DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD INFORMTICA

BASADO EN LA NORMA ISO/IEC 27001 PARA LA EMPRESA USOMET LTDA

EN LA CIUDAD DE IBAGU

JAIME HERNANDO HENAO RODRGUEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

FACULTA DE INGENIERA
CEAD JAG
BOGOT D.C.
2016

DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD INFORMTICA

BASADO EN LA NORMA ISO/IEC 27001 PARA LA EMPRESA USOMET LTDA
EN LA CIUDAD DE IBAGU

JAIME HERNANDO HENAO RODRGUEZ

PROYECTO DE GRADO
PARA OPTAR AL TTULO DE ESPECIALISTA EN SEGURIDAD INFORMTICA

Mg. SALOMN GONZLEZ GARCA

Asesor

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

FACULTA DE INGENIERA
CEAD JAG
BOGOT D.C.
2016

Nota de Aceptacin:

______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________

______________________________________

Firma del Presidente del

Jurado

______________________________________

Firma del Jurado

_____________________________________

Firma del Jurado

Bogot, 20 de Marzo de 2016

CONTENIDO
INTRODUCCIN

TTULO DEL PROYECTO

1.

PLANTEAMIENTO DEL PROBLEMA

1.1.

DESCRIPCIN DEL PROBLEMA

1.2.

FORMULACIN DEL PROBLEMA

2.

JUSTIFICACIN DEL PROYECTO

3.

OBJETIVOS

3.1.

OBJETIVO GENERAL

3.2.

OBJETIVOS ESPECFICOS

4.

CONDICIN INICIAL

10

5.

CONDICIN FINAL

11

6.

ALCANCE Y DELIMITACIN DEL PROYECTO

12

7.

MARCO DE REFERENCIA

13

7.1.

MARCO CONTEXTUAL

13

7.2.

MARCO TERICO

15

7.3. METODOLOGA DE ANLISIS Y GESTIN DEL RIESGO EN SEGURIDAD

INFORMTICA
20
7.3.1.

8.

Nist.

20

7.4.

MARCO CONCEPTUAL

24

7.5.

MARCO LEGAL

27

METODOLOGA DE INVESTIGACIN
8.1.

REA DEL CONOCIMIENTO: Gestin de la Seguridad Informtica.

30
30

8.2. REA DE CONOCIMIENTO ESPECFICO DEL PROYECTO: SGSI basado en

ISO27000 e ISO27001.
30

8.3.
9.

TIPO DE INVESTIGACIN

DISEO METODOLGICO

30
31

9.1.

TCNICAS PARA LA RECOLECCIN DE INFORMACIN

31

9.2.

UNIVERSO Y MUESTRA

33

9.3.

METODOLOGA DE DESARROLLO

33

9.4.

PRODUCTO A ENTREGAR

34

10.

ADMINISTRACIN DEL PROYECTO

35

10.1.

RECURSO HUMANO

35

10.2.

RECURSOS MATERIALES:

35

11.

PRESUPUESTO

11.1.
12.

CRONOGRAMA DE ACTIVIDADES

DESARROLLO DEL PROYECTO

36
36
38

12.1.

IDENTIFICACIN DE ACTIVOS.

38

12.2.

RECONOCIMIENTO DEL PERSONAL DE LA EMPRESA

39

12.3.

VALORACIN DE ACTIVOS

39

13.

DIAGNSTICO

43

14.

DIVULGACIN

44

15.

REFERENCIAS BIBLIOGRFICAS

45

ENLACES WEB

47

ANEXOS

48

ANEXO A (Solicitud enviada a la gerente de USOMET Ltda.)

48

ANEXO B (Respuesta de aprobacin de la gerente de USOMET Ltda.)

49

LISTA DE TABLAS
Tabla 1. Comparativo entre Magerit y Nist 800-30..................................................22
Tabla 2. Valoracin de activos.................................................................................31
Tabla 3. Presupuesto...............................................................................................36
Tabla 4. Cronograma de actividades.......................................................................37
Tabla 5. Activos informticos USOMET Ltda...........................................................38
Tabla 6. Personal de la empresa USOMET Ltda....................................................39
Tabla 7. Matriz Evaluacin de Riesgos....................................................................39
Tabla 8. Niveles de valoracin de activos informticos...........................................40
Tabla 9. Valoracin de activos.................................................................................40

LISTA DE ILUSTRACIONES

Ilustracin 1. Organigrama USOMET Ltda..............................................................15

INTRODUCCIN
La seguridad en las tecnologas de la informacin y comunicaciones (TICs), se
hace tan indispensable como su funcionalidad misma. Preservar la disponibilidad,
integridad y confidencialidad, de sus datos y operaciones, es un reto que se hace
cada da ms complejo, por su misma evolucin y los riesgos que cada da se
vuelven ms sofisticados, al estar cada vez los usuarios mejor conectados y
menos controlados.

TTULO DEL PROYECTO

DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD INFORMTICA
BASADO EN LA NORMA ISO/IEC 27001 PARA LA EMPRESA USOMET LTDA
DE LA CIUDAD DE IBAGU

1. PLANTEAMIENTO DEL PROBLEMA

1.1. DESCRIPCIN DEL PROBLEMA
USOMET Ltda es una empresa dedicada a los servicios de salud, ubicada en la
ciudad de Ibagu. Inici sus actividades en Marzo de 1990 y respondiendo a los
lineamientos establecidos por la Resolucin 01016 de 1989, fue atendiendo las
necesidades en materia de salud ocupacional de las diferentes empresas que se
encontraban en la necesidad de esta clase de servicios.
Actualmente, USOMET Ltda est dedicada a la gestin en salud ocupacional para
empresa de todos los sectores econmicos del departamento del Tolima. Parte de
su labor es la de llevar el registro de la informacin de las ARL contratantes, las
empresas que la ARL le asigna, los empleados vinculados o a ser vinculados por
esas empresas, los resultados de los estudios y capacitacin de salud ocupacional
que en ellas se gestionan y los resultados de las evaluaciones mdicas y de
laboratorio de los empleados.
Es por ello, que la empresa maneja un importante volumen de informacin en la
gestin de la operacin normal de la misma y el problema actual es que no se
cumple con las premisas de la seguridad de la informacin de Confidencialidad,
Disponibilidad e Integridad.
Actualmente, se presentan situaciones de orden y seguimiento de protocolos ante
la falta de cumplimiento de las normas de seguridad: como son la prdida de
informacin de empresas que han sido evaluadas y nuevamente se debe hacer
ese mismo tipo de actividad. As mismo, la exposicin de informacin a personal
no autorizado sin clave de registro, facilitando el acceso a reas donde no se es
permitido.
Por lo tanto, resulta evidente los riesgos informticos expuestos por la empresa
pues toda esa informacin es considerada de carcter confidencial y manejada
con mucho cuidado para su cumplimiento acordes a las exigencias sanitarias y de
salud ocupacional estipuladas por las autoridades sanitarias y ambientales.
Por consiguiente, para diagnosticar y tener un conocimiento fundamentado de la
situacin actual de la empresa se decide usar los indicadores de gestin. A
continuacin se presenta la forma como sern medidos.
En este de orden de ideas, es indispensable contar con una normatividad de
gestin de seguridad informtica que cumpla con los estndares internacionales
de calidad en cuanto al manejo de informacin.

La informacin de una empresa debe ser considerada de carcter confidencial,

confiable y siempre disponible.
1.2.

FORMULACIN DEL PROBLEMA

Cmo el diseo del SGSI basado en la norma ISO/IEC 27001 contribuir a

mejorar la seguridad aumentando la competitividad de la empresa USOMET
LTDA?

2. JUSTIFICACIN DEL PROYECTO

Las grandes empresas han entendido que los sistemas de gestin ISO son la
manera mejor y ms prctica para el manejo de actividades laborales, ya que
permiten con ello el ahorro de tiempo y dinero especficamente.
USOMET Ltda ha sufrido la materializacin de amenazas que han preponderado
su activo ms importante: la informacin, por lo que ha sido prioritario el
salvaguardar sus activos informticos de acuerdo a lo establecido por la norma
ISO 27001, la cual lo define: "Un activo en relacin con la seguridad informtica,
se refiere a cualquier informacin o sistema relacionado con el tratamiento de la
misma que tenga valor para la organizacin". De tal manera, que todos los activos
requieren ser claramente relacionados, identificados de acuerdo a sus amenazas y
vulnerabilidades y estos deben ser asegurados mediante el establecimiento de
polticas, procedimientos y planes, necesarios para protegerlos.
Al verse vulnerada la informacin por diversas situaciones de tipo laboral,
organizacional o de cualquier ndole es necesario mejorar las condiciones actuales
y establecer una serie de protocolos de acuerdo a lo que estpula la norma ISO
27001. Al contar con un sistema de gestin se facilita el cumplimiento de las
obligaciones y normas de seguridad mejorando la adaptacin a futuros cambios,
evitando multas y sanciones y demandas judiciales por responsabilidades civiles y
penales que son de obligacin disposicin por parte de la empresa.
Por lo tanto, se justifica la aplicacin y puesta en marcha de un sistema de gestin
de seguridad informtica ISO 27001 considerado de inters general e institucional
empresarial, considerando que es un mtodo que se encuentra a la vanguardia en
todas las empresas del mismo sector y considerado una ventaja competitiva
respecto a la competencia.
El proyecto est enfocado a establecer la poltica y planificacin del sistema de
gestin de seguridad informtico ISO 27001, siendo la base para la
implementacin, la cual servir como gua, facilitando el proceso a la hora de
implementarlo. Se propone el diseo de un sistema de gestin de seguridad
informtica basado en la norma antes citada para la empresa USOMET Ltda en la
ciudad de Ibagu.
Es fundamental para la empresa la implementacin del sistema de gestin de
seguridad de la informacin porque aparte de salvaguardar el activo ms
importante, se puede de manera inmediata la asesora necesaria y contar con el
apoyo continuo que fundamenta el ciclo PHVA. (Planear, hacer, verificar y actuar) 1.
1

Metodologa de Deming

Este mtodo se usa como enfoque para la mejora continua ya que es cclico y se
puede aplicar a cualquier tipo de proceso, cada fase es consecutiva con la
anterior, se puede decir que es una forma de estandarizar la forma en que se
llevan a cabo los procesos y por este motivo es una herramienta gerencial que
facilita la correcta gestin de los sistemas permitiendo conseguir una nica forma
de operar y la consecucin del manejo integral de los sistemas.
Con el sistema de gestin de seguridad de la informacin, la empresa estar a la
altura de las grandes organizaciones que buscan este tipo de certificaciones, bien
sea para grandes contrataciones con otras empresas o como una normatividad
que estpula que en todos sus procesos existe un protocolo y/o seguimientos de la
informacin y procedimientos que hacen confiable las operaciones internas y
externas de la empresa. El diseo, adems de mejorar los niveles de seguridad,
pretende lograr la certificacin en calidad y en seguridad de la informacin y
permite el manejo adecuado de un sistema gil y confiable.

3. OBJETIVOS
3.1. OBJETIVO GENERAL
Facilitar la administracin de la seguridad informtica y de la informacin mediante
el diseo de un manual de polticas y procedimiento que apoyen el SGSI basado
en la norma ISO/IEC 27001 aumentando la competitividad de la empresa
USOMET LTDA
3.2. OBJETIVOS ESPECFICOS
Diagnosticar las condiciones actuales de la empresa USOMET Ltda, en lo
relacionado en materia de informacin y seguridad informtica, identificando sus
activos informticos, mediante instrumentos de recoleccin de informacin.
Caracterizar los procesos y procedimientos de manejo de informacin en
USOMET con el fin de evaluar e identificar las vulnerabilidades, amenazas y
riesgos, relacionados con los activos informticos.
Definir mecanismos de gestin de seguridad informtico basados en la norma
ISO/IEC 27001 que faciliten la solucin de problemas mediante la aplicacin de
polticas y procedimientos.
Disear el manual de polticas y procedimientos para el sistema de gestin de
seguridad de la informacin.

4. CONDICIN INICIAL
A la fecha USOMET Ltda, no cuenta con un diagnostico que le permita reconocer
su situacin en materia de informacin y seguridad informtica, que identifique sus
activos informticos.
Aunque en USOMET existen procesos y procedimientos de manejo de informacin
no se han evaluado ni identificado sus vulnerabilidades, amenazas y riesgos,
relacionados con los activos informticos.
En USOMET no se cuenta con los mecanismos de gestin de seguridad
informtico que faciliten la solucin de problemas mediante la aplicacin de
polticas y procedimientos.
La empresa USOMET requiere el diseo de un manual de polticas y
procedimientos para el sistema de gestin de seguridad de la informacin.

10

5. CONDICIN FINAL
USOMET Ltda cuenta con:
Un diagnostico que le permite reconocer su situacin en materia de informacin y
seguridad informtica e identifica sus activos informticos.
Una documentacin que identifica los procesos y procedimientos de manejo de
informacin con sus vulnerabilidades, amenazas y riesgos, relacionados con los
activos informticos.
La documentacin que indica cmo establecer los mecanismos de gestin de
seguridad informtico para facilitar la solucin de problemas mediante la aplicacin
de polticas y procedimientos.
Un manual de polticas y procedimientos para el sistema de gestin de seguridad
de la informacin.

11

6. ALCANCE Y DELIMITACIN DEL PROYECTO

Elaborar un manual de polticas y procedimientos a aplicar conforme el estudio
realizado base para el SGSI y que cubrir los activos informticos, sistemas de
informacin, usuarios, procesos y servicios que se ofertan a travs de tecnologas
de informacin.
El proyecto se aplicar puntualmente sobre el rea informtica de la empresa
Usomet Ltda con ubicacin en la ciudad de Ibagu, Tolima. La gestin se llevar a
cabo durante el segundo semestre de 2015, con una duracin de 15 semanas.

12

7. MARCO DE REFERENCIA
Para aproximar esta investigacin sobre cmo mejorar la seguridad de los activos
informticos de una empresa mediante los lineamientos de un SGSI, se realiz la
consulta de anteriores trabajos de grado relacionados con el tema a fin de conocer
los avances logrados en ese sentido. Entre los ms importantes se tiene:

El trabajo de grado presentado en abril de 2015 en la Universidad Nacional

Abierta a Distancia (UNAD), titulado: Diseo de un sistema de gestin de la
seguridad informtica SGSI, para empresas del rea textil en las ciudades
de Itag, Medelln y Bogot D.C. a travs de la auditora., como requisito
para optar al ttulo de Especialista en Seguridad informtica por parte del
Ing. Alexander Guzmn Garca2.
Esta investigacin trata sobre el diseo de un SGSI para mejorar la
seguridad informtica en empresas del sector textil en tres ciudades de
Colombia. Recolectando informacin de los riesgos, diseando los medios
para la recoleccin de informacin, aplicando los instrumentos que permiten
evidenciar las vulnerabilidades y amenazas; para finalmente disear e
implementar un SGSI.

El trabajo de grado presentado en 2015 en la Universidad Nacional Abierta

a Distancia (UNAD), titulado: Estudio de los Procesos de Seguridad de la
Informacin Digital en las Empresas del Departamento de Risaralda., como
requisito para optar al ttulo de Especialista en Seguridad informtica por
parte del ingeniero: Oscar Andrs Sierra Jaramillo 3.
Esta investigacin detalla acerca el estudio de la aplicacin de las normas
27001 de seguridad de la informacin en empresas de Risaralda, realizando
encuestas para verificar la aplicacin de las polticas de las normas ISO
27001 y la ISO 27002, realizando el anlisis de los resultados estableciendo
los niveles de seguridad en uso, para finalmente proponer los modelos de
seguridad aplicables a las empresas evaluadas.

7.1. MARCO CONTEXTUAL

A. G. Garca, "Diseo de un sistema de gestin de la seguridad informtica SGSI, para empresas

del rea textil en las ciudades de Itag, Medelln y Bogot D.C. a travs de la auditora". [En lnea].
Available: repository.unad.edu.co/bitstream/10596/3448/1/1030548291.pdf.
3
O. A. S. Jaramillo, "Estudio de los procesos de seguridad de la informacin," 2008. [En lnea].
Available: http://repositorio.utp.edu.co/dspace/bitstream/11059/2370/1/0058S572.pdf.

13

La empresa Usomet Ltda., inici sus actividades en marzo de 1990, con tres
socios fundadores, las instalaciones se ubicaron en la carrera 5 con calle 40,
inicialmente, se vincul un mdico y un ingeniero industrial, quienes
posteriormente hicieron la especializacin en salud ocupacional.
Respondiendo a los lineamientos estipulados por la Resolucin 01016 de 1989, la
empresa Usomet fue atendiendo las necesidades en materia de salud ocupacional
de las diferentes empresas, quienes iban tomando consciencia de este servicio.
Luego del primer ao, Usomet atenda dos empresas, en actividades centradas en
la seguridad industrial y medicina del trabajo, haciendo nfasis en las estadsticas
de accidentalidad y prctica de exmenes paraclnicos de visiometra,
espirometra y audiometra.
Hacia el ao 1994, Usomet bajo la licencia inicialmente a 5 aos, renovada a 10
aos, prestaba sus servicios a 25 empresas, cuyas actividades se realizaban de
acuerdo con cronogramas de actividades estipulados en documentos que se
disearon para las empresas afiliadas.
En 1993 nace la Ley 100/93 y con ella la necesidad del Decreto 1295/94
reglamentario de esta Ley, el cual ampla informacin y apoyo hacia la salud
ocupacional de las empresas, ya aparecen las administradoras de riesgos
profesionales (A.R.L.s privadas), quienes posteriormente van a dar el apoyo y
acompaamiento en ejecucin de actividades a las empresas de diferente sector A
partir de esta nueva legislacin, Usomet sigue prestando los servicios a las
empresas, de acuerdo con planes de trabajo estructurados entre la empresa
afiliada y la A.R.L.
Actualmente, Usomet tiene una trayectoria de 25 aos, con la experiencia de
prestacin de servicios en el campo de seguridad, higiene ocupacional, medicina
del trabajo y medio ambiente, contribuyendo al bienestar de la poblacin laboral.
Usomet, cuenta con una planta de personal de ocho personas (mdico
especialista en salud ocupacional, ingeniero industrial especialista en salud
ocupacional, Profesionales en salud ocupacional, todos con licencia expedida por
la Secretara de Salud, igualmente tiene personal directivo en gerencia y
subgerencia, personal operativo: secretara, administrativa y financiera,
coordinacin en seguridad y logstica, Higiene Industrial y Medio Ambiente).
Actualmente la empresa Usomet Ltda realiza actividades de acuerdo a la siguiente
con el organigrama indicado en la ilustracin 1.

14

Ilustracin 1. Organigrama USOMET Ltda

Fuente: USOMET Ltda

El recurso informtico de que dispone Usomet Ltda, consta de: 10 pcs, un

servidor (bases de datos), acceso a internet. Red elctrica estabilizada. Red de
datos certificada.
7.2. MARCO TERICO
Existen diferentes estndares que se desarrollaron para gestionar la seguridad de
la informacin, algunos ms generales, algunos centrados en la gestin de riesgos
(serie ISO/IEC 27000), y otros incluso tendientes a desarrollar un modelo de
madurez de la seguridad de la informacin (por ejemplo ISM3); sin embargo, en la
especificacin de las mismos no se afronta su aplicacin a un grupo empresarial,
lo cual requiere consideraciones adicionales. Existe una metodologa en
implantacin de un SGSI para un grupo empresarial jerrquico, en donde se
describe la importancia de implantar un SGSI que permita dotar de seguridad
todos los procesos productivos de las empresas de cualquier tipo y tamao,
15

muestra una metodologa clara para realizar anlisis de riesgo en un ambiente

empresarial4.
La Seguridad Informtica es un problema cultural, en el que el usuario juega un rol
protagnico. La metodologa para el aseguramiento de entornos informatizados MAEI, resalta la importancia de tener una metodologa clara para realizar un
anlisis de riesgos e identificar claramente vulnerabilidades, riesgos y amenazas
presentes en los activos de informacin, ser gestionados y que permita optimizar
los procesos organizacionales5.
De igual forma tambin la existen lineamientos establecidos en la norma
internacional UNE/ISO 27001, que establece las especificaciones para la creacin,
implementacin, funcionamiento, supervisin, revisin, mantenimiento y mejora de
un sistema de gestin de seguridad de la informacin (SGSI). Esta norma
establece un enfoque por procesos basado en el ciclo Deming, que plantea la
gestin de la seguridad como un proceso de mejora continua, a partir de la
repeticin cclica de cuatro fases como lo son planificar, hacer, verificar y actuar.
Dentro de las especificaciones de la norma se establece un esquema documental
del SGSI, que debe mantenerse actualizado, disponible y enmarcado en un ndice,
especialmente si la empresa desea superar un proceso de certificacin, tal como
lo describe un proceso de implantacin de un SGSI, el cual expone claramente los
lineamientos que deben seguirse para implantar un Sistema de Gestin de
Seguridad de la Informacin en un entorno real, describiendo el proceso para
realizar el anlisis de riesgo y sus fases futuras 6.
Las polticas y los procedimientos de seguridad informtica surgen como una
herramienta organizacional para concienciar a cada uno de los miembros de una
organizacin sobre la importancia y la sensibilidad de la informacin que favorecen
el desarrollo y el buen funcionamiento de la organizacin. Debe considerarse
como reglas a cumplir que surgen para evitar problemas y que se establecen para
dar soporte a los mecanismos de seguridad implementados en los sistemas y en
las redes de comunicacin7.
Cada da, para las empresas u organizaciones es indispensable salvaguardar la
informacin, que se encuentra dividida en cinco partes fundamentales: seguridad

PALLAS MEGA, Gustavo. (2009). Metodologa de implantacin de un SGSI en un grupo

empresarial jerrquico. Universidad repblica de Montevideo (Uruguay).
5
BISOGNO, Mara Victoria. Metodologa para el aseguramiento de entornos informatizados
MAEI. Buenos Aires Argentina. Universidad de Buenos Aires, 2004
6
AVILA ARZUZA, Maribel. Implantacin de un SGSI. Barcelona- Espaa - Universitat Oberta de
Catalunya, 2012
7
CALIDAD y Seguridad de la informacin y auditora informtica, disponible en internet en:
http://earchivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jsessionid=10850A53
006DB846CED4EDCEDEDE1C40?sequence=1

16

fsica, seguridad de red, seguridad de host, seguridad de las aplicaciones y la

seguridad de los datos.
La gestin de la seguridad de la informacin debe realizarse mediante un proceso
sistemtico, documentado y conocido por toda la organizacin. Este proceso es el
que constituye un SGSI, que podra considerarse, por analoga con una norma tan
conocida como ISO 9001, como el sistema de calidad para la seguridad de la
informacin8.
Al hablar de implementacin, se permite establecer el asocio a nuevas
tecnologas, evaluando su informacin de manera precisa y consistente bajo una
base de elementos centralizados evitando la vulnerabilidad de todos los activos de
informacin que posee la empresa.
En el interior de cualquier empresa se disean, efectan y controlan procesos que
estn interrelacionados entre s y que afectan a distintas personas o grupos de
personas. Tradicionalmente, las empresas tienden a estructurarse con un enfoque
funcional en donde existe la estructura jerrquica con cargos limitados dentro de la
empresa, tal vez en tiempos anteriores tena un mejor resultado pero a razn de
los avances tecnolgicos y el mundo cambiante, las empresas tienen que ser ms
flexibles para poderse adaptar a los cambios que el mundo presencia.
Segn Francisco Lpez: la organizacin funcional puede presentar los siguientes
inconvenientes: Predominio de objetivos individuales, escasa comunicacin,
competencia entre reas, desmotivacin y mayor importancia al logro de tareas 9.
Adems de esto, un cliente no est interesado en un sistema burocrtico interno
de control; lo que busca y lo que valora es el producto con determinadas
caractersticas que satisfagan sus necesidades. Todo esto con el fin de entender
las necesidades y expectativas actuales de sus clientes presentes y potenciales.
Estas necesidades suelen estar en documentos en forma de especificacin de
compra por ejemplo las prestaciones funcionales y operativas del producto.
Algunas veces las expectativas pueden ser subjetivas relacionndose con la
opinin del cliente. Lo importante es conseguir la satisfaccin del cliente mediante
la igualacin o superacin de sus necesidades en todo el circuito en relacin a l 10.

LA AUDITORA interna como una herramienta para establecer controles internos eficientes en las
pequeas y medianas empresas ferreteras de la Ciudad de San Miguel, disponible en internet en:
http://168.243.33.153/infolib/tesis/50107386.pdf
9
LOPEZ C, Francisco Jos. (2008). EL SISTEMA INTEGRADO DE GESTION. Bogot. ICONTEC.
10
CERVERA, Joseph. (2001). LA TRANSICIN A LAS NUEVAS ISO 900:2000 Y SU
IMPLEMENTACIN. Daz de Santos editores. 2001

17

All radica cambiar el enfoque sistmico, para este fin existen diferentes
herramientas, las normas ISO presentan un enfoque por procesos en donde se
pueden lograr todos los objetivos organizacionales.
Actualmente, se habla de enfoque por procesos, en donde la orientacin supone
un cambio de actitud y mentalidad importante. En lugar de pensar cmo hacer
mejor lo que hacemos11.
7.2.1. Seguridad de la Informacin. Es un estado que indica un nivel o
determinado grado de confidencialidad por algn motivo, bien sea dao o riesgo
vulnerable a una situacin imprevista materializada bajo una amenaza y que
puede afectar el funcionamiento directo o indirectamente de la informacin o
procesamiento de la misma.
Es una prctica a un nivel mediante ciertos requisitos o protocolos mediante una
seria de normas organizacionales en las que se toman las medidas necesarias de
proyeccin.
Las empresas que adoptan la seguridad de la informacin aseguran que su
contenido no sea vulnerado por ninguna clase de circunstancias o minimizar al
mximo los posibles daos que puedan ocurrir y en la que cada vez se exponen a
riesgos e inseguridades como fraudes, espionajes, sabotajes, vandalismos,
incendio o inundaciones.
La seguridad de la informacin es importante en negocios tanto del sector pblico
como del privado para proteger las infraestructuras crticas. En ambos sectores, la
seguridad de informacin permitir, lograr el gobierno electrnico o el comercio
electrnico, evitando y reduciendo los riesgos relevantes. La interconexin de las
redes pblicas y privadas y el compartir los recursos de informacin aumentan la
dificultad de lograr el control de los accesos 12.
Por lo tanto, es importante que exista seguridad en el activo ms importante de
las empresas por diversas razones:

Muchas clases de Riesgos y Amenazas: Fraudes, espionaje, sabotaje,

vandalismo, incendio, inundacin, hacking, virus, denegacin de servicio,
etc.; Provenientes de mltiples fuentes.
Mayor vulnerabilidad a las amenazas por la dependencia de los sistemas y
servicios de informacin interconectados.
La mayora de los sistemas de informacin no han sido diseados para ser
seguros.

11

Tomado de la biblioteca virtual del Sena www.biblioteca.sena.edu.co

NTP-ISO/IEC 1779. Norma tcnica Peruana. EDI, Tecnologa de la informacin. Cdigo de
buenas prcticas para la gestin de la seguridad de la informacin, 2007, p.8.
12

18

7.2.2. Anlisis de Riesgos Informticos. Algunos autores han definido el riesgo

de acuerdo al tipo de situaciones en las que se presenta.
Segn Fernando Izquierdo Duarte, "El Riesgo es un incidente o situacin que
ocurre en un sitio concreto durante un intervalo de tiempo determinado, con
consecuencias positivas o negativas que podran afectar el cumplimiento de los
objetivos"13.
Segn Alberto Cancelado Gonzlez, define el Riesgo como una condicin del
mundo real en el cual hay una exposicin a la adversidad, conformada por una
combinacin de circunstancias del entorno, donde hay posibilidad de prdidas.
Segn Martin Vilches Troncoso, el Riesgo es cualquier variable importante de
incertidumbre que interfiera con el logro de los objetivos y estrategias del negocio,
es decir es la posibilidad de la ocurrencia de un hecho o suceso no deseado a la
no-ocurrencia de uno deseado14.
En este orden de ideas, el Anlisis de Riesgos es la actividad ms importante a la
gestin de la seguridad de la informacin de una organizacin, debido a que es
donde se toman las decisiones de aplicar, analizar, evaluar y clasificar los activos
de informacin.
7.2.3. Metodologa de Anlisis de Riesgos. Se desarrolla a partir de la
identificacin en la falta de controles y establecimiento de un protocolo para su
seguimiento.

Activos
Amenazas
Vulnerabilidad
Riesgos
Salvaguardas

Un sistema de Gestin de la Seguridad de la Informacin (SGSI) definido por la

norma ISO/IEC 27001, debe tener en cuenta caractersticas culturales de la
empresa, sino que tambin debe ser sostenible con el tiempo y la capacidad de la
13

IZQUIERDO D, Fernando. La administracin y los riesgos. [en line]. EN: Maxitana C, Jennifer D.
(Auditor en control de gestin). Tesis: Administracin de riesgos de tecnologa de informacin de
una empresa del sector informtico. Guayaquil Ecuador: Escuela Superior politcnica del Litoral,
2005. P.39. http://www.cib.espol.edu.ec/Digipath/D_Tesis_PDF/D-33960.pdf
14
VILCHES T, Martn. El riesgo [en line]. EN: Machuca C, John. (Magister en Contabilidad y
Auditora). Tesis Gua para la evaluacin del sistema de riesgo operativo en la Cooperativa de
Ahorro y Crdito Jardn Azuayo. Cuenca Ecuador. Universidad de Cuenca, 2011. P.21.
http://dspace.ucuenca.edu.ec/bitstream/123456789/2729/1/tm4487.pdf

19

organizacin para las mejoras de manera continua siendo de beneficio para todos
en la industria.
Para gestionar y establecer un Sistema de Gestin de la Seguridad de la
Informacin con base a ISO 27001, se define el alcance del SGSI en trminos
para la organizacin, su localizacin, activo y tecnologa, incluyendo todos los
detalles a que la empresa debe someterse. Por lo tanto, se define una poltica de
seguridad con:

Objetivos y marco general de seguridad de informacin de la empresa.

Requerimientos legales o contractuales relativos a la seguridad de la

informacin.

Contexto estratgico de gestin de riesgos de la empresa

Criterios y elementos para evaluar el riesgo

Con base a esto se pretende establecer mejoramiento en los procesos de

seguridad de la informacin y aplicabilidad en los procesos de cada uno de los
anlisis de riesgos a efectuar.
7.3. METODOLOGA DE ANLISIS Y GESTIN DEL RIESGO EN SEGURIDAD
INFORMTICA
7.3.1. Nist. La NIST (Instituto Nacional de Normas y Tecnologa) es una
organizacin de administracin de tecnologa del departamento de comercio de
estados unidos que tiene como funcin mejorar la competitividad industrial por
medio de avances en campos como la metrologa, normas y tecnologa a fin de
establecer seguridad y buenas prcticas en los procesos.
Una de las normas que ha desarrollado es la NIST SP 80030, la cual define los
procedimientos para el anlisis de Riesgos de los sistemas de informacin.
7.3.2. Magerit. (Metodologa de anlisis y Gestin de Riesgos de los Sistemas de
Informacin), desarrollada por CSAE (Consejo Superior de Administracin
Electrnica) debido al creciente uso de medios electrnicos para el manejo de la
informacin en esta norma se definen las prcticas adecuadas para manipular la
informacin en dichos medios de forma ms segura. 15
15

TABLA COMPARATIVA MAGERIT NIST. Disponible en:

http://documents.mx/documents/tabla-comparativa-magerit-nist.html

20

A continuacin se hace un comparativo en la tabla 1.

21

Tabla 1. Comparativo entre Magerit y Nist 800-30

MAGERIT
Metodologa de anlisis y Gestin de Riesg
os
de los Sistemas de Informacin

NIST SP 80030
Instituto Nacional de Normas Y Tecnologas

OBJETIVOS
Generar
conciencia
a
los
administradores de sistemas sobre la
existencia
de riesgos y la necesidad
de prevenirlos.
Ofrecer una metodologa sistematizada
para analizar los Riesgos.
Ayudar a identificar y planificar las medidas
para tener los riegos bajo control

OBJETIVOS
Asegurar mejor los sistemas informticos que
almacenan, procesan y trasmiten informaci
n.
Permitir y gestionar los Riesgos.
Mejorar la administracin a partir de los
resultados del anlisis de Riesgos

METODOLOGA
Anlisis de Riesgos
Activos
Tipos
Dependencias
Amenazas
Determinacin del riesgo
Salvaguardas
Seleccin de salvaguardas

METODOLOGA
Caracterizacin
Identificacin de las Amenazas
Identificacin Vulnerabilidades
Anlisis de Control
Determinacin de la probabilidad
Anlisis del Impacto
Determinacin del riesgo
Recomendaciones de Control
Resultados Documentacin

ANLISIS DE RIESGOS
Determinar lo que tiene la organizacin y lo
que podra pasar.
Identificar los activos relevantes para la
organizacin.
Determinar las amenazas a las que
estn expuestos.
Determinar impacto, dao sobre el activo
debido a la materializacin de una
amenaza.

CARACTERIZACIN
Se utiliza para caracterizar un Sistema
De TI y Su entorno operativo:
Hardware
Software
Sistema de Interfaces conectividad interna y e
xterna.
Datos e Informacin.
Personas que apoyan y utilizan el sistema
Criticidad de los Datos.

ACTIVOS
Recursos que tienen un valor para la entidad en
funcin al servicio que le presta:

IDENTIFICACIN DE AMENAZAS
Deteccin de Mtodos dirigidos a Explotar un
a vulnerabilidad.
Situacin que accidental o intencionalmente p
uedan
llevar a la materializacin de una amenaza

TIPOS

VULNERABILIDADES
Elaborar lista de Vulnerabilidades (defectos y punt

22

Servicios: comunicacin, administracin,

etc.
Aplicaciones informticas: Permiten
manipular los datos.
Equipos: Permiten la operacin de los
sistemas
Soportes de Informacin: dispositivos
para el almacenamiento de los datos.
Equipamiento Auxiliar:
impresoras,
scanner etc.
Redes de comunicacin: para intercambio
de datos.
Instalaciones: lugar que aloja los equipos
informticos y de comunicacin.
Personal: Encargados de operar dichos
equipos.

os dbiles), que podran Ser explotados por

una Amenaza
Hardware
Software
Personal
Instalaciones

DEPENDENCIAS
Que activos dependen de cules y como:
Informacin Medios de almacenamiento

ANLISIS DE CONTROL
Analiza los controles implementados por la empr
esa para la reduccin de la reduccin de la
(probabilidad), que una amenaza se materialice
sobre el sistema
Deteccin de intrusos.
Control de la ejecucin, acceso, cifrado y
Autenticacin.

AMENAZAS
Determinar la amenaza para cada activo
Factores:
Degradacin: Cuanto perjudicara el Activo
Frecuencia: Cada cuanto se materializa la
Amenaza

DETERMINACIN DE PROBABILIDAD
Obtiene una clasificacin global del riesgo que
indica la probabilidad de que una vulnerabilidad
materialice una amenaza.
Factores:
Amenaza
Naturaleza de la Vulnerabilidad
Existencia y eficacia de los controles actuales

DETERMINACIN DEL RIESGO

Dao probable sobre el sistema o activos
El riesgo aumenta con la frecuencia y el
impacto

ANLISIS DE IMPACTO
Medicin del nivel de Riesgo para determinar
efectos adversos derivados derivados de la materi
alizacin de una amenaza.
Funcin del sistema (procesos realizados
por el sistema)
Criticidad y sensibilidad de los datos
Servicios crticos

SALVAGUARDAS
Medidas o mecanismos para mitigar
riesgos
Funcin:
Reducir las amenazas
Limitar el dao Causado

DETERMINACIN DEL RIESGO

Evala el nivel de riesgo para el sistema.
Determinando la amenaza y la fuente de la mi
sma.
Magnitud del impacto al materializarse una
amenaza

los

23

SELECCIN SALVAGUARDAS
Tomar medidas que permitan reducir tanto
el Riesgo como el Impacto.
Tcnicas Efectivas para enfrentar las
Amenazas

RECOMENDACIONES DE CONTROL
Dar a conocer los controles para la reduccin de
los Riesgos en los sistemas de las T.I., teniendo
en cuenta los siguientes factores:
Eficacia de las soluciones implantadas
Legislacin y Regulacin
Impacto operativo
Seguridad y Fiabilidad
DOCUMENTACIN
Una vez terminada la evaluacin de Riesgos y
vulnerabilidades y amenazas Realizar un informe
de los Resultados Obtenidos para posteriores
anlisis.

Fuente: el autor

7.4.

MARCO CONCEPTUAL

Se medirn en USOMET las: vulnerabilidades, amenazas y riesgos en cuanto

afecten la disponibilidad, confiabilidad e integridad. Convirtindose as en las
variables que definen el marco conceptual. Adicionalmente, conforme la
metodologa de anlisis y evaluacin de riesgos, esta variables, se valorarn en
cuento a impacto y probabilidad de ocurrencia.
Vulnerabilidades. Identificadas como aquellas debilidades existentes en el
sistema de informacin de USOMET y que comprometen la seguridad de los
datos, pudiendo llegar a su perdida.
Es un elemento de riesgo interno, que representa la factibilidad con que los activos
o el sistema completo sean afectados por el fenmeno que caracteriza la
amenaza.
Las vulnerabilidades se clasifican en:
Vulnerabilidad Fsica: implica la parte fsica del sistema y es la posibilidad de tener
acceso a l para realizar acciones malintencionadas.
Vulnerabilidad Natural: medida de la exposicin del sistema a ser afectado por
desastres naturales, incluyendo las fluctuaciones severas de voltaje, polucin,
humedad y temperatura.

24

Vulnerabilidad del Hardware y del software: debido a que algunos tipos de

dispositivos pueden ser ms vulnerables o dbiles que otros por diversas razones,
son elemento a evaluar en la seguridad del sistema.
Vulnerabilidad de los Medios o Dispositivos: alude a la posibilidad de causar daos
en los diferentes dispositivos componentes del sistema.
Vulnerabilidad por Emanacin: posibilidad de interceptar informacin mediante las
emisiones de los equipos de almacenamiento de informacin.
Vulnerabilidad de las Comunicaciones: es un punto a considerar por la
multiplicidad de interconexiones se abre la posibilidad de que mayor cantidad de
dispositivos y personas puedan lograr acceso al sistema.
Vulnerabilidad Humana: Todo el personal autorizado o no, supone un determinado
nivel de riesgo de acceso indebido al sistema, ya sea fsicamente o por conexin
remota. Por tanto deben tomarse las medidas de proteccin apropiadas para cada
nivel de acceso.
Amenazas. Todo aquello que pueda llegar a afectar de alguna forma la seguridad
de la informacin del sistema en USOMET. Las amenazas se existen porque
existen las vulnerabilidades.
Dentro de los tipos de amenazas existe cuatro clasificaciones: intercepcin,
modificacin, interrupcin y generacin.
Intercepcin: forma de acceder al sistema por cualquier medio: una persona,
programa o proceso sin tener autorizacin.
Modificacin: no solo es acceder a un sistema sino alterar la informacin o
aplicaciones en l.
Interrupcin: es lograr mediante cualquier mtodo interrumpir el normal
funcionamiento del sistema, ya sea a travs del hardware o del software.
Generacin: es el logro de introducir datos no autorizados en el sistema.
Riesgos. Se identificarn como cualquier impedimento, obstculo, amenaza o
problema que al afectar el sistema de informacin pueda impedir que USOMET
alcance sus objetivos. Es tambin la posibilidad de sufrir un dao o prdida,
medible en trminos de impacto y de probabilidad de ocurrencia. 16.

16

INTERNATIONAL STANDARD ISO/IEC 17799:2005 ,Iso-Iec 17799 2005.pdf, 2005

25

Elementos que en determinado momento puedan llegar a afectar la informacin en

su:
Confidencialidad. O sea la condicin que asegura que la informacin en
USOMET no est ni estar disponible para que personas no autorizadas a
acceder a esta informacin lo logren por medio alguno.
Disponibilidad. En USOMET el acceso a los datos de su sistema de informacin
debe estar garantizado siempre que sea requerido, por lo cual no debe haber
inconveniente de ningn orden para que la empresa tenga a su alcance la
informacin.
Integridad. Usomet requiere mantener su informacin libre de modificaciones no
autorizadas. La violacin de la integridad puede concretarse cuando hay
modificacin de los datos ya sea por una persona, un programa o un dispositivo
electrnico; alterando los contenidos, modificndolos o borrndolos en su totalidad
o parcialmente, sin que sea un procedimiento autorizado.
Los riesgos se pueden clasificar en:
Riesgos Financieros: este tipo de riesgo contiene tres elementos: prdidas en la
organizacin, causas de las prdidas financieras y las posibles causas de prdida.
Riesgos Dinmicos: aquellos generados por factores externos pero que afectan la
administracin de la empresa.
Riesgos Estticos:
deshonestidad.

tpicamente

originados

por

errores

humanos

por

Riesgo Especulativo: trata de la posibilidad de ganar o perder.

Riesgo Puro: aquellos que pueden afectar el desarrollo de la administracin del
sistema, mediante la prdida de alguno o todos sus activos.
Riesgo Fundamental: es la posibilidad de afectacin del sistema por fenmenos
econmicos o sociales.
Riesgo Particular: los que pueden generar al sistema eventos individuales como
un robo, una inundacin, etc.17

17

Riesgos y control informtico, UNAD. Disponible en:

http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_3_anlisis_de_riesgos.html

26

7.5.

MARCO LEGAL

Cdigo procesal penal de 1987, que tutela la inviolabilidad del domicilio y regula
en su artculo 376 las escuchas telefnicas.
Ley de Proteccin de datos de 1988.
Ley 72/1989, de 20 de diciembre de 1989, por la cual se definen nuevos
conceptos y principios sobre la Organizacin de las Telecomunicaciones en
Colombia y sobre el rgimen de concesin de los servicios y se confieren unas
facultades extraordinarias al Presidente de la Repblica.
Decreto 1794/1991, de 16 de julio de 1991, por el cual se Expiden Normas sobre
los Servicios de Valor Agregado y Telemticos y se Reglamenta el Decreto 1900
de 1990.
Decreto 2150 de 1995 sobre sistemas electrnicos, de 5 de diciembre de 1995,
que busca la simplificacin de trmites ante Entidades Estatales. (Diario Oficial
42.137, del 6 de diciembre de 1995).
Resolucin 087 de 5 de septiembre de 1997, de la Comisin de Regulacin de las
Telecomunicaciones, por medio de la cual se regula en forma integral los servicios
de Telefona Pblica Bsica Conmutada (TPBC) en Colombia.
Proyecto de Ley 227 de 21 de abril de 1998, por medio del cual se define y
Reglamenta el Acceso y el uso del Comercio Electrnico
Ley 527 de 18 de agosto de 1999, sobre Mensajes de Datos, Comercio
electrnico y Firma Digital.
Resolucin 7652/2000, de 22 de septiembre de la Direccin General de Impuestos
y Aduanas Nacionales, por la cual se reglamenta la administracin, publicacin y
uso de la informacin electrnica va INTRANET e INTERNET en la Direccin de
Impuestos y Aduanas Nacionales.
Proyecto de Ley 166 de 31 de enero de 2003, por el cual se regulan las
comunicaciones Va Internet y mediante el uso de Fax que se realicen desde
lugares habilitados para brindar al pblico esos servicios.
Proyecto de Ley 05/2006 Senado "Por el cual se reglamenta el Habeas Data y el
Derecho de Peticin ante Entidades Financieras, Bancarias y Centrales o Banco
de Datos". Acumulado Proyecto de Ley n 27/2006 Senado "Por la cual se dictan
las disposiciones generales del habeas data y se regula el manejo de la
informacin contenida en bases de datos personales, en especial la financiera y
crediticia, y se dictan otras disposiciones". Aprobado por la comisin el da 12 de
Octubre de 2006.
27

Informe de Conciliacin al Proyecto de Ley Estatutaria 221/2007 de 4 de junio de

2007, sobre el Derecho de Habeas Data.
Decreto 2870 de 31 de julio de 2007, por medio del cual se adoptan medidas para
facilitar la Convergencia de los servicios y redes en materia de
Telecomunicaciones. (Diario oficial n 46.706 de 31 de julio de 2007).
Resolucin 1732 de 17 de septiembre de 2007, de la Comisin de Regulacin de
Telecomunicaciones, por la cual se expide el Rgimen de Proteccin de los
Derechos de los Suscriptores y/o Usuarios de los Servicios de
Telecomunicaciones. (Diario Oficial n 46.756 de 19 de septiembre de 2007)
Ley 1266 de 31 de diciembre de 2008, por la cual se dictan las disposiciones
generales del habeas data y se regula el manejo de la informacin contenida en
bases de datos personales, en especial la financiera, crediticia, comercial, de
servicios y la proveniente de terceros pases y se dictan otras disposiciones.
(Diario Oficial n 47.219).
Ley 1273 de 5 de enero de 2009, por medio de la cual se modifica el Cdigo
Penal, se crea un nuevo bien jurdico tutelado -denominado "de la proteccin de la
informacin y de los datos"- y se preservan integralmente los sistemas que utilicen
las tecnologas de la informacin y las comunicaciones, entre otras disposiciones
(Diario Oficial n 47.223).
Ley 1341 de 30 de julio de 2009, sobre principios y conceptos sobre la Sociedad
de la Informacin y la Organizacin de las Tecnologas de la Informacin y las
Comunicaciones (Diario Oficial n 47426 de 30 de julio de 2009).
Decreto 2888 de 4 de agosto de 2009, del Ministerio de Tecnologas de la
Informacin y las Comunicaciones, por el cual se dictan disposiciones sobre la
organizacin y funcionamiento de la Comisin de Regulacin de Comunicaciones
-CRCResolucin 2251 del 11 de diciembre de 2009, de la Comisin de Regulacin de
las Comunicaciones, por la cual se modifica la Resolucin 1914 de 2008 de la
CRT
Resolucin 2554 de 19 de mayo de 2010, de la Comisin de Regulacin de las
Comunicaciones, Modificacin al Rgimen de Proteccin de los Derechos de los
Usuarios de Servicios de Telecomunicaciones.
Comisin de Regulacin de Comunicaciones de 30 de junio de 2010, Acceso a
Redes por parte de proveedores de contenidos y aplicaciones. (Documento de
consulta pblica).
28

8. METODOLOGA DE INVESTIGACIN
8.1.

REA DEL CONOCIMIENTO: Gestin de la Seguridad Informtica.

El proyecto est dentro del rea de gestin de informacin puesto que se pretende
hacer el estudio de la seguridad informtica y de informacin en cada uno de los
procesos y servicios que se presta a los usuarios y clientes a travs del uso de
tecnologas de Informacin aplicadas.
8.2. REA DE CONOCIMIENTO ESPECFICO DEL PROYECTO: SGSI basado
en ISO27000 e ISO27001.
El proyecto pretende hacer el estudio de vulnerabilidades, amenazas y riesgos de
seguridad informtica y de la informacin para proponer polticas y procedimientos
adecuados que permitan mitigar esos riesgos. 18
8.3.

TIPO DE INVESTIGACIN

El paradigma de investigacin es de tipo cuantitativo, ya que supone la medicin

de vulnerabilidades, amenazas y riesgos de seguridad de acuerdo a escalas de
medicin que ya estn predefinidas en las normas.
Este tipo de investigacin es descriptiva porque describe los procesos, servicios,
activos informticos, las vulnerabilidades, amenazas y riesgos existentes en
USOMET, y que llevan a determinar las polticas y procedimientos para mejorar la
confidencialidad, integridad y disponibilidad de la informacin.

18

Fuente: INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, ISO27000,

www.iso27000.es, 2008

29

9. DISEO METODOLGICO
9.1.

TCNICAS PARA LA RECOLECCIN DE INFORMACIN

Valoracin de activos
En la tabla 2, se presenta el formato para establecer la relacin de activos y su
valoracin desde el punto de vista de riesgos en materia informtica, siempre y
cuando apliquen en la empresa.
Tabla 2. Valoracin de activos
ACTIVOS DE LA EMPRESA USOMET LTDA.
Lo que tiene
Elemento

Descripcin

Empleados
Actividad
Arquitectura aplicaciones
SGSI
Usuarios
Sistema de gestin de
proyectos
BD

Servidores

Pruebas
Servidores

30

Valoracin del activo

Muy Alto (MA)
Medio (M)
Bajo (B)

Centro de cmputo
Desarrolladores
Red local
Sistema operativo en
general
Otros empleados
Autenticacin
Acceso
Control del acceso
Acceso fsico a las
instalacin
Para circular en las
instalaciones
Entrada y salida de
equipos
Normativas
Organigrama
Fuente: el autor

Observacin directa. Mediante visitas a la empresa para tener una idea general
de los activos informticos, los procesos y procedimientos que se llevan a cabo en
la empresa USOMET.
Entrevista. Se realizan a los empleados de manera formal con el fin de recaudar
informacin acerca de los procedimientos de uso cotidiano y que tenga relacin

31

directa con el manejo de los activos informticos. El tipo de entrevista ser guiada,
directa, sincrnica y asincrnica.
Cuestionarios. Los cuestionarios son la fuente de informacin para confirmar la
existencia de los riesgos, se aplicar al personal clave que tiene la informacin en
profundidad y conoce ms de cada proceso.
Listas de Chequeo. Las listas de chequeo son indispensables para determinar la
existencia de controles de acuerdo a las normas.
9.2.

UNIVERSO Y MUESTRA

En razn a que el nmero de funcionarios relacionado con el sistema de

informacin de USOMET es pequeo, 10 personas, las pruebas, acompaamiento
observativo y entrevistas se adelantarn con todos los funcionarios.
9.3.

METODOLOGA DE DESARROLLO

Para el logro de los objetivos propuestos se desarrollarn las siguientes

actividades conforme cada objetivo.
Objetivo 1: Diagnosticar y evaluar las condiciones actuales de la empresa
USOMET Ltda, en lo relacionado en materia de informacin y seguridad
informtica, identificando sus activos informticos, mediante instrumentos de
recoleccin de informacin.
Actividades:
Realizar visitas a la empresa para identificar los activos informticos
existentes, registrando cada uno en los formatos prediseados.
Solicitar informacin sobre los inventarios de equipos y planos de la red.
Entrevistar a los responsables del rea informtica para determinar los
activos informticos que soportan el sistema de informacin.
Objetivo 2: Caracterizar los procesos y procedimientos de manejo de informacin
en USOMET con el fin de evaluar e identificar las vulnerabilidades, amenazas y
riesgos, relacionados con los activos informticos.
Actividades:
Solicitar informacin sobre los funcionarios y procesos que cada uno realiza
sobre los activos informticos.
Acompaar en su labor a los funcionarios que realizan actividades que
involucran los activos informticos.
32

Registrar los hallazgos de vulnerabilidades, amenazas y riesgos, sobre su

forma de uso en instrumentos de medicin previamente diseados.

Objetivo 3: Definir mecanismos de gestin de seguridad informtico basados en la

norma ISO/IEC 27001 que faciliten la solucin de problemas mediante la
aplicacin de polticas y procedimientos.
Actividades:
Definir polticas de seguridad de la informacin para el manejo de los
activos de la empresa.
Establecer procedimientos de manejo apropiado para los diferentes tipos de
activos identificados.
Validar con la gerencia de USOMET las polticas y procedimientos
generados.
Objetivo 4: Disear el manual de polticas y procedimientos para el sistema de
gestin de seguridad de la informacin.
Actividades:
Elaborar el manual de polticas y procedimientos a aplicar conforme el
estudio realizado.
Disear el plan de socializacin de resultados.
Socializar el resultado de este proyecto.
9.4.

PRODUCTO A ENTREGAR

Un manual con polticas y procedimiento que apoyen el SGSI basado en la norma

ISO/IEC 27001 de forma que permita aumentar la seguridad de la informacin y la
competitividad de la empresa USOMET LTDA.

33

10. ADMINISTRACIN DEL PROYECTO

10.1. RECURSO HUMANO
Asesor del proyecto:
Ttulo Profesional:

Francisco Nicols Solarte

Magister

Nombre:
Cdula No:
Ttulo Profesional:
Institucin:
Perfil:

Jaime Hernando Henao Rodrguez

19.307.458
Ingeniero de Sistemas
Universidad Nacional Abierta y a Distancia UNAD
Estudiante de Especializacin en Seguridad Informtica.

10.2. RECURSOS MATERIALES:

10.2.1.
Espacio de trabajo: Oficina en: Calle 40 No. 4B-47, Barrio:
Macarena parte alta. Ibagu, Tolima. Colombia
10.2.2.
Recurso informtico: 10 pcs, un servidor, acceso a internet. Red
elctrica estabilizada. Red de datos certificada.
10.2.3.
USOMET.

Muebles y enseres de oficina: Los dispuestos por la empresa

34

11. PRESUPUESTO
Los recursos humanos, tcnicos y financieros se detallan a continuacin en la
tabla 3:
Tabla 3. Presupuesto
RECURSOS
Recursos Fsicos
Tinta Impresora.
Papel (Resma)
CDS
Fotocopias
Digitacin
Impresin
Anlisis de
documentos
Total de Recursos Fsicos

Horas

Cantidad
2
2
10
200

Valor
Unidad
75.000
9.000
10.000
50

Valor Total

Financiado por:

150.000
18.000
10.000
10.000
100.000
250.000

Estudiante.

250.000
788.000

Recursos de Servicios
Internet
Total de Recursos de 80
1
Servicios
Recursos Humanos
Asesora
Total
de
Recursos
Humanos
Otros
Visitas
Transportes
Imprevistos
Total de Otros Servicios
TOTAL
Fuente. Elaboracin propia autor proyecto. 2015

Estudiante.
3.000

240.000
240.000

300.000

300.000
300.000
100.000
200.000
50.000
350.000
1628.000

Estudiante.

Estudiante.

El total de gastos estipulados para el desarrollo del presente proyecto es de

$1628.000, que ser asumido por el estudiante.
11.1. CRONOGRAMA DE ACTIVIDADES
Para la realizacin final y cumplimiento del presente proyecto investigativo, se
pretende llevar a cabo el cronograma de actividades de la tabla 4.

35

Tabla 4. Cronograma de actividades

ACTIVIDAD

Mes 1
Mes 2
Mes 3
Mes 4
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Realizar visitas a la empresa

para identificar los activos
informticos existentes,
registrando cada uno en los
formatos
prediseados.
Solicitar informacin
sobre los
inventarios de equipos y
planos de la red.
Entrevistar a los responsables
del rea informtica para
determinar
los
activos
informticos que soportan el
sistema
informacin.
Solicitar de
informacin
sobre los
funcionarios y procesos que
cada uno realiza sobre los
activos
informticos.
Acompaar
en su labor a los
funcionarios
que
realizan
actividades que involucran los
activos informticos.
Registrar los hallazgos de
vulnerabilidades, amenazas y
riesgos, sobre su forma de
uso en instrumentos de
medicin
previamente
diseados.
Definir polticas de seguridad
de la informacin para el
manejo de los activos de la
empresa.
Establecer procedimientos de
manejo apropiado para los
diferentes tipos de activos
identificados.
Validar con la gerencia de
USOMET las polticas y
procedimientos generados.
Elaborar el manual de polticas
y procedimientos a aplicar
conforme el estudio realizado.
Disear
el
plan
de
socializacin de resultados.
Socializar el resultado de este
proyecto.
Fuente. El autor

36

12. DESARROLLO DEL PROYECTO

Este proyecto se inicia con la aprobacin por parte de USOMET, para desarrollar
el proyecto en su empresa durante el tiempo requerido y obtener el otorgamiento
de los permisos necesarios para tener acceso a toda la informacin pertinente al
sistema de informacin que emplean actualmente. Esta aprobacin ya fue emitida
y constancia de la misma se encuentra en los anexos.
Continuando el orden en que se debe proceder se procedi a gestionar el primer
objetivo especfico:
Diagnosticar las condiciones actuales de la empresa USOMET Ltda, en lo
relacionado en materia de informacin y seguridad informtica, identificando sus
activos informticos, mediante instrumentos de recoleccin de informacin.
Obteniendo como resultado esta informacin:
12.1. IDENTIFICACIN DE ACTIVOS.
En la tabla 5 se elabora una relacin de los activos informticos identificados en la
empresa.
Tabla 5. Activos informticos USOMET Ltda
ELEMENTO
Hardware
Porttiles
PC de escritorio
Impresoras
Servidores
Red estructurada interna
Acceso a internet
UPS
Software
Software antivirus
Firewall
Bases de datos
Software en que se administra la informacin
Seguridad informtica y de la informacin
Estudio de seguridad informtica para la
empresa
Plan de contingencia informtica
Control de acceso a la informacin
Control de acceso fsico a los equipos
Fuente: el autor

CANTIDAD
2
5
2
1
1
1
1
Todos los equipos
Activo en todos los equipos
Ninguna
M.S. Excel - Word
Ninguno
Ninguno
Ninguno
Sistema de vigilancia virtual mediante cmaras.

37

12.2. RECONOCIMIENTO DEL PERSONAL DE LA EMPRESA

A efectos de establecer el volumen de personal que interacta con el sistema se
hace una relacin del mismo en la tabla 6.
Tabla 6. Personal de la empresa USOMET Ltda
Personal
Personal fijo de la empresa con acceso a los
equipos
Personal flotante de la empresa con acceso a
los equipos
Profesional de sistemas en la empresa
Fuente: el autor

6
8
Ninguno

12.3. VALORACIN DE ACTIVOS

Para la valoracin de los activos de informticos se evaluaran los siguientes
elementos:
Evaluar el riesgo basado en los niveles de confidencialidad, integridad y
disponibilidad.
Algunos mtodos de evaluacin de riesgos proporcionan una matriz que define los
niveles de confidencialidad, integridad y disponibilidad y proporcionan orientacin
en cuanto a cuando y como esos niveles debern ser aplicados como se muestra
en la Tabla 7.
Tabla 7. Matriz Evaluacin de Riesgos
IMPACTO DE LA
BAJO
PERDIDA
La divulgacin no
autorizada de
Confidencialidad
informacin se podra
esperar que tenga un
Asegurar que la
limitado efecto adverso
informacin es
en las
accesible slo a
operaciones de la
aquellos
organizacin, activos
autorizadas a
de la organizacin, o
tener acceso
Individuos.

Integridad
Salvaguardar la
exactitud y la
integridad de

La no autorizada
modificacin o
destruccin de
informacin podra
esperase tenga una
efecto adverso limitado

MEDIO
La divulgacin no
autorizada
de informacin se podra
Esperar que tenga un
serio efecto adverso en
las operaciones de la
organizacin, activos de
la organizacin, o
Individuos.
La no autorizada
modificacin o destruccin
de informacin se pudiera
esperar que tenga una
efecto serio en
operaciones de la

38

ALTO
La divulgacin no
autorizada de
informacin se
podra esperar que
tenga un severo o
catastrfico efecto
adverso en las
operaciones de la
organizacin, activos
de la organizacin, o
Individuos.
La no autorizada
modificacin o
destruccin de
informacin se
pudiera esperar que
tenga un efecto

informacin y los
mtodos de
procesamiento

Disponibilidad
Asegurar que los
usuarios
autorizados tengan
acceso a la
informacin y a los
activos asociados
cuando sea
necesario

en operaciones de la
organizacin, activos
de la organizacin, o
individuos.

organizacin, activos de la
organizacin, o
Individuos.

La interrupcin de
acceso a o uso de
informacin o a un
sistema de informacin
podra esperarse tenga
un efecto adverso
limitado en las
operaciones de la
organizacin, activos
de la organizacin, o
individuos.

La interrupcin de acceso
a o uso de informacin o
a un sistema de
informacin podra
esperarse tenga un efecto
serio en las operaciones
de la organizacin,
activos de la
organizacin, o
individuos.

severo o catastrfico
en las operaciones
de la organizacin,
activos de la
organizacin, o
individuos.
La interrupcin de
acceso a o uso de
informacin o a un
sistema de
informacin podra
esperarse tenga un
efecto severo o
catastrfico en las
operaciones de la
organizacin, activos
de la organizacin, o
individuos.

Fuente: el autor

Para identificar la calificacin en la valoracin de activos se presenta la tabla 8.

Tabla 8. Niveles de valoracin de activos informticos
Nivel
Descripcin
MA

Muy Alto

Alto

Medio

Bajo

MB
Muy Bajo
Fuente: el autor

En la tabla 9 se hace la aplicacin de estos criterios de valoracin de los activos

conforme la seguridad de la informacin.
Tabla 9. Valoracin de activos
ACTIVO
DESCRIPCIN
Hardware
Porttiles

PC de escritorio

CONFIDENCIALID
AD

INTEGRIDAD

DISPONIBILI
DAD

MA

MA

MA

MA

MA

MA

Equipos de uso
permanente en
gestin de
informacin de la
empresa.
Proteccin de la
informacin que
all se gestiona.
Equipos de uso
permanente en
gestin de

39

Impresoras

Servidores

Red estructurada
interna
Acceso a internet

UPS

Software
Software antivirus

Firewall

informacin de la
empresa.
Proteccin de la
informacin que
all se gestiona.
Perifricos de uso
compartido.
Proteccin de la
informacin que
all se imprime.
Acta de servidor
web, mientras
que toda la
informacin es
almacenada en
las carpetas y
archivos
asignados para
cada usuario.
Proteccin de la
informacin que
all se gestiona.
802.1X.
Proteccin de la
informacin que
all transita.
Medio de
comunicacin de
informacin entre
empleados de la
empresa, con
proveedores y
clientes.
Proteccin de la
informacin que
por all transita.
Respaldo para la
disponibilidad de
fluido elctrico
para la operacin
del sistema.
Respaldo de la
operacin.
Norton antivirus
licenciado y
actualizado.
Medio de defensa
fundamental.
Respaldo de la
operacin.
Barrera de
contencin a

40

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

Software en que se
administra la
informacin

Seguridad
informtica y de la
informacin
Estudio de
seguridad
informtica para la
empresa

Plan de contingencia
informtica

Control de acceso a
la informacin

acceso no
autorizado desde
el exterior.
Respaldo de la
operacin.
MS Excel y MS
Word.
Software de
ofimtica bastante
estable pero no
cuenta con
seguridad de
acceso y respaldo

Toda empresa
requiere contar
con un apropiado
estudio de
seguridad para su
sistema de
informacin, si
cuenta con uno.
Toda empresa
requiere contar
con planes de
contingencia
debidamente
elaborado para
sus condiciones
especficas.
Toda empresa
requiere disear y
establecer las
polticas de
control fsico y
lgico de acceso
a su sistema de
informacin.

Fuente: el autor

41

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

MA

13. DIAGNSTICO
La empresa USOMET, en materia informtica, se encuentra desprotegida y
conforme la relacin anterior, no est preparada para atender debidamente
eventualidades que pudieran afectar su sistema de informacin.
De lo anterior se desprende que en materia de seguridad informtica esta todo por
hacer en esta empresa.

42

14. DIVULGACIN
La divulgacin de las medidas de seguridad derivadas de este proyecto ser
gestionada directamente por la gerencia de la empresa USOMET en cuanto haya
sido aprobado.

43

15. REFERENCIAS BIBLIOGRFICAS

A. G. Garca, "Diseo de un sistema de gestin de la seguridad informtica SGSI,
para empresas del rea textil en las ciudades de Itag, Medelln y Bogot D.C. a
travs de la auditora". [En lnea]. Disponible:
repository.unad.edu.co/bitstream/10596/3448/1/1030548291.pdf.
ADMINISTRACION DE RIESGOS, AS/NZS 4360, 2004
AVILA ARZUZA, Maribel. Implantacin de un SGSI. Barcelona- Espaa Universitat Oberta de Catalunya, 2012
BISOGNO, Mara Victoria. Metodologa para el aseguramiento de entornos
informatizados MAEI. Buenos Aires Argentina. Universidad de Buenos Aires,
2004
CERVERA, Joseph. (2001). LA TRANSICIN A LAS NUEVAS ISO 900:2000 Y SU
IMPLEMENTACIN. Daz de Santos editores. 2001
G. D. Espaa, "MAGERIT versin 3.0. Metodologa de Anlisis y Gestin de
Riesgos de los Sistemas de Informacin. Libro III - Gua de Tcnicas," [En lnea].
Disponible:
https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/.
INTERNATIONAL ORGANIZATION
www.iso27000.es, 2008

FOR

STANDARDIZATION,

ISO27000,

INTERNATIONAL STANDARD ISO/IEC 17799:2005, ISO-IEC 17799 2005.pdf,

2005
ITGI / OGC, ALIGNING COBIT 4.1, ITIL V3 AND ISO/IEC 27002 FOR
BUSINESS BENEFIT.
http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=46288,
2008
IZQUIERDO D, Fernando. La administracin y los riesgos. [En line]. EN: Maxitana
C, Jennifer D. (Auditor en control de gestin). Tesis: Administracin de riesgos de
tecnologa de informacin de una empresa del sector informtico. Guayaquil
Ecuador: Escuela Superior politcnica del Litoral,
2005. P.39.
http://www.cib.espol.edu.ec/Digipath/D_Tesis_PDF/D-33960.pdf
LOPEZ C, Francisco Jos. (2008). EL SISTEMA INTEGRADO DE GESTION.
Bogot. ICONTEC.
44

METODOLOGA que Integra Seguridad en ITIL Evolucionada y Orientada a la

Normalizacin, disponible en internet en:
http://espacio.uned.es:8080/fedora/get/tesisuned:IngInf-Eruiz/Documento.pdf
NETWORKING online, Normas ISO/IEC 27001, 27002 y su estructura disponible
en: http://jfherrera.wordpress.com/tag/isoiec-27000/.
NTP-ISO/IEC 1779. Norma tcnica Peruana. EDI, Tecnologa de la informacin.
Cdigo de buenas prcticas para la gestin de la seguridad de la informacin,
2007, p.8.
O. A. S. Jaramillo, "Estudio de los procesos de seguridad de la informacin" 2011.
[En lnea]. Disponible:
http://repositorio.utp.edu.co/dspace/bitstream/11059/2370/1/0058S572.pdf.
PALLAS MEGA, Gustavo. (2009). Metodologa de implantacin de un SGSI en un
grupo empresarial jerrquico. Universidad repblica de Montevideo (Uruguay).
VILCHES T, Martn. El riesgo [en lnea]. EN: Machuca C, John. (Magister en
Contabilidad y Auditora). Tesis Gua para la evaluacin del sistema de riesgo
operativo en la Cooperativa de Ahorro y Crdito Jardn Azuayo. Cuenca Ecuador.
Universidad de Cuenca, 2011. P.21.
http://dspace.ucuenca.edu.ec/bitstream/123456789/2729/1/tm4487.pdf

45

ENLACES WEB
LA AUDITORA interna como una herramienta para establecer controles internos
eficientes en las pequeas y medianas empresas ferreteras de la Ciudad de San
Miguel, disponible en internet en: http://168.243.33.153/infolib/tesis/50107386.pdf
CALIDAD y Seguridad de la informacin y auditora informtica, disponible en
internet en:
http://earchivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jsess
ionid=10850A53006DB846CED4EDCEDEDE1C40?sequence=1
GESTIN estratgica de seguridad en la empresa, disponible en internet en:
http://video.anetcom.es/editorial/Seguridad_empresa.pdf

46

ANEXOS
ANEXO A (Solicitud enviada a la gerente de USOMET Ltda.)

47

ANEXO B (Respuesta de aprobacin de la gerente de USOMET Ltda.)

48