trabajo de grado estructuracion y generaciÓn de …

TRABAJO DE GRADO

ESTRUCTURACION Y GENERACIÓN DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PARA UNA EMPRESA DE COMERCIALIZACIÓN DE INSUMOS

MÉDICOS

JOSE WILLIAM GARZON LOPEZ

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C

2021

TRABAJO DE GRADO

ESTRUCTURACION Y GENERACIÓN DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PARA UNA EMPRESA DE COMERCIALIZACIÓN DE INSUMOS

MÉDICOS

JOSE WILLIAM GARZON LOPEZ

Trabajo de grado presentado para optar al título de Especialista en Seguridad de la Información

Tutor

ALFONSO LUQUE ROMERO

Magister en Sistemas de Información

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C

2021

4

Dedicatoria

A mi familia. Motor y alegría del día a día.

Agradecimientos

A la Universidad Católica de Colombia y en especial a sus docentes que han transmitido de forma excepcional sus conocimientos y han acompañado de la

mejor forma este proceso de formación.

5

TABLA DE CONTENIDO

Pág. 1. Introducción 10 2. Generalidades 11

2.1. Línea de Investigación 11

2.2. Planteamiento del Problema 11

2.2.1. Antecedentes del problema 11

2.2.2. Pregunta de investigación 12

2.2.3. Variables del problema 12

2.3. Justificación 12

3. Objetivos 13

3.1. Objetivo general 13

3.2. Objetivos específicos 13

4. Marcos de referencia 14 4.1. Marco teórico 14

4.2. Marco jurídico 16

4.2.1. Ley 1266 de 2008 16

4.2.2. LEY 1581 DE 2012 16

4.2.3. Resolución no. 004089 del 22 de mayo de 2018 16

4.2.4. Resolución no 000067 del 20 de octubre de 2016 16

4.2.5. Reportes secretaría distrital de salud 17

4.2.6. Operador economico autorizado 17

4.2.7. Sagrilaft 18

5. Metodología 19 5.1. Fases del Trabajo de Grado 19

5.1.1. Fase 1 – Diagnóstico de madurez 19

5.1.2. Fase 2 – Encuesta 19

5.1.3. Fase 3 – Consolidación de los resultados de la encuesta 19

5.1.4. Fase 4 – Calificación de la encuesta 19

5.1.5. Fase 5 – Comparación de los estándares y normas utilizadas 19

5.1.6. Fase 6 – Generación de las políticas de seguridad de la información. 19

5.1.7. Fase 7 – Generación de documentación y formatos de apoyo 19

5.2. Instrumentos y Herramientas Utilizadas 19

6

6. Entrega de Resultados e Impacto 21

7. Conclusiones 47

8. BIBLIOGRAFÍA 48 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA UNA EMPRESA DE COMERCIALIZACIÓN DE INSUMOS MÉDICOS 63

1. INTRODUCCIÓN 63

2. OBJETIVO 63

3. ALCANCE 63

4. REQUISITOS LEGALES 64

5. DEFINICIONES 64

6. POLITICAS PARA LA IMPLEMENTACIÓN DE CONTROLES DE

SEGURIDAD DE LA INFORMACIÓN 65

6.1. COMPROMISO DE LA DIRECCIÓN 65

6.2. GESTIÓN DE ACTIVOS DE INFORMACIÓN 65

6.2.1. IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN 65

6.2.2. CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN 66

6.2.1. DEVOLUCIóN DE ACTIVOS 67

6.2.2. GESTIóN DE MEDIOS REMOVIBLES 67

6.2.3. DISPOSICIóN DE LOS ACTIVOS 68

6.2.4. DISPOSICION FINAL DE LOS ACTIVOS 68

6.3. CONTROL DE ACCESO 68

6.3.1. ACCESO A LAS APLICACIONES Y CONTRASEÑAS 68

6.3.2. CONTROL DE ACCESO 69

6.3.3. ACCESO A LAS ÁREAS FíSICAS 69

6.3.4. AREAS DE CARGA 70

6.4. HISTORIAL DE TRANSACCIONES REALIZADAS 70

6.5. PRIVACIDAD DE LA INFORMACIÓN 70

6.5.1. AMBITO 70

6.5.2. EXCEPCIONES 71

6.5.3. PRINCIPIOS DE TRATAMIENTO DE DATOS PERSONALES 71

6.5.4. DERECHOS DE LOS TITULARES DE LOS DATOS 71

6.5.5. AUTORIZACIÓN DEL TITULAR 72

6.6. INTEGRIDAD DE LA INFORMACIÓN 72

6.7. DISPONIBILIDAD DE LOS SERVICIOS DE INFORMACIÓN 72

6.8. REGISTROS DE AUDITORÍA 72

6.9. TRATAMIENTO DE LOS INCIDENTES DE SEGURIDAD DE lA

INFORMACIÓN 73

6.10. CAPACITACIONES EN SEGURIDAD DE LA INFORMACIÓN 73

6.11. ESCRITORIO LIMPIO 73

6.12. SOFTWARE NO AUTORIZADO 74

6.13. DESCARGA DE ARCHIVOS 74

6.14. COPIAS DE SEGURIDAD 74

7

6.15. SERVICIOS DE MENSAJERIA 75

6.16. COMUNICACIONES DE SEGURIDAD 75

8

LISTA DE FIGURAS Pág.

ILUSTRACIÓN 1-EVOLUCIÓN DE LA NORMA ISO 27001- FUENTE HTTPS://WWW.PMG-SSI.COM/ .......................................... 12 ILUSTRACIÓN 2 - BRECHA ANEXO A ISO 27001:2013 – FUENTE INSTRUMENTO DE EVALUACIÓN MSPI ................................ 23 ILUSTRACIÓN 3 BRECHA ESTADO ACTUAL INSTITUCIÓN - ANEXO A ISO 27001:2013 - ESTADO IDEAL – FUENTE PROPIO .......... 26 ILUSTRACIÓN 4 - MATRIZ RACI EN GESTIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN. - FUENTE PROPIO ............... 27 ILUSTRACIÓN 5 - DESCRIPCIÓN ACTIVOS DE INFORMACIÓN. FUENTE PROPIO ...................................................................... 28 ILUSTRACIÓN 6 - TIPOLOGÍA ACTIVOS DE INFORMACIÓN. FUENTE PROPIO ......................................................................... 29 ILUSTRACIÓN 7 - CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN - FUENTE PROPIA ......................................................... 30 ILUSTRACIÓN 8 - CUSTODIA DE LOS ACTIVOS DE INFORMACIÓN. FUENTE PROPIO ................................................................ 31 ILUSTRACIÓN 9 - MATRIZ DE RIESGOS - DESCRIPCIÓN - FUENTE PROPIO ........................................................................... 33 ILUSTRACIÓN 10 MATRIZ DE RIESGOS – DESCRIPCIÓN (CONTINUACIÓN) - FUENTE PROPIO .................................................. 34 ILUSTRACIÓN 11 - MATRIZ DE RIESGOS – CALIFICACIÓN CRITICIDAD - FUENTE PROPIO ........................................................ 35 ILUSTRACIÓN 12 -MATRIZ DE RIESGOS – CALIFICACIÓN CRITICIDAD (CONTINUACIÓN) - FUENTE PROPIO ................................ 36 ILUSTRACIÓN 13 - MATRIZ DE RIESGOS - DESCRIPCION AMENAZAS - FUENTE PROPIO ......................................................... 37 ILUSTRACIÓN 14 - MATRIZ DE RIESGOS - DESCRIPCION AMENAZAS (CONTINUACIÓN)- FUENTE PROPIO .................................. 38 ILUSTRACIÓN 15 - MATRIZ DE RIESGOS - CALIFICACIÓN RIESGO - FUENTE PROPIO .............................................................. 39 ILUSTRACIÓN 16 - MAPA DE CALOR DEL RIESGO - FUENTE PROPIO .................................................................................. 40

9

LISTA DE TABLAS

Pág.

TABLA 1 ESCALA DE EVALUACIÓN – INSTRUMENTO DE EVALUACIÓN MSPI ....................................................................... 21 TABLA 2 - EVALUACIÓN DE EFECTIVIDAD DE LOS CONTROLES – FUENTE INSTRUMENTO DE EVALUACIÓN MSPI ......................... 22 TABLA 3 - COMPARATIVO NORMA ISO27001 - REQUISITOS OPERADORES ECONÓMICOS AUTORIZADOS. – FUENTE PROPIO ....... 25 TABLA 4EVALUACIÓN DE EFECTIVIDAD DE LOS CONTROLES. ESTADO IDEAL. – FUENTE PROPIO ............................................... 26 TABLA 5 - PLAN DE TRATAMIENTO DE LOS RIESGOS....................................................................................................... 45

10

1. INTRODUCCIÓN La firma involucrada en este proyecto es una organización que comercializa insumos médicos a hospitales, clínicas y profesionales de la salud. Por la cantidad de ventas anuales debe cumplir con las normas Sagrilaft, además está certificada en ISO9001. Esta empresa contrata con entidades estatales y privadas la venta y entrega de insumos médico quirúrgicos, así como la dotación de salas de cirugía, elementos de esterilización, elementos de reconstrucción máxilo facial y está interesada en lograr ser Operador Económico Autorizado de la DIAN. Todos estos factores influyen para determinar que debe tener una política clara y ejecutable de Seguridad de la Información. Es beneficioso para esta empresa que además de cumplir con la conceptualización y generación de la política, posteriormente se realice su implementación, estos factores serían un soporte para las diferentes operaciones de la organización que entes externos, clientes y proveedores, piden que se cumplan. Este documento aborda el diagnóstico de la entidad, en el cual se evaluará su estado de madurez actual frente a los diferentes estándares de seguridad de la información que se desean cubrir. Este documento igualmente comparará las diferentes normativas que se deben cumplir para asegurar cubrir los puntos que sean necesarios dentro de la generación de la política de seguridad de la información y su posterior implementación. Para la organización, generar e implementar esta política, representa un cumplimiento en algunos casos normativo, de estandarización, de prestigio y sobre todo de protección de los activos de información, lo que haría que la organización cubriera una gran brecha de seguridad y con ello obtener mejores resultados comerciales, dada la implementación que se haga de la política que se va a proponer. Este documento abarca la generación de la política y documentos asociados a ella que deban implementarse en la organización, pero no cubre la implementación de esta. Si se hará como parte del diagnóstico y de la generación de la política, unas recomendaciones con el objetivo de lograr de manera fácil su implementación.

11

2. GENERALIDADES 2.1. LÍNEA DE INVESTIGACIÓN Gestión Integral y Dinámica de las organizaciones. 2.2. PLANTEAMIENTO DEL PROBLEMA En la compañía abordada con este proyecto, es necesario generar la política de seguridad de la información buscando cubrir los puntos que legalmente sean necesarios, buscando proteger en forma adecuada la información que reposa en la organización para dar cumplimiento a diferentes normas, leyes de protección y estándares de seguridad que se vienen imponiendo en el mercado. Dentro de los objetivos del negocio, uno muy importante indica: “Cuidar el cumplimiento de todas las obligaciones, legales y económicas, para asegurar la imagen de solidez y seriedad” Para dar cumplimiento a este punto, es necesario hacer el levantamiento de información del estado actual de madurez de la gestión de la seguridad de la información, evaluar cada uno de los puntos que son necesarios cubrir y generar un diagnóstico que ubique los principales aspectos que deben ser tenidos en cuenta, de esta forma se generará de forma adecuada la política de seguridad para la organización, y se podrá además generar las recomendaciones que la organización deba implementar para dar cumplimiento a la política propuesta.

2.2.1. ANTECEDENTES DEL PROBLEMA La organización trabajada nace en 1969 y desde su nacimiento ha presentado unos índices de ventas bastante óptimos, lo que ha llevado a la empresa a diversificar su oferta y a buscar nuevas opciones de negocio que impacten en la calidad de los servicios y productos ofrecidos y que entreguen beneficios económicos a la organización. Dentro del medio ha forjado un nombre que se asocia a la calidad, seriedad, compromiso y cumplimiento. La norma ISO 27001, por su parte ha tenido su desarrollo desde 1995 como parte del compendio de documentos ISO, en ella se dictan los lineamientos y mejores prácticas para que las empresas administren un Sistema General de Seguridad de la Información. Se basó en la norma británica BS 7799 y acomodada al lineamiento de las normas ISO nace a partir de 2005 la norma ISO 27001:2005 como norma certificable, y que ya ha tenido varias revisiones hasta llegar a la actualmente vigente ISO 27001:2013 . (ISO Tools Excellence 2013)1.

1 La NCh ISO 27001. Origen y evolución. https://www.pmg-ssi.com/2013/08/la-nch-iso-27001-origen-

https://www.pmg-ssi.com/2013/08/la-nch-iso-27001-origen-y-evolucion/

12

Ilustración 1-Evolución de la norma ISO 27001- Fuente https://www.pmg-ssi.com/

Mediante decreto 3568 de 2011 se establece el Operador Económico Autorizado en Colombia, como una herramienta para agilizar los procesos de asuntos aduaneros y arancelarios bajo un esquema de uso internacional propuesto por la Organización Mundial de Aduanas y que en Colombia abarca a diferentes entidades entre ellas la Dirección de Impuestos y Aduanas Nacionales. (Departamento Administrativo de la Función Pública 2011).2 Este Decreto fue posteriormente modificado por el decreto 1894 de 2015.

2.2.2. PREGUNTA DE INVESTIGACIÓN ¿Cuáles puntos debe abordar la política de seguridad de la información de la organización para alcanzar la protección frente a los diferentes aspectos normativos que la empresa está interesada en cubrir?

2.2.3. VARIABLES DEL PROBLEMA Se encuentran variables importantes que deben ser tenidos en cuenta.

• El medio comercial en el cual la organización desarrolla sus actividades.

• La normatividad que debe cumplir, en base a su gestión comercial y su estructuración como empresa.

• Estándares comúnmente utilizados en el medio.

• Visión de la organización.

• Proyectos en la organización. 2.3. JUSTIFICACIÓN Para la organización evaluada, se hace necesario contar con una política establecida de seguridad de la información. Esto le ayudará a cubrir las brechas de seguridad que se puedan encontrar actualmente frente al tratamiento de los datos y de la información en la organización. Se busca poner a la empresa en un óptimo nivel frente a requerimientos legales, licitatorios y normativos, buscando el cumplimiento de los más importantes estándares establecidos.

y-evolucion/ 2 Decreto 3568 de 2011. https://funcionpublica.gov.co/eva/gestornormativo/norma.php?i=64620


13

3. OBJETIVOS

3.1. OBJETIVO GENERAL Generar las políticas del Sistema de Gestión de Seguridad de la Información que integre los procesos actuales de la organización, actores y procedimientos, siguiendo los estándares de normas y leyes vigentes.

3.2. OBJETIVOS ESPECÍFICOS

• Efectuar un diagnóstico preliminar del estado actual de la seguridad de los datos y de la información en la empresa con la cual se está trabajando, este diagnóstico debe cubrir aspectos de la norma ISO 27001 relacionados con los fundamentos de las políticas de seguridad.

• Utilizar los procedimientos y formatos que actualmente se tienen implementados dentro del sistema de gestión de calidad de la organización, y que puedan servir como apoyo al Sistema de Gestión de Seguridad de la Información.

• Cubrir el cumplimiento de las normas Habeas Data, Sagrilaft y de Operador Económico Autorizado de la DIAN.

• Identificar los puntos en los cuales la norma ISO 27001 y la norma de Implementación de Operador Económico de la DIAN se cruzan, en materia de seguridad de la información, para asegurar el cumplimiento de estos puntos.

• Evaluar los riesgos asociados a los activos de información de la organización.

• Generar el esquema de responsabilidades en la organización frente a los activos de información y a la seguridad de la información contenida en esos activos.

• Generar las recomendaciones que cubran las brechas de seguridad que se encuentren en la organización frente a las políticas que se generen y que no se encuentren documentadas o implementadas en la organización.

14

4. MARCOS DE REFERENCIA La firma con la que se ha decidido trabajar es una empresa cuyo objeto es la comercialización de insumos médicos y quirúrgicos con más de 50 años de posicionamiento en la industria, cuenta con un amplio portafolio como representante para Colombia de casas internacionales que se especializan en la producción de equipos y material médico quirúrgico, así como de medicamentos especializados. Las principales líneas comercializadas son:

● Instrumental, contenedores y autoclaves. ● Medicina Nuclear ● Osteosíntesis y Motores ● Elementos Médico Quirúrgicos ● Equipos Médicos3 (Quirurgicos Ltda 2021)

Los clientes de la organización son las entidades e instituciones prestadoras de servicios de salud, hospitales, clínicas, distribuidoras de elementos quirúrgicos, médicos y profesionales de la salud y en menor medida personas naturales. Las ventas se realizan a través de asesores comerciales con las modalidades de contratación de las entidades públicas o privadas; además de la comercialización a través de distribuidores autorizados y también por medio de venta directa.

4.1. MARCO TEÓRICO

• ISO 27001 es un estándar internacional que cubre la seguridad de la información en donde se abordan diferentes aspectos de la seguridad, entre ellos los más destacados son:

o Análisis y evaluación de riesgos. o Definición de un plan de tratamiento de riesgos. o Implementación de controles.

Al ser un estándar internacional ha sido ampliamente acogido por diferentes organizaciones, logrando que los procesos de comunicación de datos y la protección asociada a esta comunicación sea más fácil de implementar y controlar por las partes. La norma se basa en que la información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en

3 Productos Quirurgicos Ltda. https://www.quirurgicosltda.com/productos/

https://www.quirurgicosltda.com/productos/

15

consecuencia una protección adecuada (Ingertec s.f.)4. También inicia la definición de roles y responsabilidades, metodologías de riesgos, criterios de clasificación de la información, sistemas de respaldos de los datos, infraestructura asociada, selección y seguimiento de proveedores, y planes de continuidad del negocio. Estos serán los puntos mínimos que las políticas de seguridad de la información de la organización deberían cubrir. Se evaluarán los controles necesarios que se deben implementar para lograr una rápida implementación de la política. La etapa de implementación no está contemplada como parte de este proyecto.

• El planteamiento de la norma frente a las políticas de seguridad de la información, logra enmarcarla como objetivo de control, dado que basado en ella las organizaciones pueden demostrar que cuentan con la documentación y madurez que la norma exige. En la política de seguridad de la información, las organizaciones generan el marco conceptual sobre el que la compañía va a desarrollar sus actividades de control en seguridad de la información. Dicta además el mapa de ruta para alcanzar los objetivos que las organizaciones desean cubrir adaptando la propia política de seguridad a los objetivos organizacionales, objetivos comerciales y objetivos en seguridad de la información (ISO Tools Excellence 2018).5 Se deben considerar métricas que permitan la comparación entre la capacidad de seguridad actual y la capacidad requerida para cumplir con los requisitos del negocio (Ingertec 2018)6. Una política completa basada en la norma ISO27001, tiene en cuenta cada uno de los objetivos de seguridad del Sistema de Gestión de Seguridad de la Información, esos objetivos son los siguientes:

o Protección de los activos de información. o Autenticación. o Autorización. o Integridad de la información. o Auditoría

4 Qué se entiende por información en ISO27001. https://www.normas-iso.com/iso-27001

5 ISO 27001 ¿En qué se basa la política de seguridad de la información?. https://www.pmg-ssi.com/2018/12/iso-27001-en-que-se-basa-la-politica-de-seguridad-de-la-informacion/ 6 Elaboración de la política. Objetivos del SGSI. https://normaiso27001.es/fase-3-elaboracion-de-la-politica-objetivos-del-sgsi/

https://www.normas-iso.com/iso-27001

https://www.pmg-ssi.com/2018/12/iso-27001-en-que-se-basa-la-politica-de-seguridad-de-la-informacion/

https://www.pmg-ssi.com/2018/12/iso-27001-en-que-se-basa-la-politica-de-seguridad-de-la-informacion/

https://normaiso27001.es/fase-3-elaboracion-de-la-politica-objetivos-del-sgsi/

https://normaiso27001.es/fase-3-elaboracion-de-la-politica-objetivos-del-sgsi/

16

4.2. MARCO JURÍDICO

4.2.1. LEY 1266 DE 2008

La ley 1266 de 2008 mejor conocida como Ley de Habeas Data, tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales7 (Secretaría del Senado de la República 2021).

4.2.2. LEY 1581 DE 2012

La Ley 1581 de 2012 tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales8 (Secretaría del Senado de la República 2021).

4.2.3. RESOLUCIÓN NO. 004089 DEL 22 DE MAYO DE 2018

Resolución No 004089 del 22 de mayo de 2018 por la cual se adiciona la Resolución 0015 del 17 de febrero de 2016 y establece los requisitos OEA para Agencia de Aduanas9 (Dirección General de Impuestos y Aduanas Nacionales y Dirección General de la Policía Nacional 2018).

4.2.4. RESOLUCIÓN NO 000067 DEL 20 DE OCTUBRE DE 2016

Resolución No 000067 del 20 de octubre de 2016 por la cual se adiciona la Resolución 000015 del 17 de febrero de 2016 y establecen los requisitos OEA para importadores10 (Dirección de impuestos y Aduanas

7Secretaría del senado de la República. Ley 1266 de 2008

http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html 8 Secretaría del senado de la República. Ley 1581 de 2012

http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html 9 Requisitos para agencias de Aduanas https://www.dian.gov.co/normatividad/Normatividad/Resoluci%C3%B3n%20004089%20de%2022-05-2018.pdf 10 Requisitos de Operadores Económicos Autorizados para importadores https://www.dian.gov.co/normatividad/Normatividad/Resoluci%C3%B3n%20000067%20de%2020-10-2016.pdf

http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html

http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html

https://www.dian.gov.co/normatividad/Normatividad/Resoluci%C3%B3n%20004089%20de%2022-05-2018.pdf




17

Nacionales 2016).

4.2.5. REPORTES SECRETARÍA DISTRITAL DE SALUD

• Cumplimiento de reportes obligatorios para la Secretaría Distrital de Salud a través de las plataformas del Sistema de Información en Protección, SISMED y PISIS11 (Secretaría Distrital de Salud s.f.).

4.2.6. OPERADOR ECONOMICO AUTORIZADO

El operador económico autorizado de la DIAN es una figura de control aduanero internacional, que ha sido liderada por la Organización Mundial de Aduanas y que busca convertir a empresas importadoras en agentes activos de aduana, con los debidos controles que se requiere para asegurar tanto la infraestructura física, como la seguridad de los datos12 (Dirección de Impuestos y Aduanas Nacionales 2020). A nivel de seguridad de la información la implementación de Operador Económico Autorizado de la DIAN exige una serie de requisitos:

o Controlar el acceso y salida de información por medio de correo electrónico, soportes magnéticos, dispositivos de almacenamiento extraíble y demás.

o Utilizar sistemas informáticos para el control y seguimiento de su negocio, sus operaciones financieras, contables, aduaneras y comerciales

o Tener políticas y procedimientos documentados de seguridad informática

o Asignar cuentas individuales de acceso a la plataforma de tecnología. o Establecer controles que permitan identificar el abuso de los sistemas

de cómputo y de tecnología informática, así como detectar el acceso inapropiado y la manipulación indebida de la información.

o Tener un plan de contingencia informática documentado, implementado, mantenido y en proceso de mejora continua.

o Tener un lugar físico definido como centro de cómputo y comunicaciones, con las medidas de seguridad apropiadas que garanticen el acceso únicamente del personal autorizado13 (Dirección

11 Secretaría Distrital de Salud. SISPRO - Aplicativos Misionales 12 DIAN. Seguridad en Tecnología de la Información.

https://www.dian.gov.co/aduanas/oea/inicio/Paginas/marconormativo.aspx 13 Seguridad en Tecnología de la Información - DIAN

https://www.dian.gov.co/aduanas/oea/inicio/Documents/Seguridad_en_Tecnologia_de_la_Informacion.pdf

https://web.sispro.gov.co/

https://www.dian.gov.co/aduanas/oea/inicio/Paginas/marconormativo.aspx



18

de Impuestos y Aduanas Nacionales 2020).

4.2.7. SAGRILAFT

El lavado de activos, la financiación del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva son fenómenos complicados y críticos en el ámbito empresarial. De hecho, son fenómenos delictivos que generan consecuencias negativas para la economía del país y a las empresas del sector real. Estos fenómenos traen consigo riesgos operacionales, legales, reputacionales y de contagio, entre otros, con la consecuente afectación económica y en el buen nombre empresarial, y efectos en la competitividad, productividad y perdurabilidad de las empresas. Es por esto que uno de los principios del Plan Nacional de Desarrollo es el pacto por la legalidad, el cual incluye la lucha contra la delincuencia y la corrupción. Por ello, la Superintendencia de Sociedades realizó una evaluación del SAGRLAFT 2.0 en términos de efectividad, eficiencia, alcance y pertinencia, con el fin de mitigar los riesgos de LA/FT/FPADM en Colombia, proteger el tejido empresarial y la economía del país, y así contar con empresas más competitivas, productivas y perdurables. Esto dio lugar a la modificación integral del capítulo X de la Circular Básica Jurídica, por medio de la Circular Externa 100-000016 del 24 de diciembre de 202014 (Instituto Nacional de Contadores Públicos 2021) (SAGRILAFT 3.0), la cual atiende principalmente a las recomendaciones internacionales del Grupo de Acción Financiera Internacional –GAFI- y el resultado del Informe de Evaluación Mutua – IEM 2018, así como las necesidades actuales de supervisión basada en riesgos y la política general de supervisión de esta Superintendencia de Sociedades (Superintendencia de Sociedades 2021)15.

14 Riesgos sobre el lavado de activos https://incp.org.co/se-actualizo-la-normatividad-sobre-riesgos-de-la-ft-fpadm/#:~:text=La%20modificaci%C3%B3n%20al%20mencionado%20Cap%C3%ADtulo,sociedades%20comerciales%2C%20sucursales%20de%20sociedades 15 Superintendencia de Sociedades. La prevención del lavado de activos y financiación del

terrorismo. https://www.supersociedades.gov.co/Noticias/Paginas/2021/La-prevencion-de-lavado-de-activos-y-financiacion-del-terrorismo---SAGRILAFT-3-0-.aspx

https://incp.org.co/se-actualizo-la-normatividad-sobre-riesgos-de-la-ft-fpadm/#:~:text=La%20modificaci%C3%B3n%20al%20mencionado%20Cap%C3%ADtulo,sociedades%20comerciales%2C%20sucursales%20de%20sociedades



https://www.supersociedades.gov.co/Noticias/Paginas/2021/La-prevencion-de-lavado-de-activos-y-financiacion-del-terrorismo---SAGRILAFT-3-0-.aspx

https://www.supersociedades.gov.co/Noticias/Paginas/2021/La-prevencion-de-lavado-de-activos-y-financiacion-del-terrorismo---SAGRILAFT-3-0-.aspx

19

5. METODOLOGÍA

5.1. FASES DEL TRABAJO DE GRADO

5.1.1. FASE 1 – DIAGNÓSTICO DE MADUREZ

Diagnóstico de la madurez del Sistema de Gestión de Seguridad de la información en la organización con la cual se está trabajando a través de la verificación de una lista de chequeo que contemple los lineamientos básicos a tener en cuenta para lograr una adecuada protección de los activos de información de la organización.

5.1.2. FASE 2 – ENCUESTA

Generación de una encuesta que se formuló a las áreas de tecnología de la empresa y colaboradores encargados de área y conocedores de los procesos de implementación de los factores de calidad y de seguridad. La encuesta formulada abarcó los diferentes dominios de la norma, fue calificada de acuerdo con unos criterios definidos y obtuvo la consolidación del estado para cada uno de los objetos de control.

5.1.3. FASE 3 – CONSOLIDACIÓN DE LOS RESULTADOS DE LA

ENCUESTA

5.1.4. FASE 4 – CALIFICACIÓN DE LA ENCUESTA

5.1.5. FASE 5 – COMPARACIÓN DE LOS ESTÁNDARES Y NORMAS UTILIZADAS

5.1.6. FASE 6 – GENERACIÓN DE LAS POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN.

5.1.7. FASE 7 – GENERACIÓN DE DOCUMENTACIÓN Y FORMATOS DE APOYO

5.2. INSTRUMENTOS Y HERRAMIENTAS UTILIZADAS

o La evaluación de diagnóstico para el estado de madurez utilizó los

controles propuestos por la norma ISO27001 a través del anexo A. o Encuesta para evaluar el estado de madurez de la organización. o Para consolidar la información, se utilizó la herramienta “Instrumento

de Evaluación – MSPI” utilizada por MinTIC en Colombia para evaluar las diferentes entidades públicas. Según el mismo Ministerio de Tecnologías y Comunicaciones, el "Instrumento de Evaluación MSPI" es una herramienta que fue creada con el fin de identificar el nivel de

20

madurez en la implementación del Modelo de seguridad y Privacidad de la Información. Fue creada por el Ministerio con uso libre sin fines lucrativos. Una encuesta que se formuló a las áreas de tecnología de la empresa y colaboradores encargados de área y conocedores de los procesos de implementación de los factores de calidad y de seguridad. La encuesta formulada abarcó los diferentes dominios de la norma, fue calificada de acuerdo con unos criterios definidos y obtuvo la consolidación del estado para cada uno de los objetos de control. Para consolidar la información, se utilizó la herramienta “Instrumento de Evaluación – MSPI” utilizada por MinTIC para evaluar las diferentes entidades públicas. Según el mismo Ministerio de Tecnologías y Comunicaciones, el "Instrumento de Evaluación MSPI" es una herramienta que fue creada con el fin de identificar el nivel de madurez en la implementación del Modelo de seguridad y Privacidad de la Información. Fue creada por el Ministerio con uso libre sin fines lucrativos.16 (Ministerior de las Tecnologías y Comunicaciones s.f.)

o La calificación del instrumento de Evaluación se basa en los siguientes factores y criterios.

16 Ministerio de las Tecnologías y las Comunicaciones. Fortalecimiento de la Gestión de TI en el Estado. Modelo de Seguridad. https://mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/

Tabla de Escala de Valoración de Controles ISO 27001:2013 ANEXO A

Descripción Calificación Criterio

No Aplica N/A No aplica.

Inexistente 0 Total falta de cualquier proceso reconocible. La Organización ni siquiera ha reconocido que hay un problema a tratar. No se aplican controles.

Inicial 20

1) Hay una evidencia de que la Organización ha reconocido que existe un problema y que hay que tratarlo. No hay procesos estandarizados. La implementación de un control depende de cada individuo y es principalmente reactiva. 2) Se cuenta con procedimientos documentados pero no son conocidos y/o no se aplican.

21

Tabla 1 Escala de Evaluación – Instrumento de Evaluación

MSPI

Tabla 1. Escala de Evaluación – Fuente Instrumento de Evaluación MSPI El detalle de la encuesta y los resultados obtenidos con ella se pueden observar en el Anexo 1.

6. ENTREGA DE RESULTADOS E IMPACTO

Mediante el conocimiento de los objetivos de la norma ISO27001, enfrentando los requisitos sobre seguridad de la información expuestos se obtiene la siguiente tabla en la cual se observan las congruencias entre los requisitos para Operador Económico Autorizado de la DIAN y la norma ISO27001. Basado en las respuestas obtenidas y utilizando las herramientas de evaluación MSPI se obtuvo la siguiente evaluación de efectividad de

Repetible 40

Los procesos y los controles siguen un patrón regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. No hay formación ni comunicación formal sobre los procedimientos y estándares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso hay probabilidad de errores.

Efectivo 60

Los procesos y los controles se documentan y se comunican. Los controles son efectivos y se aplican casi siempre. Sin embargo, es poco probable la detección de desviaciones, cuando el control no se aplica oportunamente o la forma de aplicarlo no es la indicada.

Gestionado 80

Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de acción donde los procesos no estén funcionando eficientemente.

Optimizado 100

Las buenas prácticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prácticas, basándose en los resultados de una mejora continua.

22

los controles.

No.

Evaluación de Efectividad de controles

DOMINIO Calificación

Actual Calificación

Objetivo

EVALUACIÓN DE

EFECTIVIDAD DE CONTROL

A.5 POLITICAS DE SEGURIDAD DE LA INFORMACIÓN 0 100 INEXISTENTE

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 54 100 EFECTIVO

A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 61 100 GESTIONADO

A.8 GESTIÓN DE ACTIVOS 74 100 GESTIONADO

A.9 CONTROL DE ACCESO 71 100 GESTIONADO

A.10 CRIPTOGRAFÍA 40 100 REPETIBLE

A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 94 100 OPTIMIZADO

A.12 SEGURIDAD DE LAS OPERACIONES 76 100 GESTIONADO

A.13 SEGURIDAD DE LAS COMUNICACIONES 37 100 REPETIBLE

A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE

SISTEMAS 61 100 GESTIONADO

A.15 RELACIONES CON LOS PROVEEDORES 70 100 GESTIONADO

A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN 49 100 EFECTIVO

A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA

GESTIÓN DE CONTINUIDAD DEL NEGOCIO 64 100 GESTIONADO

A.18 CUMPLIMIENTO 50 100 EFECTIVO

PROMEDIO EVALUACIÓN DE CONTROLES 57 100 EFECTIVO

Tabla 2 - Evaluación de efectividad de los controles – Fuente Instrumento de Evaluación MSPI

Se observan brechas importantes que requieren trabajo inmediato para lograr su correcta mitigación, es el caso de las políticas de seguridad las cuales no se tienen generadas. También la seguridad de las comunicaciones, aunque se tienen algunos controles implementados, se puede mejorar sensiblemente para tener mayores efectividades. En cuanto a la criptografía, aunque se está utilizando, se hace limitadamente y solo cuando entes de control lo exigen, la normalización de este tipo de herramientas y su implementación extendida daría como resultado mejores calificaciones en este aspecto. También hay que desarrollar de forma más precisa la gestión de incidentes de seguridad de la información, desde la capacitación, el conocimiento, la identificación, registro y solución.

23

El cumplimiento está asociado a la norma ISO9000 en la cual está certificada la empresa, pero no como parte de una política de seguridad de la información la cual debe ser desarrollada. Gráficamente el estado de madurez obtenido para la organización es la siguiente:

Ilustración 2 - Brecha Anexo a ISO 27001:2013 – Fuente Instrumento de Evaluación MSPI

Mediante el conocimiento de los objetivos de la norma ISO27001, enfrentando los requisitos sobre seguridad de la información expuestos, se obtiene la siguiente tabla en la cual se observan las congruencias entre los requisitos para Operador Económico Autorizado de la DIAN y la norma ISO27001. ISO 27001

Objetivo de la norma Requisito OEA

A.5.1.1 Documento de política de seguridad Requisito 8.2

A.5.1.2 Revisiones Requisito 8.2

0

20

40

60

80

100

POLITICAS DE SEGURIDAD DE LAINFORMACIÓN

ORGANIZACIÓN DE LA SEGURIDAD DE LAINFORMACIÓN

SEGURIDAD DE LOS RECURSOS HUMANOS

GESTIÓN DE ACTIVOS

CONTROL DE ACCESO

CRIPTOGRAFÍA

SEGURIDAD FÍSICA Y DEL ENTORNO

SEGURIDAD DE LAS OPERACIONES

SEGURIDAD DE LAS COMUNICACIONES

ADQUISICIÓN, DESARROLLO YMANTENIMIENTO DE SISTEMAS

RELACIONES CON LOS PROVEEDORES

GESTIÓN DE INCIDENTES DE SEGURIDAD DELA INFORMACIÓN

ASPECTOS DE SEGURIDAD DE LAINFORMACIÓN DE LA GESTIÓN DE LA

CONTINUIDAD DEL NEGOCIO

CUMPLIMIENTO

BRECHA ANEXO A ISO 27001:2013

Calificación Actual Calificación Objetivo

24

A.8.3.1 Administración de medios extraíbles Requisito 8.1

A.9.1.1 Políticas de control de acceso Requisito 1.9

A.9.2.1 Registro de usuarios Requisito 8.3

A.9.2.2 Suministro de acceso de usuarios Requisito 8.3

A.9.4.2 Procedimientos seguros de acceso Requisito 8.3

A.11.1.1 Seguridad perimetral Requisito 8.6

A.11.1.2 Controles de ingresos físicos. Requisito 8.6

A.11.1.3 Seguridad de oficinas, cuartos e instalaciones. Requisito 8.6

A.11.1.4 Protecciones contra amenazas externas y medio ambientales.

Requisito 8.6

A.11.1.5 Trabajo en áreas seguras. Requisito 8.6

A.11.2.1 Ubicación y protección de equipos Requisito 8.6

A.11.2.2 Servicios públicos de soporte Requisito 8.6

A.11.2.3 Cableado seguro Requisito 8.6

A.12.1.3 Administración de la capacidad. Requisito 8.4

25

A.12.1.4 Separación de ambientes de desarrollo, pruebas y producción.

Requisito 8.3

A.12.2.1 Controles contra código malicioso. Requisito 8.4

A.13.1.2 Seguridad en servicios de red. Requisito 8.4

A.13.2.3 Mensajes Electrónicos Requisito 1.9

Tabla 3 - Comparativo norma ISO27001 - Requisitos operadores económicos

autorizados. – Fuente Propio

Como objetivo mínimo, la organización debe plantearse el asegurar que se realiza el cumplimiento de los requisitos de la norma para ser Operador Económico Autorizado de la DIAN. Al calificar este cumplimiento utilizando las mismas herramientas con las que se obtuvo el estado de madurez inicial, se encuentra que el estado ideal de la organización debería ser el siguiente:

No.

Evaluación de Efectividad de controles

DOMINIO Calificación

Actual Calificación

Ideal Calificación

Objetivo

EVALUACIÓN DE EFECTIVIDAD DE

CONTROL

A.5 POLITICAS DE SEGURIDAD DE LA

INFORMACIÓN 0 100 100 INEXISTENTE

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE

LA INFORMACIÓN 54 60 100 EFECTIVO

A.7 SEGURIDAD DE LOS RECURSOS

HUMANOS 61 61 100 GESTIONADO

A.8 GESTIÓN DE ACTIVOS 74 74 100 GESTIONADO

A.9 CONTROL DE ACCESO 71 83 100 GESTIONADO

A.10 CRIPTOGRAFÍA 40 60 100 REPETIBLE

A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 94 94 100 OPTIMIZADO

A.12 SEGURIDAD DE LAS OPERACIONES 76 81 100 GESTIONADO

A.13 SEGURIDAD DE LAS COMUNICACIONES

37 80 100 REPETIBLE

A.14 ADQUISICIÓN, DESARROLLO Y

MANTENIMIENTO DE SISTEMAS 61 61 100 GESTIONADO

26

A.15 RELACIONES CON LOS PROVEEDORES 70 70 100 GESTIONADO

A.16 GESTIÓN DE INCIDENTES DE

SEGURIDAD DE LA INFORMACIÓN 49 60 100 EFECTIVO

A.17 ASPECTOS DE SEGURIDAD DE LA

INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

64 64 100 GESTIONADO

A.18 CUMPLIMIENTO 50 60 100 EFECTIVO

PROMEDIO EVALUACIÓN DE CONTROLES

57 72 100 EFECTIVO

Tabla 4Evaluación de efectividad de los controles. Estado Ideal. – Fuente Propio

Gráficamente se la calificación actual y la calificación mínima ideal se observan de la siguiente forma:

Ilustración 3 Brecha Estado actual institución - Anexo A ISO 27001:2013 - Estado Ideal – Fuente Propio

La revisión de los datos obtenidos demuestra que la organización debe planificar e implementar mejoras en la definición de las políticas de calidad, en la gestión de incidentes de seguridad de la información, en la seguridad de las comunicaciones, en el uso de criptografía y en la mejora de los controles de acceso. Implementar estos ajustes que en algunos casos son mínimos pues ya se tienen algunos controles implementados, representará para la organización tener un Sistema de

0

20

40

60

80

100

POLITICAS DE SEGURIDAD DE LAINFORMACIÓN

ORGANIZACIÓN DE LASEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LOS RECURSOSHUMANOS

GESTIÓN DE ACTIVOS

CONTROL DE ACCESO

CRIPTOGRAFÍA

SEGURIDAD FÍSICA Y DELENTORNO

SEGURIDAD DE LASOPERACIONES

SEGURIDAD DE LASCOMUNICACIONES

ADQUISICIÓN, DESARROLLO YMANTENIMIENTO DE SISTEMAS

RELACIONES CON LOSPROVEEDORES

GESTIÓN DE INCIDENTES DESEGURIDAD DE LA INFORMACIÓN

ASPECTOS DE SEGURIDAD DE LAINFORMACIÓN DE LA GESTIÓN

DE LA CONTINUIDAD DEL…

CUMPLIMIENTO

BRECHA ANEXO A ISO 27001:2013

Calificación Actual Calificación Objetivo Calificación Ideal

27

Gestión de la Información con la madurez necesaria para dar cumplimiento a normas y estándares de la industria. Utilizando la metodología de ISO/IEC 2700517 (Sisteseg Consulting Services 2021) se ha realizado el análisis de riesgos de la organización. Se inicia con la determinación de la matriz RACI, para identificar los roles de cada uno de los actores que se ven involucrados en la adecuada Gestión de Riesgos de Información y en general en el Sistema de Seguridad de la Información.

Ilustración 4 - Matriz RACI en Gestión de los Riesgos de Seguridad de la Información. - Fuente Propio

17 Metodología de Análisis de Riesgo según ISO 27005:2018 e ISO 31000:2018. https://sisteseg.com/blog/wp-content/uploads/2018/11/Metodologia-para-Gesti%C3%B3n-de-Riesgos-V-1.0.pdf

ID Nombre de la Actividad Jefe TI Gerente GeneralGerente

Comercial

Gerente

Financiero

Gerente

Administrativo

Coordinador de

Importaciones

Coordinador de

Asuntos

Regulatorios

Coordinadora de

Talento HumanoFuncionarios Entes Auditores

1.

1.1. Identificación del Contexto Interno R C/I C/A C/A C/A C/A C/A C/A I -

1.2. Identificación del Contexto Externo R C/I C/A C/A C/A C/A C/A C/A I -

2.

2.1. Identificación de procesos Críticos R/A C/I C/A C/A C/A C/A C/A C/A I -

2.2. Identificar Ativos por Procesos R/C C/I A A A A A A I -

2.3. Valorar la criticidad de los Activos R/C C/I A A A A A A I -

2.4. Identificar Vulnerabilidades a los activos R/C I A A A A A A I -

2.5. Identificar Amenazas a los activos R/C I A A A A A A I -

2.6. Valorar Vulnerabilidades y Amenazas R/C I A A A A A A I -

2.7. Valoración del Riesgo R/C I A A A A A A I -

3.

3.1. Identificación Controles R/C I A A A A A A I -

3.2.Creación del plan de tratamiento de Riesgos

ResidualesR/C I A A A A A A I -

4.

4.1.Aceptar los planes de los tratacientos de los

riesgosI/C A R R R R R R I -

4.2. Formalización de los Riesgos Aceptados I/C A R R R R R R I -

4.3. Documentar los Riesgos Aceptados R/C I A A A A A A I -

5.

5.1.Comunicar a los procesos los riesgos

identificadosR/A I C/I C/I C/I C/I C/I C/I I -

5.2.Comunicar a los procesos los planes de

acción para mitigar los RiesgosR/A I C/I C/I C/I C/I C/I C/I I -

5.3. Comunicar el nivel de riesgo residual R/A I C/I C/I C/I C/I C/I C/I I -

5.4. Comunicar los riesgos aceptados. R/A I C/I C/I C/I C/I C/I C/I I -

6.

6.1.Realizar monitoreo y seguimiento a las

VulnerabilidadesR/A I I I I I I I I C/A

6.2.Realizar monitoreo y seguimiento a las

amenazasR/A I I I I I I I I C/A

6.3.Realizar monitoreo y seguimiento a los

riesgos R/A I I I I I I I I C/A

6.4.Realizar monitoreo y seguimiento a los

controlesR/A I I I I I I I I C/A

6.5. Ajustar desviaciones evidenciadas. C I R/A R/A R/A R/A R/A R/A R/A -

Comunicación de los riesgos

Monitoreo de los Riesgos

Matriz RACI Metodologia de Gestión de Riesgos

Establecer el Contexto

Evaluación del Riesgo

Tratamiento de Riesgos

Aceptación de los Riesgos.

https://sisteseg.com/blog/wp-content/uploads/2018/11/Metodologia-para-Gesti%C3%B3n-de-Riesgos-V-1.0.pdf

https://sisteseg.com/blog/wp-content/uploads/2018/11/Metodologia-para-Gesti%C3%B3n-de-Riesgos-V-1.0.pdf

28

Para determinar el riesgo, se han tomado los activos de información y se han clasificado. Esta tarea permite identificar fácilmente los activos por categoría, y además determina el nivel de criticidad asociado a cada uno de los activos.

Ilustración 5 - Descripción activos de Información. Fuente Propio

Correo electrónico Buzones de correo electrónico de la organización Todos Todos

Base de Datos Base de datos de sistema de información Tecnología Jefe de Tecnología

Backup Sofware backup de usuarios Tecnología Jefe de Tecnología

Licencias Aplicativos adquiridos para PC y Servidores Tecnología Jefe de Tecnología

ServidoresMaquina de gran procesamiento para exponer servicios a los

clientesTecnología Jefe de Tecnología

Directorio Activo Directorio de usuarios y dispositivos que componen la red Tecnología Jefe de Tecnología

Antivirus Aplicativo para detectar y eliminar virus informáticos Todos Jefe de Tecnología

Computadores Computadores de la organización Todos Jefe de Tecnología

Gateway Dispositivo de frontera, conecta organización hacia internet Tecnología Jefe de Tecnología

Switch Enlace de forma centralizada entre los equipos en LAN y la WAN Tecnología Jefe de Tecnología

SPA Dispositivo de distribución telefónica Tecnología Jefe de Tecnología

PBX Centralizador de configuración de red telefónica Tecnología Jefe de Tecnología

Centro de Datos Espacio para ubicación de dispositivos de datos y red Tecnología Jefe de Tecnología

BiométricosDispositivo para leer biométicamente el ingreso o salida de

usuariosTalento Humano Coordinadora de Talento Humano

UPSAlmacenamiento de energía en baterias que trabaja cuando no hay

corriente en la red principalTecnología Jefe de Tecnología

Aire Acondicionado Regulador de temperatura y humedad para un espacio definido Tecnología Jefe de Tecnología

NAS Dispositivo de red para almacenamiento de archivos Tecnología Jefe de Tecnología

Discos Duros

ExternosDispositivos de almacenamiento externos a los computadores Tecnología Jefe de Tecnología

ERP Aplicativo para gestión de la información de la organización

Contabilidad, Talento

Humano, Importaciones,

Tesorería

Gerente Operativo

Canales Internet Caneles dispuestos por proveedores para conexión hacia internet Tecnología Jefe de Tecnología

Teléfonos IP Teléfonos con configuración de IP sobre switches de telefonía Todos Todos

DVR Sistema de video grabación Talento Humano Coordinadora de Talento Humano

Procedimientos Procedimientos de las actividades de funcionarios TodosCoordinadora de Asuntos

Regulatorios

Instructivos Paso a paso de las actividades realizadas por los funcionarios TodosCoordinadora de Asuntos

Regulatorios

Nombre del Activo

de InformaciónDescripción Proceso Responsable

29

Ilustración 6 - Tipología Activos de Información. Fuente Propio

Correo electrónico X

Base de Datos X

Backup X

Licencias X

Servidores X

Directorio Activo X

Antivirus X

Computadores X

Gateway X

Switch X

SPA X

PBX X

Centro de Datos X

Biométricos X

UPS X

Aire Acondicionado X

NAS X

Discos Duros

ExternosX

ERP X

Canales Internet X

Teléfonos IP X

DVR X

Procedimientos X

Instructivos X

Nombre del Activo

de Información Software

Tipología

Hardware Documentación Servicios

30

Ilustración 7 - Clasificación de los activos de Información - Fuente Propia

Bajo Medio Alto Bajo Medio Alto

Correo electrónico X X

Base de Datos X X

Backup X X

Licencias X X

Servidores X X

Directorio Activo X X

Antivirus X X

Computadores X

Gateway X X

Switch X X

SPA X X

PBX X X

Centro de Datos X X

Biométricos X X

UPS X X

Aire Acondicionado X X

NAS X X

Discos Duros

ExternosX X

ERP X X

Canales Internet X X

Teléfonos IP X X

DVR X X

Procedimientos X X

Instructivos X X

Nombre del Activo

de Información

Clasificación del activo de información

Nivel criticidad operaciones

internas

Nivel criticidad operaciones

externas

31

Ilustración 8 - Custodia de los Activos de Información. Fuente Propio

A partir de la información anterior se genera la matriz de riesgos la cual identifica cada uno de los tipos de activos de información, estableciendo para cada uno una descripción de su nivel de compromiso en la organización en materia de confidencialidad, integridad y disponibilidad. Esto permite obtener una calificación de criticidad, la cual siempre hace referencia al máximo valor de la calificación de impacto de los tres pilares. Además se indica la vulnerabilidad asociada a cada uno de los activos, basados en los informes que se han venido conociendo durante el curso respecto a la explotación de las vulnerabilidades, y se identifican de forma subjetiva las amenazas asociadas a esas vulnerabilidades. Esta información aporta una degradación que al calificarse por la criticidad nos entrega el valor del impacto en el servicio y se ha obtenido también el riesgo

Correo electrónico Proveedor-Clientes Nube-Clientes

Base de Datos Tecnología Servidor BD

Backup Tecnología-Proveedor DD Externos-NAS-Nube

Licencias Tecnología-Proveedor Tecnología-Nube

Servidores Tecnología Centro de Datos

Directorio Activo Clienteo Centro de Datos

Antivirus Clientes Clientes

Computadores Clientes Clientes

Gateway Tecnología Centro de Datos

Switch Tecnología Centro de Datos

SPA Tecnología-Proveedor Centro de Datos

PBX ClienteX Centro de Datos-Nube

Centro de Datos Tecnología Oficina principal

Biométricos Tecnología Sedes

UPS Tecnología Centro de Datos

Aire Acondicionado Tecnología Centro de Datos

NAS Tecnología Centro de Datos

Discos Duros

ExternosTecnología Tecnología

ERP Tecnología Clientes

Canales Internet Tecnología Centro de Datos

Teléfonos IP Tecnología Clientes

DVR Tecnología Sedes

Procedimientos Area de Calidad Software de SGC

Instructivos Area de Calidad Software de SGC

Nombre del Activo

de Información

Estado y custodia del activo de información

Custodia del activo Localización del activo

32

asociado por ocurrencia en la organización, calificados por el Jefe de Tecnología de la organización. Finalmente, el riesgo se obtuvo de multiplicar la Frecuencia por el Impacto.

33

Ilustración 9 - Matriz de Riesgos - Descripción - Fuente Propio

ID Activo Descripción Confidencialidad Integridad Disponibilidad

R-19

R-17

R-18

Infr

ae

str

uc

tura

R-01

R-02

R-03

R-04

R-05

R-06

R-07

R-08

R-10

R-09

R-11

R-12

R-13

R-14

R-15

R-16

DVR Sistema de video grabación

Información que sólo puede ser conocida y utilizada por un

grupo muy reducido de agentes, cuya divulgación podría

ocasionar un perjuicio a la Org. o terceros.

Información cuya modificación no autorizada es de difícil

reparación y podría ocasionar un perjuicio significativo para

la Organización o terceros.

Información cuya inaccesibilidad

permanente durante una semana podría

ocasionar un perjuicio significativo para la

Tecnología

Software

Licencias - WilliamAplicativos adquiridos para PC y

Servidores


grupo de agentes, que la necesiten para realizar su trabajo.

Aplicativo para gestión de la información

de la organización



Información cuya modificación no autorizada puede

repararse aunque podría ocasionar un perjuicio para la

Organización o terceros.


permanente durante una hora podría

impedir la ejecución de las actividades de







ERP




Teléfonos IPTeléfonos con configuración de IP sobre

switches de telefonía













Matriz de Riesgos

Discos Duros ExternosDispositivos de almacenamiento externos

a los computadores













Dispositivo de red para almacenamiento

de archivos









Aire AcondicionadoRegulador de temperatura y humedad

para un espacio definido

Información que puede ser conocida y utilizada por todos los

agentes de la Organización.







UPS

Dispositivo para leer biométicamente el

ingreso o salida de usuarios








permanente durante la jornada laboral

podría impedir la ejecución de las

Dispositivo de distribución telefónicaInformación que sólo puede ser conocida y utilizada por un






Enlace de forma centralizada entre los

equipos en LAN y la WAN



Información cuya modificación no autorizada no podría

repararse, impidiendo la realización de las actividades.




Dispositivo de frontera, conecta

organización hacia internet









Infraestructura

Fisica

Computadores

Espacio para ubicación de dispositivos de

datos y red

Tecnologia

Hardware

Gateway

Switch

SPA - Ivan

Biométricos

NAS

Almacenamiento de energía en baterias

que trabaja cuando no hay corriente en la

red principal






Información cuya inaccesibilidad no afecta

la actividad normal de la Organización.

Canales InternetCaneles dispuestos por proveedores para

conexión hacia internet

Computadores de la organizaciónInformación que sólo puede ser conocida y utilizada por un








Maquina de gran procesamiento para

exponer servicios a los clientes









Centro de Datos

Servidores




la Organización.

Aire AcondicionadoRegulador de temperatura y humedad

para un espacio definido

Información que puede ser conocida y utilizada sin

autorización por cualquier persona, dentro o fuera de la

Organización.


repararse fácilmente, o que no afecta a las actividades de

la Organización.




UPS

Almacenamiento de energía en baterias

que trabaja cuando no hay corriente en la

red principal









BiométricosDispositivo para leer biométicamente el

ingreso o salida de usuarios









actividades de la Organización.







34

Ilustración 10 Matriz de Riesgos – Descripción (Continuación) - Fuente Propio

ID Activo Descripción Confidencialidad Integridad Disponibilidad

R-35

R-20

R-21

R-22

R-23

R-24

R-25

R-26

R-27

R-28

R-29

R-30

R-31

R-32

R-33

R-34

Info

rma

ció

nG

en

te

Servicios

Electrónica

Papel




Sofware backup de usuarios

Directorio de usuarios y dispositivos que

componen la red











actividades de la Organización.

Alta directiva en la compañia.














la Organización.






la Organización.









Aplicativo para detectar y eliminar virus

informáticos





ColaboradoresFuncionarios que desempeñan acciones

operacionales dentro de la organización






la Organización.



Buzones de correo electrónico de la

organización








Correo electrónico

Base de Datos

Backup

Directorio Activo

Antivirus

PBX - Hugo ArmandoInformación cuya modificación no autorizada no podría


Centralizador de configuración de red

telefónica



Organización.



Organización.




Base de datos de sistema de informaciónInformación que sólo puede ser conocida y utilizada por un





Dueños

Usuarios






Gerente General

Gerentes - Edgar Directivos de las diferentes areas










Organización.

CoordinadoresFuncionarios que estan a cargo de procesos

de la compañia.

Junta DirectivaOrganismo dentro de la empresa que toma

las decisiones estratégicas.













Jefe TI

Funcionario que esta encargado de los

sistemas de información, aplicaciones y

dispositivos tecnologicos

Procedimientos

InstructivosPaso a paso de las actividades realizadas por

los funcionarios



Procedimientos de las actividades de

funcionarios












la actividad normal de la Organización.Procedimientos

Procedimientos de las actividades de

funcionarios






InstructivosPaso a paso de las actividades realizadas por

los funcionarios






Matriz de Riesgos

35

Ilustración 11 - Matriz de Riesgos – Calificación Criticidad - Fuente Propio

ID Activo Confidencialidad Integridad Disponibilidad Criticidad

R-19

R-17

R-18

Infr

ae

str

uc

tura

R-01

R-02

R-03

R-04

R-05

R-06

R-07

R-08

R-10

R-09

R-11

R-12

R-13

R-14

R-15

R-16

DVR 3

1 3 3

Tecnología

Software

Licencias - William

2

3

2 1 3

1 1 33

2 3 3

ERP

2 1 1 2

Teléfonos IP

Matriz de Riesgos

Discos Duros Externos 3 2 1 3

32 2 3

Aire Acondicionado 1 1 1 1

0 1UPS

3 1 2 3

2 1 2 2

1 2 2

2 3 3 3

2

Infraestructura

Fisica

Computadores

Tecnologia

Hardware

Gateway

Switch

SPA - Ivan

Biométricos

NAS

1 1

Canales Internet

2 2 2 2

33 3

Centro de Datos

Servidores 2

33 2

Aire Acondicionado 0 0 2 2

2

UPS 1 1 1 1

Biométricos

3

1 2 2

36

Ilustración 12 -Matriz de Riesgos – Calificación Criticidad (Continuación) - Fuente Propio

ID Activo Confidencialidad Integridad Disponibilidad Criticidad

R-35

R-20

R-21

R-22

R-23

R-24

R-25

R-26

R-27

R-28

R-29

R-30

R-31

R-32

R-33

R-34

3 3

Info

rma

ció

nG

en

te

Servicios

Electrónica

Papel

1 3 3 3

1 3

0 3 2 3

2 3 2

3 3

Colaboradores

Correo electrónico

Base de Datos

Backup

Directorio Activo

Antivirus

PBX - Hugo Armando

Dueños

Usuarios

Gerente General

Gerentes - Edgar 3 2 1 3

Coordinadores

Junta Directiva 3 2 0 3

2 1 1 2

3 2 0 3

3 0 0 3

Jefe TI 3 3 3 3

1

Procedimientos

Instructivos

Procedimientos 1 1 0

3

0 2 2 2

3 3

3

3

0 0

Instructivos 2 2 2 2

1 1 0 1

Matriz de Riesgos

37

Ilustración 13 - Matriz de Riesgos - Descripcion Amenazas - Fuente Propio

ID Activo Vulnerabilidad Amenaza

Acceso no Autorizado1. Mal uso de los elementos de la organización

2. Alteración de la información confidencial de la compañía

Ciberataque1. Alteración o daño de la información almacenada en los equipos

2. Robo de información almacenada en los equipos.

Daño de los equipos1. Perdida de la información almacenada en los dispositivos con fallas.

2. Disminución o perdida del nivel de procesamiento de los equipos.

Mal funcionamiento del Biometrico1. Ausencia en el mantenimmiento a los aires acondicionados.

2. Desconocimiento de los funcionarios de la compañia en la utilización del

Daño de los equipos1. Perdida de la información almacenada en los dispositivos con fallas.


Acceso no Autorizado1. Mal uso de los elementos de la organización


Daño de los Sensores de Humo 1. Mala manipulación del Aire Acondicionado puede ocacionar daños en los

Ciberataques 1. Daño a los sensores de humo, ocacionados por ciberataques con el fin

Mal funcionamiento del AC 1. Ausencia en el mantenimmiento a los aires acondicionados.

Ciberataque 1. Alteración o daño de la información almacenada en los equipos



Acceso no Autorizado 1. Mal uso de los elementos de la organización


Daño de los equipos 1. Perdida de la información almacenada en los dispositivos con fallas.

Mantenimiento 1. Indisponibilidad por falta de mantenimiento.


Malware 1. Robo de identidades.

Phishing 1. Robo de identidades.

Ramsomware 1. Secuestro de los datos.


Daño 1. Indisponibilidad de la red de energía.

Mal uso 1. Riesgo de electrocución.


Daño 1. Mal funcionamiento de dispositivo.

Mal uso 1. Rangos de trabajo a temperaura y humedad inadecuados.

Malware 1. Acceso remoto a shell del equipo o panel de administración.

Cross Site Scripting (XSS) 1. Acceso remoto a shell del equipo o panel de administración.

Inyección de código SQL 1. Acceso remoto a shell del equipo o panel de administración.

Hurto o pérdida 1. Perdida de la confidencialidad de la información almacenda en los

Daño 1. Perdida de la información almacenada en los dispositivos con fallas.

Acceso no autorizado 1. Mal uso de los elementos de la organización

Acceso no autorizado 1. Alteración de los procedimientos de conexión.

Daño físico en los canales de 1. Pérdida de comunicación de Internét.

Ciberataque 1. Daño o alteración de la información almacenada en los equipos de

Acceso no autorizado 1. Alteración de los procedimientos de conexión.

Ciberataque 1. Alteración de los procedimientos de conexión.

Daño físico del PBX 1. Incomunicación telefónica

Malware 1. Robo de identidades.


Interceptación de la señal 1. Cambio de parámetros de conexión.

Acceso no autorizado 1. Pérdida de credenciales de acceso a los datos de licenciamiento.

Ciberataque 1. Pérdida de credenciales de acceso a los datos de licenciamiento.

Hurto o pérdida 1. Pérdida de información


Acceso no autorizado 1. Acceso no autorizados a perfiles superirores.

Ciberataque 1. Alteracion en datos de almacenamiento.

R-19

R-17

R-18

Infr

ae

str

uc

tura

R-01

R-02

R-03

R-04

R-05

R-06

R-07

R-08

R-10

R-09

R-11

R-12

R-13

R-14

R-15

R-16

DVR

Tecnología

Software

Licencias - William

ERP

Teléfonos IP

Matriz de Riesgos

Discos Duros Externos

Aire Acondicionado

UPS

Mala Configuración1. Perdida de conectividad a los servicios de internet debido a una

malaconfiguración.

1. Mal uso de los elementos de la organización

2. Alteración o daño de la información almacenada en los equipos

Infraestructura

Fisica

Computadores

Tecnologia

Hardware

Gateway

Switch

SPA - Ivan

Biométricos

NAS

Canales Internet

Acceso no autorizado


1. Mal uso de los elementos de la organización


Centro de Datos

Servidores

Aire Acondicionado

Daño del equipo Perdida de información UPS

Biométricos

38

Ilustración 14 - Matriz de Riesgos - Descripcion Amenazas (Continuación)- Fuente Propio

ID Activo Vulnerabilidad AmenazaHurto o pérdida 1. Perdida de la confidencialidad de la información almacenda en los



Hurto o pérdida 1. Perdida de la confidencialidad de la información almacenda en los













R-35

R-20

R-21

R-22

R-23

R-24

R-25

R-26

R-27

R-28

R-29

R-30

R-31

R-32

R-33

R-34

Info

rma

ció

nG

en

te

Servicios

Electrónica

Papel

Colaboradores

Correo electrónico

Base de Datos

Backup

Directorio Activo

Antivirus

PBX - Hugo Armando

Dueños

Usuarios

Gerente General

Gerentes - Edgar

Coordinadores

1. Pérdida de credenciales de acceso a los datos de licenciamiento.

2. Daño o cambio de datos de licenciamiento.

3. Pérdida de información

Junta DirectivaAcceso no autorizado

1. Pérdida de credenciales de acceso a los datos de informacion reservada.

2. Daño o cambio de datos de alta reserva.


Daño físico de la documentacion


Daño de la informacion, tergiversacion de la información y desinformación.

Acceso no autorizado1. Pérdida de credenciales de acceso a los datos de informacion reservada.






Jefe TIAcceso no autorizado




Daño de la informacion, tergiversacion de la información y desinformación.Daño físico de la documentacion

Procedimientos

Instructivos

Procedimientos











Daño físico de la documentacion Daño de la informacion, tergiversacion de la información y desinformación.



Daño físico de la documentacion Daño de la informacion, tergiversacion de la información y desinformación.

Instructivos

Matriz de Riesgos

39

Ilustración 15 - Matriz de Riesgos - Calificación Riesgo - Fuente Propio

ID Activo Confidencialidad Integridad Disponibilidad Degradación Impacto Frecuencia Anual Riesgo

100% 80% 100% 3 1 3

Biométricos

50%

100% 80% 100% 2 1 250%

100% 1UPS 1 1

Aire Acondicionado 30% 30% 100% 100% 2 1 2

30% 100% 100%

Centro de Datos

Servidores 100% 100% 100% 100% 3 3

100% 100% 100% 100% 2 2

Infraestructura

Fisica

Computadores

Tecnologia

Hardware

Gateway

Switch

SPA - Ivan

Biométricos

NAS

Canales Internet

2 1 2

90% 100% 100% 100% 3 1

70%

90% 100% 100%80%

80% 100% 100% 2 1 2

100% 70% 80% 100% 3 0,5 1,5

0,3 1

Aire Acondicionado 0% 0% 20%

0% 0% 30% 30%

20% 0,2 2

UPS

80%

0,14

70% 30% 20% 70% 2,1 0,5 1,05

100% 100%

0,5

3 0,2 0,6

7,2

2,1

1,4

1,05

2,7

Matriz de Riesgos

Degradación Riesgo

9

4

3

0,4

100% 80% 100% 3 1 3


0,3

70% 0,7 0,1 0,0750% 20% 70%

70% 1,4 0,1 0,1450%

1,8 4

90% 70%

Instructivos 20% 70%

ERP

50% 70% 30%

Teléfonos IP

90%

70% 70% 70% 70%

70%

50% 30% 60% 60%

Tecnología

Software

Licencias - William

DVR

2,7 170% 50% 90%

0,1

1,4140%30% 70% 70% 1,4

70% 70% 70% 70% 2,1 4,22

4,22

4,22

4,22

4,22

40% 2,1130%

70% 70% 70% 2,1

70% 70% 2,1

70%

70% 70% 70% 70% 2,1

70% 70% 70% 70% 2,1

70% 70% 70% 70% 2,1

Procedimientos

Instructivos

Procedimientos 40%

40% 70% 70% 1,4 1 1,4

30% 40% 40% 0,4 1 0,4

Jefe TI 70%

2 4,270% 70% 70% 70% 2,1

70% 70% 70% 70% 2,1 4,22

1 2,1

30%

70% 70% 70% 70% 2,1

Junta Directiva 70% 70% 70% 2,170% 2 4,2

70% 70% 70% 2,1 1 2,1

Dueños

Usuarios

Gerente General

Gerentes - Edgar

Coordinadores

Directorio Activo

Antivirus

PBX - Hugo Armando

Colaboradores

Correo electrónico

Base de Datos

Backup

Infr

ae

str

uc

tura

Info

rma

ció

nG

en

te

Servicios

R-01

R-02

R-03

R-04

R-05

R-06

R-07

R-08

R-10

Electrónica

Papel

R-09

R-11

R-12

R-13

R-14

R-15

R-16

R-17

R-18

R-28

R-29

R-30

R-31

R-32

R-33

R-34

R-35

R-19

R-20

R-21

R-22

R-23

R-24

R-25

R-26

R-27

40

Ilustración 16 - Mapa de Calor del Riesgo - Fuente Propio

Se ha establecido además un plan de tratamiento a cada uno de los riesgos encontrados y evaluados.

Plan de Tratamiento de Riesgos

ID Activo Vulnerabilidad Amenaza Tratamiento

Plan de Tratamiento

R-01 Centro de Datos

Acceso no Autorizado


Mitigar Se recomienda realizar monitoreo a los accesos definidos en las herramientas de biometría y el CCTV. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos y se materializan en el cumplimiento de las certificaciones SOC 1, SOC 2, o SOC 3. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.

Ciberataque 1. Robo de información almacenada en los equipos.

Transferir Se recomienda implementar una cláusulas de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía

R-05

R-16

R-12 R-06

R-25 - R-27 - R-28 -

R29 - R-32 - R-33 -

R-34 - R-35

R-18

R-04 R-03 R-23 - R-30R-02 - R-04 -

R-07 - R-09R-24 - R-26 - R-31 R-19

R-1 - R-8 -

R-13

R-11

R-20 R-21 R-14 - R-17R-10 - R-

15

0.1 2.9

3.0 5.9

6.0 9

MEDIO

ALTO

2 3

BAJO MEDIO ALTO

IMPACTO

BAJO

1

MAPA DE CALOR RIESGOSFR

ECU

ENC

IA A

NU

AL

ALTO

4

MEDIO

3

2

BAJO1

41

Daño de los equipos

1. Perdida de la información almacenada en los dispositivos con fallas.

Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los equipos de cómputo. Se recomienda tener un plan de backup y ejecución de pruebas de restauración de la información.

R-02 Biométricos Mal funcionamiento del Biométrico

1. Desconocimiento de los funcionarios de la compañía en la utilización de dispositivos biométricos.

Mitigar Se debe contar con un plan de concientización a los funcionarios, colaboradores y/o terceros que utilicen de forma inadecuada los dispositivos de biometría.




Acceso no Autorizado



R-03 UPS Daño del equipo 1. Perdida de información Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de las UPS de la compañía.

R-04 Aire Acondicionado

Daño de los Sensores de Humo

1. Mala manipulación del Aire Acondicionado puede ocasionar daños en los equipos de cómputo por demasiada humedad en el ambiente.

Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los sensores de humo.

Ciberataques 1. Daño a los sensores de humo, ocasionados por ciberataques con el fin de retrasar las posibles acciones en caso de algún conato de incendios

Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía

Mal funcionamiento del AC

1. Ausencia en el mantenimiento a los aires acondicionados.

Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los aires acondicionados de la compañía.

R-05 Servidores Acceso no autorizado





R-06 Computadores Acceso no autorizado





R-07 Gateway Ciberataque 1. Alteración o daño de la información almacenada en los equipos.


Mala Configuración

1. Perdida de conectividad a los servicios de internet debido a una mala configuración.

Mitigar Se recomienda realizar campañas de entrenamiento y capacitación a los funcionarios que realicen cambios en las tecnologías de la compañía. Se recomienda tener un plan de Backup de las configuraciones de las tecnologías de la compañía, y realizar pruebas de restauración de estos planes de backup

R-08 Switch Acceso no Autorizado



42

Ciberataque 1. Alteración o daño de la información almacenada en los equipos.



1. Perdida de la información almacenada en los dispositivos con fallas.


R-09 SPA - Ivan Mantenimiento 1. Daño progresivo del dispositivo.

Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los equipos de comunicación. Se recomienda tener un plan de backup y ejecución de pruebas de restauración de la información.

Ciberataque 1. Alteración o daño de la información almacenada en los equipos.


R-10 Biométricos Malware 1. Robo de identidades. Mitigar Proteger con doble factor de autenticación los dispositivos a los que tenga alcance la biometría.

Phishing 1. Suplantación de identidades.

Mitigar Implementar antivirus que intervengan las amenazas de phishing y mantenerlos actualizados.

Ramsomware 1. Secuestro de los datos. Evitar Se recomienda implementar diferentes niveles de seguridad en los dispositivos que almacenan los datos de las biometrías. Que se impida el acceso por personas ajenas a la organización. Antivirus y firewalls de protección, segmentos de red propios y cerrados para estos dispositivos.

R-11 UPS Mantenimiento 1. Daño progresivo del dispositivo.

Mitigar Se recomienda mantener un cronograma de mantenimientos con fechas definidas y proveedores idóneos.

Daño 1. Indisponibilidad del dispositivo.

Aceptar Se recomienda tener planes de contingencia ante el daño de este tipo de dispositivos.

Mal uso 1. Daño del dispositivo. Evitar Se recomienda capacitar al personal que tenga contacto con el dispositivo para que haga uso adecuado del mismo y de las instalaciones donde se encuentra.

R-12 Aire Acondicionado


Evitar se recomienda mantener un cronograma de mantenimientos con fechas definidas y proveedores idóneos.

Daño 1. Indisponibilidad del dispositivo.

Transferir Se recomienda tener planes de contingencia que involucren a terceros ante el daño de este tipo de dispositivos.

Mal uso 1. Daño del dispositivo. Evitar Se recomienda capacitar al personal que tenga contacto con el dispositivo para que haga uso adecuado del mismo y de las instalaciones donde se encuentra.

R-13 NAS Malware 1. Borrado, Daño o Manipulación de los datos.

Mitigar Se recomienda implementar un firewall para prevenir accesos no autorizados al dispositivo

Cross Site Scripting (XSS)

1. Manipulación de los datos.


Inyección de código SQL

1. Manipulación de los datos.


R-14 Discos Duros Externos

Hurto o pérdida 1. Perdida de la confidencialidad de la información almacenada en los dispositivos.

Mitigar Se recomienda asignar responsabilidades específicas para el uso y manipulación de estos dispositivos.

Daño 1. Perdida de la información almacenada en los dispositivos con fallas.

Mitigar Se recomienda asignar responsabilidades específicas para el uso y manipulación de estos dispositivos.



Mitigar Se recomienda implementar consolas de antivirus que prevengan el acceso no autorizado hacia o desde dispositivos, además se recomienda implementar firewalls que impida el acceso no autorizado hacia estos dispositivos.

R-15 Canales Internet


1. Alteración de los procedimientos de conexión.


Daño físico en los canales de conexión

1. Pérdida de comunicación de Internet.

Transferir Se recomienda negociar con los proveedores canales alternativos para hacer la conexión

Ciberataque 1. Exposición, daño o alteración de la información debido a la infección de Malware


R-16 Teléfonos IP Acceso no autorizado

1. Ejecución de llamadas no permitidas

Mitigar Se recomienda implementar alarmas en el pbx para alertar actividades sospechosas

Ciberataque 1. Ejecución de llamadas no permitidas

Mitigar Se recomienda asignar segmentos de red específicos para la red de telefonía

Daño físico del PBX

1. Incomunicación telefónica

Transferir Se recomienda contratar con el proveedor planes alternos de implementación en caso de ser requerido.

R-17 DVR Malware 1. Robo de identidades. Mitigar Se recomienda implementar un firewall para prevenir

43

accesos no autorizados al dispositivo

Phishing 1. Robo de identidades. Mitigar Se recomienda implementar un firewall para prevenir accesos no autorizados al dispositivo

Interceptación de la señal

1. Perdida de datos Mitigar Se recomienda asignar segmentos de red específicos para la red de DVR

R-18 Licencias Acceso no autorizado

1. Daño o cambio de datos de licenciamiento.

Mitigar Se recomienda utilización de doble factor de autenticación para ingresar a las cuentas.

Ciberataque 1. Pérdida de información Mitigar Utilizar los métodos de conexión que los proveedores indiquen, restringir las cuentas cuando se note actividad sospechosa, Se recomienda conocer los contactos y sus líneas directas para gestionar eventos que afecten la seguridad.

Hurto o pérdida 1. Pérdida de información Evitar Se recomienda utilización de doble factor de autenticación para ingresar a las cuentas administradoras de licencias.

R-19 ERP Phishing 1.Acceso a un atacante y robo de identidad.




Mitigar Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.



R-20 Procedimientos

Hurto o pérdida 1. Perdida de la información.

Mitigar Se recomienda realizar un Backup semanalmente y tener un repositorio en la nube.


Evitar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía

Ramsomware 1. Secuestro y modificación de la información

Mitigar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía

R-21 Instructivos Hurto o pérdida 1. Perdida de la información.

Aceptar Se recomienda realizar un Backup semanalmente y tener un repositorio en la nube.





R-22 Procedimientos

Daño físico de la documentación

1. Perdida de la información.

Aceptar Se recomienda tener un archivo externo donde se pueda asegurar la información y tener al 100 por ciento la disponibilidad en caso de pérdida o hurto.

R-23 Instructivos Daño físico de la documentación

1. Perdida de la información.

Aceptar Se recomienda tener un archivo externo donde se pueda asegurar la información y tener al 100 por ciento la disponibilidad en caso de pérdida o hurto.

R-24 Gerente General

Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario




Evitar Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.

R-25 Junta Directiva Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario





44

R-26 Jefe TI Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario




Evitar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía

Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.

R-27 Gerentes Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario





R-28 Coordinadores Acceso no autorizado



Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario


R-29 Colaboradores Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario




Transferir Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.

R-30 Correo electrónico


Evitar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía.


1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario


R-31 Base de Datos Acceso no autorizado



Evitar Se recomienda realizar monitoreo a los accesos definidos en el software.

Malware 1. Perdida de la información.

45

Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.

R-32 Backup Malware 1. Perdida de la información.




R-33 Directorio Activo



Transferir Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.



R-34 Antivirus Malware 1. Perdida de la información.






R-35 PBX Malware 1. Perdida de la información.




Mala Configuración

1. Perdida de conectividad a los servicios de internet debido a una mala configuración.

Mitigar Se recomienda realizar campañas de entrenamiento y capacitación a los funcionarios que realicen cambios en las tecnologías de la compañía. Se recomienda tener un plan de Backup de las configuraciones de las tecnologías de la compañía, y realizar pruebas de restauración de estos planes de backup

Tabla 5 - Plan de Tratamiento de los Riesgos

La evaluación de efectividad de los controles que arroja el estado de madurez de la organización muestra claramente que una de las necesidades más importantes y marcadas es la generación de la política de seguridad de la información, acción que cuando se cubra marcará un beneficio mayor, y dará la guía que requiere la organización para implementar acciones que cierren las brechas de seguridad que actualmente se encuentran. El estado de madurez sumado al resultado del análisis de riesgo permite identificar los activos y servicios que más requieren acciones para mitigar posibles afectaciones frente a problemas de seguridad. Las acciones que se deben implementar deben quedar registradas para asegurar su cumplimiento, su seguimiento y su medición. Por ello se propone la política de seguridad de la información para la organización, la propuesta que se puede encontrar en el anexo 2, abarca el cubrimiento de los requisitos exigidos para los Operadores Económicos Autorizados y cubrir también los controles de la norma ISO 27001. El iniciar con la aceptación y publicación de la política por parte de la organización,

46

la obliga a mantener los controles que ya se tienen y a trabajar en la implementación de los ajustes para lograr cubrir aquellos que no se estén cubriendo completamente o que no hayan sido asumidos por la organización. Es responsabilidad de la Gerencia Administrativa de la organización y como parte de su estructura, la jefatura de TI, de ejecutar las acciones que sean necesarias para cubrir las brechas que actualmente se encuentran. Esas acciones serán guiadas por la política que se expone en este documento. Como resultado se deberá inicialmente cubrir los requisitos para los Operadores Económicos Autorizados en materia de seguridad de la información, también cubrirá la norma ISO 27001 y entregará métodos para proteger la información relevante de la organización, así como los activos de información. En el punto 6.1 del anexo 2, se integra la política de seguridad de la información a la organización desde un alto nivel, y se establece el seguimiento que se debe realizar al documento de política para mantenerlo vigente y actualizado, de acuerdo con nuevas amenazas que puedan surgir, cambios normativos que se puedan producir, cambios procedimentales o de enfoque por parte de la organización.

47

7. CONCLUSIONES Se lograron establecer los aspectos normativos que se debían asegurar en la Política de Seguridad de la información para la organización, y estos aspectos fueron asegurados en la creación de la política de seguridad de la información para la organización. Durante el desarrollo de proyecto se logró medir el estado de madurez de la organización frente a los requisitos del anexo A de la norma ISO 27001, los resultados fueron cotejados contra un estado óptimo y son presentados en el presente documento. Se identificaron los puntos en común entre la norma ISO 27001 y los requisitos exigidos para ser operadores económicos autorizados de la DIAN. La implementación de la política bajo este estándar permitirá a la organización cubrir importantísimos puntos se seguridad que le darán una ventaja competitiva al momento de realizar licitaciones, las cuales son comunes en la organización. Se generan recomendaciones para mitigar las amenazas halladas durante el análisis de riesgos realizado bajo los estándares de la norma ISO 27005, este análisis de riesgos permitió identificar las amenazas a las que está expuesta la organización y lograr determinas los activos de información que impactan en mayor medida a la organización. Se establece a través de la matriz RACI, la responsabilidad de los diferentes cargos de la organización, que realizan labores frente a la gestión de los riesgos en el manejo de la información. En la revisión se identifica el alto grado de responsabilidad que tiene el Jefe de Tecnología, frente a las diferentes acciones que se proponen para identificar los riegos en seguridad de la información. En el análisis de riesgo se identifica un alto impacto en los servidores, que en el análisis de impacto se califican con una alta puntuación sobre todo por el riesgo de recibir un ciberataque. Esto podría comprometer la información transversal de la organización, que es el centro neurálgico del funcionamiento de la empresa y su pérdida sería muy perjudicial. Se han realizado recomendaciones en el plan de tratamiento de los riesgos, estas recomendaciones son actividades que se pueden realizar de forma que su implementación generará la protección necesaria para los activos de la información En las políticas propuestas se proponen acciones para mitigar los riesgos que minimicen las pérdidas que se puedan llegar a producir. En general en las políticas abarcan diferentes aspectos para cubrir los riesgos que se han evaluado en los diferentes activos de información.

48

8. BIBLIOGRAFÍA BENAVIDES SEPULVEDA, Alejandra, y BLANDON JARAMILLO, Carlos, 2018, “Modelo sistema de gestión de seguridad de la información para instituciones educativas de nivel básico. Universidad Tecnológica de Pereira”. Internet (https://www.redalyc.org/journal/849/84956661012/html/) CARDONA CASTAÑEDA, José Nayid y Salcedo Ruiz. Análisis y Evaluación de Riesgos de Seguridad Informática para la Cámara de Comercio de La Dorada, Puerto Boyacá, Puerto Salgar y Municipios de Oriente de Caldas. Universidad Nacional Abierta y a Distancia – UNAD. Escuela de Ciencias Básicas Tecnología e Ingeniería. Especialización en Seguridad Informática. 2017. 176 Pag. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PUBLICA, 2011, “Decreto 3568 de 2011”. Internet: (https://funcionpublica.gov.co/eva/gestornormativo/norma.php?i=64620) DIRECCION DE IMPUESTOS Y ADUANAS NACIONALES, 2020, “Seguridad en Tecnología de la Información”. Internet: (https://www.dian.gov.co/aduanas/oea/inicio/Documents/Seguridad_en_Tecnologia_de_la_Informacion.pdf) ________________________________________________, “Operador Económico Autorizado – Beneficios del Operador Económico Autorizado”. Internet (https://www.dian.gov.co/aduanas/oea/Documents/beneficios%20OEA.pdf) ________________________________________________, 2020, “Operador Económico Autorizado – OEA – Documentos de Interés”. Internet (https://www.dian.gov.co/aduanas/oea/inicio/Paginas/documentosdeinteres.aspx) ________________________________________________, 2020, “Operador Económico Autorizado – OEA – Marco Normativo”. Internet: (https://www.dian.gov.co/aduanas/oea/inicio/Paginas/marconormativo.aspx) ________________________________________________, “Plegable Operador Económico Autorizado”, Internet (https://www.dian.gov.co/aduanas/oea/inicio/Documentos%20de%20interes/Plegable%20Operador%20Econ%C3%B3mico%20Autorizado.pdf) ________________________________________________, 2016, “Resolución 67 de 2016”. Internet: (https://www.dian.gov.co/normatividad/Normatividad/Resoluci%C3%B3n%20000067%20de%2020-10-2016.pdf)

https://www.redalyc.org/journal/849/84956661012/html/





49

________________________________________________, 2018, “Resolución 4089”. Internet: (https://www.dian.gov.co/normatividad/Normatividad/Resoluci%C3%B3n%20004089%20de%2022-05-2018.pdf) E GLOBAL SERVICES SAS, 2018, “Resolución 004089 de 2018”. Internet (https://www.leyex.info/leyes/f3afb67134ee424fb202846e84feebae.htm) ESCUELA SUPERIOR DE ADMINISTRACION PUBLICA. 2018. “Plan de Seguridad y Privacidad de la Información”. Internet (https://www.esap.edu.co/portal/wp-content/uploads/2019/03/Plan-de-Seguridad-y-Privacidad-de-la-informaci%C3%B3n-v_1.0.pdf) ESPAÑA, Sogeti, 2013, “Evaluación de la seguridad de los Sistemas Informáticos: políticas, estándares y análisis de riesgos”. Internet (https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/) GB ADVISORS, 2018, “Madurez de la seguridad informática: 5 pasos a la excelencia”. Internet (https://www.gb-advisors.com/es/madurez-de-la-seguridad-informatica/) HENAO MONTOYA, Juan David y Lopera Diaz Juan Camilo. Modelo de Madurez para la Seguridad de la Información. Universidad EAFIT. Departamento de Informática y Sistemas. 2007. 132 Pag. INGERTEC, “ISO 27001 Seguridad de la Información”. Internet; (https://www.normas-iso.com/iso-27001/) INSTITUTO NACIONAL DE CONTADORES PUBLICOS, Hernandez, Camilo, 2018, “Requisitos mínimos para Operadores Económicos Autorizados”. (https://incp.org.co/requisitos-minimos-operadores-economicos-autorizados/) ISO 27001. “Fase 3. Elaboración de la Política”. Internet: (https://normaiso27001.es/fase-3-elaboracion-de-la-politica-objetivos-del-sgsi/) ISO TOOLS EXCELLENCE, 2018, “ISO 27001 ¿En qué se basa la política de seguridad de la información?”. Internet: (https://www.pmg-ssi.com/2018/12/iso-27001-en-que-se-basa-la-politica-de-seguridad-de-la-informacion/) ______________________, 2015, “ISO 27001: El modelo de madurez de la seguridad de la información”. Internet (https://www.pmg-ssi.com/2015/02/iso-27001-el-modelo-de-madurez-de-la-seguridad-de-la-informacion/) ______________________, 2013, “La NCh ISO 27001. Origen y evolución.”.

50

Internet:( https://www.pmg-ssi.com/2013/08/la-nch-iso-27001-origen-y-evolucion/) ______________________, 2015, “La Norma ISO 27001 versión 2013”. Internet (https://www.pmg-ssi.com/2015/10/la-norma-iso-27001-version-2013/) MANTILLA GUERRA, Anibal Rubén, Gestión de seguridad de la información con la norma ISO 27001:2013, en Revista Espacios. No. 18. Año 2018. Vol 39. Pag. 5. MINISTERIO DE SALUD Y PROTECCION SOCIAL, “Sispro – Aplicativos Misionales”. Internet: (https://web.sispro.gov.co/) MINISTERIO DE TECNOLOGIA DE LA INFORMACIÓN Y LAS COMUNICACIONES, 2017, “Instructivo para el Diligenciamiento de la Herramienta de Diagnostico de Seguridad y Privacidad de la Información”. (https://mintic.gov.co/gestionti/615/articles-5482_Instructivo_instrumento_Evaluacion_MSPI.pdf) ___________________________________________________________________________________. 2016. Guía para la Implementación de Seguridad de la Información en una MyPIME. Internet (https://mintic.gov.co/gestionti/615/articles-5482_Guia_Seguridad_informacion_Mypimes.pdf) ___________________________________________________________________________________ 2018, “Modelo de Seguridad”. Internet: (https://mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/) __________________________________________________________________________________, 2016, “Seguridad y Privacidad de la Información”. Internet (https://mintic.gov.co/gestionti/615/articles-5482_G8_Controles_Seguridad.pdf) ORGANIZACIÓN DE LOS ESTADOS AMERICANOS, 2019, “Un abordaje integral de la Ciberseguridad”. Internet (https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-ESP.pdf) PANCHE BOTERO, Yenny Alejandra. Procedimiento para la Certificación como Operador Económico Autorizado a Flores El Capiro S.A. Institución Universitaria ESUMER. Facultad de Estudios Internacionales. 2013. 89 Pag. QUIRURGICOS LTDA, 2021, “Productos”: Internet (https://www.quirurgicosltda.com/productos/) RAMIRO, Ruben. “¿Cómo implantar el Framework NIST”. Internet (https://ciberseguridad.blog/como-implantar-el-framework-nist/) RINCON RODRIGUEZ, José Alejandro. Plan de Implementación de la Norma ISO


https://mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/

51

IEC ISO 27001:2013 para un Operador de Información PILA. Universidad Abierta de Cataluña. Master Universitario en Seguridad de las TIC. 2019. 69 Pag. SANCHEZ CRESPO, Luis Enrique y Villafranca Alberca Daniel y Medina Paton Eduardo Fernandez y Piattini Mario, 2006, “Modelos de madurez para SGSI desde un enfoque práctico”. Internet (https://www.researchgate.net/publication/272089072_Modelos_de_madurez_para_SGSI_desde_un_enfoque_practico) SECRETARIA GENERAL DEL SENADO, 2021, “Ley Estatutaria 1266 de 2018”. Internet (http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html) _________________________________, 2021, “Ley Estatutaria 1581 de 2012”. Internet (http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html) SISTESEG, 2018, “Metodología de análisis de riesgo según ISO 27005:2018 e ISO 31000:2018”. Internet: (https://sisteseg.com/blog/wp-content/uploads/2018/11/Metodologia-para-Gesti%C3%B3n-de-Riesgos-V-1.0.pdf) SUPERINTENDENCIA DE SOCIEDADES, 2021, “La prevención de lavado de activos y financiación del terrorismo - SAGRILAFT 3.0”. Internet: (https://www.supersociedades.gov.co/Noticias/Paginas/2021/La-prevencion-de-lavado-de-activos-y-financiacion-del-terrorismo---SAGRILAFT-3-0-.aspx) __________________________________, 2021, “Se actualizó la normatividad sobre riesgos de LA/FT/FPADM”. Internet: (https://incp.org.co/se-actualizo-la-normatividad-sobre-riesgos-de-la-ft-fpadm/) UNIVERSIDAD DE MURCIA, “El Método MAGERIT”, Internet (https://www.um.es/docencia/barzana/GESESI/GESESI-Metodo-MAGERIT.pdf) VALDIVIESO TROYA, Jorge Luis y Rodriguez Poveda Roberto Josue. Informe de Evaluación de Seguridad en la Información basada en la norma ISO 27001 en el departamento de TI de una Empresa de Lacteos. Universidad Politécnica Salesiana. Ingeniería de Sistemas. 2015. 244 Pag. VILLAMIL AVILA, Maria Yohanna. Diagnóstico y Planificación de la Implementación del Modelo de Seguridad y Privacidad de la Información en la Corporación Autónoma Regional de Cundinamarca- CAR. Universidad Católica de Colombia. Facultad de Ingeniería. Programa de Especialización en Seguridad de la Información. 2017. 199 Pag. WIKIPEDIA, 2021, “Sistema de gestión de la seguridad de la información”. Internet:

https://incp.org.co/se-actualizo-la-normatividad-sobre-riesgos-de-la-ft-fpadm/

https://incp.org.co/se-actualizo-la-normatividad-sobre-riesgos-de-la-ft-fpadm/

52

(https://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_informaci%C3%B3n)

53

Anexo 1 - Encuesta

ISO 27001

Requisito OEA

Pregunta Encuesta Respuestas Escala

A5 Política de seguridad

A.5.1.1 Documento de política de seguridad

Requisito 8.2

¿Cuenta la organización con una política de seguridad de la información?

No se cuenta 0

A.5.1.2 Revisiones Requisito 8.2

¿Se han realizado revisiones periódicas de la política de seguridad de la información?

No aplica porque el anterior punto no se tiene

0

A6 Organización de Seguridad de la información

A.6.1.1 Roles y responsabilidades

¿Están definidos los roles y responsabilidades en seguridad de los colaboradores y terceros?

No se tiene establecido 0

A.6.1.2 Segregación de deberes

¿Hay segregación en los deberes y responsabilidades para prevenir los accesos no autorizados a los activos de información?

Se utilizan permisos controlados por un cargo únicamente

100

A.6.1.3 Contacto con autoridades

¿Se mantiene el debido contacto con las autoridades necesarias?

No se tiene establecido 0

A.6.1.4 Contactos con grupos de interés

¿Se mantiene el contacto con especialistas y profesionales en seguridad de la información?

Se tiene membresía y acceso a foros y reportes de especialistas

100

A.6.1.5 Seguridad en la información en la gestión de proyectos

¿Se gestiona la seguridad de la información en los proyectos de la organización?

Se tiene en cuenta en los proyectos desarrollados en la organización, pero no se tiene documentado.

40

A.6.2.1 Política para dispositivos móviles

¿Existen políticas y seguridad en la gestión de riesgos de los dispositivos móviles?

La administración es centralizada, no se tienen herramientas de control

40

A.6.2.2. Teletrabajo ¿Existen políticas y seguridad en la gestión de riesgos de los dispositivos en teletrabajo?

Si, los accesos y procedimientos de teletrabajo tienen configurados los niveles de seguridad requeridos.

80

A7 Seguridad de los recursos humanos

A.7.1.1 Selección

¿Se sigue un proceso de selección del personal que valide antecedentes de acuerdo a los riesgos percibidos?

A.7.1.2 Términos y condiciones del empleo

¿Se cuentan con acuerdos contractuales en donde se establezcan las responsabilidades en cuanto a seguridad de la información?

Si, se establece la responsabilidad de los usuarios sobre la información de la organización

100

54

A.7.2.1 Responsabilidad de la dirección

¿Exige la dirección a los empleados y contratistas la aplicación de seguridad de la información?

No de forma directa, pero está implícita en los procedimientos de los diferentes cargos.

60

A.7.2.2 Toma de conciencia, educación y formación en la seguridad de la información.

¿Se educa en toma de conciencia sobre políticas y procedimientos del SGSI?

Si, al ingreso los cargos que tienen control sobre información son capacitados sobre la necesidad de salvaguardar la información de la organización y los métodos para hacerlo.

80

A.7.2.3 Proceso Disciplinario

¿Se han establecido procesos disciplinarios a aplicar para los colaboradores que por acción u omisión aprovechen las brechas de seguridad?

Si, se tiene establecido las acciones que la organización debe tomar.

80

A.7.3.1 Terminación o cambio de responsabilidades del empleo

¿Las responsabilidades permanecen válidas tiempo después de la terminación de los contratos?

Si, la información y la responsabilidad sobre ella es informada y controlada.

80

A8 Gestión de activos

A.8.1.1 Inventario de activos

¿Los activos de información están identificados y clasificados?

Los activos de red no están identificados, los demás si.

60

A.8.1.2 Propiedad de los activos

¿Los activos de información han sido designados a alguien en la organización?

Si, están bajo la administración y control del Jefe de Tecnología

80

A.8.1.3 Uso aceptable de los activos

¿La documentación, identificación e implementación de activos tiene regla definidas?

Si, se tiene establecido el mínimo de datos requeridos para tener el control de los activos de información

60

A.8.1.4 Devolución de los activos

¿Los activos de la organización son devueltos cuando terminan los contratos de los empleados o terceros?

Si, de acuerdo al estado se hace reasignación o son dados de baja.

80

A.8.2.1 Clasificación de la información

¿Se ha clasificado la información por su importancia, por ser requerimientos legales, por su sensibilidad o criticidad?

Si se ha clasificado la información, pero no para todos los procesos.

40

A.8.2.2. Clasificación y etiquetado de la información

¿Se han adoptado los procedimientos adecuados para clasificar la información de acuerdo a las necesidades y procedimientos de la organización?

Si, la información clasificada se tiene debidamente documentada

80

A.8.2.3 Manejo de activos

¿Se administran los activos de acuerdo a la clasificación de la información?

Si, los activos de información son controlados de acuerdo a la información que contengan.

60

A.8.3.1 Administración de medios extraíbles

Requisito 8.1

¿Existen procedimientos para prevenir y administrar el uso de medios extraíbles?

La consola del antivirus controla el uso de medios extraíbles

100

55

A.8.3.2 Disposición de los medios.

¿Se tienen procedimientos establecidos para disponer de forma segura de los medios que ya no se utilizan?

Si, para ser dados de baja y el procedimiento para hacerlo

80

A.8.3.3 Transferencia de medios físicos

¿Se protegen debidamente los medios físicos que transportan información?

Si, son transportados por personal especializado.

100

A9 Control de acceso

A.9.1.1 Políticas de control de acceso

Requisito 1.9

¿Se han establecidos políticas de acceso a la información de acuerdo a las necesidades del negocio?

No se han establecido políticas 0

A.9.1.2 Política sobre el uso de servicio de red

¿Se protege la infraestructura de red y se protege la información que circula por ella?

La protección es mínima. 20

A.9.2.1 Registro de usuarios

Requisito 8.3

¿Existen y se siguen procedimientos para registro y revocación de permisos de usuarios?

Se siguen procedimientos específicos

100

A.9.2.2 Suministro de acceso de usuarios

Requisito 8.3

¿Existe un proceso definido para asignar acceso formal a los sistemas y servicios?

Si, se tiene establecido el procedimiento

100

A.9.2.3 Gestión de derechos de Acceso Privilegiado

¿Se controla la asignación de permisos y derechos de acceso para usuarios con privilegios?

Si, se controla según los perfiles de los usuarios.

100

A.9.2.4 Gestión de información de autenticación secreta de usuarios

¿Se asigna información secreta con un procedimiento formal?

No, no se tiene aplicado. 0

A.9.2.5 Revisión de derechos de acceso

¿Existen procedimientos formales de revisión periódica de derechos de acceso de los usuarios?

Si, periódicamente se revisan los permisos activos.

80

A.9.2.6 Retiro o ajuste de los derechos de acceso.

¿Se tiene definido el retirar las cuentas de usuarios que terminan su empleo o ajustar los que tienen cambio de cargo?

No se retiran las cuentas, se deshabilitan o se procede a reasignación de permisos en el caso de ajuste de cargo.

80

A.9.3.1. Uso de la información de autenticación secreta

¿Los usuarios cumplen con las prácticas de buen uso de información de autenticación?

Si, son obligados a ello 100

A.9.4.1 Restricción de acceso a la información

¿Se restringe el acceso a las funciones de aplicaciones y sistemas de información por parte de los usuarios y área de soporte?

Si, se asignan permisos de acuerdo a los perfiles de los usuarios

100

A.9.4.2 Procedimientos seguros de acceso

Requisito 8.3

¿Se controla el acceso a los sistemas de información para que sean seguros?

Si, se asignan usuarios y contraseñas de acceso.

100

A.9.4.3 Sistema de gestión de contraseñas

¿La gestión de contraseñas es interactiva y asegura la calidad de estas?

No es interactiva, si asegura la calidad.

80

56

A.9.4.4 Uso de programas utilitarios privilegiados

¿Se controla el acceso a aplicaciones que puedan anular el sistema y los controles de las aplicaciones?

Si, son restringidos los accesos, 100

A.9.4.5 Control de acceso a códigos fuentes de programas

¿Se restringe el acceso al código fuente de los aplicativos?

No se tiene acceso a los códigos fuentes de los aplicativos.

100

A10 Criptografía

A.10.1.1 Políticas en el uso de controles criptográficos.

¿Se cuenta con una política de uso de criptografía para la protección de los datos?

No se cuenta con una política 0

A.10.1.2 Administración de llaves

¿Se administran las llaves que soportan las técnicas de criptografía?

Si, son administradas y controladas de forma centralizada

80

A11 Seguridad física y del entorno

A.11.1.1 Seguridad perimetral

Requisito 8.6

¿Se protegen las áreas de procesamiento de información con barreras artificiales?

Si, se tienen controles específicos de acceso

100

A.11.1.2 Controles de ingresos físicos.

Requisito 8.6

¿Los ingresos físicos están debidamente protegidos para asegurar el ingreso únicamente de personal autorizado?

Si 100

A.11.1.3 Seguridad de oficinas, cuartos e instalaciones.

Requisito 8.6

¿Se ha diseñado seguridad física para las oficinas, cuartos e instalaciones, y se ha aplicado?

Si 100

A.11.1.4 Protecciones contra amenazas externas y medio ambientales.

Requisito 8.6

¿Se cuentan con protecciones por daños contra el fuego, inundaciones, terremotos, explosiones, agitaciones civiles?

Si, se tienen controles sobre los diferentes riesgos potenciales

100

A.11.1.5 Trabajo en áreas seguras.

Requisito 8.6

¿Protecciones físicas y manuales para trabajo en áreas seguras han sido diseñados y aplicados?

Si, en unión con THU 100

A.11.1.6 Áreas de acceso público, entrega y áreas de carga.

¿Personal no autorizado de entrega o carga se mantiene aislado de los sistemas de información?

Si, se tienen áreas de carga específicas y no se permite el acceso a las áreas internas de las oficinas.

100

A.11.2.1 Ubicación y protección de equipos

Requisito 8.6

¿Los equipos han sido ubicados de forma que son protegidos de accesos no autorizados?

Si 100

A.11.2.2 Servicios públicos de soporte

Requisito 8.6

¿Los equipos están protegidos de fallas o interrupciones causadas por fallas en servicios públicos?

Si, se cuentan con los debidos respaldos

100

A.11.2.3 Cableado seguro

Requisito 8.6

¿El cableado de corriente y de transporte de datos se ha protegido de interceptaciones o daños?

Si, se tienen con canaletas que los protegen de interceptaciones

100

57

A.11.2.4 Mantenimiento de equipos

¿Los equipos tienen un mantenimiento adecuado para mantener la disponibilidad e integridad?

Si, se programa regularmente mantenimiento sobre los equipos

100

A.11.2.5 Retiro de activos

¿Se cuenta con un proceso de autorización de retiros de sus sitio para equipos, información o software?

Si, requiere de firmas específicas y controles en las áreas de recepción para poder otorgar salidas.

100

A.11.2.6 Seguridad de los equipos fuera de las instalaciones

¿Se aplica seguridad a los equipos que trabajan externo a la red?

Si, cuentan con su debido antivirus y los accesos se realizan por redes privadas

100

A.11.2.7 Disposición segura o reúso de los equipos.

¿Los equipos que se dan de baja o se reúsan tienen su debido proceso de borrado de información?

Si se borra la información con aplicativos de varios pasos

80

A.11.2.8 Equipos de usuarios desatendidos.

¿Se asegura la debida protección de los equipos desatendidos?

Se aseguran con la protección que tienen los demás equipos

80

A.11.2.9 Política de escritorio y pantalla limpia

¿Se cuenta con un procedimiento para asegurar que la pantalla y el escritorio permanezcan limpios de información?

No se cuenta con el procedimiento establecido, se recalca en ello durante las capacitaciones+

20

A12 Seguridad de las operaciones

A.12.1.1 Procedimientos operativos documentados

¿Los procedimientos de operación, están debidamente documentados, mantenidos y están disponibles para consulta de los usuarios?

Si, de acuerdo a los niveles de servicio operativo acordados

80

A.12.1.2 Administración del cambio

¿Se controlan los cambios en los sistemas de información y en las instalaciones?

Si, se realiza por medio de gestión del cambio

100

A.12.1.3 Administración de la capacidad.

Requisito 8.4

¿Se utilizan recursos para monitorear, optimizar y proyectar futuros requerimientos de capacidad?

No se utilizan recursos para proyectar esta información

0

A.12.1.4 Separación de ambientes de desarrollo, pruebas y producción.

Requisito 8.3

¿Se protegen adecuadamente los sistemas de información en producción para evitar accesos no autorizados?

Si, se tienen ambientes definidos

80

A.12.2.1 Controles contra código malicioso.

Requisito 8.4

¿Existen procedimientos para prevenir, detectar y recuperarse ante códigos maliciosos?

Se cuentan con procedimientos documentados de actividades para lograr la recuperación de los sistemas de información

100

A.12.3.1 Backups de información.

¿Se toman backups de los sistemas de información y software y se prueba su recuperación?

Si, bajo varios esquemas de backup, se realiza una prueba de recuperación mensual

100

A.12.4.1 Logs de auditoría

¿Los logs de actividades de los usuarios y seguridad de la información se producen y mantienen para asistir en investigaciones de acceso a los datos?

En la aplicación de manejo de la información si se tiene documentado

100

58

A.12.4.2 Protección de los logs de información.

¿Se protegen los logs del acceso de personal no autorizado?

Si, los logs se encuentran centralizados

100

A.12.4.3 Logs de administradores y operadores

¿Las actividades de operadores y administradores son mantenidas en logs?

En ERP si, en otros campos no 60

A.12.4.4 Sincronización de los relojes.

¿Los relojes de los sistemas de información importantes se mantienen sincronizados?

Si. 100

A.12.5.1 Control de sistemas operativos

¿Existen procedimientos para prevenir la instalación de software en los sistemas operativos?

Si, los usuarios no cuentan con estos privilegios

80

A.12.6.1 Control de vulnerabilidades técnicas.

¿Se obtiene oportunamente información sobre vulnerabilidades y la exposición de la organización a las mismas?

Si se obtiene información, no se evalúa el grado de exposición de la organización

60

A.12.6.2 Restricciones en cambios por paquetes de software.

¿Se controlan las actualizaciones en paquetes de software?

Se controlan y cuando se aplican han sido probadas y aprobadas por el proveedor

100

A.12.7.1 Auditorias de control a los sistemas de información

¿Se programan las auditorias de sistemas operativos para disminuir el riesgo de interrupción de la operación?

No, solo se realiza mantenimiento lógico

20

A13 Gestión de las comunicaciones

A.13.1.1 Controles en la red

¿Se protege la infraestructura de red y se protege la información que circula por ella?

La infraestructura se protege, no hay controles sobre la información que circula

40

A.13.1.2 Seguridad en servicios de red.

Requisito 8.4

¿Los servicios de red cuentan con acuerdos de seguridad, niveles de servicio y métodos de administración de requerimientos?

No se tienen establecidos 0

A .13.1.3 Separación en las redes

¿Están separados los servicios de información, los usuarios y los sistemas de información?

No se tiene esta separación 0

A.13.2.1 Políticas y procedimientos para el intercambio de la información.

¿Se cuenta con política, procedimientos y controles formales para proteger el intercambio de información entre áreas?

No se tienen establecidas políticas

0

A.13.2.2 Acuerdos de intercambio.

¿Existen acuerdos para el intercambio de información de la organización con terceros?

Si, acuerdos contractuales 100

A.13.2.3 Mensajes Electrónicos

Requisito 1.9

¿Se protege la información enviada a través de mensajes electrónicos?

Si, la información tiene niveles de protección

100

A.13.2.4 Acuerdos de confidencialidad

¿Los acuerdos de confidencialidad están definidos y son regularmente revisados?

Se tienen establecidos parcialmente

40

59

A14 Adquisición, desarrollo y mantenimiento de sistemas

A.14.1.1 Especificaciones y análisis de requerimientos.

¿La información nueva especifica sus requerimientos de seguridad y control?

La información nueva cumple con los parámetros iniciales establecidos de seguridad

40

A.14.1.2 Seguridad de servicios de las aplicaciones en redes públicas

¿Se protege la información que pasa por redes públicas de ser modificada?

No se tiene control sobre el uso de redes públicas

0

A.14.1.3 Protección de las transacciones de los servicios de las aplicaciones.

¿Se protegen las transacciones para evitar transmisión incompleta, enrutamiento errado, alteración o divulgación no autorizada?

Se firma y se certifica electrónicamente la información que se transmite.

80

A.14.2.1 Política de desarrollo seguro

¿Existen reglas aplicables al desarrollo seguro de las aplicaciones de la organización?

No se hace desarrollo en la compañía, el proveedor de software si cumple con los estándares de programación.

60

A.14.2.2 Control de cambios en sistemas

¿Existe un procedimiento formal de control de cambios?

Si, se tiene formalizado control de cambios

100

A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la plataforma de la operación.

¿Se ejecutan pruebas luego de aplicar cambios en la plataforma e infraestructura de operación?

Si, se verifica de punta a punta el funcionamiento de los componentes objetos del cambio.

80

A.14.2.4 Restricciones en los cambios a los paquetes de software.

¿Se ejecutan cambios necesarios y son controlados estrictamente?

Solo se ejecutan cambios necesarios.

100

A.14.2.5 Principios de construcción de sistemas seguros.

¿Existe un procedimientos para la construcción de sistemas seguros?

No se tiene establecido un procedimiento.

20

A.14.2.6 Ambiente de desarrollo seguro

¿Se aseguran los ambientes de desarrollo?

No se tienen ambientes de desarrollo

100

A.14.2.7 Desarrollo de software por terceros.

¿El software tercerizado es supervisado y monitoreado?

Si, se supervisan los cambios a través de la plataforma de documentación del proveedor

80

A.14.2.8 Pruebas de seguridad de sistemas

¿Durante el desarrollo se prueba la seguridad de la funcionalidad?

Las pruebas las realiza el proveedor

100

A.14.2.9 Pruebas de aceptación

¿Se ejecutan pruebas de aceptación con criterios definidos a los nuevos sistemas de información, versiones o actualizaciones?

Se prueban las nuevas versiones

100

A.14.3.1 Protección de datos de prueba

¿Se seleccionan y protegen los datos utilizados en pruebas?

Se utilizan los datos en ambientes protegidos, no son seleccionados

80

A15 Relación con los proveedores

60

A.15.1.1 Política de seguridad de la información para las relaciones con proveedores.

¿Se acuerdan los requisitos que deben cumplir los proveedores para mantener la integridad de la información?

Si, sobre la información que se comparte.

80

A.15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores.

¿Se acuerdan los requisitos de seguridad de la información con proveedores que ingresan a la infraestructura de la organización?

No se acuerdan, son vigilados estrechamente

40

A.15.1.3 Cadena de suministro de tecnología de información y comunicación

¿Se tratan los riesgos en la cadena de suministros de productos y servicios de tecnología en información y comunicación?

No se tratan 0

A.15.2.1 Monitoreo y revisión de servicios de terceros

¿Se aseguran los debidos controles de seguridad, definición de servicios están implementados, operados y se mantienen adecuadamente?

Si, sobre la información que se comparte o se transmite

80

A.15.2.2 Administración de cambios en servicios de terceros.

¿Los cambios en los servicios administrador por terceros son informados?

Si, son informados con tiempo de anticipación

80

A16 Gestión de incidentes de seguridad de la información

A.16.1.1 Responsabilidades y procedimientos

¿Se tienen establecidas responsabilidades y procedimientos al momento de responder de forma ordenada los incidentes de seguridad?

No se tienen establecidos 0

A.16.1.2 Reporte de eventos de seguridad de la información.

¿Existen canales para informar oportunamente los incidentes en seguridad de la información?

Si existen los canales 100

A.16.1.3 Informes sobre debilidades en seguridad.

¿Están los empleados capacitados para reportar incidentes o debilidades en los sistemas de seguridad de la información?

Están capacitados 60

A.16.1.4 Evaluación de eventos de seguridad de la información y decisiones sobre ellos.

¿Se evalúan los eventos de seguridad y si es necesario se clasifican como incidentes?

No se realiza esa clasificación 40

A.16.1.5 Respuesta a incidentes de seguridad de la información

¿Se da respuesta a los incidentes de seguridad de a información de acuerdo a los procedimientos documentados?

Se tratan como los demás incidentes

60

A.16.1.6 Aprendizaje sobre incidentes de seguridad de la información.

¿Existen mecanismos para identificar, monitorear y cuantificar los incidentes de seguridad de la información?

Todos los incidentes y requerimientos de la organización se registran

80

61

A.16.1.7 Recolección de evidencias

¿Cuándo un incidente afecta a la organización o a una persona, la evidencia es recolectada, retenida y presentada de acuerdo a las normas legales existentes?

No 0

A.17 Aspectos de seguridad de la información de la gestión de continuidad del negocio.

A.17.1.1 Planificación de la continuidad de la seguridad de la información

¿Se ha estipulado la continuidad de la gestión de seguridad de la información durante crisis o desastres?

No. Se ha estipulado en general la continuidad de la organización y de los sistemas de información.

40

A.17.1.2 Implementación de la continuidad de la seguridad de la información.

¿Existen procesos, procedimientos y controles para asegurar la continuidad de la seguridad de la información?

No se tienen establecidos. 0

A.17.1.3 Verificación, revisión y evaluación.

¿Se verifican regularmente los controles establecidos para determinas si son eficaces?

Se verifican con poca regularidad

40

A.17.2.1 Disponibilidad de instalaciones de procesamiento de información

¿Existe redundancia en las instalaciones de procesamiento de información para cumplir la disponibilidad?

Si, se tiene disponibilidad en diferentes niveles.

100

A.18 Cumplimiento

A.18.1.1 Identificación de legislación aplicable

¿Se conocen los requisitos legales y contractuales y están definidos y documentados?

Se conocen los requisitos, no están documentados

40

A.18.1.2 Derechos de propiedad intelectual

¿Se cuenta con procedimientos adecuados que protejan la propiedad intelectual en el uso de software de terceros?

Si, se cumplen con la protección de la propiedad intelectual de terceros.

100

A.18.1.3 Protección de los registros organizacionales.

¿Los registros importantes están protegidos de pérdida, destrucción o falsificación?

Si, se protegen los registros importantes

80

A.18.1.4 Protección de los datos y privacidad de la información personal.

¿La protección de datos privados es asegurada de acuerdo a la ley vigente?

Si, se basa y se ajusta a las leyes vigentes.

100

A.18.1.5 Regulación de controles criptográficos.

¿Se usan controles criptográficos de acuerdo a las regulaciones de ley?

Si, para los casos de transferencia de información.

80

A.18.2.1 Revisión independiente de la seguridad de la información.

¿Se revisa con regularidad el cumplimiento del sistema de seguridad de la información?

No. 0

A.18.2.2 Cumplimiento con políticas de seguridad y estándares.

¿Los administradores y gerentes aseguran el cumplimiento de las políticas y estándares de seguridad dentro de sus áreas de responsabilidad?

Parcialmente 20

62

A.18.2.3 Evaluación de cumplimiento técnico.

¿Los sistemas de información son evaluados periódicamente para asegurar el cumplimiento de los estándares de seguridad?

Son evaluados periódicamente bajo el esquema de ISO9001, pero no bajo el esquema de seguridad de la información.

40

63

Anexo 2 – Políticas de Seguridad de la Información

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA UNA EMPRESA DE

COMERCIALIZACIÓN DE INSUMOS MÉDICOS

1. INTRODUCCIÓN Para mejorar la seguridad de los datos y la información de la organización, se establece esta Política de Seguridad de la Información, que debe ser tomado como un marco de trabajo que establezca el uso adecuado de los diferentes dispositivos y medios que contienen los datos de la organización. Esta política es fomentada por la alta gerencia y debe ser asumida por directivos, colaboradores, terceros y contratistas quienes deben velar por el cumplimiento de la misma e informar aquellos casos donde se produzcan desviaciones. Esta política contiene las mejores prácticas de la Gestión de Seguridad de la Información buscando siempre garantizar la confidencialidad, disponibilidad e integridad y está alineada a los diferentes requisitos legales que se han implantado para proteger la seguridad de la información.

2. OBJETIVO La alta gerencia de la organización, comprometida siempre con el avance de la empresa en diferentes aspectos, presenta esta política a los usuarios de la organización, en busca de minimizar los riesgos a los que están expuestos los equipos y datos, y previene la pérdida de información o el uso inadecuado de los datos. Este documento será revisado de forma periódica, mínimo una vez al año para garantizar que continúa alineado a las mejores prácticas, y que abarca y protege los datos de la organización.

3. ALCANCE Esta política protege los sistemas de información de la organización y los datos contenidos en ella, abarca a todos los colaboradores de la empresa y cubre también a contratistas y terceros que hagan uso de los activos de información de la organización.

64

La empresa es libre de determinar la forma en la cual los diferentes actores aceptan el compromiso que la política confiere, así como las sanciones que por omisión u/o desconocimiento a la misma que se puedan presentar.

4. REQUISITOS LEGALES Esta política se circunscribe, pero no se limita a la Ley 1266 de 2008 o Ley de Habeas Data, Ley 1581 de 2012 o Ley de Protección de Datos Personales, Resolución 4089 del 22 de mayo de 2018 o Requisitos del Operador Económico Autorizado y Resolución 67 del 20 de octubre de 2016

5. DEFINICIONES

• Acuerdo de Nivel de Servicio: en el ANS se estipula entre el cliente y el

oferente de un servicio, los acuerdos de prestación del servicio, tiempos,

recursos que se utilizarán y los niveles de calidad para que el servicio sea

aceptado.

• Archivo malicioso: Es un software que ha sido manipulado o programado

para producir daño a un sistema de información.

• Backup: Copia de seguridad de datos o de respaldo para poder disponer de

un medio de recuperación en caso de requerirlo.

• Biometría: Toma de medidas asociadas a la biología de los humanos. Se

basa en las características propias de cada persona.

• Contraseña: Código secreto que pertenece a un usuario y que le permite

alcanzar el acceso a un sistema de información específico.

• Cuenta: Configuración que se utiliza para identificar quien está haciendo uso

del sistema, se asignan las cuentas de usuario, la cual identifica a la persona,

y le otorga los privilegios asociados a su rol.

• Dato personal: Información que hace referencia a una persona y que hace

parte de las características que permiten identificarlo.

• Dato sensible: Dato personal cuya pérdida o cambio puede causar

detrimento, desmejora o empeoramiento de la calidad de vida de una

persona.

• Disponibilidad: Nivel de confiabilidad de un sistema de información porque

puede responder a las peticiones de información que se le realizan.

• Dispositivo: Es un aparato que realiza una tarea específica.

• Dominio: Es un nombre asignado a un direccionamiento IP, el cual es fácil de

recordar para los usuarios que lo consumen.

65

• Gestión del cambio: Enfoque en sistemas de información que implementa

estrategias para planear un cambio, teniendo en cuenta los actores,

procedimientos y activos que se deben intervenir.

• Nivel de madurez: Dentro de un proceso, es el cumplimiento de los objetivos

de ese proceso.

• Perfil: Configuración asociada a un usuario, que le otorga privilegios propios

sobre los sistemas de información.

• Política: Lineamientos generales y estándares que se deben tener en cuenta

y seguir para lograr el gobierno adecuado de un sistema.

• Rack: Estructura que permite sostener en su interior dispositivos

electrónicos, informáticos y de comunicación.

• Red Inalámbrica: Comunicación que se logra sin medios físicos, utilizando la

propagación de ondas electromagnéticas en el espacio.

• Spam: Correo electrónico, no solicitado, no deseado o de remitente no

conocido que contiene información poco importante para el receptor.

• Usuario: Persona que utiliza un sistema informático.

• Virus: Programa de computadora que puede causar daños en los sistemas

en los cuales es ejecutado.

• Vulnerabilidad: Debilidad o falla en un sistema de información que puede

llegar a comprometer los activos de información.

6. POLITICAS PARA LA IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD DE LA INFORMACIÓN

6.1. COMPROMISO DE LA DIRECCIÓN

La alta gerencia de la organización se compromete en lograr establecer esta política al interior de la organización, así como poner todos los recursos necesarios para lograr su implementación y operación, también definirá los espacios necesarios para realizar el seguimiento que asegure el debido mantenimiento de la política a través del tiempo. También define los roles y responsabilidades que son necesarios cubrir para el desarrollo de las actividades asociadas a la Seguridad de la Información.

6.2. GESTIÓN DE ACTIVOS DE INFORMACIÓN

6.2.1. IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN Es responsabilidad del Jefe de Tecnología, realizar máximo

66

cada 6 meses, un levantamiento de datos que conduzca a identificar los activos de información que estén en uso en la organización. La información de los activos, nombre, ubicación, uso, responsable y características de los equipos reposará en el formato FOR-MI-040 Inventario de Equipos de Cómputo de acuerdo con el procedimiento establecido en el documento PNT-MI-008 Mantenimiento Preventivo y Correctivo de Equipos de Cómputo.

6.2.2. CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN La clasificación de la información se realizará mediante los siguientes parámetros:

Nombre del Activo de Información

Descripción

Correo electrónico Buzones de correo electrónico de la organización

Base de Datos Base de datos de sistema de información

Backup Software backup de usuarios

Licencias Aplicativos adquiridos para PC y Servidores

Servidores Máquina de gran procesamiento para exponer servicios a los clientes

Directorio Activo Directorio de usuarios y dispositivos que componen la red

Antivirus Aplicativo para detectar y eliminar virus informáticos

Computadores Computadores de la organización

Gateway Dispositivo de frontera, conecta organización hacia internet

Switch Enlace de forma centralizada entre los equipos en LAN y la WAN

SPA Dispositivo de distribución telefónica

PBX Centralizador de configuración de red telefónica

Centro de Datos Espacio para ubicación de dispositivos de datos y red

Biométricos Dispositivo para leer biométricamente el ingreso o salida de usuarios

UPS Almacenamiento de energía en baterías que trabaja cuando no hay corriente en la red principal

Aire Acondicionado Regulador de temperatura y humedad para un espacio definido

NAS Dispositivo de red para almacenamiento de archivos

67


Dispositivos de almacenamiento externos a los computadores

ERP Aplicativo para gestión de la información de la organización

Canales Internet Caneles dispuestos por proveedores para conexión hacia internet

Teléfonos IP Teléfonos con configuración de IP sobre switches de telefonía

DVR Sistema de video grabación

Procedimientos Procedimientos de las actividades de funcionarios

Instructivos Paso a paso de las actividades realizadas por los funcionarios

El Jefe de Tecnología Informática debe garantizar los procedimientos por medio de los cuales se realice la debida marcación de los equipos, y se agregue la información de rotulado y clasificación de los activos en el documento FOR-MI-040 Inventario de Equipos de Cómputo.

6.2.1. DEVOLUCIÓN DE ACTIVOS

Una vez finalizados los contratos con empleados, terceros o proveedores, estos están obligados a devolver los activos de información que les hayan sido asignados, cumpliendo con la protección del activo y de la información que se contenga en este. El Jefe de Tecnología validará al recibir el activo que se encuentre en correcto funcionamiento y dará visto bueno para la generación de los paz y salvo.

6.2.2. GESTIÓN DE MEDIOS REMOVIBLES En la organización está prohibido el uso de medios removibles para almacenar información. Para este efecto se dispondrá de las herramientas que permitan hacer el control de puertos de los equipos. Los usuarios que por razones laborales requieran el uso de estos medios, deben tramitar una solicitud al área de Tecnología indicando las razones por las cuales requiere este permiso, la solicitud debe ser aprobada por la Gerencia Administrativa y el Jefe de Tecnología habilitará el permiso para el uso de los dispositivos.

68

6.2.3. DISPOSICIÓN DE LOS ACTIVOS

Una vez finalizados los contratos con empleados, terceros o proveedores, estos están obligados a devolver los activos de información que les hayan sido asignados, cumpliendo con la protección del activo y de la información que se contenga en dispositivo. El Jefe de Tecnología debe asegurar la toma de Backup para los elementos de información que así lo requieran, verificación de funcionamiento de los mismos y si se cumplen estas condiciones se generará el visto bueno por entrega de elementos de trabajo. Los activos de información luego de la copia respectiva serán reasignados, reubicados o serán dados de baja, en cuyo caso se asegurará que se haga borrado seguro de la información contenida en ellos. El retiro de equipos de las instalaciones de la organización se realizará mediante autorización del Gerente Administrativo

6.2.4. DISPOSICION FINAL DE LOS ACTIVOS

Todos los colaboradores, contratistas o terceros de la organización pueden hacer uso de las redes inalámbricas con las que cuente la compañía, pero es el área de Tecnología el que configura los dispositivos para que puedan ingresar a estas redes. Aplicaciones y cuentas corporativas serán aprobados por los gerentes de la organización y configurados en los equipos o dispositivos de los colaboradores por el área de Tecnología. Es responsabilidad de los colaboradores, contratistas o terceros, el uso que se le dé a la información de la organización que pueda ser almacenada en estos dispositivos y están obligados a permitir que el área de Tecnología realice cambios o actualizaciones en los equipos que lo requieran.

6.3. CONTROL DE ACCESO

6.3.1. ACCESO A LAS APLICACIONES Y CONTRASEÑAS Los accesos a las redes inalámbricas de la organización, a las aplicaciones y a los sistemas de información se deben realizar a través del uso de usuario y contraseña asociada a ese usuario.

69

El área de Tecnología de Información controlará la creación de los usuarios y asegurará el cumplimiento de los niveles de complejidad de las contraseñas de acceso al dominio, las cuales mínimo deben contener 8 caracteres y mínimo uno debe ser una letra mayúscula, un número, y un símbolo especial, también se debe asegurar que la contraseña tenga una vigencia máxima de tres meses, luego de los cuales las contraseñas se deben renovar. Las demás contraseñas que no corresponde al ingreso al dominio se manejarán de acuerdo con los criterios de complejidad que se puedan implementar en cada uno de los activos de información. El área de Tecnología de información implementará bloqueos en los usuarios para los intentos de ingreso fallido, que se estipula máximo debe ser de 3 intentos. Es responsabilidad de los colaboradores, contratistas o proveedores ingresar siempre con el usuario asignado. Los usuarios y contraseñas no deben ser compartidos o expuestos. Una vez finalice el contrato de los colaboradores, contratistas o proveedores para con la organización, Tecnología de Información procederá a inactivar el usuario de acceso.

6.3.2. CONTROL DE ACCESO

Los permisos asignados a cada usuario serán configurados por parte del área de Tecnología de Información y corresponderán a los perfiles, roles y funciones definidos para cada usuario. La asignación de permisos adicionales a los establecidos en los roles deberá tramitarse a través del formato FOR-MI-020 dirigido al área de Tecnología de Información en donde se analizará la solicitud y será el Jefe de Tecnología quien definirá la conveniencia de asignar los permisos adicionales solicitados. El área de Tecnología de Información controlará la información de acceso bajo el modo de administrador a los diferentes componentes y activos de información de la organización y también administrará los usuarios genéricos que puedan llegar a requerirse e implementarse.

6.3.3. ACCESO A LAS ÁREAS FÍSICAS Los accesos a las áreas físicas donde se encuentren ubicados activos de información serán controlados. Los colaboradores de la organización ingresarán mediante controles biométricos, los

70

proveedores y terceros ingresarán a las áreas comunes con acompañamiento de un colaborador de la organización. Los únicos autorizados para acceder al rack de comunicaciones de la oficina central y al cuarto de servidores son el Jefe de Tecnología, el Asistente de Ingeniería y el Gerente Administrativo. Los demás colaboradores y terceros o contratistas deberán ingresar con el acompañamiento de uno de los nombrados anteriormente. La asignación de los permisos de ingreso a las diferentes áreas serás configurados según los procedimientos internos de la organización una vez sean autorizados por los gerentes.

6.3.4. AREAS DE CARGA Se debe disponer de áreas de carga separadas de las zonas de acceso restringido, que mitigue la extracción no autorizada de activos de información.

6.4. HISTORIAL DE TRANSACCIONES REALIZADAS Las aplicaciones utilizadas deberán mantener un registro del uso, modificación, eliminación o creación de información, así como al traslado, envío o movimiento de la misma. Estos logs de eventos deben mantenerse mínimo un mes. Este procedimiento será informado a los colaboradores, contratistas y terceros que hagan uso de los sistemas informáticos de la organización. Se deben programar y realizar auditorías para verificación de la funcionalidad mínimo dos veces al año.

6.5. PRIVACIDAD DE LA INFORMACIÓN 6.5.1. AMBITO

De acuerdo con lo establecido en la normatividad legal colombiana, todas las personas tienen derecho a conocer la información que se recojan sobre ellos y que reposen en la organización, así como el derecho a actualizar esa información. Es la organización quien se hará responsable sobre el tratamiento de esos datos.

71

6.5.2. EXCEPCIONES

Prohibición del uso de dato sensibles, salvo los casos que se especifican en el artículo 6 de la ley 1581 de 2012.

6.5.3. PRINCIPIOS DE TRATAMIENTO DE DATOS PERSONALES

• Principios de Legalidad: El tratamiento de datos

personales se hará de acuerdo con lo establecido en la

normatividad colombiana.

• Principio de finalidad: El tratamiento de datos personales

se realizará únicamente bajo expreso consentimiento del

titular de los datos.

• Principio de veracidad o calidad: La información que se

trate debe ser veraz, actualizada y debe ser verificada y

aprobada por el titular de los datos.

• Principio de transparencia: En caso de que el titular de

los datos requiera consulta sobre su información, esta

debe ser provista en el menor tiempo posible y con la

completitud y calidad según el requerimiento realizado.

• Principio de acceso y circulación restringida: El acceso a

la información de terceros se hará únicamente por

personas que lo requieran en la organización. La

información provista se utilizará únicamente para los

casos informados al titular de los datos.

• Principio de seguridad: Se debe garantizar que la

información de terceros no será accedida por personas

no autorizadas, y se tomarán todas las medidas posibles

para evitar que la información sea manipulada, cambiada

o eliminada a menos que el titular de los datos así lo

solicite.

• Principio de confidencialidad: Se debe preservar la

identidad de los titulares de los datos.

6.5.4. DERECHOS DE LOS TITULARES DE LOS DATOS

Los titulares de los datos tienen derecho a conocer el uso que se dará a sus datos personales, podrán rectificar la información si así lo requieren y es responsabilidad de la organización cumplir con estas solicitudes. Los titulares de los datos podrán interponer quejas ante las

72

autoridades administrativas a las cuales la organización se obligará a dar respuesta oportuna y veraz.

6.5.5. AUTORIZACIÓN DEL TITULAR

Para el uso de datos personales, la organización está obligada a obtener la autorización del titular de los datos según se estime en los procedimientos establecidos para este fin.

6.6. INTEGRIDAD DE LA INFORMACIÓN

La información que sea conocida, administrada o compartida por los colaboradores de la organización, debe cumplir con los parámetros de completitud e integridad. Se debe asegurar que los contratos laborales cumplan con esta información y que sea aceptada por los colaboradores al momento de la firma.

6.7. DISPONIBILIDAD DE LOS SERVICIOS DE INFORMACIÓN

La organización debe contar con un plan de continuidad del negocio y un plan de recuperación ante desastres, el cual debe ser revisado y avalado por el área de Tecnología Informática. Este plan será revisado periódicamente mínimo una vez al año. Se deben establecer los niveles de disponibilidad necesarios para la operación normal de la organización de acuerdo con los Acuerdos de Niveles de Servicio que las diferentes áreas requieran. Para evitar conflictos en los ambientes productivos, se deben establecer ambientes de pruebas que minimice el impacto que puede causar una indisponibilidad de un ambiente de producción. Los cambios mayores a cualquier activo de información deberán ser tramitados a través de la gestión de cambios, en donde se identifiquen el origen, procedimiento e impacto del cambio y se estime los niveles de aceptación para las interrupciones por este motivo.

6.8. REGISTROS DE AUDITORÍA

La información de los cambios que se realicen sobre los activos de información debe registrarse y almacenarse debidamente, es responsabilidad del Jefe de Tecnología Informática custodiar y

73

mantener esta información disponible por un periodo de hasta un año. La política de seguridad de la información debe revisarse mínimo una vez al año, e incluir los cambios que se requieran para asegurar el cumplimiento de los controles de seguridad y el cumplimiento de la política y procedimientos establecidos. Esta revisión debe incluir el nivel de madurez de la organización en su Sistema de Gestión de Seguridad de la Información.

6.9. TRATAMIENTO DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Los colaboradores o terceros que hagan uso de los activos de información deberán reportar a través del formato FOR-MI-020, los incidentes de seguridad que se puedan desarrollar al interior de la organización. El área de Tecnología de la Información deberá dar atención al caso informado, documentando con evidencias los hallazgos y el procedimiento de solución del caso.

6.10. CAPACITACIONES EN SEGURIDAD DE LA INFORMACIÓN

Se deben realizar capacitaciones sobre seguridad de la información a los colaboradores nuevos en la organización que van a administrar activos de información, también se recapacitará de forma periódica al personal de la organización, mínimo una vez al año. Las capacitaciones serán realizadas por el área de Tecnología de la Información, y deberá contar con el apoyo de la Alta Dirección de la organización para asegurar la participación obligatoria de todo el personal. Estas capacitaciones se centrarán en los deberes y derechos de los colaboradores frente a los activos de información, así como de las técnicas con las cuales los atacantes buscan vulnerar la seguridad de los sistemas de información.

6.11. ESCRITORIO LIMPIO

Todos los colaboradores y terceros que hagan uso de sistemas de información de la compañía deben mantener los escritorios de los equipos libres de información sensible. Los archivos deben ser almacenados en la carpeta de documentos o en las rutas que se hayan definido para los archivos de procesos.

74

Si los colaboradores se retiran de su puesto de trabajo, están obligados a bloquear los equipos para prevenir accesos no autorizados. Tecnología de información implementará el bloqueo automático de los equipos por inactividad. Al finalizar la jornada laboral, los equipos deben ser apagados. Documentos con información privada o de uso restringido no debe ser dejado sobre los escritorios físicos sin la debida supervisión de los usuarios responsables de custodia.

6.12. SOFTWARE NO AUTORIZADO Para preservar derechos de autor y el licenciamiento de software, está prohibido para los colaboradores de la organización instalar aplicativos no autorizados por el área de Tecnologia de Información. El área de Tecnología de Información implementará usuarios y perfiles de usuario con privilegios restringidos que eviten las instalaciones no autorizadas.

6.13. DESCARGA DE ARCHIVOS

El área de Tecnología de información es responsable de implementar herramientas que controlen, detecten y restrinjan la descarga de información o archivos maliciosos. Todos los equipos de la organización pueden ser monitoreados o revisados por el área de Tecnología de la Información. Se deben generar campañas de sensibilización por parte de Tecnología de Información indicando los peligros de no tener el debido cuidado. Los colaboradores están obligados a informar al área de Tecnología de la información sobre eventos anómalos en sus equipos.

6.14. COPIAS DE SEGURIDAD Se debe implementar un sistema de copias de seguridad para la información sensible para la organización. La integridad de las copias de seguridad debe ser verificada mínimo una vez al mes mediante la realización de restauraciones. Tecnología de información es el responsable de generar y probar estas copias.

75

Las copias de seguridad deben reposar en medios seguros y deben ser informados a través de un procedimiento.

6.15. SERVICIOS DE MENSAJERIA La mensajería emitida por los colaboradores debe ser empleada para labores exclusivas de la operación de la organización y es responsabilidad de cada operador la información que se comparta en ella. Todos los mensajes deben respetar el buen uso del idioma de generación del mensaje. Los colaboradores deben reportar al área de Tecnología Informática cuando reciban correos SPAM o con contenido catalogado como virus, o correos sospechosos de contener material que pueda llegar a afectar. Los colaboradores deben asegurar el destinatario de sus comunicados. El área de Tecnología de Información se reserva el derecho de verificar los correos entrantes y salientes de los colaboradores de la organización.

6.16. COMUNICACIONES DE SEGURIDAD

Las comunicaciones emitidas por el área de Tecnología de Información que incidan en los activos de información de la organización deben ser informados a los directamente afectados o a toda la organización según se establezca. Si los comunicados contienen instrucciones, estos son de debido cumplimiento por parte de los colaboradores de la organización. Los colaboradores son responsables por la omisión en la lectura de los comunicados o incumplimiento de las instrucciones dadas en ellos.