Contacto con las Se deben mantener contactos apropiados con las Luego de la implementación del proyecto
autoridades autoridades pertinentes. PR.07 Hacer parte de un CSIRT de gobierno le
Sí L5
ha permitido a La Empresa mantenerse en
contacto permanente con las autoridades.
A.6.1.4. Contacto Con Grupos Se deben mantener contactos apropiados con los Se crearon dos grupos de distribución para
De Interés Especiales grupos de interés especial u otros foros y mantenerse en contacto permanente, uno a
asociaciones profesionales especializadas en través de correo electrónico, a través del cual
seguridad. se reciben boletines de actualidad en temas
de seguridad de la información. Y un segundo
grupo a través de Whatsapp, mediante el cual
Sí L4
se comparten noticias más rápidas sobe
seguridad de la información, así como alertas
de posibles incidentes o vulnerabilidades. En
los 2 grupos hay 8 funcionarios, entre personas
de la oficina de seguridad y de la de
tecnología.

63 | 100
CUMPLE
NIVEL
A.6.1.5. Seguridad de la La seguridad de la Información se debe tratar en la La Empresa cuenta con un profesional de
información en la gestión de gestión de proyectos, independientemente del tipo proyectos que orienta la aplicación de la
proyectos de proyecto. metodología PMI. Asimismo, se tiene un
Sí L3 formato a manera de lista de verificación,
para comprobar la seguridad de la
información en los proyectos. Sin embargo,
este último no se utiliza masivamente.
A.6.2. DISPOSITIVOS MÓVILES Y Garantizar la seguridad del teletrabajo y el uso de
L4
TELETRABAJO dispositivos móviles.
A.6.2.1. Política para dispositivos Se DEBE adoptar una POLÍTICA y unas medidas de Se encuentra adoptada la política
móviles. seguridad de soporte, para gestionar los riesgos Sí L4 correspondiente, mediante la resolución
introducidos por el uso de dispositivos móviles. 34217 de 2015.
A.6.2.2. Teletrabajo. Se DEBE implementar una POLÍTICA y unas medidas Se encuentra adoptada la política
de seguridad de soporte, para proteger la correspondiente, mediante la resolución
información a la que se tiene acceso, que es Sí L4 34217 de 2015.
procesada o almacenada en los lugares en los que
se realiza el teletrabajo.
A.7. SEGURIDAD DE LOS RECURSOS HUMANOS L4
A.7.1. ANTES DE ASUMIR EL Asegurar que los empleados y contratistas
EMPLEO comprenden sus responsabilidades y son idóneos L3
en los roles para los que se consideran.
A.7.1.1. Selección Las verificaciones de los antecedentes de TODOS Por ser una empresa de orden gubernamental,
los candidatos a un empleo se deben llevar a se deben seguir unos controles de ley en la
cabo de acuerdo con las leyes, reglamentaciones vinculación de los funcionarios de carrera
y ética pertinentes, y deben proporcionales a los administrativa, quienes se vinculan al ganarse
Sí L3
requisitos del negocio, a la clasificación de la el derecho por un concurso de méritos. Por
información a que se va a tener acceso, y a los otra parte, en la vinculación de contratistas, se
riesgos percibidos. tienen algunos vacíos, pues la selección no es
estándar.

64 | 100
CUMPLE
NIVEL
A.7.1.2. Términos y condiciones Los acuerdos contractuales con los empleados y Se publicó una guía de roles y
del empleo contratistas deben establecer sus responsabilidades, en la que se especifican
Sí L3
responsabilidades y las de la organización en estas.
cuanto a la seguridad de la información.
A.7.2. DURANTE LA EJECUCION Asegurarse de que los empleados y contratistas
DEL EMPLEO tomen conciencia de sus responsabilidades de L4
seguridad de la información y las cumplan.
A.7.2.1. Responsabilidades de la La dirección DEBE exigir a todos los empleados y La Empresa ha dado las directivas sobre la
dirección contratistas la aplicación de la Seguridad de la importancia de la seguridad de la
Información de acuerdo con las políticas y información y las consecuencias de no
procedimientos establecidos por la organización. respetar las políticas definidas. Los
Sí L4
funcionarios y contratistas tienen definido un
programa de formación / información /
concienciación sobre políticas y
procedimientos y sus responsabilidades
A.7.2.2. Toma de conciencia, TODOS los empleados de la organización, y en Las entidades deben formular el Plan
educación y formación en la donde sea pertinente, los contratistas, DEBEN recibir Institucional de Capacitación, sin embargo en
seguridad de la información la educación y formación en toma de conciencia este no pueden participar los contratistas.
apropiada, y actualizaciones regulares sobre las Sí L4 También se realizaron sesiones de inducción y
políticas y procedimientos de la organización reinducción (para personal de carrera) y otras
pertinentes para su cargo. de presentación de la empresa para
contratistas de apoyo.
A.7.2.3. Proceso disciplinario Se DEBE contar con un proceso formal, el cual Se cuenta con un procedimiento
debe ser comunicado, para emprender acciones documentado y aprobado sobre el proceso
Sí L4
contra empleados que hayan cometido una disciplinario.
violación a la Seguridad de la Información.
A.7.3. TERMINACION Y CAMBIO Proteger los intereses de la organización como
DE EMPLEO parte del proceso de cambio o terminación del L4
empleo.

65 | 100
CUMPLE
NIVEL
A.7.3.1. Terminación o cambio Las responsabilidades y los deberes de Seguridad Se incluyen estas responsabilidades en los
de responsabilidades de de la Información que permanecen válidos manuales de funciones del personal de
empleo después de la terminación o cambio de empleo se Sí L4 carrera administrativa y en las cláusulas de los
DEBEN definir, comunicar al empleado o contratista contratos.
y se deben hacer cumplir.
A.8. GESTION DE ACTIVOS L5
A.8.1. RESPONSABILIDAD POR Identificar los activos asociados con información e
LOS ACTIVOS instalaciones de procesamiento de información, y
L5
se debe elaborar y mantener un inventario de estos
activos.
A.8.1.1. Inventario de activos Se deben identificar los activos asociados con Se cuenta con un sistema de información que
información e instalaciones de procesamiento de permite la toma y actualización de los
información y se debe elaborar y mantener un Sí L5 inventarios de activos de información. Se tiene
inventario de estos activos un procedimiento formalizado y se hace la
actualización mínimo una vez al año.
A.8.1.2. Propiedad de los activos Los activos mantenidos en el inventario deben Todos los activos de información identificados
Sí L5
tener un propietario. tienen un propietario asignado.
A.8.1.3. Uso aceptable de los Se deben identificar, documentar e implementar Se cuenta con el instructivo IN-TI-06 Uso
activos reglas para el uso aceptable de la INFORMACION y adecuado de los recursos de TI, el cual fue
Sí L4
de los ACTIVOS asociados con información e divulgado a través de los medios internos.
instalaciones de procesamiento de información.
A.8.1.4. Devolución de activos TODOS los empleados y usuarios de partes externas El proceso Gestión del Talento Humano tiene
DEBEN devolver todos los activos de la dentro del procedimiento de desvinculación,
organización que se encuentren a su cargo. Al Sí L4 el requerimiento de diligenciar el formato FO-
terminar su empleo, contrato o acuerdo. TH-22 Paz y salvo para el retiro de funcionarios
de planta y contratistas.
A.8.2. CLASIFICACION DE LA Asegurar que la información recibe un NIVEL
INFORMACION apropiado de PROTECCION, de acuerdo con su L3
importancia para la organización.

66 | 100
CUMPLE
NIVEL
A.8.2.1. Clasificación de la La información se debe clasificar en función de los Se tiene un lineamiento sobre la clasificación
información requisitos legales, valor, criticidad y susceptibilidad Sí L2 de la información, pero hace falta divulgación
a divulgación o modificación no autorizada. de la misma.
A.8.2.2. Etiquetado y manejo de Se debe desarrollar e implementar un conjunto Se tiene un lineamiento sobre el etiquetado de
información adecuado de procedimientos para el etiquetado la información, pero hace falta divulgación de
de la información, de acuerdo con el esquema de Sí L2 la misma.
clasificación de información adoptado por la
organización.
A.8.2.3. Manejo de activos Se deben desarrollar e implementar Se tienen un procedimiento y un instructivo
procedimientos para el manejo de activos, de para el manejo de los activos de información.
acuerdo con el esquema de clasificación Sí L4 Se han realizado jornadas de divulgación y
adoptado por la organización. sensibilización sobre el tema, en cada una de
las dependencias durante los dos últimos años.
A.8.3. MANEJO DE MEDIOS Evitar la divulgación, la modificación, el retiro o la
destrucción no autorizados de información L3
almacenada en los medios.
A.8.3.1. Gestión de medios Se deben implementar procedimientos para la Se tiene el instructivo IN-TI-05 Uso adecuado de
removibles gestión de medios removibles, de acuerdo con el los dispositivos de almacenamiento de
esquema de clasificación adoptado por la Sí L3 información, aunque falta mayor divulgación
organización. para masificar su utilización.
A.8.3.2. Disposición de los Se debe disponer en forma segura del os medios Se tiene el instructivo IN-TI-15 Borrado seguro y
medios cuando ya no se requieran, usando formateo final de equipos, el cual es aplicado
procedimientos formales. Sí L4 por el personal de la mesa de servicios, ante la
solicitud de baja de los bienes.
A.8.3.3. Transferencia de medios Los medios que contienen información, se deben Se tiene el Instructivo IN-TI-05 uso adecuado de
físicos proteger contra acceso no autorizado, uso los dispositivos de almacenamiento de
Sí L3
indebido o corrupción durante el transporte. información, aunque falta mayor divulgación
para masificar su utilización.

67 | 100
CUMPLE
NIVEL
A.9. CONTROL DE ACCESO L4

A.9.1. REQUISITOS DEL NEGOCIO Limitar acceso a información y a instalaciones de
L4
PARA EL CONTROL DE ACCESO. procesamiento de información.
A.9.1.1. Política de control de Se DEBE establecer, documentar y revisar una Se tienen las políticas de seguridad de la
acceso política de control de acceso con base en los información de alto nivel, adoptadas con la
requisitos del negocio y de seguridad de la resolución 34217 de 2015, y el Manual de
Sí L4
información. seguridad y vigilancia (MG-RF-03)en los que se
definen los lineamientos sobre el acceso a la
información y a las instalaciones restringidas.
A.9.1.2. Acceso a redes y a Se DEBE permitir acceso de los usuarios a la red Se tiene el procedimiento PR-TI-23 Gestión de
servicios de red para los que hayan sido autorizados Sí L4 telecomunicaciones, que es aplicado en los
específicamente. casos que se han necesitado.
A.9.2. GESTIÓN DE ACCESO A Asegurar el acceso de los usuarios autorizados y
USUARIOS. evitar el acceso no autorizado a sistemas y L4
servicios.
A.9.2.1. Registro y cancelación Se DEBE implementar un proceso FORMAL de El procedimiento PR-TI-02 Gestionar usuarios
del registro de usuarios. registro y de cancelación de registro de usuarios, tecnológicos se emplea con frecuencia.
para posibilitar la asignación de los derechos de
acceso. Sí L5 Se ha implementado un sistema de apoyo
para facilitar el registro y cancelación del
registro de usuarios. Ver Sistema de
Información CHIE módulo Gestión TIC.
A.9.2.2. Suministro de acceso a Se DEBE implementar un proceso de suministro de Se tiene el procedimiento PR-TI-02 Gestionar
usuarios. acceso formal de usuario para asignar o revocar usuarios tecnológicos, el cual es aplicado
Sí L4
los derechos de acceso para todo tipo de usuarios continuamente por las personas que tienen el
para todos los sistemas y servicios. rol apropiado para crear nuevos usuarios.
A.9.2.3. Gestión de derechos de Se debe restringir y controlar la asignación y uso de Se cuenta con el instructivo IN-TI-16 Revisión de
acceso privilegiado derechos de acceso privilegiado. Sí L3 los Derechos de Acceso de los Usuarios, sin
embargo no se utiliza regularmente.

68 | 100
CUMPLE
NIVEL
A.9.2.4. Gestión de información La asignación de información de autenticación Se tiene el procedimiento PR-TI-02 Gestionar
de autenticación secreta de secreta se debe controlar por medio de un usuarios tecnológicos, el cual es aplicado
Sí L4
usuarios proceso de gestión formal. continuamente por las personas que tienen el
rol apropiado para crear nuevos usuarios.
A.9.2.5. Revisión de los derechos Los propietarios de los activos deben revisar los Se cuenta con el instructivo IN-TI-16 Revisión de
de acceso de usuarios derechos de acceso de los usuarios, a intervalos Sí L3 los Derechos de Acceso de los Usuarios, sin
regulares. embargo no se utiliza regularmente.
A.9.2.6. Retiro o ajuste de los Los derechos de acceso de TODOS los empleados El procedimiento PR-TI-02 Gestionar usuarios
derechos de acceso y de los usuarios externos a la información y a las tecnológicos se emplea con frecuencia.
instalaciones de procesamiento de información se
deben retirar al terminar su empleo, contrato o Sí L4 Se ha implementado un sistema de apoyo
acuerdo, o se deben ajustar cuando se hagan para facilitar el registro y cancelación del
cambios. registro de usuarios. Ver Sistema de
A.9.3. RESPONSABILIDADES DE Hacer que los usuarios rindan cuentas por la
L4
LOS USUARIOS. salvaguarda de su información de autenticación.
A.9.3.1. Uso de información de Se debe EXIGIR a los usuarios que cumplan las Existen directivas dentro de la organización
autenticación secreta. prácticas de la organización para el uso de sobre las prácticas en materia de manejo de
información de autenticación secreta. claves, como el procedimiento PR-TI-02
Gestionar usuarios tecnológicos. Este asunto
Sí L4
forma parte del temario de la formación en
seguridad que los empleados siguen. Estas
directivas se encuentran definidas dentro de
las políticas de seguridad de la empresa.
A.9.4. CONTROL DE ACCESO A Evitar el acceso no autorizado a sistemas y
L3
SISTEMAS Y APLICACIONES. aplicaciones.
A.9.4.1. Restricción de acceso a El acceso a la información y a las funciones de los Instructivo IN-TI-22 uso adecuado de las
la información. sistemas de las aplicaciones se debe restringir de carpetas compartidas.
Sí L3
acuerdo con la política de control de acceso. Se tiene control de los roles y perfiles de los
usuarios que acceden a las aplicaciones.

69 | 100
CUMPLE
NIVEL
A.9.4.2. Procedimiento de Cuando lo requiere la política de control de Con el procedimiento PR-TI-02 Gestionar
ingreso seguro. acceso, el acceso a sistemas y aplicaciones se usuarios tecnológicos se controlan los
debe controlar mediante un proceso de ingreso requerimientos de acceso a los sistemas.
seguro.
Sí L4
Se ha implementado un sistema de apoyo
para facilitar el registro y cancelación del
registro de usuarios. Ver Sistema de
A.9.4.3. Sistemas de gestión de Los sistemas de gestión de contraseñas deben ser Procedimiento PR-TI-02 Gestionar usuarios
contraseñas. interactivos y deben asegurar la calidad de las tecnológicos.
contraseñas.
Instructivo IN-TI-07 Administración del directorio
activo.
Sí L4
Guía GU-TI-02 Manejo de credenciales TIC en
contingencia.
A través del Directorio Activo se realiza la

gestión de las contraseñas y se controlan las
políticas de robustez de las mismas.
A.9.4.4. Uso de programas Se debe restringir y controlar ESTRICTAMENTE el uso Se cuenta con el Instructivo IN-TI-35 Uso de
utilitarios privilegiados. de programas utilitarios que podrían tener herramientas de la mesa de servicios. Con este
capacidad de anular el sistema y los controles de Sí L2 documento se identifica y delimita el uso las
las aplicaciones. herramientas especializadas de software para
la prestación de soporte informático.
A.9.4.5. Control de acceso a Se debe restringir el acceso a los códigos fuente de Se cuenta con el instructivo IN-TI-36 Gestión de
códigos fuente de programas. los programas. la Configuración de Software. Sin embargo,
Sí L3 por su reciente publicación, aún no está
suficientemente apropiado.

70 | 100
CUMPLE
NIVEL
A.10. CRIPTOGRAFIA L3
A.10.1. CONTROLES Asegurar el uso apropiado y eficaz de la
CRIPTOGRAFICOS criptografía para proteger la confidencialidad, la L3
autenticidad y/o la integridad de la información.
A.10.1.1. Política sobre el uso de Se debe desarrollar e implementar una POLITICA Se encuentra adoptada la política
controles criptográficos sobre el uso de controles criptográficos para la correspondiente, mediante la resolución 34217
protección de la información. de 2015.
Sí L3
Instructivo IN-TI-08 Protección de la
información digital.
Instructivo IN-TI-19 Aplicación de cifrado.

A.10.1.2. Gestión de llaves Se debe desarrollar e implementar una POLITICA Se encuentra adoptada la política
sobre el uso, protección y tiempo de vida de las correspondiente, mediante la resolución 34217
llaves criptográficas durante todo su ciclo de vida. de 2015.
Instructivo IN-TI-08 Protección de la

información digital.
Sí L3
Instructivo IN-TI-19 Aplicación de cifrado.
Se cuenta con los documentos mencionados,

sin embargo se evidencia que hace falta
apropiación por parte de los usuarios.
A.11. SEGURIDAD FÍSICA Y DEL ENTORNO L5
A.11.1. ÁREAS SEGURAS. Prevenir el acceso físico no autorizado, el daño y la
interferencia a la información y a las instalaciones
L5
de procesamiento de información de la
organización.

71 | 100
CUMPLE
NIVEL
A.11.1.1. Perímetro de seguridad Se deben definir y usar perímetros de seguridad, y Manual MG-RF-03 Seguridad y vigilancia.
física usarlos para proteger áreas que contengan Los perímetros de seguridad están claramente
Sí L5
información confidencial o crítica, e instalaciones definidos y son respetados por los funcionarios
de manejo de información. y contratistas.
A.11.1.2. Controles de acceso Las áreas seguras se deben proteger mediante Manual MG-RF-03 Seguridad y vigilancia.
físicos controles de acceso apropiados para asegurar Los perímetros de seguridad están claramente
que sólo se permite el acceso a personal Sí L5 definidos y están protegidos por controles de
autorizado. acceso biométricos o mediante tarjeta de
acceso.
A.11.1.3. Seguridad de oficinas, Se debe diseñar y aplicar seguridad física a Manual MG-RF-03 Seguridad y vigilancia.
recintos e instalaciones oficinas, recintos e instalaciones. Los perímetros de seguridad están claramente
Sí L5 definidos y están protegidos por controles de
acceso biométricos o mediante tarjeta de
acceso.
A.11.1.4. Protección contra Se debe diseñar y aplicar protección física contra Se cuenta con un Plan Institucional de
amenazas externas y desastres naturales, ataques maliciosos o Respuesta a Emergencias.
Sí L4
ambientales accidentes.
Manual MG-RF-03 Seguridad y vigilancia.
A.11.1.5. Trabajo en áreas Se debe diseñar y aplicar procedimientos para Manual MG-RF-03 Seguridad y vigilancia.
seguras trabajo en áreas seguras. A las áreas seguras sólo se puede acceder con
Sí L5
autorización y acompañamiento de un
funcionario del área.
A.11.1.6. Áreas de despacho y Se deben controlar puntos de acceso tales como Manual MG-RF-03 Seguridad y vigilancia.
carga áreas de despacho y de carga y otros puntos Las áreas de carga y descarga son de acceso
donde pueden entrar personas no autorizadas, y si público y se encuentran físicamente aisladas
es posible, aislarlos de las instalaciones de Sí L5 de las áreas de trabajo del personal y de las
procesamiento de información para evitar el áreas de tratamiento de la información. Para
acceso no autorizado. ingresar y salir de estas áreas se necesita de
autorización.

72 | 100
CUMPLE
NIVEL
A.11.2. EQUIPOS. Prevenir pérdida, daño, robo o compromiso de

activos, y la interceptación de operaciones de la L4
organización.
A.11.2.1. Ubicación y protección Los equipos deben estar ubicados y protegidos Instructivo IN-TI-06 Uso adecuado de los
de los equipos para reducir los riesgos de amenazas y peligros del recursos de TI.
entorno, y las posibilidades de acceso no Sí L4 El CPD se encuentra dentro de un área ya
autorizado. protegida. Se cuenta con vigilancia privada
para proteger las áreas.
A.11.2.2. Servicios de suministro. Los equipos se deben proteger contra fallas de Se tiene un sistema de Ups en alta
energía y otras interrupciones causadas por fallas Sí L5 disponibilidad para los equipos del CPD
en los servicios de suministro.
A.11.2.3. Seguridad del El cableado de energía eléctrica y de El cableado estructurado cumple con la
cableado. telecomunicaciones que porta datos o brinda norma TIA/EIA-568-B.
soporte a los servicios de información se debe Sí L5 Se tiene adoptado y se cumple el
proteger contra interceptación, interferencia o procedimiento PR-TI-23 Gestión de
daño. telecomunicaciones.
A.11.2.4. Mantenimiento de Los equipos se deben mantener correctamente El mantenimiento de los equipos se contrata
equipos. para asegurar su disponibilidad e integridad Sí L5 para todo el año con un proveedor externo.
continuas.
A.11.2.5. Retiro de activos. Los equipos, información o software no se deben En el Manual MG-RF-03 Seguridad y vigilancia
retirar de su sitio sin autorización previa. se incluyen los lineamientos al respecto, sin
Sí L4 embargo se han presentado incidentes
relacionados con la pérdida de equipos de
usuario final.

73 | 100
CUMPLE
NIVEL
A.11.2.6. Seguridad de equipos y Se deben aplicar medidas se seguridad a los Manual administración del programa de
activos fuera de las activos que se encuentran fuera de las seguros para los bienes de la Empresa de
instalaciones. instalaciones de la organización, teniendo en Manejo de Obras (MG-RF-002)
cuenta los diferentes riesgos de trabajar fuera de
dichas instalaciones. (Incluir actividades de Instructivo de Uso adecuado de los dispositivos
Teletrabajo y de salidas en comisión a sitios de almacenamiento de información (IN-TI-05).
Sí L4
diferentes al puesto natural de trabajo).
En la práctica, los equipos que se retiran de la
entidad, van acompañados de un cable de
seguridad para ser “amarrados” en el sitio de
destino.
A.11.2.7. Disposición segura o Se deben verificar TODOS los elementos de equipos Se tiene el instructivo IN-TI-15 Borrado seguro y
reutilización de equipos. que contengan medios de almacenamiento para formateo final de equipos, el cual es aplicado
asegurar que cualquier dato confidencial o Sí L5 por el personal de la mesa de servicios, ante la
software licenciado haya sido retirado o sobrescrito solicitud de baja.
en forma segura antes de su disposición o reúso.
A.11.2.8. Equipos de usuario Los usuarios deben asegurarse de que a los Instructivo de administración del directorio
desatendidos. equipos desatendidos se les da protección activo (IN-TI-07)
adecuada.
Documento DU-TI-06 Políticas Operacionales
Sí L4
de Seguridad de la Información.
Políticas de directorio activo sobre cierre de

sesiones.
A.11.2.9. Política de escritorio Se DEBE adoptar una POLÍTICA de escritorio limpio Se tienen las políticas de seguridad de la
limpio y pantalla limpia. para los papeles y medios de almacenamiento información de alto nivel, adoptadas con la
removibles, y una política de pantalla limpia en las Sí L4 resolución 34217 de 2015. Sin embargo,
instalaciones de procesamiento de información. algunos usuarios aún no la aplican.

74 | 100
CUMPLE
NIVEL
A.12. SEGURIDAD DE LAS OPERACIONES L4

A.12.1. PROCEDIMIENTOS Asegurar las operaciones correctas y seguras de las
OPERACIONALES Y instalaciones de procesamiento de información. L4
RESPONSABILIDADES
A.12.1.1. Procedimientos de Los procedimientos de operación SE DEBEN Se tiene el 100% de los documentos requeridos
operación documentados DOCUMENTAR y poner a disposición de todos los Sí L4 por la norma y un 90% de los planeados por
usuarios que los necesitan. elaborar.
A.12.1.2. Gestión de cambios Se deben controlar los cambios en la organización, Con base en el procedimiento PR-TI-08 Gestión
en los procesos de negocio, en las instalaciones y de cambios que se aplican únicamente a
en los sistemas de procesamientos de información Sí L4 temas tecnológicos, se realiza una mesa de
que afectan la seguridad de la información. trabajo semanal para presentar y discutir los
cambios del siguiente periodo.
A.12.1.3. Gestión de capacidad Se debe hacer seguimiento al uso de los recursos, Se aplica el procedimiento PR-TI-16 Gestión de
hacer los ajustes y hacer proyecciones de los capacidad y disponibilidad en forma
Sí L3
requisitos de capacidad futura, para asegurar el periódica, cada 3 meses.
desempeño requerido del sistema.
A.12.1.4. Separación de los Se deben separar los ambientes de desarrollo, Los ambientes de producción, pruebas y
ambientes de desarrollo, prueba pruebas y operación (producción), para reducir los desarrollo de software están separados
y operación riesgos de acceso o cambios no autorizados al Sí L3 formalmente mediante el instructivo IN-TI-37
ambiente de operación. Definición y uso de los ambientes de trabajo
para desarrollo de software
A.12.2. PROTECCION CONTRA Asegurarse de que la información y las
CODIGO MALICIOSO instalaciones de procesamiento de información L4
estén protegidas contra códigos maliciosos.
A.12.2.1. Controles contra Se deben implementar controles de detección, de Se tiene un software antivirus de tipo
códigos maliciosos prevención y de recuperación, combinados con la corporativo, y se complementa con el
Sí L4
toma de conciencia apropiada de los usuarios, instructivo IN-TI-21 Uso del antivirus en los
para proteger contra códigos maliciosos. equipos de usuario final.
A.12.3. COPIAS DE RESPALDO Proteger contra la pérdida de la información. L4

75 | 100
CUMPLE
NIVEL
A.12.3.1. Respaldo de la Se DEBEN hacer copias de respaldo de la Se evidencia que para este control se cuenta
información información, software e imágenes de los sistemas, y con varios documentos que apoyan el
ponerlas a prueba regularmente de acuerdo con quehacer del mismo. Esta actividad en
una política de copias de respaldo acordadas. particular es muy robusta en la Empresa.
Manual MG-TI-16 Copias seguridad
Procedimiento PR-TI-11 Generación de copias

de seguridad
Sí L4
Procedimiento PR-TI-12 Restauración de copias
de seguridad
Formato FO-TI-185 Solicitud de restauración de

backup
Formato FO-TI-218 Solicitud realización de

backup
A.12.4. REGISTRO Y SEGUIMIENTO Registrar eventos y generar evidencia. L4
A.12.4.1. Registro de eventos Se deben elaborar, conservar y revisar Se han definido aspectos básicos para tener
regularmente los registros acerca de actividades en cuenta en la tarea de revisar los registros de
del usuario, excepciones, fallas y eventos de Sí L3 eventos, de los elementos de tecnología,
seguridad de la información. mediante el instructivo IN-TI-38 Revisión de
registros automáticos de la plataforma de TI.
A.12.4.2. Protección de la Las instalaciones y la información de registro se Los registros de los sistemas operativos y de los
información del registro deben proteger contra la alteración y acceso no sistemas de información son protegidos de
autorizado. Sí L3 modificación, de acuerdo con lo mencionado
por el instructivo IN-TI-38 Revisión de registros
automáticos de la plataforma de TI.

76 | 100
CUMPLE
NIVEL
A.12.4.3. Registros del Las actividades del administrador y del operador Aunque hay un instructivo de Revisión de
administrador y del operador del sistema se deben registrar, los registros se registros automáticos de la plataforma de TI
deben proteger y revisar con seguridad. Sí L2 (IN-TI-38), no hay evidencia de que se hayan
revisado recientemente las acciones de los
administradores.
A.12.4.4. Sincronización de Los relojes de TODOS los sistemas de procesamiento Con base en el instructivo IN-TI-28
relojes de información pertinentes dentro de una Configuración de la hora legal colombiana en
organización o ámbito de seguridad se deben Sí L4 la plataforma de TI, se sincronizaron todos los
sincronizar con una única fuente de referencia de servidores contra el servicio NTP del Gobierno
tiempo. colombiano.
A.12.5. CONTROL DE SOFTWARE Asegurar la integridad de los sistemas
L4
OPERACIONAL operacionales.
A.12.5.1. Instalación de software Se deben implementar procedimientos para Con base en el instructivo IN-TI-14 Preparación
en sistemas operativos controlar la instalación de software en sistemas de un equipo de cómputo para usuario final,
operativos. el personal de mesa de servicios realiza la
instalación inicial del software en una máquina
de usuario final. Cuando se requiere la
Sí L4
instalación de un software adicional, se hace
a través de la herramienta de autogestión de
soporte y se valida la existencia de
licenciamiento disponible antes de autorizar la
instalación.
A.12.6. GESTION DE LA Prevenir el aprovechamiento de las
L4
VULNERABILIDAD TECNICA vulnerabilidades técnicas.
A.12.6.1. Gestión de las Se debe obtener oportunamente información Se evidenció que durante la vigencia anterior
vulnerabilidades técnicas acerca de las vulnerabilidades técnicas de los se realizó un análisis de vulnerabilidades y
sistemas de información que se usen; evaluar la hacking ético
Sí L4
exposición de la organización a esas
vulnerabilidades, y tomar las medidas apropiadas
para tratar el riesgo asociado.

77 | 100
CUMPLE
NIVEL
A.12.6.2. Restricciones sobre la Se DEBE establecer e implementar las reglas para la Existen restricciones para que los usuarios no
instalación de software instalación de software por parte de los usuarios. puedan instalar software, Procedimiento
Revisión a la plataforma de tecnología de
Sí L3
información (PR-TI-18)
A.12.7. CONSIDERACIONES Minimizar el impacto de las actividades de

SOBRE AUDITORIAS DE SISTEMAS auditoría sobre los sistemas operativos. L4
DE INFORMACION
A.12.7.1. Controles de auditorías Los requisitos y actividades de auditoría que La Oficina de Control Interno publica
de sistemas de información involucran la verificación de los sistemas operativos anualmente el programa de auditoría, en el
se deben planificar y acordar cuidadosamente Sí L4 cual se incluye el SGSI de la Empresa.
para minimizar las interrupciones en los procesos de
negocio.
A.13. SEGURIDAD DE LAS COMUNICACIONES L4
A.13.1. GESTION DE LA Asegurar la protección de la información en las
SEGURIDAD DE LAS REDES redes, y sus instalaciones de procesamiento de L4
información de soporte.

78 | 100
CUMPLE
NIVEL
A.13.1.1. Controles de redes Las redes se deben gestionar y controlar para Con el Documento de gestión de las
proteger la información en sistemas y aplicaciones. telecomunicaciones se centralizan las
actividades que se realizan para administrar la
conectividad de los usuarios a la red de datos.
Hace falta divulgarlo más, pues es muy nuevo.
También se tiene el procedimiento PR-TI-23
Sí L3 Gestión de telecomunicaciones, y el
documento DU-TI-06 Políticas Operacionales
de Seguridad de la Información.
Operacionalmente, se cuenta con unos

equipos de seguridad de la red que permiten
una gestión y monitorización apropiados.
A.13.1.2. Seguridad en los Se deben identificar los mecanismos de seguridad, Se tienen acuerdos con los proveedores de los
servicios de red los niveles de servicio y los requisitos de gestión de canales de comunicación sobre la calidad y
todos los servicios de red, e incluirlos en los auditoría a los servicios de red.
acuerdos de servicio de red, ya sea que los Sí L3 Por parte de la empresa se tienen equipos de
servicios se presten internamente o se contraten seguridad de red, tales como un firewall
extremamente. Fortinet en alta disponibilidad, con los módulos
fortigate, fortianalyzer y fortisandbox.
A.13.1.3. Separación en las redes Los grupos de servicios de información, usuarios y Se tienen subredes con distintos niveles de
sistemas de información se deben separar en las seguridad y acceso a los servicios de TI, según
redes. las necesidades identificadas de cada
dependencia. Para el caso de la red de
Tesorería, donde se maneja la banca
Sí L5
electrónica, las restricciones son mayores. Se
tiene por ejemplo una subred exclusiva para
las impresoras y otra para los equipos del CPD.
El enrutamiento entre las redes se hace a nivel
de capa 3 de acuerdo con el modelo OSI.

79 | 100
CUMPLE
NIVEL
A.13.2. TRANSFERENCIA DE Mantener la seguridad de la información

INFORMACION transferida dentro de una organización y con L4
cualquier entidad externa.
A.13.2.1. Políticas y Se debe contar con POLITICAS, procedimientos y Se tienen los siguientes documentos:
procedimientos de transferencia controles de transferencia formales para proteger
de información la transferencia de información mediante el uso de Resolución 34217 de 2015, de políticas
todo tipo de instalaciones de comunicaciones. obligatorias o de alto nivel.
DU-TI-06 Políticas Operacionales de Seguridad

de la Información.
Sí L4
Procedimiento PR-TI-23 Gestión de
telecomunicaciones.
Instructivo IN-TI-05 Uso adecuado de los

dispositivos de almacenamiento de
información.
Instructivo IN-TI-20 intercambio de información

A.13.2.2. Acuerdos sobre Los acuerdos deben tratar la transferencia segura Se tienen adoptados los siguientes
transferencia de información de información del negocio entre la organización y documentos:
las partes externas.
Instructivo IN-TI-19 aplicación de cifrado
Sí L3 Instructivo intercambio de información (INTI20)
Formato FO-TI-04 acuerdo de
confidencialidad con terceros.
Sin embargo, no se tienen evidencias de su
uso.

80 | 100
CUMPLE
NIVEL
A.13.2.3. Mensajería electrónica Se debe proteger adecuadamente la información Se cuenta con los siguientes documentos:
incluida en la mensajería electrónica. Instructivo IN-TI-12 Uso del servicio de correo
electrónico institucional.
Sí L4 Instructivo IN-TI-11 uso del servicio de
mensajería instantánea.
Se adquirió un sistema DLP que está
empezando a arrojar sus primeros resultados.
A.13.2.4. Acuerdos de Se debe identificar, revisar y documentar los Se tiene el formato FO-TI-04 Acuerdo de
confidencialidad o de no requisitos para los acuerdos de confidencialidad o confidencialidad con terceros.
Sí L4
divulgación no divulgación que reflejen las necesidades de la Adicional, se está incluyendo en todos los
organización para la protección de la información. contratos, una cláusula de confidencialidad.
A.14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS L3
A.14.1. REQUISITOS DE Asegurar que la seguridad de la información sea
SEGURIDAD DE LOS SISTEMAS DE parte integral de los sistemas de información
INFORMACIÓN durante todo el ciclo de vida. Esto incluye también L4
los requisitos para sistemas de información que
prestan servicios sobre redes públicas.
A.14.1.1. Análisis y Los requisitos relacionados con seguridad de la Aunque se tienen los siguientes documentos,
especificación de requisitos de información se deben incluir en los requisitos para no siempre se especifican los requerimientos
seguridad de la información nuevos sistemas de información o para mejoras de de seguridad para el nuevo desarrollo:
sistemas de información existentes. Procedimiento PR-TI-04 Gestión de desarrollo
de tecnologías de información
Sí L3
Formato FO-TI-06 Solicitud de requerimientos
para aplicaciones.
Formato FO-TI-12 Diseño de alto nivel.
Formato FO-TI-13 Especificación de
requerimientos.
Formato FO-TI-14 Análisis de actividades

81 | 100
CUMPLE
NIVEL
A.14.1.2. Seguridad de servicios La información involucrada en los servicios de las Las aplicaciones que se tienen expuestas en
de las aplicaciones en redes aplicaciones que pasan por las redes públicas se redes públicas están protegidas mediante
públicas debe proteger de actividades fraudulentas, certificados digitales SSL. Cuando se requiere
disputas contractuales, divulgación y modificación utilizar desde una red pública, una aplicación
Sí L4
no autorizadas. que no soporta las protecciones antes
mencionadas, se exige que se realice una
conexión segura de tipo VPN, para proteger la
información.
A.14.1.3. Protección de La información involucrada en los servicios de las Se han implantado mecanismos de
transacciones de los servicios de aplicaciones se debe proteger para evitar la protección de transacciones. Técnicas como
las aplicaciones transmisión incompleta, el enrutamiento errado, la el cifrado de los datos, protocolos para la
alteración no autorizada de mensajes, la transmisión segura (HTTPS), certificados de
Sí L4
divulgación no autorizada, y la duplicación o seguridad, los cuales están descritos en los
reproducción de mensajes no autorizada. instructivos IN-TI-19 aplicación de cifrado, IN-TI-
20 intercambio de información e IN-TI-08
protección de la información digital.
A.14.2. Seguridad en los Asegurar que la seguridad de la información esté
procesos de desarrollo y de diseñada e implementada dentro del ciclo de vida L3
soporte de desarrollo de los sistemas de información.
A.14.2.1. Política de desarrollo Se deben establecer y aplicar reglas para el Se encuentra adoptada la política
seguro desarrollo de software y de sistemas, a los correspondiente, mediante la resolución 34217
desarrollos dentro de la organización. de 2015.
Sí L4
Procedimiento PR-TI-04 Gestión de desarrollo
de tecnologías de información

82 | 100
CUMPLE
NIVEL
A.14.2.2. Procedimientos de Los cambios a los sistemas dentro del ciclo de vida Como se mencionó en el numeral A.12.1.2,
control de cambios en sistemas de desarrollo se deben controlar mediante el uso Con base en el procedimiento PR-TI-08 Gestión
de procedimientos formales de control de de cambios que se aplican únicamente a
cambios. temas tecnológicos, se realiza una mesa de
trabajo semanal para presentar y discutir los
cambios del siguiente periodo.
Sí L4 También se tienen los siguientes documentos
que fortalecen el control: Procedimiento
Gestión de desarrollo de tecnologías de
Procedimiento Gestión de sistemas de

A.14.2.3. Revisión técnica de las Cuando se cambian las plataformas de operación, Como se mencionó en el numeral A.12.1.2,
aplicaciones después de se deben revisar las aplicaciones críticas de Con base en el procedimiento PR-TI-08 Gestión
cambios en la plataforma de negocio, y someter a pruebas para asegurar que de cambios que se aplican únicamente a
operación no haya impacto adverso en las operaciones o temas tecnológicos, se realiza una mesa de
seguridad de la organización. trabajo semanal para presentar y discutir los
Sí L4 cambios del siguiente periodo. Para cambios
de gran magnitud, se realizan planes de
trabajo detallados, se informa a todas las
partes interesadas y se realizan las pruebas
correspondientes antes de activar la entrada
en producción formalmente.
A.14.2.4. Restricciones en los Se deben desalentar las modificaciones a los Los cambios son controlados desde la mesa
cambios a los paquetes de paquetes de software, los cuales se deben limitar a de trabajo semanal ya mencionada. Los
software los cambios necesarios, y todos los cambios se cambios sobre el software, solamente los
Sí L4
deben controlar estrictamente. pueden realizar las personas autorizadas y
pasan a producción después de ser
aprobados.

83 | 100
CUMPLE
NIVEL
A.14.2.5. Principios de Se deben establecer, documentar y mantener Se tienen procedimientos que adoptan una
construcción de los sistemas principios para la construcción de sistemas seguros, metodología de desarrollo, sin embargo, no se
seguros y aplicarlos a cualquier actividad de Sí L2 evidencia la aplicación de dicha metodología
implementación de sistemas de información. en todos los proyectos de desarrollo de
software
A.14.2.6. Ambiente seguro de Las organizaciones se deben establecer y proteger Los ambientes de desarrollo están segregados
desarrollo adecuadamente los ambientes de desarrollo y protegidos y solo tienen acceso los
seguros para las actividades de desarrollo e Sí L3 desarrolladores, según lo indica el instructivo
integración de sistemas que comprendan todo el IN-TI-37 Definición y uso de los ambientes de
ciclo de vida de desarrollo de software. trabajo para desarrollo de software.
A.14.2.7. Desarrollo contratado La organización debe supervisar y hacer Existen procedimientos relacionados con la
externamente seguimiento de la actividad de desarrollo de supervisión contractual, que están basados en
Sí L4
sistemas contratados externamente. lo indicado por las normas de orden nacional
que rigen la contratación estatal.
A.14.2.8. Pruebas de seguridad Durante el desarrollo se deben llevar a cabo Se tiene publicado el Instructivo IN-TI-10
de sistemas pruebas de funcionalidad. Realización de pruebas a los desarrollos de
Sí L3
software, sin embargo, hace falta mayor
apropiación del mismo.
A.14.2.9. Pruebas de aceptación Para los sistemas de información nuevos, Se tiene publicado el Instructivo IN-TI-10
de sistemas actualizaciones y nuevas versiones, se deben Realización de pruebas a los desarrollos de
establecer programas de prueba para aceptación Sí L3 software, sin embargo, hace falta mayor
y criterios de aceptación relacionados. apropiación del mismo.
A.14.3. DATOS DE PRUEBA Asegurar la protección de los datos usados para

L3
pruebas.
A.14.3.1. Protección de datos de Los datos de prueba se deben seleccionar, Se tiene publicado el Instructivo IN-TI-10
prueba proteger y controlar cuidadosamente. Realización de pruebas a los desarrollos de
Sí L3 software, sin embargo, hace falta mayor
apropiación del mismo.

84 | 100
CUMPLE
NIVEL
A.15. RELACIONES CON LOS PROVEEDORES L4

A.15.1. SEGURIDAD DE LA Asegurar la protección de los activos de la
INFORMACIÓN EN LAS organización que sean accesibles a los
L3
RELACIONES CON LOS proveedores.
PROVEEDORES
A.15.1.1. Política de seguridad Los requisitos de seguridad de la información para Se encuentra adoptada la política
de la información para las mitigar los riesgos asociados con el acceso de correspondiente, mediante la resolución 34217
Sí L4
relaciones con los proveedores proveedores a los activos de la organización se de 2015.
deben acordar con éstos y se deben documentar.
A.15.1.2. Tratamiento de la Los deberes y áreas de responsabilidad en Se está incluyendo en todos los contratos, una
seguridad dentro de los conflicto se deben separar para reducir las cláusula de confidencialidad.
acuerdos con los proveedores posibilidades de modificación NO Autorizada o No Se establecen y se acuerdan con los
Intencional, o el uso indebido de los activos de la proveedores los requisitos relacionados a la
organización. seguridad de la información. El respeto de los
Sí L3
mismos está especificado en todos los
contratos con los proveedores. Sin embargo
en los acuerdos no se especifica que los
acuerdos se deban respetar por parte de los
subcontratistas
A.15.1.3. Cadena de suministro Los acuerdos con proveedores deberían incluir De acuerdo con el procedimiento PR-TI-21
de tecnología de información y requisitos para tratar los riesgos de seguridad de la Gestión de compras de productos y/o servicios
comunicación información asociados con la cadena de suministro Sí L3 de tecnología de información, los proveedores
de productos y servicios de tecnología de críticos deben tener un SGSI implementado y
información y comunicación. en operación.
A.15.2. GESTIÓN DE LA Mantener el nivel acordado de seguridad de la
PRESTACIÓN DE LOS SERVICIOS información y de prestación del servicio en línea L4
DE PROVEEDORES con los acuerdos con los proveedores.
A.15.2.1. Seguimiento y revisión Las organizaciones deben hacer seguimiento, Se realizan seguimientos periódicos, previos a
de los servicios de los revisar y auditar con regularidad la prestación de Sí L3 cada pago, relacionados con la calidad del
proveedores servicios de los proveedores. servicio o producto.

85 | 100
CUMPLE
NIVEL
A.15.2.2.Gestión de cambios en Se deberían gestionar los cambios en el suministro Como se mencionó en el numeral A.12.1.2,
los servicios de los proveedores de servicios por parte de los proveedores, incluido Con base en el procedimiento PR-TI-08 Gestión
el mantenimiento y la mejora de las políticas, de cambios que se aplican únicamente a
procedimientos y controles de seguridad de la temas tecnológicos, se realiza una mesa de
Sí L4
información existentes, teniendo en cuenta la trabajo semanal para presentar y discutir los
criticidad de la información, sistemas y procesos cambios del siguiente periodo, incluyendo los
del negocio involucrados, y la revaloración de los cambios que se presenten en los servicios
riesgos. prestados por los proveedores.
A.16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN L3
A.16.1. GESTIÓN DE INCIDENTES Y Asegurar un enfoque coherente y eficaz para la
MEJORAS EN LA SEGURIDAD DE gestión de incidentes de seguridad de la
L3
LA INFORMACIÓN información, incluida la comunicación sobre
eventos de seguridad y debilidades.
A.16.1.1. Responsabilidades y Se deben establecer las responsabilidades y Aunque se tienen estos documentos,
procedimientos procedimientos de gestión para asegurar una procedimiento PR-TI-22 Gestión de Incidentes
respuesta rápida, eficaz y ordenada a los de Seguridad de la Información y formato FO-
incidentes de seguridad de la información. TI-28 condiciones para validación de eventos
Sí L3
de seguridad de la información, el personal de
la Empresa aún no los tiene apropiados y el
nivel de registro de eventos de seguridad es
muy bajo.
A.16.1.2. Reporte de eventos de Los eventos de seguridad de la información se De acuerdo con lo indicado en el
seguridad de la información deben informar a través de los canales de gestión procedimiento PR-TI-22 Gestión de Incidentes
apropiados, tan pronto como sea posible. Sí L3 de Seguridad de la Información, los pocos
eventos atendidos son informados mediante la
intranet de la Empresa.

86 | 100
CUMPLE
NIVEL
A.16.1.3.Reporte de debilidades Se debe EXIGIR a los TODOS los empleados y En las jornadas de sensibilización, inducción y
de seguridad de la información contratistas que usan servicios y sistemas de reinducción del personal de la Empresa, así
información de la organización, que observen y como a través de campañas de divulgación,
reporten cualquier debilidad de seguridad de la se ha abordado el tema de la necesidad de
Sí L3
información observada o sospechada en los reportar oportunamente los posibles eventos
sistemas o servicios. de seguridad de la información. Sin embargo,
como se mencionó el nivel de reporte es bajo.
A.16.1.4. Evaluación de eventos Los eventos de seguridad de la información se Se tienen los siguientes documentos:
de seguridad de la información deben evaluar y se debe decidir si se van a procedimiento PR-TI-22 Gestión de Incidentes
y decisiones sobre ellos clasificar como incidentes de seguridad de la de Seguridad de la Información y formato FO-
Sí L3
información. TI-28 condiciones para validación de eventos
de seguridad de la información.
A.16.1.5. Respuesta a incidentes Se debe dar respuesta a los incidentes de De acuerdo con lo mencionado en el
de seguridad de la información seguridad de la información de acuerdo con los procedimiento PR-TI-22 Gestión de Incidentes
procedimientos documentados. Sí L3 de Seguridad de la Información, se han
atendido los incidentes de seguridad
reportados.
A.16.1.6. Aprendizaje obtenido El conocimiento adquirido al analizar y resolver Las conclusiones de las investigaciones sobre
de los incidentes de seguridad incidentes de seguridad de la información se debe los incidentes de seguridad son compartidas
de la información usar para reducir la posibilidad o el impacto de en el comité de seguridad y guardadas en una
Sí L3
incidentes futuros. base de datos de conocimiento que posee el
sistema de gestión de casos de soporte.
A.16.1.7. Recolección de La organización debe definir y aplicar En la Empresa de manejo de Obras esta labor
evidencia procedimientos para la identificación, recolección, la debe realizar un externo autorizado, como
Sí L2
adquisición y preservación de información que el cuerpo Técnico de Investigación de la
pueda servir como evidencia. Fiscalía.

87 | 100
CUMPLE
NIVEL
A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACION DE LA GESTION DE

L4
CONTINUIDAD DE NEGOCIO
A.17.1. CONTINUIDAD DE La continuidad de seguridad de la información se
SEGURIDAD DE LA DEBE incluir en los sistemas de gestión de la L3
INFORMACION continuidad del negocio de la organización.
A.17.1.1. Planificación de la La organización debe determinar sus requisitos En el documento DU-TI-07 Plan de
continuidad de la seguridad de para la seguridad de la información y la recuperación de desastres se abordan los
la información continuidad de la gestión de la seguridad de la temas requeridos por este control.
Sí L3
información en situaciones adversas, por ejemplo,
durante una crisis o desastre.
A.17.1.2. Implementación de la La organización debe establecer, documentar, Lo requerido por el control está incorporado
continuidad de la seguridad de implementar y mantener procesos, procedimientos en el documento DU-TI-07 Plan de
la información y controles para asegurar el nivel de continuidad recuperación de desastres. Se evidencias
Sí L3
requerido para la seguridad de la información actas de reuniones y de pruebas de los
durante una situación adversa. instructivos de restauración de los aplicativos
críticos.
A.17.1.3. Verificación, revisión y La organización debe verificar a intervalos En el documento DU-TI-07 Plan de
evaluación de la continuidad regulares los controles de continuidad de la recuperación de desastres se incluye un plan
de la seguridad de la seguridad de la información establecidos e de pruebas, el cual se ha desplegado una vez.
Sí L3
información implementados, con el fin de asegurar que son
válidos y eficaces durante situaciones adversas.
A.17.2. REDUNDANCIAS Asegurar la disponibilidad de las instalaciones de

L4
procedimiento de información.
A.17.2.1. Disponibilidad de Las instalaciones de procesamiento de la Se tiene un centro de procesamiento de datos
instalaciones de procesamiento información se deben implementar con alterno, para contingencias.
de información redundancia suficiente para cumplir los requisitos Sí L4 En conjunto con el proveedor se han realizado
de disponibilidad. 2 pruebas por año desde su implementación.

88 | 100
CUMPLE
NIVEL
A.18. CUMPLIMIENTOS L4
A.18.1. CUMPLIMIENTO DE Evitar el incumplimiento de las obligaciones legales,
REQUISITOS LEGALES Y estatutarias, de reglamentación o contractuales
L3
CONTRACTUALES relacionadas con seguridad de la información y de
cualquier requisito de seguridad.
A.18.1.1. Identificación de la Todos los requisitos estatutarios, reglamentarios y Se Actualiza dos (2) veces por año el Formato
legislación aplicable y los contractuales pertinentes y el enfoque de la FO-Gl-02 Actualización y evaluación del
requisitos contractuales organización para cumplirlos se deben identificar y normograma institucional.
Sí L4
documentar explícitamente y mantenerlos
actualizados para cada sistema de información de Luego de la evaluación, se publica en la web
la organización. de la Entidad.
A.18.1.2. Derechos de Se deben implementar procedimientos apropiados Anualmente la Empresa debe presentar el
propiedad intelectual (DPI) para asegurar el cumplimiento de los requisitos informe de derechos de autor ante la
legislativos, de reglamentación y contractuales Dirección Nacional de Derechos de Autor.
Sí L4
relacionados con los derechos de propiedad
intelectual y el uso de productos de software
patentados.
A.18.1.3. Protección de registros Los registros se deben proteger contra pérdida, Se terminó y aprobó recientemente el
destrucción, falsificación, acceso no autorizado y Instructivo de revisión de registros automáticos
liberación no autorizada, de acuerdo con los Sí L2 de la plataforma de TI. Se debe hacerle
requisitos legislativos, de reglamentación, promoción, para fortalecerlo.
contractuales y de negocio.
A.18.1.4. Privacidad y Se deben asegurar la privacidad y la protección Manual Operativo para la Protección de
protección de información de de la información de datos personales, como se Datos Personales (MG-TI-17)
Sí L3
datos personales exige en la legislación y la reglamentación Documento Condiciones de uso y políticas de
pertinentes, cuando sea aplicable. privacidad de la página web (DU-TI-03)

89 | 100
CUMPLE
NIVEL
A.18.1.5. Reglamentación de Se deben usar controles criptográficos, en Se tienen implementados los siguientes
controles criptográficos cumplimiento de todos los acuerdos, legislación y controles, aunque falta la divulgación y
reglamentación pertinentes. promoción:
Sí L3 Instructivo IN-TI-08 protección de la
información digital
Instructivo aplicación de cifrado (INTI19)

A.18.2. REVISIONES DE Asegurar que la seguridad de la información se
SEGURIDAD DE LA implemente y opere de acuerdo con las políticas y L4
INFORMACION procedimientos organizacionales.
A.18.2.1. Revisión independiente El enfoque de la organización para la gestión de la La oficina de Control Interno debe realizar un
de la seguridad de información seguridad de la información y su implementación programa anual e auditoría, que incluye al
(es decir, los objetivos de control, los controles, las SGSI.
políticas, los procesos y los procedimientos para la Sí L5 La auditoría más reciente fue el año anterior.
seguridad de la información) se deben revisar
independientemente a intervalos planificados o
cuando ocurran cambios significativos.
A.18.2.2. Cumplimiento con las Los Directores deben revisar con regularidad el Se realizan campañas de divulgación sobre las
políticas y normas de seguridad cumplimiento del procesamiento y procedimientos responsabilidades con el SGSI. Esto da pie para
de información dentro de su área de que cada jefe de dependencia coordine la
Sí L4
responsabilidad, con las políticas y normas de formulación de las acciones correctivas y la
seguridad apropiadas, y cualquier otro requisito de suscripción de los planes de mejoramiento
seguridad. producto de la auditoría.
A.18.2.3. Revisión del Los sistemas de información se deben revisar Se han realizado pruebas de penetración
cumplimiento técnico periódicamente para determinar el cumplimiento controladas, acompañadas de análisis de
con las políticas y normas de seguridad de la vulnerabilidades e ingeniería social. Sobre los
Sí L3
información. resultados, se elabora un plan de acción para
la mitigación de las vulnerabilidades
encontradas.

90 | 100
6.3. Presentación de Resultados
Luego de realizar la evaluación de la madurez de los controles, se puede determinar que
solamente el 6% de los controles están en un nivel de madurez L2 Reproducible, pero intuitivo.
El 34% están en nivel L3 Definido. Una mayor parte de ellos, el 45% están en nivel L4 Gestionado
y medible. Finalmente, el 15% se encuentran en nivel L5 Optimizado. Para mayor facilidad, se
presentan estos resultados en la tabla 33, a continuación.
Tabla 33. Nivel de madurez de los controles del SGSI, según el modelo CMM. Fuente propia
NIVEL DE MADUREZ DE LOS CONTROLES

Nivel Cantidad Porcentaje
L0 Inexistente 0 0%
L1 Inicial / Ad-hoc 0 0%
L2 Reproducible, pero intuitivo 7 6%
L3 Definido 39 34%
L4 Gestionado y medible 51 45%
L5 Optimizado 17 15%
TOTAL 114 100%
Si la anterior tabla se grafica, el resultado es el siguiente:
Ilustración 11. Nivel de madurez de los controles del SGSI, según el modelo CMM. Fuente propia
Ahora, si se compara el estado de los controles en su estado inicial, con el análisis diferencial,
se puede apreciar el gran avance en la madurez de todos los controles, para ello se presenta
la siguiente ilustración:
Nivel de Madurez de los Controles

Cumplimiento inicial Cumplimiento al momento de la auditoría Objetivo
A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

100% A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
A.18 CUMPLIMIENTOS
90% INFORMACIÓN
80%
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACION DE 70%
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
LA GESTION DE CONTINUIDAD DE NEGOCIO 60%
50%
40%
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA 30%
20% A.8 GESTION DE ACTIVOS
INFORMACIÓN
10%
0%
A.15 RELACIONES CON LOS PROVEEDORES A.9 CONTROL DE ACCESO
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE

A.10 CRIPTOGRAFIA
SISTEMAS
A.13 SEGURIDAD DE LAS COMUNICACIONES A.11 SEGURIDAD FÍSICA Y DEL ENTORNO

A.12 SEGURIDAD DE LAS OPERACIONES
Ilustración 12. Comparativo del nivel de madurez de los controles. Fuente propia
6.4. Auditoría de Cumplimiento

En la formalidad de un sistema de gestión de seguridad de la información, los requisitos
auditables están definidos en la norma NTC–ISO/IEC 27.001, versión 2013, para nuestro caso.
Es así como se realizó un ejercicio de auditoría interno, previo al de certificación, para evaluar
el estado de implementación del SGSI en la Empresa de Manejo de Obras. En el Anexo 9.
Informe de auditoría, se puede encontrar el detalle de esta.
6.4.1. Plan de auditoría

Objetivo: Evaluar el grado de conformidad del Sistema frente a los requisitos del estándar ISO
27001:2013.
Alcance: Activos de información críticos para la financiación, diseño y ejecución de

proyectos de infraestructura en la ciudad.

92 | 100
EXTRACTO DEL FORMATO PLAN DE AUDITORÍA

Equipo Auditor
Id Actividad Horas Auditado Lugar Fecha/Hora
Responsable Acompañante
REUNIÓN DE
1 Todos Todos 30 min Todos Sala de juntas Gerencia Mayo 3 de 2021 - 7:00 am
APERTURA
AUDITORIA DE
PROCESO: Líder de
2 Hernán Salazar Víctor Sosa 2 horas Sala juntas piso 10 Mayo 5 de 2021 - 7:00 am
PLANEACIÓN proceso
ESTRATÉGICA
AUDITORIA DE
PROCESO:
Líder de
3 INNOVACIÓN Y Hernán Salazar Hugo Arias 2 horas Sala juntas piso 5 Mayo 6 de 2021 - 7:00 am
proceso
GESTIÓN DE
CONOCIMIENTO
AUDITORIA DE
PROCESO: GESTIÓN
Líder de
4 SOCIAL Y Roberto Carlos Suarez Víctor Sosa 2 horas Sala juntas piso 1 Mayo 7 de 2021 - 7:00 am
proceso
PARTICIPACIÓN
CIUDADANA
AUDITORIA DE
Líder de
5 PROCESO: GESTIÓN María Fernanda Cuellar Hugo Arias 2 horas Sala juntas piso 6 Mayo 11 de 2021 - 7:00 am
proceso
INTERINSTITUCIONAL
AUDITORIA DE
Líder de
6 PROCESO: Hernán Salazar Víctor Sosa 2 horas Sala juntas piso 10 Mayo 12 de 2021 - 7:00 am
proceso
COMUNICACIONES
AUDITORIA DE
PROCESO: Líder de
7 Roberto Carlos Suarez Hugo Arias 2 horas Sala juntas piso 3 Mayo 4 de 2021 - 7:00 am
FACTIBILIDAD DE proceso
PROYECTOS

93 | 100

Equipo Auditor
AUDITORIA DE
PROCESO: GESTIÓN DE Líder de
8 María Fernanda Cuellar Víctor Sosa 2 horas Sala juntas piso 4 Mayo 12 de 2021 - 9:00 am
LA FINANCIACIÓN Y proceso
VALORIZACIÓN
AUDITORIA DE
Líder de
9 PROCESO: DISEÑO DE Roberto Carlos Suarez Hugo Arias 2 horas Sala juntas piso 3 Mayo 4 de 2021 - 9:00 am
proceso
PROYECTOS
AUDITORIA DE
Líder de
10 PROCESO: GESTIÓN Roberto Carlos Suarez Hugo Arias 2 horas Sala juntas piso 7 Mayo 4 de 2021 - 1:00 pm
proceso
PREDIAL
AUDITORIA DE
Líder de
11 PROCESO: EJECUCIÓN María Fernanda Cuellar Víctor Sosa 2 horas Sala juntas piso 8 Mayo 13 de 2021 - 9:00 am
proceso
DE OBRAS
AUDITORIA DE
PROCESO: Líder de
12 María Fernanda Cuellar Hugo Arias 2 horas Sala juntas piso 6 Mayo 4 de 2021 - 3:00
CONSERVACIÓN DE proceso
INFRAESTRUCTURA
AUDITORIA DE
Líder de
13 PROCESO: GESTIÓN María Fernanda Cuellar Víctor Sosa 2 horas Sala juntas piso 9 Mayo 5 de 2021 - 9:00 am
proceso
CONTRACTUAL
AUDITORIA DE
Líder de
14 PROCESO: GESTIÓN Roberto Carlos Suarez Hugo Arias 2 horas Sala juntas piso 9 Mayo 5 de 2021 - 11:00 am
proceso
LEGAL
AUDITORIA DE
PROCESO: GESTIÓN Líder de
15 Roberto Carlos Suarez Víctor Sosa 3 horas Sala juntas piso 10 Mayo 3 de 2021 - 9:30 am
AMBIENTAL, CALIDAD Y proceso
SST

94 | 100

Equipo Auditor
AUDITORIA DE
Líder de
16 PROCESO: GESTIÓN Roberto Carlos Suarez Hugo Arias 2 horas Sala juntas piso 4 Mayo 5 de 2021 - 2:00 pm
proceso
FINANCIERA
AUDITORIA DE
PROCESO: GESTIÓN DE
Líder de
17 TECNOLOGÍAS DE Roberto Carlos Suarez Víctor Sosa 5 horas Oficina de Tecnología Mayo 3 de 2021 - 1 pm a 5 pm
proceso
INFORMACIÓN Y
COMUNICACIÓN
AUDITORIA DE
Líder de
18 PROCESO: GESTIÓN DE Hernán Salazar Hugo Arias 2 horas Sala juntas piso 4 Mayo 6 de 2021 - 9:00 am
proceso
RECURSOS FÍSICOS
AUDITORIA DE
Líder de
19 PROCESO: GESTIÓN Roberto Carlos Suarez Víctor Sosa 2 horas Sala juntas piso 2 Mayo 6 de 2021 - 11:00 am
proceso
DEL TALENTO HUMANO
AUDITORIA DE
Líder de
20 PROCESO: GESTIÓN Hernán Salazar Hugo Arias 2 horas Sala juntas piso 1 Mayo 6 de 2021 - 2:00 pm
proceso
DOCUMENTAL
AUDITORIA DE
PROCESO: GESTIÓN Líder de
21 Roberto Carlos Suarez Víctor Sosa 2 horas Sala juntas piso 10 Mayo 7 de 2021 - 9:00 am
INTEGRAL DE proceso
PROYECTOS
AUDITORIA DE
PROCESO: Líder de
22 Hernán Salazar Hugo Arias 2 horas Sala juntas piso 8 Mayo 7 de 2021 - 1:00 pm
EVALUACIÓN Y proceso
CONTROL
Reunión de cierre y
Líder de
23 entrega de informe Todos Todos 1 hora Sala de juntas Gerencia Mayo 7 de 2021 - 3:00 pm
proceso
final de Auditoría

95 | 100
6.5. Resultados
El resultado de la auditoría es muy satisfactorio para la Empresa de Manejo de Obras y refleja
el tiempo que se lleva en la implementación del Sistema de Gestión de Seguridad de la
Información.
En cuanto a los requerimientos de gestión, se encontraron 2 no conformidades menores,

relacionadas con el manejo de documentos obsoletos y con la divulgación hacia las partes
interesadas externas; ambas relacionadas con el numeral 7 Soporte; y 2 oportunidades de
mejora, relacionadas con el numeral 6 planificación. En la siguiente gráfica se puede observar
el desempeño del SGSI frente a la norma ISO 27001:2013.
Desempeño del SGSI frente a los

numerales de ISO 27001:2013
10 8
8 7 7
6
6 5
4 4
4 2 2
2
0
Conformidad Ncm * Oport. Mejora
* Ncm: Se refiere a No conformidad menor
Como se pudo observar en los apartados previos, el nivel de madurez de los controles es
excelente, salvo siete (7) casos particulares que se encuentran en nivel L2 Reproducible, pero
intuitivo.
A lo largo del análisis de auditoría se pudo determinar que en la Empresa de Manejo de Obras
se tienen todos los controles recomendados por el anexo A de la norma técnica, sin embargo
la debilidad se presenta en la aplicación de los mismos, básicamente por falta de apropiación.
En este sentido, la recomendación que se eleva a las directivas de la Empresa es que se

fortalezca el proceso de divulgación y apropiación del SGSI, incluyendo sus controles.
Asimismo, se puede concluir que el SGSI de la Empresa de Manejo de Obras está preparado
para la certificación.

96 | 100
6.6. Fichas de no conformidades

A continuación, se presentan las dos fichas correspondientes a las no conformidades
encontradas durante el proceso de auditoría:

97 | 100

98 | 100
7. CONCLUSIONES
1. La importancia de realizar un diagnóstico al iniciar el proceso de implementación, radica
en que se convierte en un punto de partida, para la elaboración de una hoja de ruta que
facilite el cumplimiento de los objetivos.
2. Del mismo análisis diferencial inicial, se puede concluir que hay controles como el A.5.
Políticas de seguridad y el A.11. Seguridad física y del entorno que tienen un nivel alto de
implementación; mientras que el A.16. Gestión de incidentes de seguridad de la
información y el A.17 Aspectos de seguridad de la información de la gestión de
continuidad de negocio tienen los niveles más bajos en la implementación con un 23% y
un 7% respectivamente, por lo cual en estos últimos se deberá trabajar con mayor énfasis
para mejorar su desempeño.
3. Un sistema de Gestión está definido por los documentos que lo enmarcan y los describen,
de ahí la importancia de definir de forma clara y concisa los documentos del SGSI.
4. Una de las etapas más importantes, sino la más, es la gestión de los riesgos. Gracias a ella
se puede dar mayor claridad a la definición de los proyectos que se van a implementar
en torno al SGSI.
5. Un análisis de riesgos permitirá conocer las amenazas e impacto de ellas sobre los activos
institucionales, para de esta forma tomar las medidas de protección o inclusive, medidas
de acción (planes) para protegerlos (a los activos).
6. Es bien conocida una frase que dice: “que una cadena es tan fuerte como su eslabón
más débil”. Si la extrapolamos al ámbito del SGSI de la Empresa de Manejo de Obras,
podemos decir que ese eslabón son los empleados apáticos, que no se apropian de los
conceptos, las políticas y recomendaciones, es por ello que los proyectos de divulgación,
socialización, apropiación o en términos generales, de formación, deben ser permanentes.
7. Es muy importante saber definir las acciones de tratamiento de los riesgos, o como en
nuestro caso, los proyectos que van a permitir mitigar el riesgo identificado; pues una mala
decisión puede hacer que se pierda la inversión, pero sobre todo, la confianza de la alta
dirección en el SGSI.
8. El SGSI está basado en el modelo PHVA de mejoramiento continuo, y por ello la
importancia de los ciclos permanentes y periódicos de auditoría, pues permiten que por
cada nuevo ciclo o iteración, el sistema vaya mejorando. Una muestra de ello es el nivel
de madurez mostrado por el sistema en la última auditoría Interna.
9. El apoyo de la alta dirección, además de ser un requerimiento normativo, en la práctica
se convierte en un punto altamente crítico para el éxito del SGSI en la Empresa.

99 | 100
8. BIBLIOGRAFÍA Y REFERENCIAS
 Introducción a la seguridad de la información, Silvia Garre Gui. UOC

 https://www.timetoast.com/timelines/evolucion-de-la-norma-iso-iec-27000.
 Norma Técnica Colombiana NTC-ISO/IEC 27001:2013. Icontec. 2013.
 Guía Técnica Colombiana GTC-ISO/IEC 27002:2015. Icontec. 2015.
 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA – BANCO MUNDIAL Propuesta
metodológica: Identificación de riesgos de corrupción, Bogotá D.C., 1999.
 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA. Guía para la administración
del riesgo. Bogotá, D.C., septiembre de 2011. Cuarta Edición
 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Tecnología de la
información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la Información
(SGSI). Requisitos. NTC-ISO 27001. Bogotá D.C., 2006. (esta norma es una adopción idéntica
por traducción de la norma ISO/IEC 27001).
 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Gestión del Riesgo,
Principios y Directrices. NTC-ISO 31000. Bogotá D.C., 2011. (esta norma es una adopción
idéntica por traducción de la norma ISO 31000:2009).
 COLOMBIA COMPRA EFICIENTE. Manual para la Identificación y Cobertura del Riesgo en
los Procesos de Contratación. Bogotá D.C., 2013.
 ISO 27001: Revisión por la dirección y mejora del SGSI: http://www.pmg-
ssi.com/2014/12/iso-27001-revision-por-la-direccion-y-mejora-del-sgsi/
 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA – BANCO MUNDIAL Propuesta
metodológica: Identificación de riesgos de corrupción, Bogotá D.C., 1999.
 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA. Guía para la administración
del riesgo. Bogotá, D.C., septiembre de 2011. Cuarta Edición
 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Tecnología de la
información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la Información
(SGSI). Requisitos. NTC-ISO 27001. Bogotá D.C., 2006. (esta norma es una adopción idéntica
por traducción de la norma ISO/IEC 27001).
 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Gestión del Riesgo,
Principios y Directrices. NTC-ISO 31000. Bogotá D.C., 2011. (esta norma es una adopción
idéntica por traducción de la norma ISO 31000:2009).
 COLOMBIA COMPRA EFICIENTE. Manual para la Identificación y Cobertura del Riesgo en
los Procesos de Contratación. Bogotá D.C., 2013.

100 | 100

Hmafla TFM0618 Memoria

Cargado por

Copyright:

Formatos disponibles

Hmafla TFM0618 Memoria

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Hmafla TFM0618 Memoria

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD ABIERTA DE CATALUÑA

MASTER INTERUNIVERSITARIO EN SEGURIDAD DE LAS TIC

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN SEGURIDAD DE

HÉCTOR ANDRÉS MAFLA TRUJILLO

Plan Maestro para la

Carrera 13 # 33 – 01 p. 555-8056 [email protected]

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

1.3.2. Específicos ..................................................................................................................... 11

2. Análisis diferencial ........................................................................... 11

5.1. Propuestas ..................................................... 53

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

De la mano de ella, se presenta otra norma, que no es certificable, pues se ha considerado

A continuación, una síntesis de lo que ha sido la historia de las dos normas:

Ilustración 1. Historia de las normas de referencia. Parte 1. Fuente: Propia.

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Ilustración 2. Historia de las normas de referencia. Parte 2. Fuente: Propia.

Se encuentra ubicada en la ciudad de Bogotá, D.C., en la Calle del Churo # 13-44.

La estructura jerárquica es la siguiente:

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Oficina de Control Oficina Seguridad

Subdirección de Subdirección de Subdirección

Oficina de Oficina de Atención

Mantenimiento Talento humano

Ilustración 3. Organigrama de la Empresa. Fuente: propia

La Empresa de Manejo de Obras tiene la siguiente plataforma tecnológica:

 Un (1) Centro de Procesamiento de Datos – CPD

 Dos (2) switches de Core

Ilustración 4. Diagrama de red a alto nivel. Fuente: Propia.

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

A continuación, se presenta este análisis en dos subcapítulos separados.

2.1. Análisis diferencial NTC - ISO/IEC 27001:2013

 ¿Existe mecanismo que lo implementa?

Por el contrario, si el requerimiento no tiene un mecanismo que lo implementa, este se califica

Asimismo, si el requerimiento tiene un mecanismo que lo implementa, pero nunca es aplicado,

En la siguiente tabla se muestran las posibles combinaciones de los criterios de valoración de

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

RESUMEN ANÁLISIS DIFERENCIAL NTC – ISO/IEC 27.001

4 Contexto de la organización 100

Nota: En la columna porcentaje de cumplimiento se pueden encontrar valores distintos a los

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

2.2. Análisis diferencial GTC - ISO/IEC 27002:2015

 Estado (de implementación)

A continuación, en la tabla 3 se presenta el resumen del análisis diferencial de la

RESUMEN ANÁLISIS DIFERENCIAL GTC – ISO/IEC 27.002

RESUMEN ANÁLISIS DIFERENCIAL GTC – ISO/IEC 27.002

En el anexo 1 se presenta el análisis detallado de todos los controles de la norma. En este

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

2.3. Conclusiones del análisis diferencial

Finalmente, frente a los requisitos planificación y mejora, que se encuentran en un 86% de

3.1. Política General de Seguridad

Esta política fue adoptada mediante la resolución interna 34113 de 2015.

3.2. Política de Seguridad

PLAN MAESTRO PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

contratistas de apoyo a la gestión, contratistas de obra, como terceros vinculados por

3.3. Procedimiento de Auditorías Internas

El documento del procedimiento en cuestión, se encuentra en el Anexo 3 Procedimiento