Aonatear 3ago2021
Aonatear 3ago2021
Aonatear 3ago2021
Nombre
Edgar Mauricio López Rojas
Director
3
DEDICATORIA
Con amor dedico éste trabajo a mi hijo, que con su carisma y comprensión me
acompañó en cada etapa vivida, colaborándome de manera indirecta, minimizando
mis preocupaciones de madre, también lo dedico a mi mamá que con su apoyo,
consagración y paciencia disminuyo mis tareas en el hogar permitiéndome una
entrega mas tranquila en el estudio y trabajo.
4
AGRADECIMIENTOS
5
CONTENIDO
pág.
INTRODUCCIÓN ................................................................................................... 14
1. DEFINICIÓN DEL PROBLEMA ......................................................................... 16
1.1 ANTECEDENTES DEL PROBLEMA ....................................................... 16
1.2 FORMULACIÓN DEL PROBLEMA ......................................................... 16
2 JUSTIFICACIÓN ............................................................................................. 18
3 OBJETIVOS.................................................................................................... 19
3.1 OBJETIVOS GENERAL .......................................................................... 19
3.2 OBJETIVOS ESPECÍFICOS ................................................................... 19
4 MARCO REFERENCIAL ................................................................................ 20
4.1 MARCO TEÓRICO .................................................................................. 20
Activo de Información........................................................................... 20
Seguridad de la información ................................................................ 20
Norma ISO 27001 ................................................................................ 22
Ciclo PDCA .......................................................................................... 23
Análisis de riesgos ............................................................................... 25
4.2 MARCO CONCEPTUAL .......................................................................... 26
Políticas de seguridad .......................................................................... 26
Seguridad de la información: ............................................................... 27
Visión general de la administración de riesgo ...................................... 28
Magerit ................................................................................................. 30
4.3 MARCO LEGAL ....................................................................................... 32
Ley 1266 de 2008: .............................................................................. 32
Ley 527 de 1999: ................................................................................. 32
Ley 1273 de 2009: ............................................................................... 32
Ley 1581 de 2012: ............................................................................... 33
Ley 1712 de 2014: ............................................................................... 33
5 DESARROLLO DE LOS OBJETIVOS ............................................................ 34
5.1 CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN .............................. 34
Inventario de activos ............................................................................ 35
Clasificación de activos de información. .............................................. 37
Clasificación según impacto ................................................................. 39
Criterios de valoración ......................................................................... 39
6
5.2 DEFINICIÓN DE CONTROLES A IMPLEMENTAR SEGÚN LA
DECLARACIÓN DE APLICABILIDAD SoA ALINEADA A LA NORMA ISO
27001:2013 ........................................................................................................ 40
5.3 Propuesta DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
ALINEADAS CON LA NORMA ISO 27001:2013 ................................................ 49
Políticas de seguridad de la información. ............................................. 49
Gestión de activos de información ....................................................... 52
Control de acceso lógico a la información ............................................ 54
Áreas Seguras ..................................................................................... 57
Seguridad en la Operación de la infraestructura de TI ......................... 57
Seguridad en las telecomunicaciones .................................................. 63
Adquisición, desarrollo y mantenimiento de los sistemas de información
65
Seguridad en las relaciones con terceros ............................................ 68
Seguridad en la continuidad del Negocio de la Organización .............. 69
Cumplimiento de los requisitos legales y contractuales ................... 71
6 CONCLUSIONES ........................................................................................... 73
7 BIBLIOGRAFÍA ............................................................................................... 76
7
LISTA DE FIGURAS
Pág.
Figura 1. ISO 27001:2013 Sistema de Gestión de Seguridad de la Información ... 22
Figura 2. Comparativo de la norma ISO 27001:2005 vs ISO 27001:2013 ............. 23
Figura 3. Fases del ciclo PDCA ............................................................................. 24
Figura 4. Fuente Área de Planeación – AS/MSS. 4360- Risk Management .......... 28
Figura 5. Metodología de análisis y gestión de riesgos de los sistemas de
información ............................................................................................................ 31
Figura 6. Guía para la gestión y clasificación de activos de información – Mintic .. 36
8
LISTA DE TABLAS
Pág.
9
GLOSARIO
Código malicioso: El software malicioso incluye todos los programas que codifican
deliberadamente para causar un acontecimiento inesperado en el PC de un usuario.
10
Inventario de activos de información: Es una lista ordenada y documentada de
los activos de información pertenecientes a la organización.
11
RESUMEN
La política debe ser fácil de comprender, concisa para los usuarios, deben enmarcar
las guías y las actividades de una organización, se deben aplicar según las
directrices en donde se especifica el estándar y/o norma a utilizar como la ISO
27001:2013 protegiendo la información de cualquier amenaza.
12
ABSTRACT
The design of information security policies arises from the need to protect
information assets and protect them from unauthorized access, preserving the three
fundamental principles of information integrity, availability and confidentiality in
organizations.
The policy must be easy to understand, concise and easy to fulfill for all users, they
must frame the guidelines and activities of an organization, they must be applied
according to the guidelines where the standard and / or norm to be used to protect
the information is specified from any threat.
You must have an understanding and understanding of the information security
requirements and identification of the legal, commercial and regulatory aspects
related to information security
13
INTRODUCCIÓN
Para enfrentar este reto y teniendo en cuenta que la información es un activo muy
importante para la Organización, es necesario implementar estrategias y controles
que garanticen altos niveles de seguridad a la información, por medio de un Sistema
de Gestión de Seguridad de la Información alineado a la norma internacional NTC /
ISO 27001:2013.
14
• Valorar y gestionar los riesgos inherentes o potenciales de seguridad de la
información y ciberseguridad de los procesos que hacen parte del alcance del
SGSI.
• Incluir en el plan de tratamiento de riesgos, los controles definidos en las normas
ISO 27001:2013 e ISO 27032:2012
15
1. DEFINICIÓN DEL PROBLEMA
16
especialistas y profesionales, infraestructura obsoleta, dedicados al área de
seguridad informática, estos aspectos afectan la seguridad en las organizaciones.
17
2 JUSTIFICACIÓN
18
3 OBJETIVOS
19
4 MARCO REFERENCIAL
Activo de Información
• Documentos físicos.
• Recurso humano
Seguridad de la información
1Guía para la gestión y clasificación de activos de información [Sitio web] Bogotá [Consulta: 15
noviembre 2020] Disponible en https://www.mintic.gov.co/gestionti/615/articles-
5482_G5_Gestion_Clasificacion.pdf
20
Uno de los principales objetivos consiste en asegurar los recursos del Sistema de
Información de una empresa haciendo uso como lo haya dispuesto la organización,
el acceso a la información se debe controlar de la modificación y las personas
autorizadas la pueden usar dentro de los límites establecidos.
2Protección de la información INCIBE [Sitio web] Bogotá [Consulta: 15 noviembre 2020] disponible
en https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_proteccion-de-la-
informacion.pdf
21
En la figura 1 se describe la serie 27000
27001
• Requisitos
27007 - SGSI
27009 27002
• Directrices • Guia
para buenas
auditoria practicas
SGSI
SERIE
27006 27003
• Requisitos
27000 • Guia para
implemen
de
tación del
auditoria SGSI
27005
27004
• Gestion
del riesgo • Metricas
SGSI
SGSI
Fuente: Serie 27000 [Sitio web] ISO 27000.ES [Consultado 15 de marzo 2020] Disponible en
https://www.iso27000.es/iso27000.html.
22
ISO 27001 está dividida en 11 secciones, adicional el anexo A; En las secciones de
la 0 a 3 no son obligatorias para la implementación, las secciones de la 4 a 10 si
son obligatorias. Los controles se implementan si corresponden a la declaración de
aplicabilidad.3
Fuente: Giraldo González Eduin. Comparativo de la norma ISO 27001:2005 vs ISO 27001:2013 [Sitio web]
[Consultado:15 de marzo 2020] https://prezi.com/rf6wx2d4xfgf/comparativo-de-la-norma-iso-270012013-vs-
iso-270012005/
Ciclo PDCA
Todos los sistemas de gestión adoptan el ciclo como metodología aplicable a todos
los procesos. Conocida por sus siglas en Ingles PDCA Plan -Do- Check -Act. Es un
3 Norma ISO 27001 [Sitio web] Bogotá [Consulta: 15 noviembre 2020] Disponible
https://normaiso27001.es/
23
concepto que se desarrolló hace 60 años por Edwards Deming Consultor de gestión
de Calidad basa su funcionamiento en 4 fases4:
Fuente: BETANCOURT, Diego. Ciclo de Deming (PDCA): Qué es y cómo logra la mejora continua. [En línea].
02 de agosto de 2018. [Citado 24 de marzo de 2021]. Disponible en: www.ingenioempresa.com/ciclo-pdca
4 ISO/IEC 27001:2013 - Ciclo de mejora continua o Deming [Sitio web] Bogotá [Consulta: 15
noviembre 2020] disponible en http://seguridadinfoperu.blogspot.com/2017/05/isoiec-270012013-
ciclo-de-mejora.html
24
Análisis de riesgos
Características principales:
• Los usuarios deben realizar sus labores sin modificar programas ni archivos sin
autorización.
25
4.2 MARCO CONCEPTUAL
Políticas de seguridad
6Política de seguridad de la información [Sitio web] Bogotá [Consulta: 15 noviembre 2020] disponible
en https://normaiso27001.es/a5-politicas-de-seguridad-de-la-informacion/
26
Seguridad de la información:
27
Integridad: La propiedad de proteger la precisión y totalidad de los activos10.
28
Fuente: Gestión de riesgos empresariales [Sitio web] [Consultado 18 de febrero 2020] Disponible en
https://www.lexology.com/library/detail.aspx?g=8872e62a-689f-4eab-bc6f-f8261ef64bb9
Los elementos principales del proceso de administración del riesgo son los
siguientes:
Identificación de riesgos. Identificar qué, por qué y cómo las cosas pueden
suceder como la base para mayores análisis.
29
Monitorear y revisar. Monitorear y revisar el desempeño del sistema de
administración y los cambios que podrían afectarlo.
Magerit
11 Análisis de riesgos en 6 pasos [Sitio web] Bogotá [Consulta: 15 noviembre 2020] disponible en
https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo
30
En la figura 5 se observa el proceso de Gestión de Riesgos, basado en la ISO
31000.
Figura 5. Metodología de análisis y gestión de riesgos de los sistemas de información
Fuente: Magerit V3 Metodología de análisis y gestión del riesgo de los sistemas de información [Sitio web]
[Consultado: 5 abril 2020] disponible en
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.X
6nBV6Kfga_
31
Objetivos indirectos:
12 Magerit V3 Metodología de análisis y gestión del riesgo de los sistemas de información [Sitio web]
Bogotá [Consulta: 15 noviembre 2020]
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mag
erit.html#.X6nBV6Kfga_
13 Ley estatutaria 1266 de 2008 [Sitio web] Bogotá [Consulta: 15 noviembre 2020] disponible en
http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html
14Legislación informática de Colombia [Sitio web] Bogotá [Consulta: 15 noviembre 2020] disponible
en
32
Ley 1581 de 2012:
http://www.informaticajuridica.com/legislacion/colombia/#:~:text=Ley%201273%20de%205%20de,y
%20las%20comunicaciones%2C%20entre%20otras
33
5 DESARROLLO DE LOS OBJETIVOS
34
altamente perjudicial altamente perjudicial altamente perjudicial
para la organización. para la organización. para la organización
.
Fuente: Elaboración Propia. Criterios de clasificación alineados con los tipos de información declarados en la
ley 1712 del 2014
Inventario de activos
35
La identificación de inventario de activos consiste en clasificar el tipo de información
y validar a los que se le debe brindar mayor protección, identificando sus
características y roles al interior de un proceso15.
36
Clasificación de activos de información.
• Centros de computo
Locaciones/Sitio • Datacenter
• Oficinas de IT
• Diferentes sedes
• Servidores de red.
Servidores • Almacenamiento
37
• Aplicativos
• Bases de Datos
PC Estaciones de
trabajo • Portátiles
• Equipos móviles
• Estaciones fijas de trabajo
• Switch
• Router
Red • Canales de comunicación
• Firewall
Personas • Funcionarios
• Proveedores
• Clientes
• Socios de negocio.
Infraestructura • Impresoras
• Scanner
• UPS
• Planta eléctrica
38
Clasificación según impacto
Criterios de valoración
39
5.2 DEFINICIÓN DE CONTROLES A IMPLEMENTAR SEGÚN LA
DECLARACIÓN DE APLICABILIDAD SOA ALINEADA A LA NORMA ISO
27001:2013
SELECCIÓN DE
DOMINO CONTROL DESCRIPCIÓN CONTROLES
RL RN RC AR
A.5 Políticas de seguridad de la información
A.5.1.1 Políticas Control: Se debería definir un
para la conjunto de políticas para la
seguridad seguridad de la información,
de la aprobada por la dirección,
información publicada y comunicada a los
empleados y partes externas
pertinentes.
40
A.5.1.2 Revisión de Control: Las políticas para
las políticas seguridad de la información se
para deberían revisar a intervalos
seguridad planificados o si ocurren cambios
de la significativos, para asegurar su
información conveniencia, adecuación y
eficacia continuas.
A.6 Organización de la seguridad de la información
A.6.1.1 Seguridad Control: Se deben definir y asignar
de la todas las responsabilidades de la
información seguridad de la información
Roles y
Responsabi
lidades
A.7 Seguridad de los recursos humanos
A.7.1.1 Selección Control: Las verificaciones de los
antecedentes de todos los
candidatos a un empleo se
deberían llevar a cabo de acuerdo
con las leyes, reglamentos y ética
pertinentes, y deberían ser
proporcionales a los requisitos de
negocio, a la clasificación de la
información a que se va a tener
acceso, y a los riesgos percibidos.
A.7.2.1 Responsabi Control: La dirección debería exigir
lidades de a todos los empleados y
la dirección contratistas la aplicación de la
seguridad de la información de
41
acuerdo con las políticas y
procedimientos establecidos por la
organización
A.8 Gestión de activos
A.8.1.1 Inventario Control: Se deberían identificar los
de activos activos asociados con la
información y las instalaciones de
procesamiento de información, y
se debería elaborar y mantener un
inventario de estos activos
A.8.2.1 Clasificació Control: La información se debería
n de la clasificar en función de los
información requisitos legales, valor, criticidad
y susceptibilidad a divulgación o a
modificación no autorizada
A.8.2.3 Manejo de Control: Se debe desarrollar e
activos implementar procedimientos para
el manejo de activos, de acuerdo
con el esquema de clasificación de
información adoptado por la
organización
A.9 Control de acceso
A.9.1.1 Política de Control: Se debería establecer,
control de documentar y revisar una política
acceso de control de acceso con base en
los requisitos del negocio y de
seguridad de la información.
A.9.1.2 Política Control: Solo se debería permitir
sobre el acceso de los usuarios a la red y a
42
uso de los los servicios de red para los que
servicios de hayan sido autorizados
red específicamente
A.9.2.3 Gestión de Control: Se debería restringir y
derechos controlar la asignación y uso de
de acceso derechos de acceso privilegiado
privilegiado
A.9.4.1 Restricción Control: El acceso a la información
de acceso y a las funciones de los sistemas
Información de las aplicaciones se debería
restringir de acuerdo con la política
de control de acceso
A.9.4.2 Procedimie Control: Cuando lo requiere la
nto de política de control de acceso, el
ingreso acceso a sistemas y aplicaciones
seguro se debería controlar mediante un
proceso de ingreso seguro
A.9.4.3 Sistema de Control: Los sistemas de gestión
gestión de de contraseñas deberían ser
contraseña interactivos y deberían asegurar la
s calidad de las contraseñas.
A.9.4.4 Uso de Control: Se debería restringir y
programas controlar estrictamente el uso de
utilitarios programas utilitarios que pudieran
privilegiado tener capacidad de anular el
s sistema y los controles de las
aplicaciones.
A.11 Seguridad física y del entorno
43
A.11.1.3 Seguridad Control: Se debería diseñar
de oficinas, y aplicar seguridad física a
recintos e oficinas, recintos e instalaciones
instalacione
s
A.11.1.4 Protección Control: Se debería diseñar y
contra aplicar protección física contra
amenazas desastres naturales, ataques
externas y maliciosos o accidentes.
ambientale
s
A.11.2.2 Servicios Control: Los equipos se deberían
de proteger contra fallas de energía y
suministro otras interrupciones causadas por
fallas en los servicios de
suministro.
A.11.2.4 Mantenimie Control: Los equipos se deberían
nto de mantener correctamente para
equipos asegurar su disponibilidad e
integridad continuas
A.12 Seguridad de las operaciones
A.12.2.1 Controles Control: Se deberían implementar
contra controles de detección, de
códigos prevención y de recuperación,
maliciosos combinados con la toma de
conciencia apropiada de los
usuarios, para proteger contra
códigos maliciosos
44
A.12.3.1 Respaldo Control: Se deberían hacer copias
de de respaldo de la información, del
información software e imágenes de los
sistemas, y ponerlas a prueba
regularmente de acuerdo con una
política de copias de respaldo
aceptada
A.12.4.1 Registro de Control: Se deberían elaborar,
eventos conservar y revisar regularmente
los registros acerca de actividades
del usuario, excepciones, fallas y
eventos de seguridad de la
información.
A.12.4.2 Protección Control: Las instalaciones y la
de la información de registro se
información deberían proteger contra
de registro alteración y acceso no autorizado.
A.12.5.1 Instalación Control: Se deberían implementar
de software procedimientos para controlar la
en sistemas instalación de software en
operativos sistemas operativos
A.12.6.2 Restriccion Control: Se deberían establecer e
es sobre la implementar las reglas para la
instalación instalación de software por parte
de software de los usuarios.
A.13 Seguridad de las comunicaciones
A.13.1.1 Controles Control: Las redes se deberían
de redes gestionar y controlar para proteger
45
la información en sistemas y
aplicaciones.
A.13.2.3 Mensajería Control: Se debería proteger
electrónica adecuadamente la información
incluida en la mensajería
electrónica.
A.15 Relación con los proveedores
A.15.1.2 Tratamient Control: Se deberían establecer y
o de la acordar todos los requisitos de
seguridad seguridad de la información
dentro de pertinentes con cada proveedor
los que pueda tener acceso, procesar,
acuerdos almacenar, comunicar o
con suministrar componentes de
proveedore infraestructura de TI para la
s información de la organización
A.15.2.1 Seguimient Las organizaciones deberían
o y revisión hacer seguimiento, revisar y
de los auditar con regularidad la
servicios de prestación de servicios de los
los proveedores.
proveedore
s
A.16 Gestión de incidentes de seguridad de la información
A.16.1.3 Reporte de Control: Se debería exigir a todos
debilidades los empleados y contratistas que
de usan los servicios y sistemas de
seguridad información de la organización,
que observen e informen cualquier
46
de la debilidad de seguridad de la
información información observada o
sospechada en los sistemas o
servicios
A.16.1.7 Recolecció Control: La organización debería
n de definir y aplicar procedimientos
evidencia para la identificación, recolección,
adquisición y preservación de
información que pueda servir como
evidencia
A.17 Aspectos de seguridad de la información de la gestión de continuidad
de negocio
A.17.1.2 Implementa Control: La organización debería
ción de la establecer, documentar,
continuidad implementar y mantener procesos,
de la procedimientos y controles para
seguridad asegurar el nivel de continuidad
de la requerido para la seguridad de la
información información durante una situación
adversa
A.18 Cumplimiento
A.18.1.3 Protección Control: Los registros se deberían
de registros proteger contra pérdida,
destrucción, falsificación, acceso
no autorizado y liberación no
autorizada, de acuerdo con los
requisitos legislativos, de
reglamentación, contractuales y de
negocio.
47
A.18.1.4 Privacidad Control: Cuando sea aplicable, se
y deberían asegurar la privacidad y
protección la protección de la información de
de datos datos personales, como se exige
personales en la legislación y la
reglamentación pertinentes.
A.18.2.2 Cumplimien Control: Los directores deberían
to con las revisar con regularidad el
políticas y cumplimiento del procesamiento y
normas de procedimientos de información
seguridad dentro de su área de
responsabilidad, con las políticas y
normas de seguridad apropiadas, y
cualquier otro requisito de
seguridad
A.18.2.3 Revisión Control: Los sistemas de
del información se deberían revisar
cumplimien periódicamente para determinar el
to técnico cumplimiento con las políticas y
normas de seguridad de la
información.
48
5.3 PROPUESTA DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
ALINEADAS CON LA NORMA ISO 27001:2013
49
a. Revisar y aprobar las políticas de seguridad de la información de La
Organización.
b. Liderar los proyectos de seguridad de la información
c. Hacer seguimiento a la gestión de riesgos de seguridad de la información y
ciberseguridad.
d. Identificar y atender los requisitos legales y reglamentarios, así como las
obligaciones de seguridad contractuales.
e. Asegurar que todo el personal tiene conciencia de la importancia de la seguridad
de la información y el cumplimiento de sus responsabilidades para con el SGSI.
f. Coordinar las revisiones por partes externas del SGSI cuando sea necesario.
g. Evaluar, revisar, aprobar y coordinar la implementación de los controles de
seguridad de la información y ciberseguridad.
h. Velar por las actualizaciones independientes a las políticas de seguridad de la
información y ciberseguridad, y la efectividad y eficiencia de los controles
implementados.
i. Realizar reportes periódicos a la Alta Dirección de La Organización, indicando el
nivel de seguridad obtenido.
j. Asegurar la ejecución de actividades de concientización y capacitación a todos
los funcionarios que enfatice la importancia del cumplimiento de las políticas
seguridad de la información y ciberseguridad y su contribución al logro de los
objetivos del negocio.
k. El Comité de Seguridad de la información se reunirá trimestralmente o cuando
un incidente de seguridad requiera atención por parte del comité.
50
a. Documentar las políticas y normas de seguridad de la información y
ciberseguridad.
b. Apoyar la identificación, evaluación y control de los riesgos de seguridad de la
información y ciberseguridad de los diferentes procesos.
c. Apoyar a los líderes del proceso en la definición, diseño, implementación y
monitoreo de los controles para mitigar los riesgos asociados a la seguridad de
la información y ciberseguridad
d. Verificar que los planes de tratamiento y controles definidos para mitigar los
riesgos de seguridad de la información y ciberseguridad se ejecutan efectiva y
eficientemente.
e. Desarrollar actividades de capacitación y concienciación en temas relacionados
con la seguridad de los activos de información.
f. Coordinar el desarrollo de auditorías internas al SGSI.
g. Actualizar periódicamente el manual del SGSI y las normas de seguridad de la
información y ciberseguridad
h. Participar en grupos y foros de discusión en temas relacionados con la seguridad
de la información y ciberseguridad.
51
5.3.1.6 Responsabilidad de los usuarios
a. Todos los usuarios internos o externos que tengan alguna interacción con el uso
de activos de información de La Organización deben dar cumplimiento sin
ninguna restricción a las políticas y normas de seguridad de la información y
ciberseguridad establecidas.
b. Realizar sesiones de sensibilización, capacitación acerca de temas de seguridad
de la información y ciberseguridad.
52
• Ubicación física o lógica del activo
• Responsable
• Custodio
• Nivel de clasificación de acuerdo con su confidencialidad.
53
debe ser de conocimiento únicamente por parte de los funcionarios de La
Organización, clientes o consultores externos debidamente autorizados.
• Información de uso confidencial (confidencial). Sustenta estrategias del
negocio, información financiera, informes de gestión para la junta directiva,
registros para toma de decisiones a nivel de gerencias, información de
clientes, proveedores y competencia, información que contenga datos de
personas naturales y cualquier otra que pueda comprometer la seguridad de
la empresa, de las personas o sus clientes. Su divulgación no está
autorizada, incluso dentro de La Organización, por el impacto que puede
causar a la misma.
54
b. Los privilegios de acceso de los usuarios a los diferentes sistemas de
información deben ser autorizados por los Líderes de proceso y deben limitarse
al mínimo requerido para cumplir con las responsabilidades propias de su cargo.
c. Garantizar la segregación de funciones en las actividades de autorización,
asignación, creación y administración de credenciales en los diferentes sistemas
de información.
55
b. La contraseña debe expirar periódicamente, se recomienda cada 60 días y debe
ser cambiada de manera obligatoria por los usuarios.
c. Los usuarios cambian la contraseña en el primer inicio de sesión.
d. Los sistemas de información no permiten el uso de las últimas cinco contraseñas
e. El acceso a los sistemas de información es bloqueado después de cinco (5)
intentos fallidos de ingreso.
56
Áreas Seguras
a. El ingreso de personal ajeno a las áreas seguras debe ser autorizado por el jefe
de área correspondiente.
b. Los visitantes a las áreas seguras deben portar un carnet que los identifique
como visitantes.
c. Para todos los visitantes a las áreas seguras, se registrará la fecha y hora de
ingreso, funcionario a quien visita y fecha y hora de la salida. El registro de esta
información se puede hacer electrónico o en bitácoras manuales
57
• Inicio y apagado de los equipos de misión crítica
• Backup y restauración de datos
• Control de cambios de hardware y software
• Gestión de incidentes
• Gestión de usuarios, roles y perfiles de seguridad
• Mantenimiento de equipos
• Gestión de registros de auditoría
58
c. Los cambios que se realicen sobre los recursos de TI de misión crítica deben ser
registrados en una bitácora de cambios.
d. Antes de realizar un cambio de hardware y/o software en los recursos de TI de
misión crítica, se debe hacer una copia de respaldo de la información.
e. El procedimiento de control de cambios debe contemplar cambios de
emergencia.
59
a. La Dirección de Tecnología debe garantizar que todos los computadores
conectados en la red de la Organización tienen instalado el software antivirus de
acuerdo con el estándar vigente.
b. Se deben implantar los mecanismos de actualización permanente y en línea del
software antivirus instalado en los computadores conectados en la red. De igual
forma, se debe garantizar un mecanismo semiautomático o manual que permita
la actualización del antivirus instalado en computadores que no se conectan de
manera permanente a la red.
c. Periódicamente se debe monitorear la consola de administración del software
antivirus, con el fin de identificar los computadores que no tienen la última
versión instalada. De ser necesario, se aplicará un procedimiento manual de
actualización por parte del área de informática.
d. El software antivirus debe ser configurado para el escaneo en línea de todas las
unidades de almacenamiento.
e. Todo CD, memoria USB, o disco externo que sea conectado en un computador
de la organización independientemente de su procedencia, debe ser escaneado
con el software antivirus antes de ser utilizado.
f. Los usuarios deben reportar de inmediato al área de soporte cualquier
comportamiento anormal del computador o indicio de la presencia de virus, con
el fin de prevenir la propagación de este.
60
b. La Dirección de Tecnología debe establecer una estrategia de backup de
información crítica almacenada en los servidores que soporte los requerimientos
de recuperación y continuidad de la organización.
c. Es responsabilidad del Oficial de Seguridad de la información y ciberseguridad
de la organización la supervisión periódica de los procesos de toma de backup,
rotación, custodia y almacenamiento de las cintas de backup.
d. Los medios magnéticos utilizados para realizar las copias de seguridad de la
información sensible se deben almacenar en un sitio externo a las instalaciones
de la organización. El sitio externo debe cumplir con las condiciones ambientales
adecuadas para almacenamiento de medios magnéticos.
e. Trimestralmente, se deben realizar pruebas de restauración de una cinta de
backup para verificar el contenido y la usabilidad de la cinta.
61
• Intentos de acceso no autorizado
• Cambios o intento de cambios a los parámetros de seguridad de los
sistemas de información.
62
b. Se debe desarrollar un plan de tratamiento para mitigar los riesgos identificados
en las pruebas de ethical hacking
63
b. El acceso a internet NO puede ser utilizado para los siguientes propósitos:
• Actividades relacionadas a juegos online por internet
• Ingreso a cualquier material considerado como pornográfico, ofensivo,
discriminatorio o ilegal según las normas internas de la Organización y la
legislación vigente
• Descargar música, videos, fotos, fondos de pantalla, programas, juegos
etc., los cuales representan un alto riesgo de virus y daños al computador
y de legalidad en su uso por derechos de autor.
• Cualquier actividad que sea lucrativa o comercial de carácter individual,
privado o para negocios particulares.
• Utilizar los servicios de internet para la transmisión, distribución o
almacenamiento de cualquier archivo protegidos por derechos de autor,
marcas registradas, secretos comerciales u otros de propiedad
intelectual.
• El acceso no autorizado a cualquier intento de prueba, verificación o
rastreo (scan) de vulnerabilidades de un sistema o red.
• No está permitido el acceso a redes sociales.
64
• Detección de software malicioso que pueda ser transmitido.
• Informar a todos los funcionarios y externos sus responsabilidades con el
cumplimiento de las políticas y procedimientos para el intercambio de
información.
• Concienciar a los funcionarios y terceros acerca de las precauciones que
deben tener cuando exponen información confidencial en conversaciones
personales o telefónicas.
• Concienciar a los funcionarios y terceros en que no deben dejar mensajes
con información confidencial en ningún tipo de contestador o buzón
telefónico.
65
5.3.7.1 Seguridad en los procesos de desarrollo, adquisición y soporte
66
• Los desarrollos, adquisiciones y mantenimientos de software realizados
por personal interno o externo deben cumplir las políticas, normas,
procedimientos, estándares de desarrollo de software y seguridad de la
información formalmente establecidos en la Organización.
a. Todo software nuevo o modificado debe ser probado y aprobado de acuerdo con
los procedimientos de control de cambios definidos por la dirección de
tecnología.
b. Todas las modificaciones significativas, actualizaciones importantes y nuevos
sistemas deben ser aceptados y probados por los dueños de información antes
de su instalación en producción. El plan de aceptación del usuario incluirá
pruebas de los principales procesos, funciones e interconexión con otros
sistemas. La metodología de pruebas se debe documentar en los formatos
definidos.
c. Durante la prueba de aceptación, los desarrolladores no pueden modificar el
código fuente que se está evaluando. Si se identifican errores, el usuario debe
documentarlos. El desarrollador debe hacer las modificaciones necesarias en el
ambiente del desarrollo y una vez finalizadas reportar al administrador del
sistema para que se realicen nuevamente las pruebas.
d. La Dirección de Tecnología debe conservar todos los formatos de
requerimientos de cambio, cronogramas de prueba de cambios y resultados de
las pruebas.
67
a. Cuando se requiera hacer un cambio de alto impacto al sistema operativo de los
servidores que soportan el aplicativo la Organización (cambios de versión o de
reléase), antes de realizar el cambio se deben hacer pruebas en ambientes
controlados para determinar los efectos que tendrá el cambio en los ambientes
de producción. El resultado de las pruebas es satisfactorio, se procede a
programar el cambio siguiendo el procedimiento establecido.
b. Después de implementar cambios de alto impacto en los sistemas operativos de
los servidores de misión crítica, se debe hacer una revisión de la funcionalidad
y seguridad del aplicativo por parte de los dueños de la información.
68
f. Una vez el contratista de servicios externos haya culminado sus actividades
comerciales con la Organización, debe retornar y/o destruir toda la información
confidencial almacenada en sus equipos en el desarrollo de las actividades.
• Desastres naturales
• Fuego
• Pérdida de servicios públicos críticos de la infraestructura tales como
energía, comunicaciones o agua.
• Enfermedad del personal
• Huelgas o interrupciones laborales.
• Fallos del hardware
• Fallos del software
69
• Ataques de código malicioso.
• Ciberataques
• Robo de información confidencial
• Desorden civil
• Bloqueos del transporte público
• Vandalismo
70
• Nuevos contratistas, proveedores de servicio y/o clientes
• Procesos nuevos o eliminados
• Actualización de la matriz de Riesgo (Operacional y financiero)
71
f. Está totalmente prohibido realizar copias parciales o totales de libros y/o
software que esté protegido por leyes de derechos de autor.
72
6 CONCLUSIONES
Capacitar a los empleados para que se cumplan las políticas de seguridad que se
emplearon en la gestión de riesgos.
73
Para minimizar los riesgos encontrados en los activos de la organización se
recomienda la creación de un departamento especializado en el mantenimiento de
los equipos y que a la vez los profesionales encargados del área estén en
permanente capacitaciones frente a los avances tecnológicos.
74
7 RECOMENDACIONES
Las organizaciones deben tener identificadas las necesidades frente a los activos
de información que manejan y su impacto según la integridad disponibilidad y
confidencialidad de la información y así determinar que salvaguardas se deben
implementar para mitigar incidentes de de impacto critico en el negocio.
75
8 BIBLIOGRAFÍA
76
BENÍTEZ, MOISÉS. Políticas de seguridad informática [en línea]. En: Gestión
integral. 2013. no. 1, p. 8. [citado el 16-04-16]. Disponible en:
http://www.gestionintegral.com.co/wpcontent/uploads/2013/05/Pol%C3%ADtica
sde-Seguridad-Inform%C3%A1tica-2013-GI.pdf
COBIT, CMMI, PMBOK: Como integrar y adoptar los estándares para un buen
Gobierno de TI: https://helkyncoello.wordpress.com/2008/12/08/itil-cobit-cmmi-
pmbok-como-integrar-y-adoptar-los-estandares-para-un-buen-gobierno-de-ti/
77
ISOTools Excelence (2014) de ISOTools Excellence Recuperado de:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
LÓPEZ NEIRA, A., & RUIZ SPOHR, J. ISO 27000.ES. (2005). Obtenido de El
portal de ISO 27001 en español: http://www.iso27000.es/index.htm
78
SECRETARÍA GENERAL DE LA ALCALDÍA MAYOR DE BOGOTÁ, Régimen
Legal de Bogotá D.C. (25 de marzo de 2017) Disponible en:
https://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492
79
Fecha de Realización: 14/12/2020
Programa: Especialización en seguridad informática
Línea de Investigación: Monografía
Título:
PROPUESTA DE POLÍTICAS DE
SEGURIDAD DE LA INFORMACIÓN PARA
PROTEGER LOS ACTIVOS DE
INFORMACIÓN EN LAS ORGANIZACIONES
Descripción:
Las tecnologías de la información generan
ciertos beneficios, mejorando la prestación de
servicios y haciendo más fácil el cumplimiento
de su misión y objetivos estratégicos, sin
embargo, hace que se enfrenten a riesgos que
pueden afectar drásticamente la integridad,
confidencialidad y/o disponibilidad de la
información y los recursos de TI que soportan
su procesamiento y transmisión.
80
para la Organización, es necesario
implementar estrategias y controles que
garanticen altos niveles de seguridad a la
información, por medio de un Sistema de
Gestión de Seguridad de la Información
alineado a la norma internacional NTC / ISO
27001:2013.
81
• Identificar, valorar y gestionar los riesgos
inherentes o potenciales de seguridad de la
información y ciberseguridad de los
procesos que hacen parte del alcance del
SGSI.
• Incluir en el plan de tratamiento de riesgos,
los controles definidos en las normas ISO
27001:2013 e ISO 27032:2012
82
ALEMÁN NOVOA, H., & RODRÍGUEZ BARRERA, C. Metodología para el
análisis de riesgos en los SGSI. (2015) Obtenido de Publicaciones e
Investigación EAN: http://hemeroteca.unad.edu.co/index.php/publicaciones-
einvestigacion/article/view/1435/1874
83
C.M., J. Metodologías de Evaluación en Riesgos Informáticos. (23 de marzo
de 2014). Obtenido de
http://metodosdeevaluacionderiesgos.blogspot.com.co/2014/03/metodologias
-deevaluacion-de-riesgos.html
COBIT, CMMI, PMBOK: Como integrar y adoptar los estándares para un buen
Gobierno de TI: https://helkyncoello.wordpress.com/2008/12/08/itil-cobit-
cmmi-pmbok-como-integrar-y-adoptar-los-estandares-para-un-buen-
gobierno-de-ti/
84
LÓPEZ NEIRA, A., & RUIZ SPOHR, J. ISO 27000.ES. (2005). Obtenido de El
portal de ISO 27001 en español: http://www.iso27000.es/index.htm
85
Universidad EAN. “Metodología para la implementación de un Sistema
Integrado de Gestión con las normas iso 9001, iso 20000 e iso 27001. ". En
linea. (abril de 2017) disponible en:
http://repository.ean.edu.co/bitstream/handle/10882/2779/CortesDiana2012.p
df?sequence=2
86
seguir de políticas de seguridad definidas es
muy importante aplicarlas en una de las reglas
definidas por el administrador de la seguridad
de la información escogido al interior de la
organización para evitar robos o fugas de
información.
87
comienzo para realizar una buena
administración de los incidentes de seguridad
al interior de una organización, el conocer la
familia de amenazas existentes tanto físicas
como a nivel de software ayuda a construir
modelos independientes que ayuden a la
seguridad en cada una.
88
89