Actividad 2: Realizando una preauditoria de SGSI

INTEGRANTES:

Nixon Camilo Anacona Diaz

Xiamir Luquez Ramírez

Luis Fernando Sierra Romero

Especialización en Ingeniería de software, UNIR

Seguridad en Aplicaciones Software

Docente: Rodolfo Antonio Muriel Rodríguez

Fecha 20 de febrero de 2023

1
Contenido
1. Introducción........................................................................................................................
2. Estándares base..................................................................................................................
3. Descripción de la empresa..................................................................................................
4. Descripción del proyecto....................................................................................................
5. Categorización de activos...................................................................................................
6. Análisis de controles...........................................................................................................
7. Análisis del SOA.................................................................................................................16
8. Conclusiones.....................................................................................................................34
9. Bibliografía........................................................................................................................3

2
1. Introducción

El Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de políticas,

procedimientos y controles que permiten gestionar de forma eficiente y eficaz la
seguridad de la información de una organización. Su implementación implica el análisis de
riesgos, la definición de objetivos y metas, la identificación de controles de seguridad y la
evaluación de su efectividad. Además, la norma ISO 27001 establece los requisitos
mínimos para la implementación de un SGSI, y su certificación brinda confianza a los
clientes y otras partes interesadas en cuanto a la gestión de la seguridad de la información
de la organización.

Entre los activos de hardware más importantes se encuentran terminales de trabajo,

redes de comunicaciones, routers, servidores físicos y televisores. También existen
máquinas virtuales con diversos sistemas y aplicaciones, como el sistema de seguridad
perimetral Firewall, la plataforma Moodle, el sistema de gestión documental Sigedin y el
sistema contable SysApolo, entre otros.

Es importante destacar que, según un análisis realizado de los primeros 6 dominios de la

norma de seguridad de la información, se encontraron deficiencias en los controles de
seguridad implementados. Por ejemplo, se detectó que el cumplimiento de las políticas de
seguridad de la información solo alcanza un 32%, lo que evidencia la falta de claridad
sobre estas políticas y la necesidad de un compromiso mayor por parte de los líderes para
su implementación y seguimiento.

En cuanto a la organización de la seguridad de la información, este control registra un 22%

de cumplimiento, lo que indica que se deben mejorar los procesos y mecanismos para
garantizar una gestión más efectiva de la seguridad de la información en el instituto.
También se detectó una baja tasa de cumplimiento en el control de acceso y la
criptografía, lo que significa que se deben revisar los procesos y mecanismos de
autenticación y cifrado para garantizar la protección de los datos.

En este sentido, se hace necesario implementar planes de acción urgentes que permitan
cumplir al 100% con los requisitos de la norma de seguridad de la información y garantizar
la protección de los datos y la continuidad de las operaciones del instituto. Para ello, es
fundamental contar con líderes comprometidos con la seguridad de la información y
asignar personal adecuado para la implementación y seguimiento de las políticas y
controles de seguridad de la información.

3
2. Estándares base

Este análisis de seguridad de la información se basó en base al estándar ISO 27001:2013.

La norma ISO-27001:2013 es una norma internacional para la gestión de la seguridad de la

información. Se enfoca en establecer, implementar, mantener y mejorar continuamente
un Sistema de Gestión de Seguridad de la Información (SGSI) en una organización.

Para implementar la norma ISO-27001:2013 se deben seguir los siguientes pasos:

1. Establecer un comité de seguridad de la información: Este comité estará encargado

de liderar y coordinar el proceso de implementación del SGSI.
2. Identificar los activos de información: Es importante establecer una política de
seguridad de la información clara y definir objetivos específicos de seguridad de la
información que la organización desea lograr.
3. Realizar una evaluación de riesgos: Se debe realizar una evaluación de riesgos para
identificar las amenazas y vulnerabilidades asociadas a los activos de información.
4. Definir controles de seguridad: Con base en la evaluación de riesgos, se deben
definir los controles de seguridad necesarios para mitigar los riesgos identificados.
5. Implementar los controles de seguridad: Se deben implementar los controles de
seguridad definidos en el paso anterior.
6. Monitorear y revisar el SGSI: Es necesario monitorear y revisar continuamente el
SGSI para garantizar su efectividad y mejora continua.

Respecto a la metodología Emarisma para la gestión y análisis de riesgo, es una

herramienta que permite identificar y analizar los riesgos asociados a los activos de
información de una organización. Esta metodología se enfoca en los siguientes pasos:

1. Identificación de activos de información: Al igual que con la norma ISO-27001, se

deben identificar todos los activos de información de la organización.
2. Análisis de riesgos: Se debe realizar un análisis de riesgos para identificar las
amenazas, vulnerabilidades y riesgos asociados a los activos de información.
3. Evaluación de riesgos: Se evalúan los riesgos identificados con el fin de priorizar los
controles de seguridad a implementar.
4. Mitigación de riesgos: Se implementan los controles de seguridad necesarios para
mitigar los riesgos identificados.
5. Monitoreo y revisión: Se monitorean y revisan continuamente los controles de
seguridad para garantizar su efectividad y mejora continua.

En conclusión, para garantizar la seguridad de la información del instituto tecnológico del

Putumayo, es necesario implementar un SGSI basado en la norma ISO-27001:2013 y

4
utilizar la metodología Emarisma para identificar, analizar y mitigar los riesgos asociados a
los activos de información de la organización.

3. Descripción de la empresa

El Instituto Tecnológico del Putumayo se esfuerza por brindar una educación de calidad a
sus estudiantes, lo cual requiere un sistema académico eficiente y fácil de usar para
estudiantes, profesores y administradores. Un sistema de pago en línea seguro y confiable
también es esencial para cubrir los gastos académicos. Para aprovechar al máximo estas
herramientas, es crucial que se ofrezca capacitación a profesores y estudiantes sobre su
uso.

Además, la integración de sistemas académicos con otras aplicaciones y herramientas

tecnológicas puede mejorar la eficiencia y eficacia de los procesos académicos. Para lograr
esto, se debe mejorar la infraestructura tecnológica y la red de internet para garantizar
una conexión constante y confiable. Asimismo, se debe proporcionar apoyo técnico a los
usuarios para resolver problemas relacionados con los sistemas. La seguridad y privacidad
de la información personal y financiera de los usuarios del sistema de pago en línea es una
prioridad que debe ser protegida en todo momento.

Mantener actualizado el sistema académico y de pago en línea es fundamental para

mantenerse al día con las últimas tecnologías y tendencias en el sector educativo. Para
ello, se recomienda la creación de un comité de seguimiento que se encargue de
monitorear el desempeño de los sistemas y hacer mejoras continuas para satisfacer las
necesidades de los usuarios.

Existen muchas oportunidades para mejorar el sistema académico del Instituto

Tecnológico del Putumayo. Por ejemplo, se podría desarrollar un sistema académico
basado en la nube, integrar inteligencia artificial y aprendizaje automático, implementar
un sistema de seguimiento de la asistencia y rendimiento, implementar un sistema de
pago móvil, proporcionar un servicio de atención al cliente en línea y desarrollar un
programa de capacitación virtual.

Para llevar a cabo estas mejoras, se recomienda realizar una investigación y evaluación de
diferentes plataformas de software de gestión académica, personalizar características y
funcionalidades, y colaborar con empresas tecnológicas líderes. La capacitación es
fundamental para garantizar el correcto funcionamiento del sistema y aprovechar al
máximo sus características y funcionalidades.

5
4. Descripción del proyecto

El proyecto de seguridad de la información y auditoría de sistemas del Instituto

Tecnológico del Putumayo (ITP) tiene como objetivo principal garantizar la seguridad de la
información en la institución y evaluar la efectividad de los controles de seguridad
implementados. El ITP cuenta con la infraestructura necesaria, que incluye equipos
informáticos, redes de comunicaciones, aplicaciones de software y equipamiento auxiliar,
los cuales ya han sido adquiridos e implementados.

Sin embargo, se ha identificado que no se están aplicando controles de seguridad

adecuados en los primeros seis dominios de la norma. Por lo tanto, es necesario
implementar medidas de seguridad que permitan el cumplimiento al 100% de los
requisitos de la norma y garantizar la seguridad de la información de la organización.

Entre las medidas a implementar se encuentra la elaboración de políticas de seguridad de

la información claras y concretas para la organización. Además, se debe reorganizar la
seguridad de la información en la institución y aplicar controles efectivos para la gestión
de activos, el control de acceso y la criptografía, entre otros.

En cuanto a la infraestructura existente, se recomienda revisar y actualizar el sistema de

seguridad perimetral (Firewall), asegurando que esté actualizado y correctamente
configurado. Asimismo, se debe verificar que el sistema de respaldo (Free NASS) esté
funcionando correctamente y realizar pruebas de restauración para comprobar su
efectividad.

Otra medida importante es implementar un sistema de gestión documental institucional

académico (Sigedin) y revisar la configuración del servidor de bases de datos en Linux para
garantizar su seguridad y confidencialidad. También se debe revisar la red de datos del
proveedor y asegurarse de que se esté realizando el pago anual correspondiente para
mantener su correcto funcionamiento.

Por último, se recomienda la realización de mantenimientos programados

trimestralmente del sistema de respaldo de energía solar para garantizar la continuidad
del servicio en caso de interrupciones en el suministro eléctrico y utilizar los televisores LG
50" como dispositivos de apoyo para los docentes en su enseñanza.

En conclusión, el proyecto de seguridad de la información y auditoría de sistemas del

Instituto Tecnológico del Putumayo es esencial para garantizar la confidencialidad,
integridad y disponibilidad de la información de la institución. Es importante implementar
medidas de seguridad adecuadas y actualizar la infraestructura existente para garantizar la
protección de los activos de la organización.

6
5. Categorización de activos

Tipo Nombre Coste Valor Descripción

Equipos Equipos $800,000,000. Medio Terminales de Trabajo,

informáticos 00 Terminales para
(hardware) consultas de
estudiantes en salas.

Redes de FIREWALL - $80,000,000.0 Muy Alto Sistema de seguridad

comunicaciones SOPHOS 0 perimetral - Firewall

Aplicaciones Máquina Virtual $85,000,000.0 Bajo SISTEMA DE

(software) - CIECYT 0 REPOSITORIO PARA
TRABAJOS DE GRADO

Aplicaciones Máquina Virtual $8,000,000.00 Alto Sistema de respaldo

(software) - FREE NASS para salvaguardar la
información y copias de
máquinas virtuales.

Equipamiento Máquina Virtual $13,000,000.0 Muy Bajo Sistema de plataforma

auxiliar - MOODLE 0 Moodle para el apoyo a
docentes.

Aplicaciones Máquina Virtual $200,000,000. Muy Alto Sistema de Gestión

(software) - Sigedin 00 Documental
Institucional
Académico, en este
servidor de encuentra
alojado el aplicativo
web.

Aplicaciones Máquina Virtual $160,000,000. Alto SISTEMA CONTABLE

(software) - SysApolo 00

Datos / Máquina Virtual $50,000,000.0 Muy Alto Dentro de Activo se

Información Servidor de 0 encuentran los datos
Bases de Datos del sistema académico
en Linux donde la aplicación
WEB se conecta.

7
Redes de RED DE DATOS $300,000,000. Alto Red de datos y acceso a
comunicaciones DEL 00 internet para la
PORVEEDOR publicación de servicios
de la institución. pago
de forma anual

Equipos Router MikroTik $7,000,000.00 Alto Dispositivo de Red

informáticos Cloud Core dispuesto para la
(hardware) administración,
segmentación y
organización de las
diferentes redes del
INSTITUTO
TECNOLÓGICO DEL
PUTUMAYO.

Equipos SERVIDOR $80,000,000.0 Alto Servidor Físico donde

informáticos PROLAINT GEN 0 se encuentran alojadas
(hardware) 8 - 2016 - Server FTP - FREE
NASS
- Moodle.
- Servidor de Desarrollo
Sistema Académico.

Equipos SERVIDOR $70,000,000.0 Alto Servidor Físico donde

informáticos PROLAINT GEN 0 se encuentran alojadas
(hardware) 8 -2012 las Máquina Virtual

Equipos SERVIDOR $80,000,000.0 Alto Servidor donde se aloja

informáticos PROLAINT GEN 0 El sistema del centro de
(hardware) 9 - 2018 investigación CIECYT

Equipamiento SISTEMA DE $180,000,000. Alto SISTEMA DE RESPALDO

auxiliar RESPALDO DE 00 DE ENERGIA SOLAR
ENERGIA SOLAR

Equipos TELEVISORES LG $120,000,000. Bajo Dispositivos utilizados

informáticos 50" 00 como apoyo para los
(hardware) docentes en su
enseñanza.

8
6. Análisis de controles

Buscando proteger la información crítica y sensible del instituto, es muy importante

evaluar la efectividad de los controles de seguridad implementados, buscando identificar
los posibles riesgos y vulnerabilidades que pueden existir.

Para esto se realiza un análisis de los controles de los primeros 6 dominios de la norma,
esto permite identificar donde se presentan el mayor riesgo en la gestión de nuestros
activos.

Dominio Cumplimiento

[A.5] - Políticas de Seguridad de la información 32%

[A.6] - Organización de la seguridad de la información 22%

[A.7] - Seguridad ligada a los recursos humanos 58%

[A.8] - Gestión de activos 28%

[A.9] - Control de acceso 16%

[A.10] - Criptografía 0%

9
Basados en la información anterior podemos identificar que luego de la revisión inicial de
los primeros 6 dominios, no se evidencia la aplicación de controles que garanticen la
seguridad de la información, Por lo que es convenirte generar de manera urgente planeas
de acción que permitan el cumplimiento al 100% de la requisitos de la norma y de esta
manera garantizar la seguridad de información de la organización.

[A.5] - Políticas de Seguridad de la información

Podemos identificar que no hay claridad sobre la política de seguridad de la información

en la organización, este control registra solo un 25% de cumplimiento lo que refleja que
no existes una constancia en cuanto a la implementación y seguimiento de estas políticas

10
por parte de los directivos, para mitigar esto, los lideres deben estar 100% comprometidos
con la seguridad de la información y asegurarse que todos los empleados asimilen y se
apropien de estas ya sea asignado personal adecuado para la implementación de estas
políticas, desarrollo de un plan de capacitaciones y sensibilizando al personal sobre la
importancia de la implantación de estas políticas.

Se debe realizar seguimiento constante de las políticas de seguridad de la información ya

que las amenazas de seguridad están en constante evolución, lo que dejaría a una política
de seguridad obsoleta. Por esto es importante se requiere una revisión constante y
actualización periódica de estas políticas.

[A.6] - Organización de la seguridad de la información

11
De acuerdo a esta revisión inicial podemos identificar que existe mucho riesgo en la
organización de la seguridad de la información ya que a pesar de que dentro de la
organización interna del instituto algunos funcionarios tienen claridad de su rol y sus
responsabilidades, es importante contar con una visión clara que permita a todos los
empleados del instituto conocer sus roles y responsabilidades para el pro de la seguridad
de la información del instituto.

Por otro lado, al no contar con segregación de tarea aumenta el riesgo de errores que
puede comprometer la seguridad de la información, por eso la importancia de una buena
organización interna. La implementación de una matriz de contacto se hace necesaria ya
que no se cuenta con un contacto directo con las autoridades y con grupos de interés
especial. El no contar con seguridad de la información en la gestión de proyecto puede
llevar a la divulgación de proyectos futuros, perdida de información lo que llevaría a
generar costes adicionales para el instituto , por esto es importante que se adopten
medidas para proteger esta información.

Se identifica un 35% cumplimiento en el control de dispositivos móviles y el teletrabajo, lo

que da a entender que el instituto busca establecer un modelo de teletrabajo, pero se le
ha dificultado tener un control sobre los dispositivos móviles ya que los empleados
pueden usar sus dispositivos móviles fuera de las instalaciones del instituto para acceder a

12
la información de este, lo que lleva a una falta de control de la seguridad de la
información. Para mitigar esto, es importante que se implementen medidas como la
gestión adecuada de dispositivos móviles fuera del instituto, así como el buen uso de las
herramientas que ayuden a gestionar el teletrabajo.

[A.7] - Seguridad ligada a los recursos humanos

En el control previo de la contratación podemos evidenciar que se cuenta con medidas

adecuadas para los procesos previo a la contratación de empleados, pero, por otro lado,
se carece un plan de capacitaciones para el mejoramiento de los empleados frente a la
seguridad de la información es por esto, que se hace necesario aplicar controles para la
concienciación de los empleados buscando crear una cultura de seguridad de la
información en el instituto.

[A.8] - Gestión de activos

13
Se identifica que existe un inventario de activo en el instituto, pero existen falencias que
evitan que este control cumpla al 100% con su objetivo, para esto se debe buscar un plan
de mejora que ayude a mejorar estos controles. Otro punto a considerar es el uso
aceptable de los activos ya que presenta solo un 8% de cumplimiento, lo que da a
entender que existe la posibilidad de generar fuga de información lo que llevaría a
incumplimientos legales al difundir información confidencial de los estudiantes y docentes
del instituto, así como también gestionar de manera adecuada la devolución de activos.

Por otro lado, no existen controles para el etiquetado de la información y eliminación de

soporte lo que podría ocasionar problemas significativos ya que si no se tiene un
etiquetado adecuado de la información causaría perdida e información importante para el
instituto, de igual forma la mala gestión de la eliminación de soporte puede llevar a que la
información sea filtrada luego de un dispositivo es dado de baja. Para mitigar esto, es
importante la implantación de controles claros en el etiquetado de la información y la
eliminación de soporte y además asegurarse que todos los empleados del instituto
comprendan los procesos de una manera adecuada.

[A.9] - Control de acceso

14
En el control de acceso es evidente la gran falencia ya que solo presenta un cumplimiento
del 16%, lo que representa un gran riesgo para el instituto, a pesar de la existencia de una
política de control de acceso, es claro que no existe una adecuada implementación de esta
lo que pude llevar a que la información confidencia del estudiantes y docentes se va
expuesta y esto viole la confidencialidad de estos, lo que pude generar disminución y
reputación del instituto, es por esto que se hace necesaria la implantación de controles
que aseguren que se cumplan con los objetivos y las necesidades de una correcta
utilización de una política de control de acceso.

Por otro lado la importancia de la gestión de acceso de usuario presenta un cumplimiento

demasiado bajo lo que aumenta el riesgo de pérdida de información al no realizar una
correcta gestión de usuario, esto se debe a que no existe un correcto control en la

15
asignación y retiro de usuario de los empleados del instituto dejando una brecha enorme
para que se presente esta vulnerabilidad. Así mismo se hace necesario establecer
controles para la asignación y manejo de contraseñas ya sea usando sistemas de gestión
de contraseñas que nos garanticen la confidencialidad de las mismas.

[A.10] – Criptografía

En este control se puede evidenciar un cumplimiento del 0% lo cual representa un alto

riesgo en la vulnerabilidad de la información, ya que no existe ninguna política de uso de
controles criptográficos lo que genera un gran riesgo de pérdida, modificación y
divulgación de información confidencial, por lo tanto, es de gran importancia el uso y la
implementación de herramientas criptográficas para asegurar las claves y la solicitud de
las mismas.

16
 7. Análisis del SOA

Código Control Aplica Objetivos Método de Responsable

implantación

[A.5] Políticas de Seguridad de la información.

[A.5.1] Directrices de Proporcionar orientación y apoyo a la gestión de seguridad de la

gestión de la información de acuerdo con los requisitos del negocio, las leyes y
seguridad de la normas pertinentes.
información.

[A.5.1.1] Políticas para la si Establecer los Sistema para Departamento de

seguridad de la lineamientos instruir al TIC y Gerencia
información. necesarios y personal con los General.
obligatorios que lineamientos ya
deben ser establecidos en
observados por los las políticas para
funcionarios de la la seguridad de la
compañía y en información.
especial por los
encargados de
seguridad, para Reuniones de
garantizar la capacitación de
confidencialidad, personal
disponibilidad e
integridad de la
información que se Manual de
genera y gestiona capacitación y
dentro de la procedimientos,
compañía. reglamento
interno de la
empresa

[A.5.1.2] Revisión de la si Definir plazo y Manual de Departamento de

política de mecanismo para la capacitación y TIC y Gerencia
seguridad de la revisión formal de la procedimientos, General.
información. política de seguridad reglamento
y su actualización interno de la
periódica, de

17
 acuerdo con las empresa
necesidades
organizacionales y
de ley. Reuniones para
control y
actualización de
acuerdo al
calendario, fechas
de obligatorio
cumplimiento.

[A.6] Organización de la seguridad de la información.

[A.6.1] Organización Establecer un marco de gestión para iniciar y controlar la

interna. implementación y operación de la seguridad de la información dentro
de la organización.

[A.6.1.1] Roles y si Establecer los roles y Manual de Departamento de

responsabilidad responsabilidades capacitación y TIC,
es en seguridad necesarios para procedimientos, Departamento de
de la garantizar el reglamento recursos
información. cumplimiento de las interno de la humanos y
disposiciones en empresa. departamento de
materia de gestión de
seguridad de la calidad.
información. Estudio previo de
las tareas y
capacidades de
cada persona en
la institución.

Tablero con los

datos de
responsabilidad

18
 de cada individuo
involucrado.

[A.6.1.2] Segregación de si Identificar la Manual de Departamento de

tareas. presencia de capacitación y TIC,
conflictos en la procedimientos, Departamento de
implementación de reglamento recursos
actividades interno de la humanos y
relacionadas con empresa departamento de
seguridad de la gestión de
información y calidad.
garantizar que estos Llevar un control
son resueltos. en cada reunión,
observando
falencias y así
mitigar cada
problema que se
presente

[A.6.1.3] Contacto con las si Disponer de un Manual de Departamento de

autoridades. listado de contactos capacitación y TIC,
claramente procedimientos, Departamento de
identificados y reglamento recursos
divulgados a los interno de la humanos y
interesados, que empresa. departamento de
puedan ser gestión de
fácilmente ubicados calidad.
en caso de eventos o Lista de contactos
emergencias. físicamente y una
persona
encargada de
llevar el registro
de cada uno.

[A.6.1.4] Contacto con si Garantizar la Manual de Departamento de

grupos de actualización capacitación y TIC,
interés especial. permanente del procedimientos, Departamento de
encargado de reglamento recursos
seguridad sobre interno de la humanos y
temas que impactan departamento de

19
 su labor, mediante empresa. gestión de calidad
su participación
activa en foros y
grupos de
investigación.

[A.6.1.5] Seguridad de la si Asegurar la Manual de Departamento de

información en implementación de capacitación y TIC,
la gestión de los lineamientos y procedimientos, Departamento de
proyectos. directrices definidos reglamento recursos
en materia de interno de la humanos y
seguridad de la empresa. departamento de
información, gestión de
durante la ejecución calidad.
de los proyectos y la Control
prestación de los adecuado, lista de
servicios. lineamientos y
directrices ya
desarrollados y
no desarrollados.

[A.6.2] Los dispositivos Garantizar la seguridad en el teletrabajo y en el uso de dispositivos

móviles y el móviles.
teletrabajo

[A.6.2.1] Política de si Establecer Manual de Departamento de

dispositivos lineamientos para el capacitación y TIC y Gerencia
móviles. manejo adecuado de procedimientos General.
la seguridad de la
información en
dispositivos móviles.

[A.6.2.2] Teletrabajo. si Definir directrices de Manual de Departamento de

obligatorio capacitación y TIC, Gerencia
cumplimiento por procedimientos. General,
parte del personal Departamento de
que eventualmente recursos
realiza actividades humanos.
de tipo laboral fuera
de las instalaciones

20
 de la compañía.

[A.7] Seguridad ligada a los recursos humanos

[A.7.1] Antes del Para asegurarse de que los empleados y contratistas entiendan sus
empleo responsabilidades y son adecuados para las funciones para las que se
consideran.

[A.7.1.1] Investigación de si Establecer controles Manual de Departamento de

antecedentes. específicos durante capacitación y recursos
el proceso de procedimientos, humanos.
selección y reglamento
contratación del interno de la
recurso humano, empresa,
con el fin de Contratos de
asegurar su personal de
idoneidad para el acuerdo a sus
desempeño del capacidades y
cargo y las antecedentes
responsabilidades (obtención de
asociadas en cuanto hojas de vida
a seguridad de la completas).
información.

[A.7.1.2] Términos y si Establecer políticas Manual de Departamento de

condiciones del asociadas a la capacitación y recursos
empleo. protección de la procedimientos, humanos.
seguridad de la reglamento
información, que interno de la
sean de obligatorio empresa,
cumplimiento para Contratos de
el personal. personal de
acuerdo a sus
capacidades y
antecedentes
(obtención de
hojas de vida
completas)

[A.7.2] Durante el Asegurar que los empleados y contratistas conozcan y cumplan con

21
 empleo. sus responsabilidades en seguridad de la información.

[A.7.2.1] Responsabilidad si Establecer los Manual de Departamento de

es de gestión. mecanismos capacitación y recursos
necesarios para procedimientos, humanos.
garantizar que los reglamento
empleados y interno de la
terceros conozcan e empresa.
implementen sus
responsabilidades
en gestión de
seguridad de la
información.
[A.7.2.2] Concienciación, si Establece e Manual de Departamento de
educación y implementar los capacitación y recursos
capacitación en mecanismos a través procedimientos, humanos.
seguridad de la de los cuales la reglamento
información. compañía mantiene interno de la
capacitado y empresa.
comprometido a su
personal en materia
de seguridad de la
información.

[A.7.2.3] Proceso si Establecer los Reglamento Departamento de

disciplinario. lineamientos para la interno de la recursos
aplicación de empresa. humanos.
sanciones o
procesos
disciplinarios
asociados a la
ocurrencia de
incidentes de
seguridad.

[A.7.3] Finalización del Proteger los intereses de la organización como parte del proceso de
empleo o cambio o finalización del empleo.
cambio en el
puesto de

22
 trabajo.

[A.7.3.1] Responsabilidad si Establecer el Reglamento Departamento de

es ante la procedimiento para interno de la recursos
finalización o el retiro de permisos empresa. humanos.
cambio. y la devolución de
activos y dispositivos
cuando finaliza el
vínculo laboral de
los funcionarios con
la compañía.

[A.8] Gestión de activos

[A.8.1] Responsabilidad Identificar los activos de la organización y definir las responsabilidades

sobre los activos de protección adecuadas.

[A.8.1.1] Inventario de si Inventariar los Manual de Departamento de

activos. activos de capacitación y TIC,
información de la procedimientos, Departamento de
compañía con el reglamento recursos
objeto de establecer interno de la humanos y
los controles empresa, departamento de
necesarios para su Contratos de gestión de
adecuada personal de calidad.
protección. acuerdo a sus
capacidades y
antecedentes
(obtención de
hojas de vida
completas)

[A.8.1.2] Propiedad de si Establecer la Manual de Departamento de

los activos. propiedad sobre los capacitación y TIC,
activos de procedimientos, Departamento de
información reglamento recursos
identificados, con el interno de la humanos y
fin de que las empresa, departamento de
responsabilidades Contratos de gestión de
sobre ellos puedan personal de calidad.
ser monitoreadas acuerdo a sus

23
 adecuadamente. capacidades y
antecedentes
(obtención de
hojas de vida
completas).

[A.8.1.3] Uso aceptable si Establecer el Manual de Departamento de

de los activos mecanismo para capacitación y TIC,
asegurar que los procedimientos, Departamento de
activos de reglamento recursos
información sean interno de la humanos y
utilizados de empresa. departamento de
acuerdo con las gestión de calidad
políticas
establecidas por la
organización.

[A.8.1.4] Devolución de si Definir los Reglamento Departamento de

activos. mecanismos para interno de la TIC,
realizar la empresa. Departamento de
devolución de recursos
activos a la humanos y
compañía. departamento de
gestión de
calidad.

[A.8.2] Clasificación de Asegurar que la información reciba un nivel adecuado de protección

la información de acuerdo con su importancia para la organización.

[A.8.2.1] Clasificación de si Establecer una Manual de Departamento de

la información. clasificación de la capacitación y TIC,
información que procedimientos, Departamento de
permita definir reglamento recursos
claramente los interno de la humanos y
controles para empresa. departamento de
garantizar su gestión de
seguridad, calidad.
disponibilidad e
integridad.

[A.8] Gestión de activos

24
[A.8.2] Clasificación de Asegurar que la información reciba un nivel adecuado de protección
la información de acuerdo con su importancia para la organización.

[A.8.2.2] Etiquetado de la si Establecer un Manual de Departamento de

información. mecanismo para capacitación y TIC,
etiquetar la procedimientos, Departamento de
información reglamento recursos
considerada como interno de la humanos y
confidencial con el empresa. departamento de
objetivo de poder gestión de
identificarla calidad.
fácilmente.

[A.8.2.3] Manipulado de si Establecer los Manual de Departamento de

la información procedimientos capacitación y TIC,
necesarios para el procedimientos, Departamento de
manejo de la reglamento recursos
información de interno de la humanos y
acuerdo con su empresa departamento de
clasificación. gestión de calidad

[A.8.3] Manipulación Evitar la revelación, modificación, eliminación o destrucción no

de los soportes autorizadas de la información almacenada en soportes.

[A.8.3.1] Gestión de si Establecer Manual de Departamento de

soportes lineamientos para el capacitación y TIC,
extraíbles uso de soportes procedimientos, Departamento de
extraíbles con el fin reglamento recursos
de prevenir la interno de la humanos
modificación, empresa.
destrucción o
pérdida de
información
confidencial.

[A.8.3.2] Eliminación de si Definir los Manual de Departamento de

soportes mecanismos para capacitación y TIC,
asegurar el borrado procedimientos, Departamento de
seguro de reglamento recursos

25
 información interno de la humanos.
confidencial. empresa.

[A.8.3.3] Soportes físicos si Establecer Manual de Departamento de

en tránsito. lineamientos para el capacitación y TICS,
manejo de soportes procedimientos, Departamento de
físicos con reglamento recursos
información interno de la humanos.
organizacional que empresa.
van fuera de la
organización.

[A.9] Control de acceso

[A.9.1] Requisitos de Limitar el acceso a los recursos de tratamiento de información y a la

negocio para el información.
control de
acceso

[A.9.1.1] Política de si Establecer los Manual de Departamento de

control de lineamientos para el capacitación y TIC, Gerencia
acceso. control de acceso procedimientos, General,
físico y virtual a los reglamento Departamento de
sistemas utilizados interno de la recursos
por la compañía, con empresa, humanos y
el fin de garantizar la Contratos de departamento
seguridad de la personal de legal.
información que en acuerdo a sus
ellos se maneja. capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la

26
 información.

[A.9.1.2] Acceso a las si Establecer e Manual de Departamento de

redes y a los implementar los capacitación y TIC, Gerencia
servicios de red. permisos necesarios procedimientos, General,
para garantizar el reglamento Departamento de
acceso controlado interno de la recursos
de los usuarios empresa, humanos y
autorizados a redes Contratos de departamento
y recursos de red de personal de legal.
la compañía. acuerdo a sus
capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.2] Gestión de Garantizar el acceso de usuarios autorizados y evitar el acceso

acceso de no autorizado a los sistemas y servicios.
usuario.

[A.9.2.1] Registro y baja si Establecer los Manual de Departamento de

de usuario. procedimientos capacitación y TIC, Gerencia
necesarios y los procedimientos, General,
lineamientos reglamento Departamento de
requeridos para el interno de la recursos
registro y la baja de empresa, humanos y
usuarios de los Contratos de departamento
sistemas personal de legal.
informáticos de la acuerdo a sus
compañía. capacidades,
antecedentes

27
 (obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.2.2] Provisión de si Establecer los Manual de Departamento de

acceso de procedimientos capacitación y TIC, Gerencia
usuario. necesarios y los procedimientos, General,
lineamientos reglamento Departamento de
requeridos para dar interno de la recursos
permisos de acceso empresa, humanos y
a los usuarios de los Contratos de departamento
sistemas personal de legal
informáticos de la acuerdo a sus
compañía. capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.2.3] Gestión de si Establecer los Manual de Departamento de

privilegios de controles necesarios capacitación y TIC, Gerencia
acceso. para gestionar los procedimientos, General,
privilegios de acceso reglamento Departamento de

28
 a la información de interno de la recursos
la compañía. empresa, humanos y
Contratos de departamento
personal de legal
acuerdo a sus
capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9] Control de acceso

[A.9.2] Gestión de Garantizar el acceso de usuarios autorizados y evitar el acceso no

acceso de autorizado a los sistemas y servicios.
usuario.

[A.9.2.4] Gestión de la si Contar con un Manual de Departamento de

información procedimiento capacitación y TIC, Gerencia
secreta de documentado e procedimientos, General,
autenticación de implementado para reglamento Departamento de
los usuarios. la gestión segura de interno de la recursos
contraseñas. empresa, humanos y
Contratos de departamento
personal de legal
acuerdo a sus
capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se

29
 especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.2.5] Revisión de los si Establecer los Manual de Departamento de

derechos de mecanismos para capacitación y TIC, Gerencia
acceso de asegurar que los procedimientos, General,
usuario permisos otorgados reglamento Departamento de
a los usuarios interno de la recursos
permanecen empresa, humanos y
vigentes y, en caso Contratos Manual departamento
de que no sea así, de capacitación y legal
para implementar procedimientos,
las medidas reglamento
necesarias de interno de la
manera oportuna. empresa,
Contratos de
personal de
acuerdo a sus
capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.2.6] Retirada o si Los derechos de Manual de Departamento de

reasignación de acceso de todos los capacitación y TIC, Gerencia

30
 los derechos de empleados y procedimientos, General,
acceso. terceras partes, a la reglamento Departamento de
información y a los interno de la recursos
recursos de empresa, humanos y
tratamiento de la Contratos de departamento
información deben personal de legal.
ser retirados a la acuerdo a sus
finalización del capacidades,
empleo, del contrato antecedentes
o del acuerdo, o (obtención de
ajustados en caso de hojas de vida
cambio. completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.3] Responsabilidad Para que los usuarios se hagan responsables de salvaguardar su

es de usuario información de autenticación.

[A.9.3.1] Uso de la si Definir y asegurar su Manual de Departamento de

información divulgación e capacitación y TIC, Gerencia
secreta de implementación, procedimientos, General,
autenticación una política que reglamento Departamento de
garantice el uso interno de la recursos
seguro de la empresa, humanos y
información de Contratos de departamento
autenticación de los personal de legal
usuarios de los acuerdo a sus
sistemas de capacidades,
información de la antecedentes
compañía. (obtención de
hojas de vida
completas) y
manual donde se

31
 especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.4] Control de Prevenir el acceso no autorizado a los sistemas y aplicaciones.

acceso a
sistemas y
aplicaciones.

[A.9.4.1] Restricción del si Establecer Manual de Departamento de

acceso a la lineamientos que capacitación y TIC, Gerencia
información. aseguren solamente procedimientos, General,
el acceso autorizado reglamento Departamento de
a los sistemas de interno de la recursos
información de la empresa, humanos y
compañía. Contratos de departamento
personal de legal.
acuerdo a sus
capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.4.2] Procedimientos si Establecer los Manual de Departamento de

seguros de mecanismos capacitación y TIC, Gerencia
inicio de sesión. necesarios para procedimientos, General,
garantizar inicios de reglamento Departamento de

32
 sesión seguros en interno de la recursos
los aplicativos empresa, humanos y
organizacionales. Contratos de departamento
personal de legal.
acuerdo a sus
capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.4.3] Sistema de si Definir los Manual de Departamento de

gestión de mecanismo y medios capacitación y TIC, Gerencia
contraseñas para asegurar la procedimientos, General,
gestión segura de las reglamento Departamento de
contraseñas de interno de la recursos
manera que se empresa, humanos y
garantice que solo el Contratos de departamento
usuario la conoce y personal de legal
que la cambia acuerdo a sus
periódicamente. capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y

33
 seguridad de la
información.

[A.9.4.4] Uso de si Establecer políticas Manual de Departamento de

utilidades con asociadas al uso capacitación y TIC, Gerencia
privilegios. seguro de utilidades procedimientos, General,
en los sistemas para reglamento Departamento de
garantizar que no interno de la recursos
sean accedidas o empresa, humanos y
modificadas sin Contratos de departamento
autorización. personal de legal.
acuerdo a sus
capacidades,
antecedentes
(obtención de
hojas de vida
completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.9.4.5] Control de si Establecer Manual de Departamento de

acceso al código mecanismos para capacitación y TIC, Gerencia
fuente de los garantizar el acceso procedimientos, General,
programas controlado al código reglamento Departamento de
fuente de las interno de la recursos
aplicaciones empresa, humanos y
organizacionales Contratos de departamento
personal de legal
acuerdo a sus
capacidades,
antecedentes
(obtención de
hojas de vida

34
 completas) y
manual donde se
especifica el
modo seguro de
ingresar al
sistema de la
empresa y
seguridad de la
información.

[A.10] Criptografía

[A.10.1] Controles Garantizar un uso adecuado y eficaz de la criptografía para proteger la

criptográficos confidencialidad, autenticidad y / o integridad de la información.

[A.10.1.1 Política de uso Establecer una Manual donde se Departamento de

] de los controles política especifica el TIC
criptográficos. organizacional para modo seguro de
el uso de ingresar al
información sistema de la
criptográfica con el empresa y
objeto de asegurar seguridad de la
su confidencialidad, información.
autenticidad e
integridad.

[A.10.1.2 Gestión de Definir el Manual donde se Departamento de

] claves. mecanismo para especifica el TIC
garantizar la modo seguro de
seguridad y ingresar al
restricción de acceso sistema de la
a las claves de empresa y
información seguridad de la
criptográfica. información.

8. Conclusiones

35
Una vez terminada la auditoria, se evidenció la existencia de varios punto de
vulnerabilidad a la seguridad de la información debido bajo porcentaje de cumplimiento
de los controles establecidos en la norma, los cuales ponen en evidencia la necesidad por
parte del instituto de establecer acciones correctiva y preventivas que permitan aumentar
el grado de cumplimiento esto implica el mejoramiento de los procesos y mecanismos
que garanticen una gestión efectiva de la seguridad de la información.

Así mismo se logra identificar la importancia del uso de la plataforma Emarisma, la cual
basada en la información introducida inicialmente, permite tener una visión integral de la
postura de seguridad del instituto, permitiendo así la identificación de las vulnerabilidades
y nivel de cumplimiento de los requisitos de sistema de seguridad de la información. Este
análisis deja en evidencia el mal manejo que se lleva a cabo de los diferentes controles de
seguridad, de igual forma la inexistencia de políticas que garanticen la seguridad de la
información.

Es por esto que el Instituto Tecnológico del Putumayo debe priorizar y encaminar todos
sus esfuerzos al cumplimiento y regulación de las normativas de seguridad de la
información. La implementación del SGSI es fundamental para garantizar la seguridad, la
norma ISO 27001 establece requisitos mínimos para la implementación de controles que
ayuden a la mejora y cumplimiento de estos.

Es importante resaltar que la seguridad de la información no es un problema que se puede

llegar a resolver de una manera definitiva, pero sí es claro que la institución tiene que
entrar a un proceso continuo que requiere atención constante y mejoras continuas para
garantizar la seguridad de la información, es importante que los líderes esten
comprometidos y asignen personal adecuado para la implementación y seguimiento de las
políticas y controles que garanticen de la seguridad de la información.

9. Bibliografía

1. https://ar.emarisma.com

36
2. https://normaiso27001.es/

37