PLAN DE MEJORA EN SEGURIDAD

DIRECCIÓN ANTISECUESTRO Y ANTIEXTORSIÓN – POLICÍA NACIONAL

NORMA ISO 27002

LAURA NOELIA LEÓN MONCADA

CÓDIGO 60268148

SERVICIO NACIONAL DE APRENDIZAJE – SENA

ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES
DE DATOS
FICHA 1792976
BOGOTÁ
2018
 PLAN DE MEJORA EN SEGURIDAD
DIRECCIÓN ANTISECUESTRO Y ANTIEXTORSIÓN – POLICÍA NACIONAL
NORMA ISO 27002

LAURA NOELIA LEÓN MONCADA

CÓDIGO 60268148

Presentado a:
INGENIERO ANDRÉS JULIÁN HOYOS CAICEDO

SERVICIO NACIONAL DE APRENDIZAJE – SENA

ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES
DE DATOS
FICHA 1792976
BOGOTÁ
2018
 INTRODUCCIÓN

La información es un activo muy importante para las organizaciones, por tanto, el

aseguramiento de este activo y de los diversos sistemas para protegerlo, debe ser uno de los
objetivos primordiales para la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo por ISO

(International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Desde el 1 de Julio de 2007, ISO 27002: es el nuevo nombre de ISO 17799:2005,

manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de la información. No
es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un
anexo que resume los controles de ISO 27002:2005. Desde 2006, sí está traducida en
Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).

Es por ello que la Policía Nacional vio la necesidad de establecer el Sistema de Gestión de
Seguridad de la Información, el cual cuenta con herramientas que incluyen normas,
protocolos y controles a los activos de información, permitiendo hacer una adecuada gestión
del riesgo y fortaleciendo la Institución ante posibles amenazas que afecten su continuidad
del negocio; aunado a lo anterior loa Dirección antisecuestro y Antiextorsión adopta la
resolución general de la Policía Nacional mediante el instructivo 013 de 30/05/2017.
 TABLA DE CONTENIDO

Pág.
Resultados plantilla ISO 27002 5
Identificación de riesgo 8
Plan de mejora 10
Luego de diligenciar la plantilla ISO 27002, generó los siguientes resultados:

DOMINIO ESCALA DE
CUMPLIMIENTO
DEL CONTROL
Política de seguridad Alto
Estructura organizativa para la seguridad Alto
Clasificación y control de activos Alto
Seguridad en el personal Alto
Seguridad física y del entorno Alto
Gestión de comunicaciones y operaciones Alto
Control de accesos Alto
Desarrollo y mantenimiento de sistemas Alto
Gestión de incidentes de la seguridad de la información Alto
Gestión de la continuidad del negocio Alto
Cumplimiento Alto

Tabla N.1: Resultados de la auditoria aplicada en la Dirección Antisecuestro y Antiextorsión

de la Policía Nacional - Nivel Central.
Es de anotar que la Policía Nacional se encuentra comprometida con el aseguramiento de la
seguridad de la información, por esto que mediante resolución No. 08310 del 28/12/2016
renovó el manual del sistema de gestión de seguridad de la información, cuya resolución
anterior era la 03049 del 24/08/2012.
Este manual tiene alcance de cumplimiento obligatorio para todos los funcionarios de la
Policía Nacional y personal externo que le proporcione algún bien o servicio; la política de
seguridad de la información busca cubrir toda la información impresa o escrita en papel,
recopilada electrónicamente en cualquier medio de almacenamiento actual o futuro,
transmitida a través de medio electrónico, mostrada en videos o hablados, y todo lo
considerado información de carácter institucional que se convierte en activos de
información.
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PONAL. La Policía Nacional de
Colombia se compromete a salvaguardar sus activos de información con el fin de protegerlos
de las amenazas que se ciernen sobre ellos, a través de la implementación de un Sistema de
Gestión de Seguridad de la Información que permita la adecuada gestión del riesgo, la
generación de estrategias de seguridad basada en las mejores prácticas y controles, el
cumplimiento de los requisitos legales, la oportuna gestión de los incidentes, y el compromiso
Institucional de mejora continua.
En esta gráfica se puede resumir como actúa la norma ISO 27002.

Fuente: www.ISO27000.es
Con el fin de dar continuidad y cumplimiento a la política de seguridad de información de la
Policía Nacional, la dependencia a la cual pertenezco que es la Dirección Antisecuestro y
Antiextorsión adoptó el Instructivo No. 013 del 30/07/2017.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DIASE. La Dirección

Antisecuestro y Antiextorsión de la Policía Nacional de Colombia se compromete a
salvaguardar sus activos de información con el fin de proteger los de las amenazas que se
ciernen sobre ellos, a través de la implementación de un Sistema de Gestión de Seguridad de
la Información que permita la adecuada gestión del riesgo, la generación de estrategias de
seguridad basada en las mejores prácticas y controles, el cumplimiento de los requisitos
legales, la oportuna gestión de los incidentes, y el compromiso Institucional de mejora
continua.
Se aplican los 133 controles y se establecen sanciones identificadas por medio de colores
para sentar un precedente a los funcionarios que incumplan los mismos. Algunas de estas
faltas son:
Color amarillo: afectación baja

Color naranja: afectación media

Color rojo: afectación alta

Sin embargo, a pesar de cumplir con los controles y tener una política de seguridad de la
información establecida en la última auditoría realizada por parte de ICONTEC, se encontró
un riesgo al cual se le realizo plan de mejoramiento de esta manera:
Riesgo o tema objeto de análisis: No se encuentra disposición efectiva de medios de
soporte.

Evidencia: En el archivo del proceso de gestión documental se encuentra lo siguiente:

1. Por fuera de la estantería y en el piso (detrás de un extintor) hay un DVD Marcado como
"Backup de archivo de gestión 1 trimestre".

2. Encima de la estantería, en un lugar de difícil acceso, Se encuentra una caja con cintas de
video que no tienen ninguna identificación para su almacenamiento o su disposición.
Este tema objeto de análisis se trata en el formato de plan de mejoramiento de mejora
continua e innovación, formato estandarizado con el Código: 1MC-FR-0004.
Se identificaron posibles causas de este riesgo, así:

C1. Falta de continuidad en el cargo de Jefe de Gestión Documental, dificultando llevar a cabo un adecuado
control.

C2. Falta de un procedimiento para la gestión de cintas de video.

C3. Falta de controles para la recepción de cintas de video.

C4. Falta de organización en el almacenamiento de cintas de video.

C5. Falta de personal para ejecutar las múltiples tareas del proceso.

C6. Falta de la infraestructura adecuada para el almacenamiento de las cintas de video.

C7. Falta de capacitación al personal de la Especialidad en el Proceso de Gestión Documental.

C8. Subutilización del archivo central en cuanto al ingreso de elementos ajenos al proceso Gestión
Documental.
Se escogió la causa No. 4 para adelantar el plan de mejoramiento de la siguiente manera:

Numeral Enuncie hallazgo/ No

Origen
Tipo de o conformidad, problema
Fecha (fuente de Unidad Proceso
auditoría requisito real o aspecto por
información)
afectado mejorar/Recomendaciones

Descripción de la no
conformidad: norma ISO
IEC 27002 requisito A.8.3.2
No se encuentra disposición
efectiva de medios de
soporte
Aspectos por
Evidencia: En el archivo del
mejorar de
proceso de gestión
auditorías
documental se encuentra lo
entes Norma
siguiente:
certificadores Dirección Auditoría ISO
Direccionamiento 1. Por fuera de la estantería
30/11/2018 y Antisecuestro y ente 27002,
tecnológico y en el piso (detrás de un
acreditadores Antiextorsión certificador control
extintor) hay un DVD
(cuando A.8.3.2
Marcado como "Backup de
aplique, según
archivo de gestión 1
criterio del
trimestre"
auditado).
2. Encima de la estantería,
en un lugar de difícil acceso,
Se encuentra una caja con
cintas de video que no tienen
ninguna identificación para
su almacenamiento o su
disposición.
 ACTIVIDADES PROGRAMADAS

Cantidad y
CORRECCIÓN CAUSA RAÍZ Responsable
Descripción Evidencia
de la
actividades (soporte) del Fecha Fecha
actividad
incluyendo el cumplimiento inicio final
(Nombre y
alcance de la
cargo)
actividad

1. Verificar en
el archivo
central la
existencia de
(01 ) informe Jefe de
más cintas de
de 03/12/2018 17/12/2018 Gestión
video u otros
actividades Documental
elementos
magnéticos
que contengan
información.

1. Verificar el 2. Socializar y
contenido del CD recomendar a
a fin de las Unidades Jefe de
determinar su los aspectos (01 ) Acta 18/12/2018 03/01/2019 Gestión
disposición final.
C4. Falta de relevantes Documental
EVIDENCIA:
organización en sobre el
(01) Acta hallazgo.
el
2. Inventariar las
almacenamiento
cintas de video y
de cintas de 3. Verificar en
adecuar el
video. los archivos de
espacio para su
gestión de las (01 ) informe Jefe de
conservación.
unidades de 06/01/2019 15/02/2019 Gestión
EVIDENCIA: pertenecientes actividades Documental
Informe de a la Regional
actividades
No. 1.

4. Evaluar la
efectividad de
la acción
correctiva de
acuerdo a los (01) formato Director
lineamientos 1MC-FR- 16/02/2019 28/02/2019 Antisecuestro
establecidos 0004 y
por el proceso Antiextorsión
de Mejora
Continua e
Innovación.