Proyeto Modelo PDF

1
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD PARA LA RED

DATOS BAJO LA NORMA ISO27001:2013 EN EL CENTRO DE
ESTUDIOS EMSSANAR CETEM DE LA CIUDAD DE PASTO
JESÚS ARMANDO CORAL OJEDA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
PASTO, NARIÑO
2016
2

JESÚS ARMANDO CORAL OJEDA
Tesis de grado para optar por el título:

Especialista En Seguridad Informática
Director de Proyecto:
Ing. Francisco Nicolás Solarte
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
PASTO, NARIÑO
2016
3
Nota de Aceptación:
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
Firma del Presidente del Jurado
______________________________________
Firma del Jurado
_____________________________________
Firma del Jurado
San Juan de Pasto, 11 de noviembre de 2016

4
DEDICATORIA
A Dios por haberme colmado de bendiciones y guiado en el camino para lograr

mis objetivos a lo largo de mi formación profesional.
A mi madre Blanca Ojeda Rodríguez, quien ha sido, es y seguirá siendo mi motivo

de inspiración, sostén y apoyo en mis esfuerzos de superación a lo largo de mi
vida personal y profesional. A mi Abuela Judith Rodríguez y mi tía Aura Benavides
por apoyarme en todo momento incondicionalmente, por motivarme a hacer frente
a nuevos retos que me hicieran crecer como persona.
5
AGRADECIMIENTOS
A Dios en primer lugar, por haberme colmado de salud en todo momento y

permitirme el concluir el desarrollo de este proyecto.
A mi familia por apoyarme incondicionalmente en todos los retos que me he

propuesto, especialmente a mi Abuela Judith, a mi madre Blanca, a mi tía Aura por
inculcarme que la educación es la fuente del conocimiento y que gracias a ella se
logra un cambio social.
A los seres queridos que están el cielo, por contribuir en mi formación personal por
medio de su experiencia y concejos.
A mi novia por su interés y motivación en creer en que soy capaz de lograr lo que
me propongo.
A la vez un sincero agradecimiento a mi asesor Francisco Nicolás Solarte por

haberme brindado su tiempo, apoyo y guía.
Y por último a todos los docentes de la UNAD que con mucho profesionalismo me
brindaron las bases de la seguridad informática.
6
CONTENIDO
Pag.
INTRODUCCIÓN .................................................................................................. 21
1. TÍTULO.............................................................................................................. 22
2. PROBLEMA ...................................................................................................... 23
2.1. PLANTEAMIENTO DEL PROBLEMA ............................................................ 23
2.1.1. Formulación Del Problema .......................................................................... 24
2.2. JUSTIFICACIÓN ............................................................................................ 25
2.3. OBJETIVOS ................................................................................................... 27
2.3.1. Objetivo General ......................................................................................... 27
2.3.2. Objetivos Específicos .................................................................................. 27
2.4. MARCO REFERENCIAL ................................................................................ 28
2.4.1. Antecedentes .............................................................................................. 28
2.4.2. Marco Contextual ........................................................................................ 30
2.4.2.1. Planeación y estructura estratégica.......................................................... 31
2.4.2.2. Misión: ...................................................................................................... 31
2.4.2.3. Visión:....................................................................................................... 31
2.4.2.4. Valores ..................................................................................................... 31
2.4.2.5. Estructura Orgánica de la Fundación ....................................................... 32
2.4.2.6. Estructura Orgánica del área de Redes y Sistemas ................................. 32
2.4.2.7. Distribución de la red LAN - Centro de Estudios EMSSANAR CETEM .... 34
2.4.3. Marco Teórico ............................................................................................. 35
2.4.3.1. Plataforma tecnológica ............................................................................. 35
2.4.3.2. Seguridad Informática .............................................................................. 35

7
2.4.3.3. Seguridad de la Información ..................................................................... 35
2.4.3.4. Familia ISO/IEC 27000 ............................................................................. 36
2.4.3.5. ISO/IEC 27002:2013 ................................................................................ 37
2.4.3.6. Metodologías de Análisis y Evaluación de Riesgos. ................................ 39
2.4.3.7. MAGERIT 3 .............................................................................................. 40
2.4.3.8. Modelo de Madurez COBIT 4.1 ................................................................ 42
2.4.4. Marco Conceptual ....................................................................................... 44
2.4.5. Marco Legal................................................................................................. 45
2.4.6. Marco Metodológico .................................................................................... 47
2.4.6.1. Tipo de investigación ................................................................................ 47
2.4.6.2. Metodología de desarrollo ........................................................................ 47
3. DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD PARA LA RED

DATOS BAJO LA NORMA ISO27001:2013 EN EL CENTRO DE ESTUDIOS
EMSSANAR CETEM DE LA CIUDAD DE PASTO ................................................ 50
3.1. APOYO DE LA DIRECCIÓN EJECUTIVA...................................................... 50
3.2. ALCANCE ...................................................................................................... 50
3.2.1. Proceso P1: Reconocimiento del entorno y planificación ............................ 53
3.2.1.1. Actividad 1: Planificación. ......................................................................... 53
3.2.2. Proceso P2: Identificación y valoración de los Activos. ............................... 55
3.2.2.1. Actividad 2: Clasificación de los Activos. .................................................. 55
3.2.2.2. Actividad 3: Valoración cualitativa de los Activos y selección de activos

más relevantes. ..................................................................................................... 65
3.2.3. Proceso P3: Identificación de amenazas y vulnerabilidades ....................... 75
3.2.3.1. Actividad 4: Identificación de amenazas................................................... 75
3.2.3.2. Actividad 5: Identificación de vulnerabilidades. ........................................ 79
3.2.4. Proceso P4: Evaluación del Riesgo .......................................................... 100

8
3.2.4.1. Actividad 6: Estimación del impacto. ...................................................... 100
3.2.4.2. Actividad 7: Estimación del Riesgo. ....................................................... 103
3.2.4.3. Actividad 8: Calificación del Riesgo. ....................................................... 106
3.2.5. Proceso P5: Tratamiento de riesgos ......................................................... 110
3.2.5.1. Actividad 9: Tratamiento de riesgos. ...................................................... 110
3.3. ANÁLISIS DE BRECHA ............................................................................... 114
3.3.1. Actividad 10: Verificación controles establecidos según norma ISO/IEC

27002:2013 ......................................................................................................... 114
3.4. POLÍTICAS DE SEGURIDAD INFORMÁTICA ............................................. 160
3.4.1. Actividad 11. Definición de las políticas de seguridad informática. ........... 160
3.4.1.1. Política de acceso a redes y recursos de red ......................................... 160
3.4.1.2. Política de administración de acceso de usuarios .................................. 161
3.4.1.3. Política de responsabilidades de acceso de los usuarios....................... 162
3.4.1.4. Política de controles criptográficos ......................................................... 162
3.4.1.5. Política de registro de eventos y monitoreo de la plataforma tecnológica

............................................................................................................................ 163
3.4.1.6. Política de gestión de vulnerabilidades .................................................. 164
3.4.1.7. Política de gestión y aseguramiento de las redes de datos.................... 165
3.4.1.8. Política de uso adecuado de internet ..................................................... 166
3.4.1.9. Política de intercambio de información ................................................... 167
4. CONCLUSIONES ............................................................................................ 170
5. RECOMENDACIONES ................................................................................... 172
BIBLIOGRAFÍA ................................................................................................... 175

9
ÍNDICE DE TABLAS
Tabla 1. Relación de serie de las normas ISO/IEC 27000 .................................... 36

Tabla 2. Activos esenciales [essential] .................................................................. 55
Tabla 3. Datos / Información [D] ............................................................................ 56
Tabla 4. Claves criptográficas [K] .......................................................................... 56
Tabla 5. Inventario de servicios [S] ....................................................................... 58
Tabla 6. Software - Aplicaciones informáticas [Sw] ............................................... 58
Tabla 7. Equipos informáticos [Hw] ....................................................................... 59
Tabla 8. Redes de comunicaciones [COM] ........................................................... 60
Tabla 9. Equipos Auxiliares [Aux] .......................................................................... 60
Tabla 10. Instalaciones [L]..................................................................................... 61
Tabla 11. Personal [P] ........................................................................................... 61
Tabla 12. Soportes de Información _almacenamiento electrónico y no electrónico
[MEDIA] ................................................................................................................. 61
Tabla 13. Resumen de activos de información...................................................... 62
Tabla 14. Escala de Valoración de activos ............................................................ 66
Tabla 15. Valoración de Activos esenciales .......................................................... 66
Tabla 16. Valoración de Datos e Información....................................................... 67
Tabla 17. Valoración de Claves Criptográficas...................................................... 68
Tabla 18. Valoración de Servicios ......................................................................... 68
Tabla 19. Valoración de Aplicaciones Informáticas ............................................... 68
Tabla 20. Valoración de Equipamiento Informático ............................................... 70
Tabla 21. Valoración de Redes de Comunicaciones ............................................. 71
Tabla 22. Evaluación de equipamiento auxiliar ..................................................... 71
Tabla 23. . Valoración de Instalaciones ................................................................. 72
Tabla 24. Valoración de personal .......................................................................... 72
Tabla 25. Valoración de Información Electrónica .................................................. 73
Tabla 26. Activos más relevantes para esta investigación .................................... 74
Tabla 27. Probabilidad de ocurrencia .................................................................... 75
Tabla 28. Degradación del valor............................................................................ 76
10
Tabla 29. Servicio de internet al que pueden acceder los administrativos, docentes
estudiantes y visitantes. ........................................................................................ 76
Tabla 30. Red Inalámbrica .................................................................................... 76
Tabla 31. Intranet .................................................................................................. 77
Tabla 32. Comunicación a los sistemas externos a través de internet .................. 78
Tabla 33. Cableado de Red................................................................................... 78
Tabla 34. Gabinete de Red ................................................................................... 79
Tabla 35. Lista de Puntos de Acceso inalámbrico ................................................. 94
Tabla 36. Escala probabilidad ............................................................................... 95
Tabla 37. Intranet .................................................................................................. 95
Tabla 38. Degradación del valor.......................................................................... 100
Tabla 39. Impacto potencial ................................................................................ 101
Tabla 40. Escala de Impacto ............................................................................... 101
Tabla 41. Impacto potencial por activo seleccionado .......................................... 101
Tabla 42. Escala de Probabilidad ........................................................................ 103
Tabla 43. Riesgo ................................................................................................. 103
Tabla 44. Escala de riesgo .................................................................................. 103
Tabla 45. Valoración de Riesgo en el activo de información Intranet .................. 104
Tabla 46. Estimación del estado del riesgo. ........................................................ 106
Tabla 47. Tratamiento del riesgo ......................................................................... 111
Tabla 48. Tratamiento de riesgos del activo "Intranet" ........................................ 111
Tabla 49. Verificación Controles de Políticas De La Seguridad De La Información
............................................................................................................................ 116
Tabla 50. Verificación Controles De Organización De La Seguridad De La
Información.......................................................................................................... 117
Tabla 51. Verificación Controles de Seguridad De Los Recursos Humanos ....... 120
Tabla 52. Verificación Controles de Gestión De Activos ..................................... 123
Tabla 53. Verificación Controles De Acceso ....................................................... 127
Tabla 54. Verificación Controles de Cifrado ........................................................ 132
Tabla 55. Verificación Controles de Seguridad Física Y Del Entorno.................. 133
Tabla 56. Verificación Controles de Seguridad De Las Operaciones .................. 135
11
Tabla 57. Verificación Controles de Seguridad De Las Comunicaciones ............ 141

Tabla 58. Verificación Controles De Adquisición, Desarrollo Y Mantenimiento De
Sistemas.............................................................................................................. 144
Tabla 59. Verificación Controles de Relaciones Con Los Proveedores .............. 149
Tabla 60. Verificación Controles de Gestión De Incidentes De Seguridad De La
Información.......................................................................................................... 151
Tabla 61. Verificación Controles de Aspectos De Seguridad De La Información De
La Gestión De La Continuidad Del Negocio ........................................................ 154
Tabla 62. Verificación Controles de Cumplimiento .............................................. 156
Tabla 63. Distribución de direcciones IP por subredes ....................................... 172
12
ÍNDICE DE FIGURAS
Figura 4. Estructura Orgánica de la Fundación CETEM 32

Figura 5. Estructura Orgánica del área de Redes y Sistemas 32
Figura 6. Topología de red de datos del CETEM 34
Figura 1. ISO 27002:2005 vs ISO 27002:2013 38
Figura 2. Fases análisis de riesgos 39
Figura 3. Gestión de Riesgos 42
Figura 7. Elementos del análisis de riesgos 54
Figura 8. Servidor de evaluación Docente 80
Figura 9. Oficina Auxiliar de Soporte y mantenimiento 81
Figura 10. Puerta acceso Servidor de Evaluación Docente 82
Figura 10. Servidor de Control de Asistencia Administrativos 82
Figura 11. Puerta acceso Servidor de Control de Asistencia Administrativos 83
Figura 12. Sistema de Alimentación Ininterrumpida 85
Figura 13. Ubicación UPS 85
Figura 14. Ubicación armario de telecomunicaciones 86
Figura 15. Armario de telecomunicaciones 87
Figura 16. Condiciones del área de ubicación de Servidores 87
Figura 17. Equipos del Aula de Informática y de Funcionarios 90
Figura 18. Directorios e impresoras compartidas 91
Figura 19. Permisos de los directorios compartidos 91
Figura 20. Lista de Access point desde NMAP 92
Figura 21. Logueo al punto de Acceso Linksys WAP200 93
Figura 22. Parámetros de Configuración de Acceso Linksys WAP200 93
Figura 23. Acceso Wifi Red aula3 94
Figura 24. Escala de madurez COBIT 115
13
LISTA DE ANEXOS
ANEXO A. INVENTARIO DE ACTIVOS DE REDES Y COMUNICACIONES

ANEXO B. CLASIFICACIÓN DE LOS ACTIVOS
ANEXO C. ESCALA ESTÁNDAR DE VALORACIÓN DE ACTIVOS
ANEXO D. ETHICAL HACKING CETEM
ANEXO E. VULNERABILIDADES POTENCIALES POR ACTIVO DE
INFORMACIÓN
ANEXO F. ESTIMACION DEL ESTADO DEL RIESGO
ANEXO G. TRATAMIENTO DE RIESGOS
ANEXO H. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PARA EL
CENTRO DE ESTUDIOS EMSSANAR CETEM
14
GLOSARIO
ACTIVO DE INFORMACIÓN: cualquier componente (humano, tecnológico,

software, documental o de infraestructura) que soporta uno o más procesos de
negocios del centro de estudios.
ACUERDO DE CONFIDENCIALIDAD: es un documento en los que los
Funcionarios del CETEM o los provistos por terceras partes manifiestan su
voluntad de mantener la confidencialidad de la información del centro de estudios,
comprometiéndose a no divulgar, usar o explotar la información confidencial a la
que tengan acceso en virtud de la labor que desarrollan dentro de la misma.
ANÁLISIS DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN: proceso
sistemático de identificación de fuentes, estimación de impactos y probabilidades y
comparación de dichas variables contra criterios de evaluación para determinar las
consecuencias potenciales de pérdida de confidencialidad, integridad y
disponibilidad de la información.
AUTENTICACIÓN: es el procedimiento de comprobación de la identidad de un
usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento
o sistema de información.
CENTROS DE CABLEADO: son habitaciones donde se deberán instalar los
dispositivos de comunicación y la mayoría de los cables. Al igual que los centros
de cómputo, los centros de cableado deben cumplir requisitos de acceso físico,
materiales de paredes, pisos y techos, suministro de alimentación eléctrica y
condiciones de temperatura y humedad.
CENTRO DE CÓMPUTO: es una zona específica para el almacenamiento de
múltiples computadores para un fin específico, los cuales se encuentran
conectados entre sí a través de una red de datos. El centro de cómputo Deben
cumplir ciertos estándares con el fin de garantizar los controles de acceso físico,
los materiales de paredes, pisos y techos, el suministro de alimentación eléctrica y
las condiciones medioambientales adecuadas.
CIFRADO: es la transformación de los datos mediante el uso de la criptografía
para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El
15
cifrado es una técnica muy útil para prevenir la fuga de información, el monitoreo
no autorizado e incluso el acceso no autorizado a los repositorios de información.
CONFIDENCIALIDAD: es la garantía de que la información no está disponible o
divulgada a personas, entidades o procesos no autorizados.
CONTROL: es toda actividad o proceso encaminado a mitigar o evitar un riesgo.
Incluye policías, procedimientos, guías, estructuras organizacionales y buenas
prácticas, que pueden ser de carácter administrativo, tecnológico, físico o legal.
CRIPTOGRAFÍA: es la disciplina que agrupa a los principios, medios y métodos
para la transformación de datos con el fin de ocultar el contenido de su
información, establecer su autenticidad, prevenir su modificación no detectada,
prevenir su repudio, y/o prevenir su uso no autorizado.
CUSTODIO DEL ACTIVO DE INFORMACIÓN: es la unidad organizacional o
proceso, designado por los propietarios, encargado de mantener las medidas de
protección establecidas sobre los activos de información confiados.
DERECHOS DE AUTOR: es un conjunto de normas y principios que regulan los
derechos morales y patrimoniales que la ley concede a los autores por el solo
hecho de la creación de una obra literaria, artística o científica, tanto publicada o
que todavía no se haya publicado.
DISPONIBILIDAD: es la garantía de que los usuarios autorizados tienen acceso a
la información y a los activos asociados cuando lo requieren.
EQUIPO DE CÓMPUTO: dispositivo electrónico capaz de recibir un conjunto de
instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien
compilando y correlacionando otros tipos de información.
GUÍAS DE CLASIFICACIÓN DE LA INFORMACIÓN: directrices para catalogar la
información de la entidad y hacer una distinción entre la información que es crítica
y aquella que lo es menos o no lo es y, de acuerdo con esto, establecer
diferencias entre las medidas de seguridad a aplicar para preservar los criterios de
confidencialidad, integridad y disponibilidad de la información
HACKING ÉTICO: es el conjunto de actividades para ingresar a las redes de
datos y voz de la institución con el objeto de lograr un alto grado de penetración en
los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva y
16
sin generar daños en los sistemas o redes, con el propósito de mostrar el nivel
efectivo de riesgo a lo cual está expuesta la información, y proponer eventuales
acciones correctivas para mejorar el nivel de seguridad.
INCIDENTE DE SEGURIDAD: es un evento adverso, confirmado o bajo
sospecha, que haya vulnerado la seguridad de la información o que intente
vulnerarla, sin importar la información afectada, la plataforma tecnológica, la
frecuencia, las consecuencias, el número de veces ocurrido o el origen (interno o
externo).
Integridad: es la protección de la exactitud y estado completo de los activos.
INVENTARIO DE ACTIVOS DE INFORMACIÓN: es una lista ordenada y
documentada de los activos de información pertenecientes al centro de estudios.
Licencia de software: es un contrato en donde se especifican todas las normas y
cláusulas que rigen el uso de un determinado producto de software, teniendo en
cuenta aspectos como: alcances de uso, instalación, reproducción y copia de
estos productos.
MEDIO REMOVIBLE: es cualquier componente extraíble de hardware que sea
usado para el almacenamiento de información; los medios removibles incluyen
cintas, discos duros removibles, CDs, DVDs y unidades de almacenamiento USB,
entre otras.
PERFILES DE USUARIO: son grupos que concentran varios usuarios con
similares necesidades de información y autorizaciones idénticas sobre los
recursos tecnológicos o los sistemas de información a los cuales se les concede
acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un
perfil de usuario afectan a todos los usuarios cobijados dentro de él.
PLATAFORMA TECNOLÓGICA: Es en conjunto la red de datos (incluyendo sus
servicios), los recursos tecnológicos y sistemas de información del centro de
estudios CETEM
PROPIEDAD INTELECTUAL: es el reconocimiento de un derecho particular en
favor de un autor u otros titulares de derechos, sobre las obras del intelecto
humano. Este reconocimiento es aplicable a cualquier propiedad que se considere
de naturaleza intelectual y merecedora de protección, incluyendo las invenciones
17
científicas y tecnológicas, las producciones literarias o artísticas, las marcas y los

identificadores, los dibujos y modelos industriales y las indicaciones geográficas.
Propietario de la información: es la unidad organizacional o proceso donde se
crean los activos de información.
RECURSOS TECNOLÓGICOS: son aquellos componentes de hardware y
software tales como: servidores (de aplicaciones y de servicios de red), estaciones
de trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad,
servicios de red de datos y bases de datos, entre otros, los cuales tienen como
finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento
y la optimización del trabajo al interior del CETEM.
REGISTROS DE AUDITORÍA: son archivos donde son registrados los eventos
que se han identificado en los sistemas de información, recursos tecnológicos y
redes de datos del centro de estudios. Dichos eventos pueden ser, entre otros,
identificación de usuarios, eventos y acciones ejecutadas, terminales o
ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuración,
uso de utilidades y fallas de los sistemas.
RESPONSABLE POR EL ACTIVO DE INFORMACIÓN: es la persona o grupo de
personas, designadas por los propietarios, encargados de velar por la
confidencialidad, la integridad y disponibilidad de los activos de información y
decidir la forma de usar, identificar, clasificar y proteger dichos activos a su cargo.
SGSI: Sistema de Gestión de Seguridad de la Información.
SISTEMA DE INFORMACIÓN: es un conjunto organizado de datos, operaciones y
transacciones que interactúan para el almacenamiento y procesamiento de la
información que, a su vez, requiere la interacción de uno o más activos de
información para efectuar sus tareas. Un sistema de información es todo
componente de software ya sea de origen interno, es decir desarrollado por el
CETEM o de origen externo ya sea adquirido por la entidad como un producto
estándar de mercado o desarrollado para las necesidades de ésta.
SISTEMAS DE CONTROL AMBIENTAL: son sistemas que utilizan la
climatización, un proceso de tratamiento del aire que permite modificar ciertas
18
características del mismo, fundamentalmente humedad y temperatura y, de

manera adicional, también permite controlar su pureza y su movimiento.
SOFTWARE MALICIOSO: es una variedad de software o programas de códigos
hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos
tecnológicos, sistemas operativos, redes de datos o sistemas de información.
TERCEROS: todas las personas, jurídicas o naturales, como proveedores,
contratistas o consultores, que provean servicios o productos al centro de
estudios.
VULNERABILIDADES: son las debilidades, hoyos de seguridad o flaquezas
inherentes a los activos de información que pueden ser explotadas por factores
externos y no controlables por el centro de estudios (amenazas), las cuales se
constituyen en fuentes de riesgo.
19
RESUMEN
En la actualidad las redes de datos como parte de una plataforma tecnológica

permiten agilizar gran cantidad de tareas dentro de un centro de formación para el
trabajo y desarrollo humano. Como es el caso del Centro De Estudios
EMSSANAR CETEM, la red de datos es fundamental para el desarrollo de labores
administrativas y académicas ya que permite la comunicación interna y externa de
funcionarios, docentes y estudiantes. Lastimosamente esta red es de uso público y
no cuenta con las medidas de seguridad y de control físico y lógicos adecuados.
Por lo antes expuesto, el presente proyecto, tiene como propósito mostrar el

proceso de diseño de un sistema de gestión de seguridad para la red datos bajo
la norma ISO27001:2013 en el centro de estudios EMSSANAR CETEM de la
ciudad de pasto a través de unas fases estructuradas, partiendo del análisis de
riesgos sobre los activos de información relacionados con la investigación a través
de la metodología MAGERIT, siguiendo con la identificación de controles
implementados teniendo como referencia la ISO/IEC 27002:2013 y la escala de
madurez del COBIT 4.1 y terminando con la definición de las políticas de
seguridad acordes con los objetivos del negocio y valoración de los activos de
información.
PALABRAS CLAVE: SGSI, Seguridad informática, Análisis y Evaluación de

Riesgos, Magerit, ISO/IEC 27001:2013, ISO/IEC 27002:2013, Activo de
información.
20
ABSTRACT
At present, data networks as part of a technological platform allow a large number

of tasks to be carried out within a training center for work and human development.
As is the case of the Centro de Estudios EMSSANAR CETEM, the data network is
fundamental for the development of administrative and academic tasks as it allows
the internal and external communication of officials, teachers and students.
Unfortunately, this network is for public use and does not have adequate security
and physical and logical control measures.
For the above, the present project aims to show the process of designing a safety
management system for data network under the ISO27001: 2013 standard at the
Centro de estudio EMSSANAR CETEM of the city of Pasto through Of structured
phases, based on the analysis of risks related to the research assets related to the
research through the MAGERIT methodology, followed by the identification of
controls implemented with reference to ISO / IEC 27002: 2013 and the COBIT
maturity scale 4.1 and ending with the definition of security policies in line with
business objectives and valuation of information assets.
KEYWORDS: ISMS, IT Security, Risk Analysis and Evaluation, Magerit, ISO / IEC
27001: 2013, ISO / IEC 27002: 2013, Information Asset.
21
INTRODUCCIÓN
En la actualidad Colombia cuenta con una gran cantidad de instituciones que

brindan formación para el trabajo y el desarrollo humano; muchas de estas
instituciones ofrecen los mismos programas técnicos pero las diferencian algunos
factores como: precio, calidad, atención al cliente, agilidad, servicio, entre otros.
Teniendo en cuenta este nivel de competencia, lo que buscan estas instituciones
educativas es estar a la vanguardia de la tecnología con el fin de mantenerse en el
mercado y consolidarse como instituciones reconocidas.
Es muy común que las instituciones educativas implementen soluciones

tecnológicas, con el fin de facilitar el desarrollo de sus actividades y mejorar los
servicios prestados, este es el caso del Centro de Estudios EMSSANAR CETEM
que actualmente cuenta con una infraestructura de red que soporta el tráfico de
información tanto interna como externa.
Sin embargo, este tipo de implementación de tecnologías sin la correcta gestión

permite el acceso sin autorización a información privada de la empresa, la cual
podría ser alterada o en el peor de los casos robada.
Teniendo en cuenta lo anterior, lo que se pretende con el presente proyecto, es

diseño de un sistema de gestión de seguridad para la red datos bajo la norma
ISO27001:2013 en el centro de estudios EMSSANAR CETEM de la ciudad de
pasto teniendo en cuenta el contexto del negocio.
22
1. TÍTULO

23
2. PROBLEMA
2.1. PLANTEAMIENTO DEL PROBLEMA
El Centro de Estudios EMSSANAR CETEM es un programa de la Fundación

EMSSANAR, cuya organización empresarial se basa en la economía solidaria, con
proyección nacional e internacional; que desde el sur occidente colombiano presta
servicios educativos en las áreas de salud, educación técnica, comercialización de
alimentos, asistencia técnica socio-empresarial y micro crédito. Su objetivo es
contribuir a la generación de capital social y desarrollo sostenible de la región, a
través de procesos pertinentes de educación técnica laboral bajo el modelo de
1
competencias, que permitan la vinculación del egresado al sector productivo.
El Centro de Estudios EMSSANAR CETEM cuenta con una plataforma tecnológica

(en este proyecto se refiere a la red de datos, los recursos tecnológicos y
sistemas de información en conjunto) que posibilita el desarrollo tanto de tareas
académicas como administrativas. En este punto la red de datos del CETEM se
convierte en una herramienta importante por no decir esencial, ya que soporta el
tráfico de red en general.
Lastimosamente está red de datos se accede a través de una infraestructura que

es de uso público al interior del centro de estudios, lo que posibilita que la
información generada durante o al final de la jornada sea interceptada, robada y/o
modificada sin autorización por estudiantes, docentes o administrativos y en el
peor de los casos por externos.
Adicionalmente al no haber un control de usuarios que acceden a la red de datos,

cada usuario puede realizar usos excesivos de ancho de banda o perpetrar algún
1
Tomado de: Portafolio de Servicios Centro de Estudios EMSSANAR CETEM
24
tipo de ataque informático y provocar fallas que por ende entorpecen los procesos
de la organización.
De continuar esta situación, el Centro de Estudios EMSSANAR CETEM perdería

la confiabilidad y prestigio que se ha ganado como centro de formación para el
trabajo y desarrollo humano, sin contar con la incalculable pérdida económica y de
información.
2.1.1. Formulación Del Problema
De acuerdo a lo anteriormente expresado, surge el siguiente interrogante: ¿Cómo

el sistema de gestión de seguridad para la red datos ayudará a mejorar la
seguridad informática en Centro de Estudios EMSSANAR CETEM?
25
2.2. JUSTIFICACIÓN
El Centro de Estudios EMSSANAR CETEM al igual que cualquier organización sin

importar su razón de ser requieren almacenar, tratar y transformar la información
como un recurso valioso y predominante en el desarrollo de sus actividades
académicas y administrativas , es así que ésta se convierte en atractivo sensible
de ser vulnerado y atacado por quienes buscan un beneficio económico
estratégico o simplemente de sabotaje, sin embargo ante estas circunstancias
algunas organizaciones que mueven grandes y pequeños volúmenes de
información, prestan poca atención al tema de seguridad y protección de sus datos
en tal medida que no se invierten los recursos suficientes para establecer
controles que fortalezcan la seguridad de la información; en este contexto el 40%
de pymes en Colombia tuvieron incidentes relacionados con acceso indebido a
aplicaciones y/o base de datos, que aunque no es la cifra más alta a nivel
Latinoamérica, si es bastante preocupante ya que según la empresa de seguridad
ESET afirman que generalmente la causa de estos incidentes es la inexistencia de
controles o perfiles correctos en las redes empresariales, lo que ocasiona que
personal de otras áreas o sectores logren acceder a planes confidenciales de la
gerencia, administración, recursos humanos y demás2.
En Centro de Estudios EMSSANAR CETEM el flujo de información es bastante

heterogéneo al igual que usuarios que acceden a la red, lo que posibilita que se
potencialicen los riesgos de robar, dañar, alterar o simplemente sabotear
información. Por esta razón se hace imprescindible, y por ende justificable, que se
reduzcan los riesgos de manera oportuna,
2
ESET, (23 de Octubre de 2015). Security Report Latinoamérica 2015. Obtenido de
http://www.welivesecurity.com/wp-content/uploads/2015/03/ESET_security_report_2015.pdf
26
El presente proyecto se realizará para contribuir con algunas políticas de

seguridad basados en la evaluación de riesgos, que puedan ser usados con el fin
de reducir las amenazas o mitigar riesgos de seguridad hasta considerarlos como
aceptable para la organización.
Con este proyecto, la entidad dará un primer paso para poder certificarse con el
estándar ISO/IEC 27001:2013, el cual contribuirá a mejorar la competitividad en el
mercado, diferenciando al Centro de Estudios EMSSANAR con otros de su sector,
haciéndolo más fiable e incrementando su prestigio. Un certificado mejora la
imagen y confianza de la empresa con sus clientes, lo que le sumara la posibilidad
de tener más socios y así brindar capacitación y asesoramiento a otras empresas.
27
2.3. OBJETIVOS
2.3.1. Objetivo General
Diseñar un sistema de gestión de seguridad bajo la norma ISO27001:2013

para la red datos en el centro de estudios EMSSANAR CETEM de la ciudad de
pasto.
2.3.2. Objetivos Específicos
 Aplicar la metodología Magerit para realizar el proceso de análisis de

riesgos a los activos de información y tecnológicos más relevantes para el
CETEM.
 Identificar las políticas de seguridad y los controles implementados en la red
de datos del centro de estudios EMSSANAR CETEM de acuerdo a la
norma ISO/IEC 27002.2013 y asignar un valor de acuerdo con su nivel de
madurez, utilizando para este propósito la escala de madurez definida por
el estándar COBIT.
 Definir un conjunto de políticas compatibles con la dirección estratégica que
busque de manera constatable la satisfacción del subsistema de gestión de
seguridad de la información propuesto.
28
2.4. MARCO REFERENCIAL
2.4.1. Antecedentes
Uno de los objetivos primordiales del Ministerio de las TIC es Diseñar, formular,
adoptar y promover las políticas, planes, programas y proyectos del sector de
Tecnologías de la Información y las Comunicaciones, en correspondencia con la
Constitución Política y la ley, con el fin de contribuir al desarrollo económico, social
y político de la Nación, y elevar el bienestar de los colombianos3.
Teniendo en cuenta que el centro de estudios de EMSSANAR CETEM

indirectamente contribuye con este fin mediante la participación en la convocatoria
TALENTO DIGITAL 4por ser un centro de formación para el trabajo y desarrollo
humano, es fundamental que adopte modelos de calidad para asegurar la
información como lo plantea en una de sus metas5. Una buena práctica sugerida
por Gobierno en Línea su momento fue ISO/IEC 27001:2005, sin embargo, dicha
norma fue actualizada el año en 2.013.
Cada día crece a nivel mundial la cantidad de empresas que abordan proyectos de
implementación de Sistemas de Gestión de Seguridad de la Información y logran
certificarse en la norma ISO27001, según la encuesta anual de ISO, al finalizar el
año 2015 existían 27.536 empresas certificadas, de las cuales solo 103 eran
Colombianas6.
A cerca de ese tema se han realizado diferentes trabajos de investigación en

Colombia en el sector académico tales como:
3
MINTIC. Objetivos y funciones , http://mintic.gov.co/portal/604/w3-article-1939.html
4
ICETEX. Listado de programas válidos para la convocatoria “talento digital” 2013-2,
https://www.icetex.gov.co/dnnpro5/Portals/0/Documentos/Fondos/list_program_Con2013-
2%20TD.pdf
5
http://www.colciencias.gov.co/sites/default/files/upload/convocatoria/Anexo1_2.pdf
6
ISO, Survey 2015, http://www.iso.org/iso/iso_27001_iso_survey2015.xls
29
 Implementación de un sistema de gestión de seguridad de la

Información (SGSI) en la comunidad nuestra señora de gracia,
Alineado tecnológicamente con la norma ISO 27001
Este trabajo es el resultado de un proyecto de investigación en la
Comunidad Nuestra Señora de Gracia, de la ciudad de Bogotá, con la
finalidad de implementar un SGSI en dicha institución, quienes realizaron
un proceso de diagnóstico, a partir del cual concluyeron que no tenían
definidas políticas y procesos adecuados para el correcto manejo de la
seguridad de la información. A partir de allí elaboraron un plan piloto para
elaborar políticas ajustadas a la norma ISO/IEC 27001 e implementaron un
sistema de información para levantamiento de información, análisis de
brechas y GAP. Por último, establecieron políticas y controles de
mejoramiento de los procesos de seguridad de la información y se
definieron declaraciones de aplicabilidad que fortalecieron todo el análisis
de riesgos efectuado7.
 Política para la seguridad de la información de la Universidad Distrital

Francisco José de Caldas.
La Universidad Distrital Francisco José de Caldas enfrenta amenazas de
seguridad que la lleva a un proceso de gestión responsable de información
que tiene como objetivo garantizar la integridad, confidencialidad y
disponibilidad de este importante activo, teniendo como eje el cumplimiento
de los objetivos misionales. De tal manera ha definido una política de
seguridad de la información que permite detallar el alcance de la misma,
identificar, clasificar y valorar los activos de información, valorar la
seguridad de los recursos humanos, determinar las responsabilidades del
7
Implementación de un sistema de gestión de seguridad de la Información (SGSI) en la comunidad
nuestra señora de gracia, Alineado tecnológicamente con la norma ISO 27001,
http://www.konradlorenz.edu.co/images/stories/articulos/SGSI.pdf
30
personal, valoración de seguridad física, controles de acceso, entre otras

políticas8.
2.4.2. Marco Contextual
Inicialmente la asociación mutual de la cruz hoy parte de la empresa

EMSSANAR en desarrollo y cumplimiento de los principios legales, donde existen
sus propios estatutos, presentó y desarrolló una interesante propuesta de
capacitación en el nivel técnico, creando así el instituto denominado centro de
estudios técnicos del norte de Nariño (CETEM ), con el cual se espera cumplir los
deberes de capacitación en educación mutual, prestar un servicio educativo a la
región, brindando capacitación técnica a la juventud y desarrollo de la empresa y
sus asociados a través de un proceso de planificación educativo, democrático y
participativo y continuar el mejoramiento social en el área de influencia.
El centro de estudios técnicos inicia su proceso de constitución con los
acuerdos no. 10 de agosto 30 de 1998, en el cual faculta a la gerente de la
asociación para adelantar el trámite correspondiente para obtener licencia de
funcionamiento y los convenios que sean necesarios para poner en
funcionamiento la institución y el acuerdo no 11 de 4 de octubre de 1998, fija los
estatutos para el funcionamiento del CETEM. Seguidamente se presenta a la
secretaria de educación el proyecto para la aprobación del centro de estudios
técnicos del norte de Nariño CETEM y obtener la licencia de funcionamiento. El 30
de octubre de 1998 en un acto solemne inicia sus labores el denominado centro
de estudios técnicos del norte de Nariño, en el municipio de la cruz matriculándose
120 estudiantes en las tres modalidades técnicas, extendiendo posteriormente su
radio de acción a los municipios vecinos de san José de Albán, san Bernardo,
belén y san pablo, los cuales cuentan con las respectivas licencias de
funcionamiento.
8
https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_seguridad/archivos/Pol
itica_para_Seguridad_Informacion_Version_0.0.1.0.pdf
31
2.4.2.1. Planeación y estructura estratégica

2.4.2.2. Misión:
Somos un Centro de estudios comprometido con la formación para el trabajo y el
desarrollo humano, que se rige por los principios de solidaridad, liderazgo, y
responsabilidad social, brindando servicios educativos en las áreas de: sistemas,
financieras y de salud que contribuyan a la formación integral de jóvenes y adultos
del departamento de Nariño, con espíritu emprendedor, crítico y solidario.
Contamos con un talento humano comprometido, cualificado y una infraestructura
física y tecnológica acorde a las áreas de formación establecidas. Nuestro campo
de acción se centra en la formación por competencias de conformidad a las
exigencias del sector productivo y a la normatividad vigente del sistema educativo.
2.4.2.3. Visión:
En el año 2019 seremos un Centro de estudios de la economía solidaria,
reconocida por su aporte a la generación de capital social y desarrollo sostenible.
2.4.2.4. Valores
Liderazgo: Es una conducta expresada en nuestro diario vivir, caracterizada por
la capacidad de logro, de innovar, de aprender, de trabajar en equipo, de proponer
soluciones, donde la coherencia de nuestras decisiones y acciones, inciden de
manera positiva en nuestra Organización y en la sociedad.
Solidaridad: Es un acto de conciencia interior individual y colectivo, que

determina nuestro quehacer y permite dimensionar la realidad social y económica
del entorno, estimulando la búsqueda compartida de soluciones que permitan
contribuir al bienestar de la sociedad, el estado, la familia, nuestros clientes y el
desarrollo empresarial.
Responsabilidad Social: Es el proceder empresarial que busca beneficiar de

manera permanente a sus grupos de interés con procesos de desarrollo sostenible
y sustentable actuando desde las dimensiones: social, económica y ambiental.
32
2.4.2.5. Estructura Orgánica de la Fundación
Figura 1. Estructura Orgánica de la Fundación CETEM
Fuente: Organigramas [En línea]

<http://www.emssanar.org.co/contenidos/grupocorporativo/organigrama/ORGANIGRAMA
S_EPS_2011.pdf>
2.4.2.6. Estructura Orgánica del área de Redes y Sistemas

Figura 2. Estructura Orgánica del área de Redes y Sistemas
Fuente: Organigramas [En línea]

<http://www.emssanar.org.co/contenidos/grupocorporativo/organigrama/ORGANIGRAMA
S_EPS_2011.pdf>
33
El área de redes y sistemas divide está bajo la responsabilidad del auxiliar de

soporte y mantenimiento pero generalmente tiene la colaboración de uno o dos
pensantes por cada jornada.
Funciones auxiliar de soporte y mantenimiento:

Se asemeja mucho al cargo de Jefe de Sistemas, incluyendo la función de
supervisar a los pasantes, las funciones principales del auxiliar de soporte y
mantenimiento son:
 Resolver problemas de información y/o equipos en general.
 Revisión y corrección de problemas en las diferentes áreas.
 Revisión de problemas de red.
 Desarrollo de reportes.
 Apoyo a usuarios en la solución de problemas informáticos.
 Apoyo de adquisición de equipos informáticos.
 Apoyo en la adquisición de software.
 Administrar el sistema Q10 Académico.
 Mantener información actualizada en el sistema SE Suite.
 Actualizar y mantener Sistema de Evaluación Docente (SED).
 Administrar el Sistema de Control de Asistencia Administrativos (SCAA).
Pasante:
Su jefe inmediato es el auxiliar de soporte y mantenimiento, las funciones
principales del Pasante son:
 Dar soporte a los Administrativos, Docentes y Estudiantes.
 Realizar mantenimiento preventivo y correctivo a los equipos de cómputo.
 Obtener respaldos de información.
 Actualizar inventarios de equipos.
 Revisar conectividad de red.
 A criterio de su jefe inmediato puede realizar otras funciones.
 Préstamo de equipos de cómputo y otros accesorios.
34
2.4.2.7. Distribución de la red LAN - Centro de Estudios EMSSANAR CETEM

Figura 3. Topología de red de datos del CETEM
Fuente: Esta investigación
En la Figura 6, se observa claramente el alcance tecnologico y la comunicación

entre cada una de las estaciones de trabajo, que se encuentran ubicadas en las
diferentes aulas y oficinas del centro de estudios EMSSANAR CETEM. Se puede
apreciar que el medio de transmision en la red es mixto, es decir existen partes
cableadas y partes inalambricas, ademas que no cuenta con una apropiada
segmentacion de red, dejando que cualquier equipo que se conecte de manera
cableada o inalambrica pueda observar tanto los dispositivos como los equipos
conectados de las aulas y oficinas.
Con la informacion proporcionada por el Auxiliar de Soporte y Mantenimiento, se

tiene que el numero de equipos cliente es de aproximadamente 90 equipos que se
eleva de acuerdo al numero de estudiantes que traigan laptops o smartphones.
Referente al cableado de la red, en la empresa se tiene un cableado estructurado
categoria 5, sin embargo solo se encuentra parcialmente implantado y en algunos
35
casos sin tener encuenta las normas de cableado estructurado. Es importante

mensionar que el crecimiento de la red no a sido de manera organizada, por lo
que se tiene una red hibrida entre sectores cableados y sectores inalambricos,
para satisfacer las necesidades de infraestructura tecnologica del centro de
estudios EMSSANAR CETEM.
2.4.3. Marco Teórico
2.4.3.1. Plataforma tecnológica

Es en conjunto la red de datos (incluyendo sus servicios), los recursos
tecnológicos y sistemas de información del centro de estudios CETEM.
2.4.3.2. Seguridad Informática

Se relaciona directamente con la seguridad de la información. La seguridad
informática se define como cualquier medida que impida la ejecución de
operaciones no autorizadas sobre un sistema o red informática, cuyos efectos
pueden comprometer la confidencialidad, autenticidad o integridad de la
información, disminuyendo el rendimiento de los equipos e inclusive bloqueando
el acceso de usuarios autorizados al sistema y daños en la información,
También se puede decir que es la disciplina de proteger y resguardar la

información gestionada, administrada y operada en los dispositivos los cuales son:
estaciones de trabajo, portátiles, PDA´s y equipos de comunicación.
2.4.3.3. Seguridad de la Información

Característica de la información que se logra mediante la adecuada combinación
de políticas, procedimientos, estructura organizacional y herramientas informáticas
especializadas a efectos que dicha información cumpla criterios de:
- Confidencialidad, garantía de que la información sea accedida por las personas
convenientemente autorizadas.
- Integridad, la información debe mantenerse permanentemente correcta, compleja
y protegida.
36
- Disponibilidad, la información debe estar disponible para su uso, cuando se lo

requiera. También se considera como parte de la disponibilidad, la rapidez con
que se puede ofrecer servicios o realizar operaciones.9
2.4.3.4. Familia ISO/IEC 27000
La familia ISO/IEC 27000 Estándares de seguridad de la información, provee

estándares y guías sobre buenas prácticas en sistemas de gestión de seguridad
de la información, generalmente aceptadas. En concreto el listado actual de
normas que se encuentran en desarrollo y finalizadas son:
Tabla 1. Relación de serie de las normas ISO/IEC 27000

NORMA DESCRIPCIÓN
ISO/IEC 27000 Proporcionará una vista general del marco normativo y un
vocabulario utilizado por las normas de la serie.
ISO/IEC Especificaciones para la creación de un sistema de gestión
27001:2013 de la seguridad de la información (SGSI).Publicada en 2013.
ISO/IEC Código de buenas prácticas para la gestión de la seguridad
27002:2013 de la información describe el conjunto de objetivos de
control y controles a utilizar en la construcción de un SGSI
(actualizada desde la ISO/IEC 17799:2005 y renombrada en
el 2013 como ISO 27002:2013).
ISO/IEC 27003 Proporcionará una guía de implantación de la norma
ISO/IEC 27001.
ISO/IEC 27004 Describirá los criterios de medición y gestión para lograr la
mejora continua y la eficacia de los SGSI.
ISO/IEC 27005 Proporciona criterios generales para la realización de
9
TUPIA, Manuel. Administración de la Seguridad de la información. Editorial Editex S.A. Madrid
España 2009. p9
(240 Paginas).
37
NORMA DESCRIPCIÓN
análisis y gestión de riesgos en materia de seguridad.
ISO/IEC Es una guía para el proceso de acreditación de las
27006:2007 entidades de certificación de los SGSI. Publicada en 2007.
ISO/IEC 27007 Será una guía para auditar SGSI.
ISO/IEC TR Proporcionará una guía para auditar los controles de
27008 seguridad de la norma ISO 27002:2013.
ISO/IEC 27010 Proporcionará una guía específica para el sector de las
comunicaciones y sistemas de interconexión de redes de
industrias y Administraciones, a través de un conjunto de
normas más detalladas que comenzarán a partir de la
ISO/IEC 27011.
ISO/IEC 27011 Será una guía para la gestión de la seguridad en
telecomunicaciones (conocida también como X.1051)
ISO/IEC 27031 Estará centrada en la continuidad de negocio
ISO/IEC 27032 Será una guía para la cyberseguridad.
ISO/IEC 27033 Sustituirá a la ISO/IEC 18028, norma sobre la seguridad en
redes de comunicaciones.
ISO/IEC 27034 Proporcionará guías para la seguridad en el desarrollo de
aplicaciones.
ISO/IEC 27799 No será estrictamente una parte de la serie ISO 27000
aunque proporcionará una guía para el desarrollo de SGSI
para el sector específico de la salud.
Fuente: ISO 27001 – Sistema de gestión de información [En línea] <
http://es.slideshare.net/JABERO241/0405-iso-27000present-final>
2.4.3.5. ISO/IEC 27002:2013

Se trata de la segunda edición de la norma, la cual reemplaza y cancela el SO/IEC
27002:2005. Con 14 secciones y 113 controles, esta norma contiene el Código
para la práctica de la gestión de la seguridad de la información (previamente BS
7799 Parte 1 y la norma ISO/IEC 17799). Este estándar Internacional establece
38
los lineamientos y principios generales para iniciar, implementar, mantener y

mejorar la gestión de la seguridad de la información en una organización. Los
objetivos delineados en este Estándar Internacional proporcionan un lineamiento
general sobre los objetivos de gestión de seguridad de la información
generalmente aceptados.
Figura 4. ISO 27002:2005 vs ISO 27002:2013
Fuente: La nueva versión ISO 27001[En línea] <

http://www.cip.org.pe/index.php/eventos/conferencias-ceremonias-y-
patrocinios/item/download/125_2f7be404f0dba27dabc8efd91bd14668.html>
39
2.4.3.6. Metodologías de Análisis y Evaluación de Riesgos.

Aunque el análisis de riesgos depende de la metodología escogida, según
INCIBE10 existen un conjunto de fases que son comunes en la mayor parte de las
metodologías.
Figura 5. Fases análisis de riesgos
Fuente: ¡Fácil y sencillo! Análisis de riesgos en 6 pasos [En línea] <

https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo>
 Fase 1. Definir el alcance: El primer paso a la hora de llevar a cabo el

análisis de riesgos es establecer el alcance del estudio, ya sea un área
estratégica o limitarlo a un departamento, proceso o sistema.
 Fase 2. Identificar activos: Una vez definido el alcance, debemos
identificar los activos más importantes que guardan relación con el
departamento, proceso, o sistema objeto del estudio.
10
INCIBE, ¡Fácil y sencillo! Análisis de riesgos en 6 pasos, https://www.incibe.es/protege-tu-
empresa/blog/analisis-riesgos-pasos-sencillo
40
 Fase 3. Identificar amenazas: Habiendo identificado los principales

activos, el siguiente paso consiste en identificar las amenazas a las que
estos están expuestos.
 Fase 4. Identificar vulnerabilidades y salvaguardas: La siguiente fase
consiste en estudiar las características de nuestros activos para identificar
puntos débiles o vulnerabilidades.
 Fase 5. Tratar riesgo: Una vez definido el alcance, debemos identificar los
activos más importantes que guardan relación con el departamento,
proceso, o sistema objeto del estudio.
2.4.3.7. MAGERIT 3
MAGERIT, desarrollada en España por el Consejo Superior de Administración

Electrónica es, al igual que AS/NZS, una metodología para administrar riesgos,
que persigue los siguientes objetivos:
 Hacer saber a los responsables de los sistemas de información de la existencia

de riesgos y de la necesidad de mitigarlos a tiempo.
 Ofrecer un método para analizar los riesgos.
 Ayudar a descubrir y planificar las medidas oportunas para mantener los
riesgos bajo control.
 Apoyar la preparación a la empresa para procesos de evaluación, auditoria,
certificación o acreditación, según corresponda en cada caso.
El análisis de riesgos propuesto por MAGERIT 3 es una aproximación metódica

que permite determinar el riesgo siguiendo los siguientes pasos:
 Determinar los activos relevantes para la empresa.

 Determinar las amenazas a la que están expuestos aquellos activos.
41
 Estimar el impacto, definido como el daño sobre el activo, si se llega a

concretar la amenaza.
 Valorar dichos activos en función del coste que supondría para la empresa
recuperarse ante un problema de disponibilidad, integridad o
confidencialidad de información.
 Valorar las amenazas potenciales.
 Estimar el riesgo.
Diagnostico e identificación de los riesgos.

Este proceso surge de la utilización de las herramientas o las metodologías
apropiadas en las cuales se pueden encontrar la forma metódica para efectuar el
análisis en base a la organización en la que se pretenda análisis en este sentido
se tienen en cuenta tres variables fundamentales sobre las cuales se basa la
operación de análisis: activos, las amenazas y las vulnerabilidades son el objeto
para identificar los riesgos, dado que una brecha no detectada permite la entrada
al sistema de posibles amenazas.11 En la figura 3, se ilustra el proceso a seguir en
la gestión de riesgos.
 El hallazgo del peligro consiste en especificar el acontecimiento adverso

que genera motivo de preocupación.
 Para la evaluación del riesgo hay que tener en cuenta la probabilidad (real y
no sólo la posibilidad) de que se genere el peligro, las consecuencias si se
materializa y el grado de incertidumbre.
 La gestión del riesgo consiste en la definición y aplicación del mejor control
para reducir o eliminar la probabilidad de que se genere el peligro.
11
GOMEZ, R. D. (2010). Metodología y gobierno de la gestión de riesgos de tecnologías de la
información. Revista de Ingeniería
42
 La comunicación del riesgo es el intercambio franco de información y

asesorías aclaratorias que generan una mejor comprensión y adopción de
medidas.12
Figura 6. Gestión de Riesgos
Fuente: Sistema de Gestión de la Seguridad de la Información [En línea]

<http://www.iso27000.es/download/doc_sgsi_all.pdf>
2.4.3.8. Modelo de Madurez COBIT 4.1
COBIT es un framework (también llamado marco de trabajo) de Gobierno de TI y

un conjunto de herramientas de soporte para el gobierno de TI que les permite a
12
ISO27000.ES (2013). Sistema de Gestión de la Seguridad de la Información,
http://www.iso27000.es/download/doc_sgsi_all.pdf
43
los gerentes cubrir la brecha entre los requerimientos de control, los aspectos
técnicos y riesgos de negocio.
En el presente proyecto se tendrá en cuenta el modelo de madurez que está
clasificado en 5 niveles que puede alcanzar una institución de acuerdo a la
administración de riesgos TI.13
0 No Existente
Cuando la organización no toma en cuenta los impactos en el negocio asociados a
las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de
proyectos.
La administración de riesgos no se ha identificado como algo relevante para
adquirir soluciones de TI y para presentar servicios de TI.
1 Inicial /Ad Hod

Cuando se realizan evaluaciones informales de riesgos tales como seguridad,
disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por
proyecto, es decir que existe un entendimiento emergente que los riesgos de TI
son importantes y necesitan ser considerados.
2 Repetible pero intuitivo

Cuando la administración de riesgos se da por lo general a alto nivel y típicamente
se aplica solo a proyectos grandes o como respuesta a problemas.
3 Definido
Cuando la administración de riesgos sigue un proceso definido, el cual esta
documentado.
4 Administrado y Medible
13
Cobit 4.1, http://datateca.unad.edu.co/contenidos/210114/cobiT4.1spanish.pdf
44
Cuando los riesgos se evalúan y se mitigan a nivel de proyecto individual y

también por lo regular se hace con respecto a la operación global de TI, otorgado
por parte de la gerencia de presupuesto para un proyecto de administración de
riesgo operativo para re-evaluar los riesgos de manera regular.
5 Optimizado
Cuando la administración de riesgos altamente integrada en todo el negocio y en
las operaciones de TI, está bien aceptada, y abarca a los usuarios de servicios TI
y cuando la dirección evalúa las estrategias de mitigación de riesgos de manera
frecuente.
2.4.4. Marco Conceptual
Probabilidad
Para determinar la probabilidad de ocurrencia es posible de la forma cualitativa o
cuantitativamente, considerando que la medida no debe contemplar la existencia
de acciones de control.
Amenazas
Son acciones que pueden generar consecuencias negativas en la operación de la
organización. Se referencian como amenazas a las fallas, los ingresos no
autorizados, los virus, los desastres ocasionados por fenómenos naturales o
ambientales, etc.
Vulnerabilidades
Son ciertas condiciones a las que se exponen los activos, están presentes en su
entorno, facilitan que las amenazas se materialicen y se conviertan en
vulnerabilidad.
45
Riesgos
La ISO 27002:20013 plantea que el riesgo es la combinación de la probabilidad de
un evento y sus posibles consecuencias, esta definición es la que se tomó en
cuenta para el desarrollo del presente proyecto14.
Activos
Los activos en tecnología, es todos lo relacionado con los sistemas de
información, las redes, las comunicaciones y la información en sí misma.
Impactos
Son las consecuencias de la materialización de las distintas amenazas y los daños
que éstas puedan causar. Las pérdidas generadas pueden ser financieras,
tecnológicas, físicas, entre otras.
2.4.5. Marco Legal
 Ley 527 de Agosto de 1999 Comercio electrónico. Por medio del cual se define
y reglamenta el acceso y usos de los mensajes de datos del comercio
electrónico y de las firmas digitales y se establece las entidades de la
certificación y se dictan otras disposiciones.15
 Ley 1266 de 2008. Por la cual se dictan las disposiciones generales del hábeas
data que se regula el manejo de la información contenida en bases de datos
personales, en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros países y se dictan otras disposiciones (15Ma). Esta ley
14
ISO 27001:2013 Information technology – Security techniques – Information security
management systems - Requirements. 2nd Edition
15
http://www.archivogeneral.gov.co/sites/all/themes/nevia/PDF/Transparencia/LEY_527_DE_1999.
pdf
46
se refiere al que todo individuo puede conocer, actualizar y rectificar toda

información que se relacione con él, la cual se encuentra almacenada en
16
centrales de información.
 Ley 1273 de 2009 Protección de la Información y de los Datos en Colombia.
Por medio de la cual se modifica el código Penal, se crea un nuevo bien
jurídico tutelado – denominado “de la protección de la información y de los
datos” – y se preservan integralmente los sistemas que utilicen las tecnologías
de la información y las comunicaciones, entre otras disposiciones.17.
 Ley 1341 de 2009. La presente ley determina el marco general para la
formulación de las políticas públicas que regirán el sector de las Tecnologías
de la Información y las Comunicaciones, su ordenamiento general, el régimen
de competencia, la protección al usuario, así como lo concerniente a la
cobertura, la calidad del servicio, la promoción de la inversión en el sector y el
desarrollo de estas tecnologías, el uso eficiente de las redes y del espectro
radioeléctrico, así como las potestades del Estado en relación con la
planeación, la gestión, la administración adecuada y eficiente de los recursos,
regulación, control y vigilancia del mismo y facilitando el libre acceso y sin
discriminación de los habitantes del territorio nacional a la Sociedad de la
Información.18
 Ley 1581 de 2012: Por la cual se dictan disposiciones generales para la
protección de datos personales.19
16
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34488
17
18
19
http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html
47
2.4.6. Marco Metodológico
El desarrollo del proyecto abarca una serie de fases definidas que comprenden
actividades que aseguran el cumplimiento del objetivo final del proyecto.
Para el diseño de un sistema de gestión de seguridad para la red datos del centro
de estudios EMSSANAR CETEM de la ciudad de pasto se ha tenido en cuenta el
estándar para la seguridad de la información ISO/IEC 27001:2013 a fin de
aplicarlas en todas las fases del trabajo. Este estándar define los requisitos
necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión
de la Seguridad de la Información.
2.4.6.1. Tipo de investigación

El enfoque de la investigación es cuantitativo ya que se pretende hacer la
medición de las vulnerabilidades, amenazas y riesgos en cuanto a la
confidencialidad, integridad y disponibilidad de la información.
Es una investigación de tipo explicativa porque se trata de explicar la relación
existente entre las vulnerabilidades existentes y los ataques que pueden
presentarse en el sistema de información a causa de esas vulnerabilidades.
Es descriptiva porque trata de describir cómo se lleva a cabo el proceso de
análisis y evaluación de los riesgos haciendo uso de la metodología MAGERIT.
2.4.6.2. Metodología de desarrollo

El proyecto está enfocado al diseño de un Sistema de Gestión de Seguridad de la
Información SGSI bajo la norma ISO/IEC 27001:2013, que permita definir las
políticas de seguridad orientadas a la disminución de riesgos para la red de datos
del centro de estudios EMSSANAR CETEM de la ciudad de pasto, y a satisfacer
los requerimientos necesarios para la prestación de un buen servicio con eficiencia
y calidad.
48
Para el desarrollo satisfactorio del proyecto se identificaron las siguientes

actividades por cada objetivo específico de proyecto:
Objetivo 1: Aplicar la metodología Magerit para realizar el proceso de análisis de
riesgos a los activos de información y tecnológicos más relevantes para el
CETEM.
 Recopilación y análisis de información: Esta actividad busca recolectar
la mayor cantidad de información posible con respecto al estado actual,
estudios o proyectos que tengan relación con el análisis de riesgos y en
general en materia de seguridad informática en la centro de estudios.
 Diseño de un plan de trabajo: Esta actividad hace referencia a la
construcción de un cronograma de actividades general que establezca
límites de tiempo y asignación de tareas para lograr el desarrollo del
proyecto.
 Reconocimiento de activos de información valiosos: Esta actividad
permite identificar, clasificar, valorar y seleccionar los activos de
información y tecnológicos más relevantes para esta investigación.
 Identificación de amenazas: Utilizando el catálogo de amenazas del
MAGERIT identificar cuales se encuentran presentes en los activos de
información y tecnológicos seleccionados.
 Identificación de vulnerabilidades: A través de observación directa con la
supervisión de un delegado del AREA DE REDES Y SISTEMAS y a través
de Hacking ético encontrar el estado actual de los activos de información y
tecnológicos seleccionados desde el punto de vista de seguridad de la
información.
 Evaluación de riesgos: Se califica la probabilidad y el alcance del daño
producido sobre los activos de información y tecnológicos seleccionados en
caso de que se llegue a materializar una amenaza.
 Tratamiento de riesgos: Se toma decisiones frente a los diferentes
riesgos existentes de acuerdo a la estrategia de la organización.
49
Objetivo 2: Identificar las políticas de seguridad y los controles implementados en

la red de datos del centro de estudios EMSSANAR CETEM de acuerdo a la norma
ISO/IEC 27002.2013 y asignar un valor de acuerdo con su nivel de madurez,
utilizando para este propósito la escala de madurez definida por el estándar
COBIT.
 Lectura de documentos normativos: Se realiza lectura de las normas
ISO/IEC 27001:2013, ISO/IEC 27002:2013.
 Elaboración lista de chequeo: Se seleccionan los dominios y controles a
evaluar de la norma ISO/IEC 27002:2013.
 Verificación controles ISO/IEC 27002:2013: Se le asigna un valor a cado
control de la norma de acuerdo al nivel de madurez establecido por COBIT
4.1
Objetivo 3: Definir un conjunto de políticas compatibles con la dirección
estratégica que busque de manera constatable la satisfacción del subsistema de
gestión de seguridad de la información propuesto.
 Lectura de políticas de seguridad: Se realiza lectura de varias políticas
de seguridad de otras instituciones y documentos afines.
 Definición de políticas de seguridad: De acuerdo a los dominios y
controles evaluados se definen las políticas de seguridad del CETEM a
implementarse.
 Presentación de las políticas: Se le da a conocer las políticas definidas al
AREA DE REDES Y SISTEMAS.
50
3. DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD PARA LA RED
DATOS BAJO LA NORMA ISO27001:2013 EN EL CENTRO DE ESTUDIOS
EMSSANAR CETEM DE LA CIUDAD DE PASTO
3.1. APOYO DE LA DIRECCIÓN EJECUTIVA
Para la consecución de un proyecto de este tipo es esencial el apoyo y

colaboración de la dirección y el personal involucrados en los diferentes procesos
internos, siendo de mucha importancia el suministro de información veraz,
concreta y a tiempo necesaria para el desarrollo de las actividades contempladas
en este proyecto, por esta razón hay un compromiso desde la dirección de bridar
el apoyo necesario, en la medida requerida para la consecución del proyecto.
3.2. ALCANCE
El alcance de proyecto incluye:

 Definición de los activos del Centro de Estudios EMSSANAR CETEM que
necesitan protegerse de acuerdo a la norma ISO 27001.
 Definición de los riesgos, vulnerabilidades y amenazas existentes para los
activos informáticos seleccionados en el Centro de Estudios EMSSANAR
CETEM.
 Verificación de controles de seguridad de la información que se llevan a
cabo en el Centro de Estudios EMSSANAR CETEM teniendo en cuenta la
norma ISO 27002.
 Estructuración del Sistema de Gestión de Seguridad de la Información para
el Centro de Estudios EMSSANAR CETEM.
Los dominios, objetivos de control y controles que contempla la norma ISO 27002
son:
 Política de seguridad
 Aspectos organizativos de la seguridad de la información
51
 Gestión de activos
 Seguridad ligada a los recursos humanos
 Seguridad física y ambiental
 Gestión de comunicaciones y operaciones
 Control de acceso
 Adquisición, desarrollo y mantenimiento de los sistemas de información
 Gestión de incidentes en la seguridad de la información
 Gestión de la continuidad del negocio
 Cumplimiento
El presente proyecto está orientado a proponer una serie de Políticas de

Seguridad de la Información para el Centro de Estudios EMSSANAR CETEM.
La norma ISO/IEC 27001 no impone ninguna metodología referente a análisis y

evaluación de riesgos, debido a que existen varias aceptadas internacionalmente,
por esta razón la institución está en libertad de elegir la que más se acople a sus
necesidades o crear su propia metodología acoplando cualquiera de ellas.
La metodología para análisis y evaluación de riesgos utilizada en este proyecto fue

MAGERIT debido a que esta fue creada específicamente para determinar qué
valor está en juego con respecto a las Tecnologías de la Información y
Comunicaciones (TIC) frente a los riesgos que estas están sometidos dentro de la
institución con el fin de mitigarlos implementando controles apropiados y
oportunos.
Esta metodología persigue una aplicación metódica que no deje lugar a la

improvisación, ni dependa de la arbitrariedad del analista.
MAGERIT, está conformado por tres libros: El primero es el Método, en el que se

describe la estructura del análisis y de la gestión de riesgos.
52
El análisis de riesgos es una aproximación sistemática para determinar el riesgo

siguiendo unos pasos:
 Definir los activos de información importantes para la organización.

 Definir las amenazas y vulnerabilidades existentes para los activos de
información seleccionados.
 Verificar los controles de seguridad de la información que se llevan a cabo
en la organización.
 Estimar el impacto sobre un activo de información derivado de la
materialización de una amenaza.
 Estimar el riesgo (Riesgo = Probabilidad x Impacto).
El segundo es un Catálogo de Elementos que ofrece unas pautas y elementos

estándar en cuanto a tipos de activos, dimensiones de valoración de los activos,
escala de valoración de los activos, amenazas típicas sobre los sistemas de
información y salvaguardas a considerar para proteger sistemas de información. Y
por último una Guía de Técnicas y ejemplos de cómo llevar a cabo el análisis de
riesgos por medio de tablas, algoritmos, arboles de ataque, técnicas gráficas, etc.
Este documento de técnicas convierten está metodología en un factor
diferenciador con respecto a otras metodologías.
MAGERIT es muy útil para las organizaciones que inician con la gestión de
seguridad de la información, porque permite enfocar esfuerzos en los riesgos que
pueden ser más críticos.
En la metodología Magerit se desarrollan cinco procesos principales que son:

 P1. La planificación
 P2. Identificación y valoración de activos
 P3. Identificación de amenazas y vulnerabilidades
53
 P4. Evaluación de riesgos

 P5. Tratamiento de riesgos
3.2.1. Proceso P1: Reconocimiento del entorno y planificación
3.2.1.1. Actividad 1: Planificación.
Esta etapa brindara las pautas necesarias para el desarrollo del análisis de riesgos
como parte del DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD PARA
LA RED DATOS BAJO LA NORMA ISO27001:2013 EN EL CENTRO DE
ESTUDIOS EMSSANAR CETEM DE LA CIUDAD DE PASTO.
 Estudio de Oportunidad.
Esta actividad tiene como objetivo específico, realizar un diagnóstico del estado de
seguridad en que se encuentran activos de información y tecnológicos más
relevantes para esta investigación dentro del centro de estudios EMSSANAR
CETEM de la ciudad de pasto, además de motivar a la alta dirección para
implementar un SGSI.
 Definición del Alcance y Objetivos del Proyecto
Después de haber recibido el aval para la realización del proyecto, se definen los
límites y el dominio de trabajo y los objetivos para desarrollar exitosamente el
proyecto.
Los objetivos han sido planteados con el propósito de realizar un análisis de
riesgos que permita el Diseño de un sistema de gestión de seguridad para la red
datos bajo la norma ISO27001:2013 en el centro de estudios EMSSANAR
CETEM de la ciudad de pasto.
54
 Planificación del Proyecto
Se realiza un cronograma de actividades estableciendo el tiempo aproximado de

dedicación por actividad que permita el desarrollo exitoso del proyecto.
 Lanzamiento del Proyecto.
Con el permiso de la Directora ejecutiva y colaboración del Auxiliar de Soporte y

mantenimiento del Centro de Estudios EMSSANAR CETEM se inicia el proceso de
análisis de riesgos y se adopta la técnica de observación directa para la
recolección de la información siendo estas las más apropiadas, ya que se tiene la
ventaja de que los integrantes del equipo de trabajo está directamente involucrado
con los procesos y sistemas informáticos existentes en la institución.
Figura 7. Elementos del análisis de riesgos

55
Fuente: MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información – Libro 1
Al igual que cualquier organización y/o empresa el Centro de Estudios

EMSSANAR CETEM, está expuesta a múltiples riesgos razón por la cual debe
considerar y dar importancia a los cambios o alteraciones que lleguen a afectar
activos de información y tecnológicos evitando acciones negativas al normal
funcionamiento.
En este punto es necesario aplicar una metodología que permita realizar un
análisis de riesgos de manera sistemático y principalmente alineado a los
estándares ISO en particular a la norma 27001, por esta razón se escogió la
metodología de análisis de riesgos Magerit.
3.2.2. Proceso P2: Identificación y valoración de los Activos.
3.2.2.1. Actividad 2: Clasificación de los Activos.
Los activos presentes en Centro de Estudios EMSSANAR CETEM, son

identificados y clasificados tomando como base el Libro II de la metodología
MAGERIT versión 3 , en donde nos presenta el catálogo de elementos (Ver
ANEXO B. TIPOS DE ACTIVOS SEGÚN MAGERIT):
Tabla 2. Activos esenciales [essential]

Código grupo de Nombre grupo Código Activo de Nombre activo de acuerdo a la
activo MAGERIT de activo acuerdo a la entidad entidad
MAGERIT
[vr] Datos vitales 1. [Inf_Prog_Acade Información de los programas
micos_ESS] académicos que ofrece el
Centro de Estudios.
[per] Datos de Carácter 2. [Inf_Academica_ Información académica de los
Personal Alumnos_ESS] alumnos de las diferentes
promociones.
56
[per] Datos de Carácter 3. [Inf_ContableYfin Información contable y

Personal anciera_ESS] financiera del Centro de
Estudios.
Tabla 3. Datos / Información [D]

MAGERIT
[files] Archivos 4. [Arc_Prog_Acade Archivos con información de los
micos_d] programas académicos que
ofrece el Centro de Estudios.
[files] Archivos 5. [Arc_Calificacione Archivos con información
s_d] académica de los alumnos de
las diferentes promociones.
[files] Archivos 6. [Arc_Proyectos_a Archivos con información
lumnos_d] contable y financiera
institucional.
[files] Archivos 7. [Arc_Reportes_e_ Archivos con reportes e
informes_d] informes institucionales.
[password] Credenciales 8. [Passwords_d] Claves de acceso a equipos de
oficina y recursos tecnológicos
[backup] Copias de 9. [ImageSO_Bk_d] Copia de respaldo de los
respaldo sistemas operativos tanto de las
oficinas como de las aulas de
informática.
Tabla 4. Claves criptográficas [K]

MAGERIT
[vr] Datos vitales 10. [Firma_digital_do Utilizada para firmar los
cs_k] documentos institucionales.
57
[per] Datos de Carácter 11. [Clave_Bancaria_ Utilizada para realizar los pagos
Personal k] y transacciones bancarias.
58
Tabla 5. Inventario de servicios [S]

Código grupo Nombre grupo Código Activo de Nombre activo de acuerdo a
de activo de activo acuerdo a la entidad la entidad
MAGERIT MAGERIT
[www] World wide web 12. [Internet_S] Servicio de internet al que
pueden acceder los
administrativos, docentes
estudiantes y visitantes.
Tabla 6. Software - Aplicaciones informáticas [Sw]

Código grupo Nombre grupo de Código Activo de Nombre activo de
de activo activo MAGERIT acuerdo a la entidad acuerdo a la entidad
MAGERIT
[prp] Desarrollo propio 13. [SED_Sw] Sistema evaluación
docente
[prp] Desarrollo propio 14. [SCAA_Sw] Sistema de Control de
Asistencia Administrativos
[sub] Desarrollo a 15. [SE_Suite_Sw] SE Suite
medida
(subcontratado)
[sub] Desarrollo a 16. [Q10_Academico_Sw] Q10 Académico
medida
(subcontratado)
[sub] Desarrollo a 17. [Superportsoft_Sw] Sistema de inventario de
medida equipos
(subcontratado)
[sub] Desarrollo a 18. [SIGE_sw] Sistema de Información de
medida Gestión Documental
(subcontratado)
[browser] Navegador web 19. [Browser_sw] Navegador Web
[Oficce] Ofimática 20. [Microsoft_Oficce_sw] Microsoft Office, 2007,
2013, 2016
[av] Antivirus 21. [ESET_Antivirus_sw] ESET ENDPOINT
ANTIVIRUS 5 con
59
Código grupo Nombre grupo de Código Activo de Nombre activo de

de activo activo MAGERIT acuerdo a la entidad acuerdo a la entidad
MAGERIT
actualizaciones
automáticas.
[os] Sistema operativo 22. [Windows_OS_aulas__ Sistema operativo Windows
sw] XP, 7 y 8 para docentes y
estudiantes, en su versión
professional con
actualizaciones
automáticas activadas.
[os] Sistema operativo 23. [Windows_OS_oficinas Sistema operativo Windows
_sw] 7 y 8 para administrativos,
en su versión professional
con actualizaciones
Tabla 7. Equipos informáticos [Hw]

Código grupo de Nombre grupo de Código Activo de Nombre activo de
activo MAGERIT activo MAGERIT acuerdo a la entidad acuerdo a la entidad
[mid] Equipos medios 24. [Evaluacion_mid_hw] Servidor de evaluación
Docente
[mid] Equipos medios 25. [Asistencia_mid_hw] Servidor de Control de
Asistencia
Administrativos
[pc] Informática 26. [oficina_PC_hw] Equipos de Oficina
personal
[pc] Informática 27. [Aulas_PC_hw] Equipos de Aulas de
personal clase
[mobile] Equipos que son 28. [Equipos_Movile_hw] Laptops y celulares de
fácilmente Administrativos,
transportados docentes, estudiantes y
visitantes.
[print] Equipos de 29. [local_print_hw] Impresoras
impresion
60

[hub] Hub 30. [Hub_hw] Hub
concentradores
[switch] Switch 31. [Switch_hw] Switch
conmutadores
[router] Enrutador 32. [Router_ISP_hw] Router de Internet
Proveedor de Servicios
de Internet.
[wap] Punto de acceso 33. [wifi_Ap_hw] Red Inalámbrica
inalámbrico
Tabla 8. Redes de comunicaciones [COM]

[LAN] Red local 34. [Intranet_com] Intranet
[LAN] Red local 35. [Extranet_com] Comunicación a los
sistemas externos a
través de internet
Tabla 9. Equipos Auxiliares [Aux]

Código grupo Nombre grupo Código Activo de acuerdo a Nombre activo de
de activo de activo la entidad acuerdo a la entidad
MAGERIT MAGERIT
[wire] Cableado 36. [CAB_RED_aux] Cableado de Red
[ups] Sistemas de 37. [Computadores_ups_aux] UPS computadores
Alimentación
ininterrumpida
[suplly] Suministros 38. [Esenciales_aux] Suministros esenciales
Esenciales tales como: Papel,
sobres, carpetas, tinta,
etc.
[Furniture] Mobiliario 39. [M_Mobiliario_aux] Mobiliario: Estantes,
61
Código grupo Nombre grupo Código Activo de acuerdo a Nombre activo de

de activo de activo la entidad acuerdo a la entidad
MAGERIT MAGERIT
armarios, escritorios,
archivadores, etc.
[safe] Cajas fuertes 40. [caja_fuerte] Cajas fuertes
Tabla 10. Instalaciones [L]

[building] Edificio 41. [E_entidad-l] Instalación física del
Centro de Estudios
EMSSANAR CETEM
[GAB] Gabinete de Red 42. [Gabinete-l] Gabinete de Red
Tabla 11. Personal [P]

activo MAGERIT activo MAGERIT acuerdo a la entidad acuerdo a la
entidad
[ue] usuarios externos 43. [Usuarios_externos_p] Visitantes
[ui] Usuarios internos 44. [Usuarios_int_Adm_p] Administrativos,
45. [Usuarios_int-Doc_p] Docentes
46. [Usuarios_int_Est_p] Estudiantes.
[op] Operadores 47. [Auxiliar_op_p] Auxiliar de Soporte y
mantenimiento
[op] Operadores 48. [Soporte_op_p] Ingeniero de soporte
EMSSANAR
Tabla 12. Soportes de Información _almacenamiento electrónico y no electrónico

[MEDIA]
62
Código grupo de Nombre grupo Código Activo de Nombre activo de acuerdo

activo MAGERIT de activo acuerdo a la entidad a la entidad
MAGERIT
[printed] Material 49. [Doc_Prog_Acad Carpetas con información de
los programas académicos
impreso emicos]
que ofrece el Centro de
Estudios.
50. [Doc_Academica Carpetas con información
académica de los alumnos
_Alumnos]
de las diferentes
promociones.
51. [Doc_Proyectos_ Documentos en físico de los
proyectos de los alumnos
alumnos]
graduados
52. [Doc_Hv_Docent Hojas de vida en físico de los
docentes que han trabajado
e]
en la institución hasta la
fecha.
53. [Doc_Reportes_ Reportes e informes
contables y financieros
e_informes]
institucionales en físico.
[NO_printed] Material en 54. [Dig_Reportes_e Reportes e informes

contables y financieros
digital _informes]
institucionales en físico.
55. [Dig_calif_alumn Archivos de Excel de las
calificaciones promociones
os]
antiguas.
Tabla 13. Resumen de activos de información

TIPO NOMBRE DEL ACTIVO
ACTIVOS ESENCIALES 1. [Inf_Prog_Academicos_ESS] - Información de los
[ESSENTIAL] programas académicos que ofrece el Centro de
Estudios.
2. [Inf_Academica_Alumnos_ESS] - Información
63

académica de los alumnos de las diferentes
promociones.
3. [Inf_ContableYfinanciera_ESS] - Información contable
y financiera del Centro de Estudios.
DATOS / INFORMACIÓN [D] 4. [Arc_Prog_Academicos_d] - Archivos con información
de los programas académicos que ofrece el Centro de
Estudios.
5. [Arc_Calificaciones_d] - Archivos con información
académica de los alumnos de las diferentes
promociones.
6. [Arc_Proyectos_alumnos_d] - Archivos con
información contable y financiera institucional.
7. [Arc_Reportes_e_informes_d] - Archivos con reportes
e informes institucionales.
8. [Passwords_d] - Claves de acceso a equipos de
oficina y recursos tecnológicos
9. [ImageSO_Bk_d] - Copia de respaldo de los sistemas
operativos tanto de las oficinas como de las aulas de
informática.
CLAVES CRIPTOGRÁFICAS [K] 10. [Firma_digital_docs_k] - Utilizada para firmar los
documentos institucionales.
11. [Clave_Bancaria_k] - Utilizada para realizar los pagos
y transacciones bancarias.
SERVICIOS [S] 12. [Internet_S] - Servicio de internet al que pueden
acceder los administrativos, docentes estudiantes y
visitantes.
SOFTWARE - APLICACIONES 13. [SED_Sw] - Sistema evaluación docente
INFORMATICAS [SW] 14. [SCAA_Sw] - Sistema de Control de Asistencia
Administrativo
15. [SE_Suite_Sw] - SoftExpert Excellence (Suite SE
Suite)
16. [Q10_Academico_Sw] - Gestión educativa de los
procesos académicos y administrativos.
17. [Superportsoft_Sw] - Sistema de inventario de equipos
18. [SIGE_Sw] - Sistema de Información de Gestión
64

Documental
19. [Browser_sw] - Navegador Web
20. [Microsoft_Oficce_sw] – Microsoft Office, 2007, 2013,
2016
21. [ESET_Antivirus_sw] - ESET ENDPOINT ANTIVIRUS
5 con actualizaciones automaticas.
22. [Windows_OS_aulas_sw] - Sistema operativo
Windows XP, 7 y 8 para docentes y estudiantes, en su
versión professional con actualizaciones automáticas
activadas.
23. [Windows_OS_oficinas_sw] - Sistema operativo
Windows 7 y 8 para administrativos, en su versión
professional con actualizaciones automáticas
activadas.
EQUIPAMIENTO INFORMÁTICO 24. [Evaluacion_mid_hw] - Servidor de evaluación
[HW] 25. [Asistencia_ mid_hw] - Servidor de Control de
Asistencia Administrativos
26. [Oficina_PC_hw] - Equipos de Oficina
27. [Aulas_PC_hw] - Equipos de Aulas de clase
28. [Equipos_Movile_hw] - Laptops y celulares de
Administrativos, docentes, estudiantes y visitantes.
29. [local_print_hw] - Impresoras
30. [Hub_hw] - Hub
31. [Switch_hw] - Switch
32. [Router_ISP_hw] - Router de Internet Proveedor de
Servicios de Internet.
33. [Wifi_Ap_hw] - Red Inalámbrica
REDES DE COMUNICACIONES 34. [Intranet_com] – Intranet
[COM] 35. [Extranet_com] – Comunicación a los sistemas
externos a través de internet
EQUIPAMIENTO AUXILIAR [AUX] 36. [CAB_RED_aux] - Cableado de Red
37. [Computadores_ups_aux] - Sistemas de Alimentación
ininterrumpida.
38. [Esenciales_aux] - Suministros Esenciales .
39. [M_Mobiliario_aux] - Mobiliario
65

40. [caja_fuerte_aux] - Cajas fuertes
INSTALACIONES [L] 41. [E_entidad_l] - Instalación física del Centro de
Estudios EMSSANAR CETEM
42. [Gabinete_l] – Gabinete de Red
PERSONAL [P] 43. [Usuarios_externos_p] - Visitantes
44. [Usuarios_int_Adm_p]– Administrativos
45. [Usuarios_int-Doc_p] – Docentes
46. [Usuarios_int_Est_p]– Estudiantes.
47. [Auxiliar_op_p] - Auxiliar de Soporte y mantenimiento
48. [Soporte_op_p] – Ingeniero de soporte EMSSANAR
SOPORTES DE INFORMACIÓN 49. [Doc_Prog_Academicos] - Carpetas con información
ELECTRONICOS Y NO de los programas académicos que ofrece el Centro de
ELECTRONICOS [MEDIA] Estudios.
50. [Doc_Academica_Alumnos] - Carpetas con
información académica de los alumnos de las
diferentes promociones.
51. [Doc_Proyectos_alumnos] - Documentos en físico de
los proyectos de los alumnos graduados
52. [Doc_Hv_Docente] - Hojas de vida en físico de los
docentes que han trabajado en la institución hasta la
fecha.
53. [Doc_Reportes_e_informes] - Reportes e informes
contables y financieros institucionales en físico.
54. [Dig_Reportes_e_informes] - Reportes e informes
contables y financieros institucionales en físico.
55. [Dig_calif_alumnos] - Archivos de Excel de las
calificaciones promociones antiguas.
3.2.2.2. Actividad 3: Valoración cualitativa de los Activos y selección de

activos más relevantes.
Teniendo en cuenta que todos los activos no tienen la misma relevancia e
importancia para la entidad, y que cada uno de estos en caso de ser atacado o
sufrir un incidente genera un impacto diferente en la entidad, se procede a realizar
66
una valoración cualitativa teniendo en cuenta la escala de valoración de activos

propuesta en MAGERIT V3 (Ver Tabla 4) basada en dimensiones de seguridad
como lo son:
 [C] confidencialidad de la Información.
 [I] integridad de los datos
 [D] disponibilidad
 [A] Autenticidad
 [T] trazabilidad
Tabla 14. Escala de Valoración de activos

Valor Criterio
10 Extremo Daño extremadamente grave.
9 Muy Alto Daño Muy grave.
6-8 Alto Daño grave.
3-5 Medio Daño importante.
1-2 Bajo Daño menor
0 Despreciable Irrelevante a efectos prácticos
Tabla 15. Valoración de Activos esenciales

ACTIVOS ESENCIALES Dimensión Activo
ID Cant Custodio
[ESSENTIAL] C I D Nivel Valor
[Inf_Prog_Academicos_ESS] -
Auxiliar
Información de los programas
1 1 C S A A 4 Soporte y
académicos que ofrece el Centro
mantenimiento
de Estudios.
[Inf_Academica_Alumnos_ESS] - Auxiliar
2 Información académica de los 1 C S A A 4 Administrativo
alumnos de las diferentes Académico
67
promociones.
[Inf_ContableYfinanciera_ESS] - Auxiliar
3 Información contable y financiera 1 C S MA MA 5 Administrativo
del Centro de Estudios. Financiero
Tabla 16. Valoración de Datos e Información
Dimensión Activo
ID DATOS / INFORMACIÓN [D] Cant Custodio
C I D Nivel Valor
[Arc_Prog_Academicos_d] -
Auxiliar
Archivos con información de los
4 1 I S B M 3 Administrativo
programas académicos que
Académico
[Arc_Calificaciones_d] - Archivos
Auxiliar
con información académica de
los alumnos de las diferentes
Académico
promociones.
[Arc_Proyectos_alumnos_d] - Auxiliar
6 Archivos con información 1 I B B B 2 Administrativo
contable y financiera institucional. Académico
[Arc_Reportes_e_informes_d] - Auxiliar
7 Archivos con reportes e informes 1 I N B B 2 Administrativo
institucionales. Financiero
[Passwords_d] - Claves de Auxiliar
8 acceso a equipos de oficina y 1 C S MA MA 5 Soporte y
recursos tecnológicos mantenimiento
[ImageSO_Bk_d] - Copia de
Auxiliar
respaldo de los sistemas
9 1 I B A M 3 Soporte y
operativos tanto de las oficinas
mantenimiento
como de las aulas de informática.
68
Tabla 17. Valoración de Claves Criptográficas

Dimensión Activo
ID CLAVES CRIPTOGRÁFICAS [K] Cant Custodio
C I D Nivel Valor
[Firma_digital_docs_k] - Utilizada Auxiliar
10 para firmar los documentos 1 C S MA MA 5 Soporte y
institucionales. mantenimiento
[Clave_Bancaria_k] - Utilizada Auxiliar
11 para realizar los pagos y 1 C S MA MA 5 Soporte y
transacciones bancarias. mantenimiento
Tabla 18. Valoración de Servicios

Dimensión Activo
ID SERVICIOS [S] Cant Custodio
C I D Nivel Valor
[Internet_S] - Servicio de internet
Auxiliar
al que pueden acceder los
12 1 I N MA A 4 Soporte y
administrativos, docentes
mantenimiento
Tabla 19. Valoración de Aplicaciones Informáticas

SOFTWARE - APLICACIONES Dimensión Activo
ID Cant Custodio
INFORMATICAS [SW] C I D Nivel Valor
Auxiliar
[SED_Sw] - Sistema evaluación
13 1 P N MB B 2 Soporte y
docente
mantenimiento
Auxiliar
[SCAA_Sw] - Sistema de Control
14 1 I N A M 3 Soporte y
de Asistencia Administrativo
mantenimiento
69

ID Cant Custodio
Empresa
[SE_Suite_Sw] - SoftExpert
15 1 C S MA MA 5 Prestadora del
Excellence (Suite SE Suite)
Servicio
[Q10_Academico_Sw] - Gestión Empresa
16 educativa de los procesos 1 C S MA MA 5 Prestadora del
académicos y administrativos. Servicio
Empresa
[Superportsoft_Sw] - Sistema de
17 1 I B MB B 2 Prestadora del
inventario de equipos
Servicio
[SIGE_Sw] - Sistema de
Empresa
18 Información de Gestión 1 I S A M 3
Externa
Documental
Auxiliar
[Navegadores_web_sw] -
19 2 P B B MB 1 Soporte y
Navegadores Web
mantenimiento
Auxiliar
[Microsoft_Oficce_sw] – Microsoft
20 1 P B B MB 1 Soporte y
Office, 2007, 2013, 2016
mantenimiento
[ESET_Antivirus_sw] - ESET Auxiliar
21 ENDPOINT ANTIVIRUS 5 con 1 P B MA B 2 Soporte y
actualizaciones automaticas. mantenimiento
[Windows_OS_aulas_sw]- Sistema
operativo Windows XP, 7 y 8 para
Auxiliar
docentes y estudiantes, en su
22 3 P B MA B 2 Soporte y
versión professional con
mantenimiento
actualizaciones automáticas
activadas.
70

ID Cant Custodio
[Windows_OS_oficinas_sw] -
Sistema operativo Windows 7 y 8 Auxiliar
23 para administrativos, en su versión 1 I N MA A 4 Soporte y
professional con actualizaciones mantenimiento
Tabla 20. Valoración de Equipamiento Informático

EQUIPAMIENTO Dimensión Activo
ID Cant Custodio
INFORMÁTICO [HW] C I D Nivel Valor
Auxiliar
[Evaluacion_mid_hw] - Servidor
24 1 I N A M 3 Soporte y
de evaluación
mantenimiento
[Asistencia_ mid_hw] - Servidor Auxiliar
25 de Control de Asistencia 1 I N MA A 4 Soporte y
Administrativos mantenimiento
Auxiliar
[Oficina_PC_hw] - Equipos de
26 5 I N MA A 4 Soporte y
Oficina
mantenimiento
Auxiliar
[Aulas_PC_hw] - Equipos de
27 80 P B MB B 2 Soporte y
Aulas de clase
mantenimiento
[Equipos_Movile_hw] - Laptops y
celulares de Administrativos, Propios
28 20 P N MB B 2
docentes, estudiantes y Usuarios
visitantes.
Auxiliar
29 [local_print_hw] - Impresoras 2 I N A M 3 Soporte y
mantenimiento
71
EQUIPAMIENTO Dimensión Activo

ID Cant Custodio
INFORMÁTICO [HW] C I D Nivel Valor
Auxiliar
30 [Hub_hw] - Hub 3 I N MA A 4 Soporte y
mantenimiento
Auxiliar
31 [Switch_hw] - Switch 4 I N MA A 4 Soporte y
mantenimiento
[Router_ISP_hw] - Router de Empresa
32 Internet Proveedor de Servicios 1 I N MA A 4 Prestadora del
de Internet. Servicio
Auxiliar
33 [Wifi_Ap_hw] - Red Inalámbrica 5 I N MA A 4 Soporte y
mantenimiento
Tabla 21. Valoración de Redes de Comunicaciones

REDES DE COMUNICACIONES Dimensión Activo
ID Cant Custodio
[COM] C I D Nivel Valor
Auxiliar
34 [Intranet_com] – Intranet 1 I S MA MA 5 Soporte y
mantenimiento
[Extranet_com] – Comunicación a Auxiliar
35 los sistemas externos a través de 1 C S MA MA 5 Soporte y
internet mantenimiento
Tabla 22. Evaluación de equipamiento auxiliar

EQUIPAMIENTO AUXILIAR Dimensión Activo
ID Cant Custodio
[AUX] C I D Nivel Valor
72
EQUIPAMIENTO AUXILIAR Dimensión Activo

ID Cant Custodio
[AUX] C I D Nivel Valor
Auxiliar
[CAB_RED_aux] - Cableado de
36 1 C S MA MA 5 Soporte y
Red
mantenimiento
[Computadores_ups_aux] - Auxiliar
37 Sistemas de Alimentación 1 C N A M 3 Soporte y
ininterrumpida. mantenimiento
Auxiliar
[Esenciales_aux] - Suministros
38 1 I B MB B 2 Servicios
Esenciales
Generales
Auxiliar
39 [M_Mobiliario_aux] - Mobiliario 1 I B MB B 2 Servicios
Generales
Directora
40 [caja_fuerte_aux] - Cajas fuertes 1 C S A A 4
Ejecutiva
Tabla 23. . Valoración de Instalaciones

Dimensión Activo
ID INSTALACIONES [L] Cant Custodio
C I D Nivel Valor
[E_entidad_l] - Instalación física Auxiliar
41 del Centro de Estudios 1 P N A B 2 Soporte y
EMSSANAR CETEM mantenimiento
Auxiliar
42 [Gabinete_l] – Gabinete de Red 1 C S MA MA 5 Soporte y
mantenimiento
Tabla 24. Valoración de personal

ID PERSONAL [P] Cant Dimensión Activo Custodio
73
C I D Nivel Valor
Auxiliar
[Usuarios_externos_p] -
43 30 P B MB B 2 Servicios
Visitantes
Generales
[Usuarios_int_Adm_p]– Directora
44 5 I N MA A 4
Administrativos Ejecutiva
Directora
45 [Usuarios_int-Doc_p] – Docentes 40 I N MB B 2
Ejecutiva
[Usuarios_int_Est_p]– Directora
46 400 I N MB B 2
Estudiantes. Ejecutiva
[Auxiliar_op_p] - Auxiliar de Directora
47 1 I N MA A 4
Soporte y mantenimiento Ejecutiva
[Soporte_op_p] – Ingeniero de Directora
48 1 I N B B 2
soporte EMSSANAR Ejecutiva
Tabla 25. Valoración de Información Electrónica

Dimensión Activo
SOPORTES DE INFORMACIÓN
ID Cant Custodio
ELECTRONICA [MEDIA] C I D Nivel Valor
[Arc_Prog_Academicos] -
Auxiliar
Carpetas con información de los
49 1 I N B B 2 Administrativo
programas académicos que
Académico
[Arc_Academica_Alumnos] -
Auxiliar
Carpetas con información
académica de los alumnos de las
Académico
diferentes promociones.
[Arc_Proyectos_alumnos] -
Auxiliar
Documentos en físico de los
51 1 I B B B 2 Administrativo
proyectos de los alumnos
Académico
graduados
74
Dimensión Activo
SOPORTES DE INFORMACIÓN
ID Cant Custodio
ELECTRONICA [MEDIA] C I D Nivel Valor
[Arc_Hv_Docente] - Hojas de
Auxiliar
vida en físico de los docentes
52 1 P B B MB 1 Administrativo
que han traBdo en la institución
Financiero
hasta la fecha.
[Arc_Reportes_e_informes] -
Auxiliar
Reportes e informes contables y
financieros institucionales en
Financiero
físico.
En esta valoración de activos se puede observar el valor que tiene cada activo
para el Centro de Estudios EMSSANAR. Teniendo en cuenta que el objetivo es
diseñar un sistema de gestión de seguridad informática bajo la norma
ISO27001:2013 para mejorar la seguridad de la red de datos se han seleccionado
los activos que tienen mayor valor y están directamente relacionados con esta
investigación como se observa en la tabla 26.
Tabla 26. Activos más relevantes para esta investigación

Activo
TIPO DE ACTIVO Nombre del Activo Custodio
Nivel Valor
[Internet_S] - Servicio de
Auxiliar
internet al que pueden acceder
SERVICIOS [S] A 4 Soporte y
los administrativos, docentes
mantenimiento
Auxiliar
EQUIPAMIENTO
[Wifi_Ap_hw] - Red Inalámbrica A 4 Soporte y
INFORMÁTICO [HW]
mantenimiento
Auxiliar
REDES DE
[Intranet_com] – Intranet MA 5 Soporte y
COMUNICACIONES [COM]
mantenimiento
75
Activo
TIPO DE ACTIVO Nombre del Activo Custodio
Nivel Valor
[Extranet_com] – Comunicación Auxiliar

REDES DE
a los sistemas externos a través MA 5 Soporte y
COMUNICACIONES [COM]
de internet mantenimiento
Auxiliar
EQUIPAMIENTO AUXILIAR [CAB_RED_aux] - Cableado de
MA 5 Soporte y
[AUX] Red
mantenimiento
Auxiliar
INSTALACIONES [L] [Gabinete_l] – Gabinete de Red MA 5 Soporte y
mantenimiento
3.2.3. Proceso P3: Identificación de amenazas y vulnerabilidades
3.2.3.1. Actividad 4: Identificación de amenazas.
Una vez seleccionados en la Actividad A2.1.1 los activos más relevantes para esta
investigación, procedemos a determinar la degradación del activo; proceso que
consiste en evaluar el valor que pierde el activo (en porcentaje) en caso que se
materialice una amenaza.
Estas Amenazas se han tomado del catálogo de elementos que presenta la
metodología MAGERIT en su libro II Versión 3.0.
Para el desarrollo de esta actividad es necesario tener presente los rangos dados
en los siguientes cuadros tanto de frecuencia como de degradación.
Tabla 27. Probabilidad de ocurrencia

Valor Criterio
100 Muy frecuente MF A diario
10 Frecuente F Mensualmente
1 Normal FN Una vez al año
1/10 Poco frecuente PF Cada varios años
76

Tabla 28. Degradación del valor

Valor Criterio
90% - 100% Degradación muy considerable del activo
25% – 89% Degradación medianamente considerable del activo
1% - 24% Degradación poco considerable del activo
Tabla 29. Servicio de internet al que pueden acceder los administrativos, docentes
[Internet_S] - Servicio de internet al que
Activo TI pueden acceder los administrativos,
docentes estudiantes y visitantes.
Administrador Auxiliar de Soporte y mantenimiento
Tipo de Activo SERVICIOS [S]
ID Amenaza
[E.19] Fugas de información

[E.24] Caída del sistema por agotamiento de recursos
[A.5] Suplantación de la identidad del usuario
[A.6] Abuso de privilegios de acceso
[A.7] Uso no previsto
[A.11] Acceso no autorizado
[A.15] Modificación deliberada de la información
[A.18] Destrucción de información
[A.19] Revelación de información
[A.24] Denegación de servicio
Tabla 30. Red Inalámbrica

Activo TI 33. [Wifi_Ap_hw] - Red Inalámbrica
77

Tipo de Activo EQUIPAMIENTO INFORMÁTICO [HW]
ID Amenaza
[I.4] Contaminación electromagnética.

[I.5] Avería de origen físico o lógico.
[I.6] Corte del suministro eléctrico
[I.11] Emanaciones electromagnéticas
[E.2] Errores del administrador
Tabla 31. Intranet

Activo TI 34. [Intranet_com] – Intranet
Tipo de Activo REDES DE COMUNICACIONES [COM]
ID Amenaza
[I.8] Fallo de servicios de comunicaciones

[E.9] Errores de [re-]encaminamiento
[A.10] Alteración de secuencia
[A.12] Análisis de tráfico
[A.14] Interceptación de información (escucha)
78

Tabla 32. Comunicación a los sistemas externos a través de internet
35. [Extranet_com] – Comunicación a los

Activo TI
sistemas externos a través de internet
ID Amenaza
[I.8] Fallo de servicios de comunicaciones

[E.9] Errores de [re-]encaminamiento
[E.15] Alteración accidental de la información
[E.18] Destrucción de información
[A.9] Manipulación de los registros de actividad (log)
[A.12] Análisis de tráfico
[A.14] Interceptación de información (escucha)
Tabla 33. Cableado de Red

Activo TI 36. [CAB_RED_aux] - Cableado de Red
Tipo de Activo EQUIPAMIENTO AUXILIAR [AUX]
ID Amenaza
[I.4] Contaminación electromagnética.

[I.5] Avería de origen físico o lógico.
[I.6] Corte del suministro eléctrico
[I.11] Emanaciones electromagnéticas
79
Activo TI 36. [CAB_RED_aux] - Cableado de Red

Tipo de Activo EQUIPAMIENTO AUXILIAR [AUX]
ID Amenaza
[E.23] Errores de mantenimiento / actualización de equipos (hardware)

Tabla 34. Gabinete de Red

Activo TI 42. [Gabinete_l] – Gabinete de Red
Tipo de Activo INSTALACIONES [L]
ID Amenaza
[E.15] Alteración accidental de la información

[E.18] Destrucción de información
[A.27] Ocupación enemiga
3.2.3.2. Actividad 5: Identificación de vulnerabilidades.
Se realizó principalmente a través de inspección visual a los activos de

información y hacking ético.
 Inspección visual de los activos de información.

El acompañamiento del Auxiliar de Soporte y mantenimiento enriqueció en gran
medida la inspección visual, ya que a medida se recorría las instalaciones el
realizaba una descripción de todos los dispositivos y situaciones encontradas.
Se lograron identificar varios lugares y activos críticos, como lo son.
80
Sala de Servidores
Figura 8. Servidor de evaluación Docente
Como se observa en la figura 8 el Servidor de Evaluación Docente, se encuentra

en una mesa de madera, en caso de incendio este se puede destruir fácilmente.
Cuenta con un extintor Solkaflam (especializado para equipos de cómputo en
caso de incendio) en la parte de afuera de la oficina del Auxiliar de Soporte y
Mantenimiento donde se encuentra ubicado, como se observa en la figura 9.
81
Figura 9. Oficina Auxiliar de Soporte y mantenimiento

82
La puerta de acceso al Servidor de Evaluación Docente, no cuenta con chapas

que suficientemente seguras como se observa en la figura 10.
Figura 10. Puerta acceso Servidor de Evaluación Docente
El Servidor de Control de Asistencia Administrativos se encuentra en el cuarto de

aseo como se observa en la Figura 10.
Figura 11. Servidor de Control de Asistencia Administrativos

83
La puerta de acceso al Servidor de Control de Asistencia Administrativos, no

cuenta con chapas que suficientemente seguras como se observa en la figura 10.
Figura 12. Puerta acceso Servidor de Control de Asistencia Administrativos
Se puede concluir que:

 Los dos servidores se encuentran ubicados en diferentes plantas del
edificio.
 Los dos sitios no cuentan con un sistema de cámaras de seguridad.
 Los dos sitios poseen en la puerta principal o de acceso cerraduras
normales.
 Las llaves de acceso son custodiadas por la Auxiliar de Servicios Generales
y el Auxiliar de Soporte y mantenimiento respectivamente.
 Las llaves de acceso son fácilmente transferibles a personal interno y
externo sin autorización.
84
85
Sistema de Alimentación Ininterrumpida
En la actualidad todo el edificio se encuentra conectado a sistema de alimentación

ininterrumpida (ver Figura 12), es decir, en el momento que se presente un
apagón eléctrico el sistema proporcionara energía eléctrica tanto a un servidor
como a un equipo del aula de informática sin distinguir el nivel de importancia.
Figura 13. Sistema de Alimentación Ininterrumpida
Como se puede observar en la figura 13 el servidor se encuentra en la parte

inferior de las gradas al segundo piso.
Figura 14. Ubicación UPS

86
Armario de comunicaciones
Actualmente el armario de comunicaciones cuenta con sistemas de control

ambientales al interior del salón y un extintor Solkaflam (especializado para
equipos de cómputo en caso de incendio) en la entrada. La cerradura del armario
de comunicaciones se encuentra en mal estado lo que posibilita que cualquier
persona pueda manipular el cableado o cualquier dispositivo de red que este en su
interior como se observa en la Figura 14.
Figura 15. Ubicación armario de telecomunicaciones
En la Figura 15 se puede observar que:

 El cableado de red que interconecta los dispositivos de red no presenta
ningún tipo de etiquetado aunque se muestra organizado.
 Los dispositivos están conectados al Sistema de Alimentación
Ininterrumpida y no presenta un panel de control eléctrico externo.
 El armario de telecomunicaciones aunque tiene cerradura esta forzado y
permite ser abierto con cualquier llave.
87
Figura 16. Armario de telecomunicaciones
Figura 17. Condiciones del área de ubicación de Servidores
Elemento con los que debe contar Si No

Altura de 2,50 metros en el cuarto de
X
servidores se cumple.
Ubicado lejos de fuentes electromagnéticas
(Antenas, máquinas eléctricas, radar,
X
iluminación, microondas, aparatos
electrónicos).
Esta cerca de Fuentes de inundación. X
Tamaño de las puertas (sencilla 0,91 m,
X
doble 2 m).
Las puertas tienen retardante para el
X
fuego.
Iluminación adecuada. X
Polvo en el medio ambiente. X
Cuenta con un equipo contra incendios al
X
entrar a la sala.
La sala es resistente al fuego. X
Normas comunes de conservación y
X
limpieza.
Se utilizan paneles de obturación para los
X
cables.
88
Existe cableado bajo el piso elevado que

X
no se utiliza y puede eliminarse.
Cuenta con aisladores (Ejemplo espuma)
X
los racks.
Cuenta con un sistema de marquillas en los
X
equipo dentro del cuarto.
Equipos de respaldo para todos los
elementos que interviene en el X
funcionamiento.
Accesibilidad para el suministro de
X
equipos.
Seguridad en el área Si No
Al Ingresar al Área de Ubicación de
Servidores tiene un sistema de seguridad X
que le permita saber quién ingreso.
Cuenta con un sistema de seguridad de
X
cámara de vigilancia.
Tiene sistema de alarma contra incendios. X
Tienen el sistema de alarmas de control de
X
temperatura y humedad.
Aire acondicionado Si No
Ventiladores en la parte superior de los
X
racks de los servidores.
Existen fugas en el piso elevado o en el
X
sistema de suministro de aire.
Los puntos de referencia de los aires
X
acondicionados son apropiados.
Climatización para la sala de servidores y
X
UPS.
Controles de temperatura. X
Cuenta con des humidificación y
X
ventilación.
La configuración del sistema de retorno de
X
aire es apropiada.
Tuberías de suministro y retorno invertidas. X
Válvulas defectuosas. X
Hay sistemas de enfriamiento que no
X
fueron puestos en marcha.
89
 Ethical hacking y análisis de vulnerabilidades.
El propósito de esta fase es encontrar vulnerabilidades en cuanto a configuración

y administración de los activos de información relacionadas con la parte lógica de
la red de datos del Centro de estudios EMSSANAR CETEM a través de un test de
penetración utilizando herramientas incorporadas en el sistema operativo Windows
y otras integradas en sistema operativo Kali Linux (Versión 2016.2). .
Se hace hincapié que la prueba de penetración descrita en este documento es

interna de tipo Blue Teaming, es decir que se realiza con el conocimiento del
personal del AREA DE REDES Y SISTEMAS, para evitar que los posibles
incidentes generen pánico o fallas en la continuidad del servicio.
Teniendo en cuenta que todo proceso de Hacking Ético se divide en 5 pasos que
son, reconocimiento, escaneo, obtener acceso, mantener el acceso, cubrir las
huellas, se realizaran los 3 primeros que para el caso servirán como evidencia de
vulnerabilidades encontrados.
Paso 1. Reconocimiento
En la figura 17 se puede observar como al realizar una simple verificación de
máquinas activas sobre el rango de red 192.168.100.1 a 192.168.100.255
podemos encontrar que los equipos de las aulas de informatica se encuentran en
la misma red que la de los Funcionarios.
90
Figura 18. Equipos del Aula de Informática y de Funcionarios
Se puede apreciar en figura 18 que al acceder a la red de datos se puede tener

privilegio de acceso a directorios e impresoras compartidos de los funcionarios del
CETEM y en la figura 19 que existe mucha informacion que solo le concierne a la
institucion y no cuenta con los devidos permisos de acceso, modificacion,
eliminacion, ejecucion.
91
Figura 19. Directorios e impresoras compartidas
Figura 20. Permisos de los directorios compartidos

92
Paso 2. Escaneo
Al realizar un escaneo a toda la red con nmap (namp –T5 192.168.100.0-255) se

puede apreciar en la figura 4 que hay 47 equipos activos y que las direcciones
192.168.100.249, 192.168.100.251, 192.168.252, 192.168.168.253.192.168.254
no tiene nombre de equipo y tiene varios puertos abiertos entre ellos el 80 y
muestran en su descripcion CISCO lo que nos permite deducir que probablente
sea un punto de acceso inalamrbrico del CETEM.
Figura 21. Lista de Access point desde NMAP

93
Paso 3. Ganar acceso
Como se puede observar en la figura 21, al acceder a la direccion

192.168.100.251 utilzando un navegador web aparece una pagina de logueo que
en su ventana de identificacion muestra Linksys WAP200. Al ingresar un usuario y
contraseña por defecto, logramos ingresar a su sistema de configuración, en la
figura 22 se muestra los parametro de configuracion Wifi del punto de acceso.
Podemos corroborar los datos de Wifi accediendo desde un cliente como se
muestra en la figura 23.
Figura 22. Logueo al punto de Acceso Linksys WAP200

Figura 23. Parámetros de Configuración de Acceso Linksys WAP200

94
Figura 24. Acceso Wifi Red aula3
En la tabla 35 se puede observar los punto de acceso encontrados y su

correspondiente dirección IP y ubicación.
Tabla 35. Lista de Puntos de Acceso inalámbrico

Modelo DIRECCIÓN IP UBICACIÓN
Link Sys WAP200 192.168.100.251 Aula 201
D-Link DAP 2690 192.168.100.252 Aula 202
Link Sys WAP200 192.168.100.253 Aula 203
Link Sys WAP200 192.168.100.254 Aula 204
Airplus XtremeG 192.168.100.249 Aula 208
En el documento ANEXO D – ETHICAL HACKING CETEM, se pueden observar

todas las pruebas realizadas de Ethical Hacking y análisis de vulnerabilidades.
95
Utilizando la escala de probabilidad de la tabla 36, se registran por cada activo las
amenazas, las vulnerabilidades y la probabilidad de que materialicen como se
muestra en la tabla 37.
Tabla 36. Escala probabilidad
Fuente: Metodología Magerit
Tabla 37. Intranet

Dimensión
ID Amenaza Exposición / Vulnerabilidad Probabilidad
C I A D
El armario de
Fallo de servicios telecomunicaciones no está
[I.8] A 90
de comunicaciones debidamente asegurado ni en
un sitio privado
Gran parte de los dispositivos
Errores del
[E.2] de la intranet están MA 90 90 90 90
administrador
configurados por defecto
Errores de [re- Permite realizar un ataque de
[E.9] A 30
]encaminamiento hombre en el medio (MITM)
Acceso libre y sin
Fugas de
[E.19] restricciones a información MA 20
información
institucional
Es posible que la cantidad de
usuarios que acceden causen
Caída del sistema
la denegación de algún
[E.24] por agotamiento de MA 90
servicio o en el peor de los
recursos
casos sea provocado por un
usuario
96

Dimensión
ID Amenaza Exposición / Vulnerabilidad Probabilidad
C I A D
Suplantación de la Falta de autentificación y
[A.5] identidad del restricciones a información M 30 30 30
usuario institucional
Falta de autentificación y
Abuso de privilegios
[A.6] restricciones a información M 90 90 90
de acceso
institucional
No existe una restricción de
[A.7] Uso no previsto MA 90 90 90
ancho de banda por usuario
Alteración de Permite realizar un ataque de
[A.10] MA 30 30
secuencia hombre en el medio (MITM)
Acceso no
[A.11] restricciones a información MA 90 90
autorizado
institucional
Como el acceso a internet es
libre y se hace mediante la
[A.12] Análisis de tráfico MA 90 90
intranet, se puede realizar
fácilmente.
Interceptación de
[A.14] información MA 70
(escucha)
fácilmente.
Modificación
[A.15] deliberada de la MA 70
información
fácilmente.
Destrucción de
[A.18] restricciones a información MA 70
información
institucional
Revelación de
[A.19] restricciones a información MA 90
información
institucional
Es posible que la cantidad de
usuarios que acceden causen
Denegación de la denegación de algún
[A.24] MA 90
servicio servicio o en el peor de los
casos sea provocado por un
usuario
97
A. Justificación de Amenazas - Redes de comunicaciones

[I.8]. Fallo de servicios de comunicaciones:
 Si se materializara esta amenaza se afectaría el 90 % de
Disponibilidad de la Intranet, ya que el armario de
telecomunicaciones no está debidamente asegurado ni en un sito
privado. Esta amenaza tiene una probabilidad de ocurrencia
Frecuente.
[E.2]. Errores del administrador:
Confidencialidad, 90 % de Integridad, 90 % de Autenticidad, 90 %
de Disponibilidad de la Intranet, ya que gran parte de los
dispositivos de la intranet están configurados por defecto. Esta
amenaza tiene una probabilidad de ocurrencia Muy frecuente.
[E.9]. Errores de [re-]encaminamiento:
Confidencialidad de la Intranet, ya que permite realizar un ataque
de hombre en el medio (MITM) en conexiones inseguras. Esta
amenaza tiene una probabilidad de ocurrencia Frecuente.
[E.19]. Fugas de información:
Confidencialidad de la Intranet, ya que es posible acceder
libremente a algunos archivos privados sin restricciones de
lectura y escritura. Esta amenaza tiene una probabilidad de
ocurrencia Muy frecuente.
[E.24]. Caída del sistema por agotamiento de recursos:
Disponibilidad de la Intranet, ya que es posible que la cantidad de
usuarios que acceden causen la denegación de algún servicio o
98
en el peor de los casos sea provocado por un usuario. Esta

[A.5]. Suplantación de la identidad del usuario:
Confidencialidad, 30 % de Integridad, 30 % de Disponibilidad de
la Intranet, ya que es posible ya que, no hay roles de usuario
para el acceso a la red. Esta amenaza tiene una probabilidad de
ocurrencia Normal.
[A.6]. Abuso de privilegios de acceso:
la Intranet, ya que es posible acceder libremente a algunos
archivos privados sin restricciones de lectura y escritura. Esta
amenaza tiene una probabilidad de ocurrencia Normal.
[A.7]. Uso no previsto:
la Intranet, ya que es posible ya que no existe una restricción de
ancho de banda por usuario. Esta amenaza tiene una
probabilidad de ocurrencia Muy frecuente.
[A.10]. Alteración de secuencia:
Confidencialidad, 30 % de Integridad de la Intranet, ya que gran
parte de los dispositivos de la intranet están configurados por
defecto. Esta amenaza tiene una probabilidad de ocurrencia Muy
frecuente.
[A.11]. Acceso no autorizado:
99

frecuente.
[A.12]. Análisis de tráfico:
frecuente.
[A.14]. Interceptación de información (escucha):
Confidencialidad de la Intranet, ya que gran parte de los
[A.15]. Modificación deliberada de la información:
Integridad de la Intranet, ya que gran parte de los dispositivos de
la intranet están configurados por defecto. Esta amenaza tiene
una probabilidad de ocurrencia Muy frecuente.
[A.18]. Destrucción de información:
Disponibilidad de la Intranet, ya que gran parte de los dispositivos
de la intranet están configurados por defecto. Esta amenaza tiene
una probabilidad de ocurrencia Muy frecuente.
[A.19]. Revelación de información:
Confidencialidad de la Intranet, ya que gran parte de los
[A.24]. Denegación de servicio:
100

Disponibilidad de la Intranet, ya que es posible que la cantidad de
usuarios que acceden causen la denegación de algún servicio o
en el peor de los casos sea provocado por un usuario. Esta
El mismo análisis se realiza por cada uno de los activos seleccionados

previamente. Los documentos completos del registro de vulnerabilidades se
pueden revisar en la carpeta ANEXO E – VULNERABILIDADES POTENCIALES
POR ACTIVO DE INFORMACIÓN
3.2.4. Proceso P4: Evaluación del Riesgo
3.2.4.1. Actividad 6: Estimación del impacto.
El objetivo de esta actividad es determinar el alcance del daño producido sobre los
activos de información en caso de llegarse a materializar una amenaza.
Se evalúa el grado de repercusión que pueda presentar cada activo, dentro de las
dimensiones de valoración analizadas anteriormente como son: Disponibilidad,
Integridad, Confidencialidad, Autenticidad y Trazabilidad, haciendo uso de las
tablas 38, 39, 40 propuestas por Magerit v.3.
Tabla 38. Degradación del valor
Valor Criterio
90% - 100% Degradación muy considerable del activo
25% – 89% Degradación medianamente considerable del activo
1% - 24% Degradación poco considerable del activo
101
Tabla 39. Impacto potencial
Tabla 40. Escala de Impacto
Tabla 41. Impacto potencial por activo seleccionado

Activo
ID SERVICIOS [S] Degradación Impacto
Nivel Valor
[Internet_S] - Servicio de
internet al que pueden acceder
12 A 4 70 Alto
los administrativos, docentes
EQUIPAMIENTO Activo
ID Degradación Impacto
INFORMÁTICO [HW] Nivel Valor
33 [Wifi_Ap_hw] - Red Inalámbrica A 4 100 Alto
REDES DE Activo
COMUNICACIONES [COM] Nivel Valor
34 [Intranet_com] – Intranet MA 5 100 Muy Alto
[Extranet_com] – Comunicación
35 a los sistemas externos a través MA 5 100 Muy Alto
de internet
EQUIPAMIENTO AUXILIAR Activo
[AUX] Nivel Valor
102
Activo
ID SERVICIOS [S] Degradación Impacto
Nivel Valor
[CAB_RED_aux] - Cableado de
36 MA 5 100 Muy Alto
Red
Activo
ID INSTALACIONES [L] Degradación Impacto
Nivel Valor
42 [Gabinete_l] – Gabinete de Red MA 5 100 Muy Alto
103
3.2.4.2. Actividad 7: Estimación del Riesgo.

Para realizar la estimación del riesgo se hace uso de las siguiente escalas
cualitativas y cuantitativas. Este valor se obtiene como resultado de la siguiente
fórmula:
Riesgo (R)= Probabilidad (F) x Impacto tomando como entradas impacto
acumulado y frecuencia.
Tabla 42. Escala de Probabilidad
Tabla 43. Riesgo
Tabla 44. Escala de riesgo

104
Tabla 45. Valoración de Riesgo en el activo de información Intranet

Redes de Comunica
Tipo de Activo Valor 5
[COM] Impacto
Degradación 100 Nivel Muy Alto
Exposición / Probabilidad Riesgo
ID Amenaza
Vulnerabilidad Valor Ocurrencia Valor
El armario de
telecomunicaciones no
Fallo de servicios de
[I.8] está debidamente 4 F Extremo
comunicaciones
asegurado ni en un sitio
privado
Gran parte de los
Errores del dispositivos de la intranet
[E.2] 3 N Intolerable
administrador están configurados por
defecto
Permite realizar un ataque
Errores de [re-
[E.9] de hombre en el medio 3 N Intolerable
]encaminamiento
(MITM)
Acceso libre y sin
Fugas de
[E.19] restricciones a 4 F Extremo
información
información institucional
Es posible que la cantidad
de usuarios que acceden
Caída del sistema
causen la denegación de
[E.24] por agotamiento de 4 F Extremo
algún servicio o en el peor
recursos
de los casos sea
provocado por un usuario
Suplantación de la
[A.5] restricciones a 3 N Intolerable
identidad del usuario
Abuso de privilegios
[A.6] restricciones a 4 F Extremo
de acceso
No existe una restricción
[A.7] Uso no previsto de ancho de banda por 5 MF Extremo
usuario
Permite realizar un ataque
Alteración de
[A.10] de hombre en el medio 3 N Intolerable
secuencia
(MITM)
105

Redes de Comunica
[COM] Impacto
Exposición / Probabilidad Riesgo
ID Amenaza
Vulnerabilidad Valor Ocurrencia Valor
Acceso no
[A.11] restricciones a 5 MF Extremo
autorizado
Como el acceso a internet
es libre y se hace
[A.12] Análisis de tráfico 4 F Extremo
mediante la intranet, se
puede realizar fácilmente.
Interceptación de
es libre y se hace
[A.14] información 4 F Extremo
(escucha)
Modificación
es libre y se hace
[A.15] deliberada de la 3 N Intolerable
información
Destrucción de
[A.18] restricciones a 3 N Intolerable
información
Revelación de
[A.19] restricciones a 4 F Extremo
información
Es posible que la cantidad
de usuarios que acceden
Denegación de causen la denegación de
[A.24] 5 MF Extremo
servicio algún servicio o en el peor
de los casos sea
provocado por un usuario
RIESGO ACTUAL 3,8 N Extremo
Fuente: Esta Investigación.
Este mismo análisis se realizó sobre cada uno de los activos de información que
están directamente relacionados con esta investigación Ver ANEXO F.
ESTIMACION DEL ESTADO DEL RIESGO
106
3.2.4.3. Actividad 8: Calificación del Riesgo.

Teniendo en cuenta el análisis de riesgos se puede observar que existen activos
del Centro de Estudios EMSSANAR CETEM que presentan valores de riesgo
actual catalogados como intolerables y Extremos. En la tabla 46 se observa el
resumen de estimación del estado del riesgo.
Tabla 46. Estimación del estado del riesgo.

RIESGO
Tipo de Activo Activo TI
ACTUAL
12. [Internet_S] - Servicio de internet al

Servicios [S] que pueden acceder los administrativos, Intolerable
docentes estudiantes y visitantes.
Equi. Informático [HW] 33. [Wifi_Ap_hw] - Red Inalámbrica Tolerable
Redes de Comunica [COM] 34. [Intranet_com] – Intranet Extremo
35. [Extranet_com] – Comunicación a
Redes de Comunica [COM] los sistemas externos a través de Tolerable
internet
Equipamento Auxiliar [AUX] 36. [CAB_RED_aux] - Cableado de Red Intolerable
Instalaciones [L] 42. [Gabinete_l] – Gabinete de Red Extremo
12. [Internet_S] - Servicio de internet al que pueden acceder los

administrativos, docentes estudiantes y visitantes.
Entre las amenazas que se expone este activo están:
 Fugas de información
 Caída del sistema por agotamiento de recursos
 Suplantación de la identidad del usuario
 Abuso de privilegios de acceso
 Uso no previsto
 Acceso no autorizado
 Modificación deliberada de la información
 Destrucción de información
 Revelación de información
107
 Denegación de servicio
Estas amenazas tienen un nivel de riesgo intolerable debido a:
 Los usuarios que se conectan a internet necesariamente tienen que hacerlo
por medio de la intranet, razón por la cual pueden acceder fácilmente a
información institucional tales como formatos, copias de seguridad de
calificaciones de estudiantes.
 No existe un control de acceso a páginas Web, ni de ancho de banda.
33. [Wifi_Ap_hw] - Red Inalámbrica

 Contaminación electromagnética.
 Avería de origen físico o lógico.
 Corte del suministro eléctrico
 Emanaciones electromagnéticas
 Errores del administrador
 Uso no previsto
Estas amenazas tienen un nivel de riesgo tolerable debido a:
 El Wifi aunque no es de libre acceso no existen restricciones para acceder
a este servicio una vez te proporcionen la contraseña.
 Los Access Point poseen una configuración por defecto.
34. [Intranet_com] – Intranet

 Fallo de servicios de comunicaciones
 Errores de [re-]encaminamiento
108

 Uso no previsto
 Alteración de secuencia
 Análisis de tráfico
 Interceptación de información (escucha)
Estas amenazas tienen un nivel de riesgo Extremo debido a:
 El armario de telecomunicaciones no se encuentra resguardado y permite
conectar cualquier dispositivo de forma física directamente.
 Los administrados no usan VLANs para acceder a los sistemas y servicios
por lo tanto es posible realizar un ataque MIT.
 Los dispositivos de comunicaciones poseen claves de acceso por defecto.
 Es posible saturar el ancho de banda de la intranet.
 Es posible acceder a directorios e impresoras compartidas.
 Es posible realizar un DoS.
 La intranet no está soneteada.
35. [Extranet_com] – Comunicación a los sistemas externos a través de

internet
 Entre las amenazas que se expone este activo están:
 Fallo de servicios de comunicaciones
 Errores de [re-]encaminamiento
 Alteración accidental de la información
109
 Manipulación de los registros de actividad (log)
 Análisis de tráfico
 Interceptación de información (escucha)
Estas amenazas tienen un nivel de riesgo Tolerable debido a:
 Los sistemas de información son administrados por entidades externas, lo
cual baja la probabilidad de que se materialicen las amenazas.
36. [CAB_RED_aux] - Cableado de Red

 Contaminación electromagnética.
 Avería de origen físico o lógico.
 Corte del suministro eléctrico
 Emanaciones electromagnéticas
 Errores de mantenimiento / actualización de equipos (hardware)
Estas amenazas tienen un nivel de riesgo Intolerable debido a:
 El cableado de red comienza en el armario de comunicación y este no se
encuentra resguardado.
 Los dispositivos de interconexión son 100BASE-TX.
110
42. [Gabinete_l] – Gabinete de Red

 Alteración accidental de la información
 Uso no previsto
 Ocupación enemiga
Estas amenazas tienen un nivel de riesgo Intolerable Extremo a:
 El armario de comunicación no se encuentra resguardado.
3.2.5. Proceso P5: Tratamiento de riesgos
3.2.5.1. Actividad 9: Tratamiento de riesgos.

El tratamiento de riesgos es tomar decisiones frente a los diferentes riesgos
existentes de acuerdo a la estrategia de la organización. Las posibles acciones de
tratamiento de riesgo son:
Reducir: consiste en elegir controles de corrección, eliminación, prevención,
mitigación del impacto, detección, recuperación, monitoreo y concienciación con el
fin de reducir el nivel de riesgo.
Aceptar: no es necesario implementar controles adicionales, estos riesgos podrán
ser aceptados teniendo en cuenta que la organización asume los daños
provocados por la materialización del riesgo.
Evitar: o eliminar el riesgo, que no suele ser la mejor opción ya que resulta difícil o
demasiado costoso, pues muchas de las veces se basa en eliminación de
procesos o incluso del activo involucrado.
Transferir: a un tercero de forma que se asegure el activo o subcontratando el
servicio.
111
En la tabla 47 se muestra el tratamiento adecuado de acuerdo al nivel de riesgo:
Tabla 47. Tratamiento del riesgo

NIVEL DE RIESGO TRATAMIENTO DEL RIESGO
Aceptable Acepta.
Una de las tres opciones:
Tolerable
a. Se transfiere.
Intolerable b. Se evita.
Extremo c. Se reduce.
Una vez valorado los riesgos para cada uno de los activos más relevantes para
esta investigación, se selecciona la opción de tratamiento adecuada de acuerdo a
la tabla 47.
Tabla 48. Tratamiento de riesgos del activo "Intranet"

Redes de
Comunica [COM] Impacto
Probabilidad
Exposición / Valor del Tratamiento
ID Amenaza
Vulnerabilidad Valor Ocurrencia Riesgo del riesgo
El armario de
Fallo de telecomunicacion
servicios de es no está
[I.8] 4 F Extremo Evita
comunicacio debidamente
nes asegurado ni en
un sitio privado
112

Redes de
Probabilidad
ID Amenaza
Gran parte de los

Errores del dispositivos de la
[E.2] administrado intranet están 3 N Intolerable Evita
r configurados por
defecto
Errores de Permite realizar
[re- un ataque de
[E.9] 3 N Intolerable Reduce
]encaminami hombre en el
ento medio (MITM)
Acceso libre y
Fugas de sin restricciones
[E.19] 4 F Extremo Evita
información a información
institucional
Es posible que la
cantidad de
usuarios que
Caída del acceden causen
sistema por la denegación de
[E.24] 4 F Extremo Reduce
agotamiento algún servicio o
de recursos en el peor de los
casos sea
provocado por
un usuario
Falta de
Suplantació
autentificación y
n de la
[A.5] restricciones a 3 N Intolerable Evita
identidad del
información
usuario
institucional
Falta de
Abuso de autentificación y
[A.6] privilegios restricciones a 4 F Extremo Evita
de acceso información
institucional
No existe una
Uso no restricción de
[A.7] 5 MF Extremo Reduce
previsto ancho de banda
por usuario
Alteración Permite realizar
[A.10] de un ataque de 3 N Intolerable Reduce
secuencia hombre en el
113

Redes de
Probabilidad
ID Amenaza
medio (MITM)
Falta de
autentificación y
Acceso no
[A.11] restricciones a 5 MF Extremo Evita
autorizado
información
institucional
Como el acceso
a internet es libre
y se hace
Análisis de
[A.12] mediante la 4 F Extremo Reduce
tráfico
intranet, se
puede realizar
fácilmente.
Como el acceso
a internet es libre
Interceptació
y se hace
n de
[A.14] mediante la 4 F Extremo Reduce
información
intranet, se
(escucha)
puede realizar
fácilmente.
Como el acceso
a internet es libre
Modificación
y se hace
deliberada
[A.15] mediante la 3 N Intolerable Evita
de la
intranet, se
información
puede realizar
fácilmente.
Falta de
Destrucción autentificación y
[A.18] de restricciones a 3 N Intolerable Evita
información información
institucional
Falta de
Revelación autentificación y
[A.19] de restricciones a 4 F Extremo Evita
información información
institucional
114

Redes de
Probabilidad
ID Amenaza
Es posible que la
cantidad de
usuarios que
acceden causen
Denegación la denegación de
[A.24] 5 MF Extremo Reduce
de servicio algún servicio o
en el peor de los
casos sea
provocado por
un usuario
En el ANEXO G. TRATAMIENTO DE RIESGOS se muestra el tratamiento de

riesgos para cada uno de los demás activos de información.
3.3. ANÁLISIS DE BRECHA
3.3.1. Actividad 10: Verificación controles establecidos según norma ISO/IEC
27002:2013
Para poder determinar con mayor claridad el tratamiento a seguir para cada uno
de los activos, se verifica el cumplimiento de cada uno de los controles
establecidos por la norma ISO/IEC 27002:2013 a través del método de
observación directa.
El cual consto de varias visitas guiadas y supervisión de todas salas y oficinas
pertenecientes al CETEM. Esto se complementó con revisión documental de los
manuales de funciones y procedimientos, formatos, etc.
Una vez relevada la información, se procedió a analizar los controles y asignar un
valor de acuerdo con su nivel de madurez, utilizando para este propósito la escala
de madurez definida por el estándar COBIT.
115
Figura 25. Escala de madurez COBIT
Las tablas 49 a 62 muestran la verificación controles de seguridad conforme al

estándar ISO/IEC 27002:2013:
116
Tabla 49. Verificación Controles de Políticas De La Seguridad De La Información

A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN
Orientación de la dirección para la gestión de la seguridad de la
A.5.1
información
Objetivo: Brindar orientación y soporte por parte de la dirección, para la seguridad de la
información de acuerdo con los requisitos del negocio y con las leyes y reglamentos
pertinentes.
APLICA NIVEL DE
SI NO MADUREZ
Las políticas de la
seguridad de la
información proveen un
Control: Se debe direccionamiento
definir un conjunto de estratégico acorde a los
políticas para la requerimientos de la
Políticas seguridad de la organización y
para la información, aprobada cumplimiento con leyes y
A.5.1.1 seguridad de por la dirección, regulaciones. Esta
la publicada y documentación es de Inexistente
información comunicada a los carácter obligatorio en la
empleados y a las norma ISO 27001:2013.
partes externas IMPLEMENTA
pertinentes. SI NO
No se tiene implementado
un SGSI ni existe un
documento que contemple
las políticas de seguridad
de la información
APLICA NIVEL DE
SI NO MADUREZ
Las políticas de la
Control: seguridad de
seguridad de la
la información se
información deberían ser
deben revisar a
Revisión de evaluadas con el fin de
intervalos planificados,
las políticas responder a los cambios
o si ocurren cambios
para la de la organización.
A.5.1.2 significativos, para
seguridad de IMPLEMENTA
asegurar su Inexistente
la SI NO
conveniencia,
información
adecuación y eficacia No existe una revisión de
continúa. las políticas de seguridad
de la información ya que
actualmente no se tiene el
documento relacionado
(ver A.5.1.1).
117
Tabla 50. Verificación Controles De Organización De La Seguridad De La

Información
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A.6.1 Organización Interna
Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la
implementación y la operación de la seguridad de la información dentro de la
organización.
APLICA NIVEL DE
SI NO MADUREZ
Los roles y
responsabilidades son
vitales para la protección
de los activos informáticos
individuales, así como los
procesos específicos para
Roles y la seguridad de la
Control: Se deben
responsabili información. Esta
definir y asignar todas
dades para documentación es de
A.6.1.1 las responsabilidades
la seguridad carácter obligatorio en la
de la seguridad Inexistente
de la norma ISO 27001:2013.
de la información.
información IMPLEMENTA
SI NO
Los roles y
responsabilidades relativas
a la seguridad de la
información aún no están
definidas, debido a que no
se tiene implementado un
SGSI.
APLICA NIVEL DE
Control: Los deberes SI NO MADUREZ
y áreas de Ningún empleado debería
responsabilidad en tener acceso a modificar
conflicto se deben los activos informáticos sin
separar para reducir autorización previa.
Separación
A.6.1.2 las posibilidades de IMPLEMENTA
de deberes
modificación no SI NO Inicial
autorizada o no
intencional, o el uso El personal aunque está
indebido de los activos separado por áreas, se les
de la organización. otorga acceso a los activos
y/o información en general.
Contacto Control: Se deben APLICA NIVEL DE

A.6.1.3
con las mantener contactos SI NO MADUREZ
118
autoridades apropiados con las Deberían existir

autoridades procedimientos para
pertinentes. contactar a las autoridades
pertinentes y reportar las
incidencias relativas a la
seguridad de la
información. Inexistente
IMPLEMENTA
SI NO
Las incidencias relativas a
la seguridad de la
información son resueltas
internamente
APLICA NIVEL DE
SI NO MADUREZ
Los grupos de interés
especial mejoran el
Control: Se deben
conocimiento y las
mantener contactos
prácticas relativas a la
apropiados con grupos
Contacto seguridad de la
de interés especial u
con grupos información, así como las
A.6.1.4 otros foros y
de interés actualizaciones de los
asociaciones Inexistente
especial equipos y/o dispositivos.
profesionales
especializadas en IMPLEMENTA
seguridad. SI NO
No hay contactos con
asociaciones profesionales
especializadas en
seguridad.
APLICA NIVEL DE
SI NO MADUREZ
Una metodología de
análisis de riesgos debería
ser parte del proceso de
implementación de un
Seguridad Control: La seguridad
proyecto de TI con el fin de
de la de la información se
direccionarlos y
información debe tratar en la
A.6.1.5 controlarlos.
en la gestión de proyectos,
gestión de independientemente IMPLEMENTA Inexistente
proyectos del tipo de proyectos. SI NO
Los riesgos asociados a la
seguridad de la
información no son
contemplados desde los
inicios de los proyectos de
TI.
A.6.2 Dispositivos móviles y teletrabajo
119
Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.

APLICA NIVEL DE
SI NO MADUREZ
Control: Se debe
Los dispositivos móviles
adoptar una política y
son un riesgo potencial
Políticas unas medidas de
para la seguridad de la
para seguridad de soporte,
A.6.2.1 información.
dispositivos para gestionar los
móviles riesgos introducidos IMPLEMENTA Inexistente
por el uso de SI NO
dispositivos móviles. No existe una política de
seguridad para los
dispositivos móviles.
APLICA NIVEL DE
SI NO MADUREZ
Control: Se debe
implementar una El teletrabajo debería tener
política y unas una política de seguridad
medidas de seguridad sobre las condiciones y
de soporte, para restricciones.
proteger la información
A.6.2.2 Teletrabajo
a la que se tiene IMPLEMENTA
acceso, que es SI NO Inexistente
procesada o
Aunque se permite el
almacenada en los
acceso a algunos
lugares en los que se
dispositivos de forma
realiza teletrabajo.
remota, no se implementa
el teletrabajo.
120
Tabla 51. Verificación Controles de Seguridad De Los Recursos Humanos

A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
A.7.1 Antes de asumir el empleo
Objetivo: Asegurar que los empleados y contratistas comprenden las responsabilidades
y son idóneos en los roles para que los consideran.
Control: Las APLICA NIVEL DE
verificaciones de SI NO MADUREZ
los antecedentes
de todos los Aparte de las
candidatos a un competencias técnicas, el
empleo se deben personal contratado
llevar a cabo de debería ser éticamente
acuerdo con las correcto y confiable
leyes, especialmente si accede
reglamentaciones a información sensitiva de
y ética la organización.
A.7.1.1 Selección
pertinentes, y
deben ser IMPLEMENTA Repetible
proporcionales a SI NO
los requisitos de
negocio, a la
El personal es
clasificación de la
información a que seleccionado
se va a tener cuidadosamente en base a
acceso, y a los su perfil y la idoneidad del
trabajo a realizar.
riesgos
percibidos.
APLICA NIVEL DE
SI NO MADUREZ
Los acuerdos contractuales
Control: Los
de los empleados deberían
acuerdos
tener cláusulas relativas a
contractuales con
la confidencialidad de la
empleados y
información y respecto a
contratistas deben
Términos y las leyes y derechos de
establecer sus
A.7.1.2 condiciones del propiedad intelectual.
responsabilidades
empleo IMPLEMENTA Repetible
y las de la
organización en SI NO
cuanto a la Los acuerdos contractuales
seguridad de la actualmente incluyen las
información. responsabilidades
asignadas relativas a la
seguridad de la
información.
A.7.2 Durante la ejecución del empleo
Objetivo: Asegurarse de los empleados y contratistas tomen conciencia de sus
responsabilidades de seguridad de la información y las cumplan.
121
APLICA NIVEL DE
SI NO MADUREZ
La dirección asegura que
los roles y
Control: La responsabilidades están
dirección debe claramente definidos antes
exigir a todos los de brindar acceso
empleados y confidencial, así como los
contratistas la empleados están
Responsabilidades aplicación de la comprometidos con las
A.7.2.1 de seguridad de la políticas de seguridad de la
la dirección información de información. Esta Inexistente
acuerdo a las documentación es de
políticas y carácter obligatorio en la
procedimientos norma ISO 27001:2013.
establecidos por IMPLEMENTA
la organización. SI NO
un SGSI y no existen
políticas de la seguridad de
la información.
Control: Todos APLICA NIVEL DE
los empleados SI NO MADUREZ
de la
Mediante un programa de
organización, y
entrenamiento relativo a la
en donde sea
seguridad de la
pertinente, los
información, los
contratistas,
empleados son
deben recibir la
conscientes de su
Toma de educación y la
importancia y cómo
conciencia, formación en
pueden cumplir con las
educación y toma de
A.7.2.2 políticas del SGSI.
formación en la conciencia
seguridad de la apropiada, IMPLEMENTA Inexistente
información actualizaciones SI NO
regulares sobre
las
políticas y
un SGSI ni un plan de
procedimientos
concientización formal
de la
relativo a la seguridad de
organización
la información.
pertinentes a su
cargo.
Proceso Control: Se APLICA NIVEL DE
A.7.2.3
disciplinario debe contar con SI NO MADUREZ
122
un Los procesos disciplinarios

proceso formal, son analizados en base al
el cual debe ser grado de responsabilidad
comunicado, del empleado y el impacto
para emprender que tiene en la
acciones contra organización.
empleados que IMPLEMENTA
hayan cometido Inexistente
SI NO
una violación a
Debido a que no se ha
la
implementado un SGSI, no
seguridad de la
se tiene plan de
información.
concientización relativo a la
seguridad de la
información.
A.7.3 Terminación y cambio de empleo
Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o
terminación de empleo.
APLICA NIVEL DE
SI NO MADUREZ
Control: Las
Los acuerdos contractuales
responsabilidades
deberían plasmar el
y los deberes de
compromiso relativo a la
seguridad de la
confidencialidad de la
información que
información aún después
permanecen
Terminación o de la terminación o cambio
válidos después
cambio de de empleo.
A.7.3.1 de la terminación
responsabilidades IMPLEMENTA
o cambio de Inicial
de empleo SI NO
empleo se deben
definir, comunicar Al terminar o cambiar de
al empleado o empleo no se notifica a al
contratista y se empleado sobre la validez
deben hacer de sus responsabilidades y
cumplir. deberes relativos a la
seguridad de la
información.
123
Tabla 52. Verificación Controles de Gestión De Activos

A.8 GESTIÓN DE ACTIVOS
A.8.1 Responsabilidad por los activos
Objetivo: Identificar los activos organizacionales y definir las responsabilidades
apropiadas.
APLICA NIVEL DE
SI NO MADUREZ
El inventario y clasificación
de activos permite
Control: Se deben
identificar la importancia de
identificar los activos
cada uno de ellos y su
asociados con
impacto en la organización.
información e
Esta documentación es de
Inventario de instalaciones de
A.8.1.1 carácter obligatorio en la
activos procesamiento de
norma ISO 27001:2013. Inicial
información, y se
deben elaborar y IMPLEMENTA
mantener un inventario SI NO
de estos activos Actualmente no existe un
documento que clasifique
la criticidad de la
información y de los
activos.
APLICA NIVEL DE
SI NO MADUREZ
Los propietarios son
responsables del uso de
los activos informáticos
durante todo su ciclo de
Control: Los activos vida. Esta documentación
Propiedad
mantenidos en el es de carácter obligatorio
A.8.1.2 de los
inventario deben tener en la norma ISO
activos Inexistente
un propietario. 27001:2013.
IMPLEMENTA
SI NO
No se especifican los
propietarios de los activos
informáticos inventariados.
Control: Se deben APLICA NIVEL DE
identificar, documentar SI NO MADUREZ
e implementar reglas Los empleados o
Uso
para el uso aceptable contratistas son
A.8.1.3 aceptable de
de información y de responsables del uso que
los activos Inexistente
activos asociados con les dan a los activos
información e informáticos de la
instalaciones de organización.
124
procesamiento de IMPLEMENTA
información. SI NO
No se especifican las
reglas para el uso
aceptable de los activos.
APLICA NIVEL DE
SI NO MADUREZ
La devolución de activos
Control: Todos los
debe ser formalizada y la
empleados y
información almacenada
usuarios de las partes
en dispositivos personales
externas deben
transferida a la
devolver todos los
Devolución organización.
A.8.1.4 activos de la
de activos IMPLEMENTA
organización que se Repetible
encuentren a su cargo, SI NO
al terminar su empleo, Se mantienen registros de
contrato o la devolución de los activos
acuerdo. entregados a los
empleados. Necesarios
para firmar paz y salvo con
la organización.
A.8.2 Clasificación de la información
Objetivo: Asegurar que la información recibe un nivel apropiado de protección, de
acuerdo a su importancia para la organización.
APLICA NIVEL DE
SI NO MADUREZ
La clasificación de la
información es vital para
Control: La determinar el grado y
información se debe control de seguridad que
clasificar en función de debería tener. Esta
Clasificación los requisitos legales, documentación es de
A.8.2.1 de la valor, criticidad y carácter obligatorio en la
información susceptibilidad a norma ISO 27001:2013. Repetible
divulgación o a IMPLEMENTA
modificación SI NO
autorizada.
Actualmente no existe un
documento que clasifique
la criticidad de la
información y de los
activos.
Etiquetado Control: Se debe APLICA NIVEL DE
A.8.2.2
de la desarrollar e SI NO MADUREZ
125
información implementar un El etiquetado de la

conjunto adecuado de
información debe reflejar
procedimientos para el
el esquema de
etiquetado de la clasificación adoptador por
información, de la organización (ver
acuerdo con el A.8.2.1).
esquema de IMPLEMENTA
clasificación de Repetible
SI NO
información adoptado
Actualmente no existe
por la organización.
procedimiento alguno para
el etiquetado y/o
información según el nivel
de criticidad.
APLICA NIVEL DE
SI NO MADUREZ
Control: Se deben El acceso a los activos
desarrollar e debería restringirse de
implementar acuerdo a su esquema de
procedimientos para el clasificación.
Manejo de manejo de activos, de IMPLEMENTA
A.8.2.3
activos acuerdo con el SI NO
esquema de Repetible
Actualmente no existen
clasificación de
procedimientos para el
información adoptado
manejo de la información,
por la organización.
ya que ésta no está
clasificada según el nivel
de criticidad (ver A.8.2.1).
A.8.3 Manejo de medios
Objetivo: Evitar la divulgación, modificación, el retiro o la destrucción no autorizados
de información almacenada en los medios.
APLICA NIVEL DE
SI NO MADUREZ
Control: Se deben
Los medios removibles
implementar
podrían almacenar
procedimientos para
información confidencial y
Gestión de la gestión de
deberían tener el mismo
A.8.3.1 medios medios removibles,
tratamiento y esquema de
removibles de acuerdo con el Inicial
clasificación que
esquema de
cualquier otro activo
informático.
organización.
IMPLEMENTA
SI NO
126
Los medio removibles

son protegidos, pero no
cuentan con un nivel de
clasificación de
información (ver A.8.2.1)
APLICA NIVEL DE
SI NO MADUREZ
Los medios removibles
podrían almacenar
información confidencial y
deberían ser removidos
Control: Se debe almacenando copias de
disponer en forma seguridad en lugares
Disposición segura de los medios seguros y garantizar que
A.8.3.2 de los cuando ya no se su información no sea
medios requieran, utilizando revocable o legible. Inicial
procedimientos IMPLEMENTA
formales. SI NO
Los medio removibles
son dispuestos en
lugares inseguros y su
información es
almacenada en medios
no tan confiables.
APLICA NIVEL DE
Control: Los medios SI NO MADUREZ
que contienen Los medios transportados
información se deben podrían tener información
Transferencia
proteger contra sensitiva
A.8.3.3 de medios
acceso no IMPLEMENTA
físicos Inicial
autorizados, uso SI NO
indebido o corrupción
durante el transporte. No se transportan activos
informáticos.
127
Tabla 53. Verificación Controles De Acceso

A.9 CONTROL DE ACCESO
A.9.1 Requisitos del negocio para control de acceso
Objetivo: Limitar el acceso a información y a instalaciones de procesamiento de
información.
APLICA NIVEL DE
SI NO MADUREZ
El control de acceso
físico y lógico con
principios del menor
Control: Se debe privilegio permite tener un
establecer, control sobre los riesgos
documentar y revisar de diseminación de
una política de información o acceso
Política de
control de acceso físico a los activos a
A.9.1.1 control
con base en los personas no autorizadas.
de acceso Inexistente
requisitos del IMPLEMENTA
negocio y de SI NO
seguridad de la
No existen controles
información.
físicos y lógicos que
garantizan el acceso con
menor privilegio, ni se ha
documentado en una
política de seguridad de
la información.
APLICA NIVEL DE
SI NO MADUREZ
Las redes y servicios de
Control: Sólo se red proveen acceso a
debe permitir acceso diferentes servicios
Acceso a a los usuarios a la dentro de la organización
redes y a red y a los servicios al personal autorizado.
A.9.1.2
servicios en de red para los que IMPLEMENTA
red hayan sido Inexistente
SI NO
autorizados
La red está sin segmentar
específicamente.
y es accedida libremente
por estudiantes, docentes
y administrativos sin
restricciones.
A.9.2 Gestión de acceso de usuarios
Objetivo: Asegurar el acceso a los usuarios autorizados y evitar el acceso no
autorizado a sistemas y servicios.
Registro y Control: Se debe APLICA NIVEL DE
A.9.2.1
cancelación implementar un SI NO MADUREZ
128
de proceso formal de Los identificadores únicos

registro de registro y de de los empleados
usuarios cancelación de mantienen un registro de
registro de usuarios,
las acciones realizadas.
para posibilitar la IMPLEMENTA
asignación de los Inexistente
SI NO
derechos de acceso.
El acceso a la red no
requiere registrarse
previamente y no cuenta
con ninguna restricción.
APLICA NIVEL DE
SI NO MADUREZ
Control: Se debe Los permisos y privilegios
implementar un de los usuarios son
proceso de asignados o revocados
suministro de acceso de forma automática
Suministro de formal de usuarios mediante un proceso
A.9.2.2 acceso de para asignar o formal.
usuarios revocar los derechos IMPLEMENTA Inexistente
de acceso para todo SI NO
tipo de usuarios para
todos los sistemas y
servicios
(Ver A.9.2.1).
APLICA NIVEL DE
SI NO MADUREZ
Los privilegios de acceso
a cualquier sistema o
información deberían ser
Control: Se debe
Gestión de otorgados de acuerdo a
restringir y controlar
derechos de las políticas de acceso.
A.9.2.3 la asignación y uso
acceso IMPLEMENTA
de derechos de Inexistente
privilegiado
acceso privilegiado SI NO
(Ver A.9.2.1).
Gestión de Control: La APLICA NIVEL DE
A.9.2.4
información asignación de SI NO MADUREZ
129
de información de La autenticación de los

autenticación autenticación secreta empleados en los
secreta de se debe controlar por sistemas debería
usuarios medio de un proceso mantenerse confidencial
de gestión formal. y secreta para evitar
alteración y/o
modificación de la
información por parte de
personas no autorizadas.
IMPLEMENTA
SI NO
Aunque los equipos de Inexistente
administrativos tengan
clave de acceso no es
indispensable para el
acceso a la red. La
entrega de claves de
acceso se realiza de
forma personal y se
fuerza a que sea
cambiada
inmediatamente en su
primer acceso.
APLICA NIVEL DE
SI NO MADUREZ
Los derechos de acceso
Control: Los
verifican qué puede hacer
Revisión de propietarios de los
un usuario sobre la
los activos deben revisar
información o sistemas.
A.9.2.5 derechos de los derechos de
acceso de acceso de los IMPLEMENTA
Inexistente
usuarios usuarios, a intervalos SI NO
regulares. No se realizan
verificaciones regulares
de los derechos de
acceso a los sistemas.
Control: Los APLICA NIVEL DE
derechos de acceso SI NO MADUREZ
de todos los La remoción de los
empleados y de derechos de acceso
Retiro o usuarios externos a permite que los
ajuste de los la información y a las empleados no sigan
A.9.2.6
derechos de instalaciones de teniendo acceso a
acceso procesamiento de información o a los Inexistente
información se deben sistemas una vez
retirar al terminar su terminado el contrato o
empleo, contrato o cambio en el cargo.
acuerdo, o se deben IMPLEMENTA
130
ajustar cuando se SI NO
hagan cambios. No existe un proceso y/o
documentación formal de
remoción de los
privilegios de acceso de
los empleados que
cambian el cargo o
terminan contrato.
A.9.3 Responsabilidades de los usuarios
Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información
de autenticación.
APLICA NIVEL DE
SI NO MADUREZ
La información
Control: Se debe confidencial debería ser
exigir a los usuarios accedida sólo por las
Uso de
que cumplan con las personas autorizadas y
información
prácticas de la para fines de la
A.9.3.1 de
organización para el organización.
autenticación Inicial
uso de información IMPLEMENTA
secreta
de autenticación SI NO
secreta.
No existe un proceso y/o
documentación formal de
resguardo de
información.
A.9.4 Control de acceso a sistemas y aplicaciones
Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.
APLICA NIVEL DE
SI NO MADUREZ
El acceso a la
información debe ser
Control: El acceso a granular en pro de evitar
la información y a las revelación o acceso a
funciones de los personas no autorizadas.
Restricción de
sistemas de las IMPLEMENTA
A.9.4.1 acceso a la
aplicaciones se debe SI NO
información Inicial
restringir de acuerdo
Los derechos de acceso
con la política de
a los sistemas e
control de acceso.
información no son
controlados de acuerdo a
rol y responsabilidad del
empleado en la
organización.
Procedimiento Control: Cuando lo APLICA NIVEL DE
A.9.4.2
de requiere la política de SI NO MADUREZ
131
ingreso control de acceso, el El inicio de sesión seguro

seguro acceso a sistemas y permite que una persona
aplicaciones se debe no autorizada tenga
controlar mediante un acceso a información
proceso de ingreso privilegiada
seguro.
IMPLEMENTA
SI NO Inicial
Aunque los sistemas
están protegidos
mediante un mecanismo
de inicio de sesión seguro
no es indispensable para
el acceso a la red.
APLICA NIVEL DE
SI NO MADUREZ
Los sistemas de gestión
de contraseñas son un
mecanismo fuerte de
Control: Los autenticación de usuarios
sistemas de gestión y evita que sean
Sistema de
de contraseñas adivinadas por ataques
gestión
A.9.4.3 deben ser de fuerza bruta y/o
de
interactivos y deben diccionario. Inexistente
contraseñas
asegurar la calidad IMPLEMENTA
de las contraseñas. SI NO
Los sistemas de gestión
de contraseñas no son
interactivos ya que es
otorgada de forma
manual.
APLICA NIVEL DE
SI NO MADUREZ
Los programas utilitarios
Control: Se debe deben ser instalados
restringir y controlar cuidadosamente para que
estrictamente el uso no afecten a los sistemas
Uso de
de programas o a la información
programas
A.9.4.4 utilitarios que podrían existente.
utilitarios
tener la capacidad de IMPLEMENTA Inicial
privilegiados
anular el sistema y SI NO
los controles de las
Los sistemas y activos
aplicaciones.
críticos sólo se les
instalan los programas
estrictamente necesarios
y licenciados.
Control de Control: Se debe APLICA NIVEL DE
A.9.4.5
acceso restringir el acceso a SI NO MADUREZ
132
a códigos los códigos fuentes El código fuente contiene

fuente de los programas. la información de cómo
de programas se ha implementado el
programa y bajo que
lenguaje de
programación, así como
las librerías empleadas. Repetible
IMPLEMENTA
SI NO
El código fuente sólo es
accedido por las
personas autorizadas.
Tabla 54. Verificación Controles de Cifrado

A.10 CIFRADO
A.10.1 Controles criptográficos
Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la
confidencialidad, la autenticidad y/o integridad de la información.
APLICA NIVEL DE
SI NO MADUREZ
La criptografía cifra
mediante algoritmos de
encriptación los mensajes
transmitidos garantizando
Control: Se debe la confidencialidad,
desarrollar e integridad y autenticidad
Política implementar una de los mensajes,
sobre el uso política sobre el uso impidiendo así que sea
A.10.1.1
de controles de controles legible por personas no
criptográficos criptográficos para la autorizadas. Inexistente
protección de la IMPLEMENTA
información SI NO
No existe una política
sobre el uso de
algoritmos de
encriptación para el
cifrado de la información
transmitida.
Gestión de Control: Se debe APLICA NIVEL DE
A.10.1.2
llaves desarrollar e SI NO MADUREZ
133
implementar una La gestión de llaves

política sobre criptográficas vela por su
el uso, protección y seguridad,
tiempo de mantenimiento,
vida de las llaves renovación, distribución y
criptográficas, destrucción.
durante todo su ciclo IMPLEMENTA Inexistente
de vida. SI NO
sobre el uso y distribución
de llaves criptográficas
(ver A.10.1.1).
Tabla 55. Verificación Controles de Seguridad Física Y Del Entorno

A.11 SEGURIDAD FÍSICA Y DEL ENTORNO
A.11.1 Áreas seguras
Objetivo: Prevenir el acceso físico no autorizado, el daño y la interferencia a la
información y a las instalaciones de procesamiento de información de la organización.
APLICA NIVEL DE
SI NO MADUREZ
El perímetro de seguridad
Control: Se deben física impide el acceso a
definir y usar personas no autorizadas
perímetros de a los activos informáticos
seguridad, y usarlos u otros dispositivos de la
Perímetro de para proteger áreas organización.
A.11.1.1 seguridad que contengan IMPLEMENTA
física información SI NO Inexistente
confidencial o crítica,
No existe un perímetro
e instalaciones de
físico controlado a los
manejo de
armarios de
información.
telecomunicaciones, solo
existe personal de
seguridad en las noches
en la entrada el CETEM.
APLICA NIVEL DE
Control: Las áreas
SI NO MADUREZ
seguras se deben
proteger mediante Los controles de accesos
Controles de
controles de acceso físicos impiden el acceso
A.11.1.2 acceso a personas no
apropiados para
físicos
asegurar que sólo se autorizadas a los activos Inexistente
permite el acceso a informáticos u otros
personal autorizado dispositivos
134
IMPLEMENTA
SI NO
Se permiten el acceso a
todos los usuarios ya que
el armario de
telecomunicaciones se
encuentra en un salón de
clases.
APLICA NIVEL DE
SI NO MADUREZ
Las oficinas y lugares de
trabajo claves deberían
Seguridad estar protegidas
Control: Se debe
de impidiendo el acceso
diseñar y aplicar
oficinas, físico a personas no
A.11.1.3 seguridad física a
recintos autorizadas así como no
oficinas, recintos e Inicial
e ser públicamente visibles.
instalaciones.
instalaciones IMPLEMENTA
SI NO
Las oficinas y lugares de
trabajo cuentan con
cerraduras normales.
APLICA NIVEL DE
SI NO MADUREZ
Control: Se debe Protección física contra
Protección diseñar y aplicar los desastres naturales
contra protección física y/o humanos.
A.11.1.4 amenazas contra desastres IMPLEMENTA
externas y naturales, ataques Inexistente
SI NO
ambientales maliciosos o
accidentes. No existe una protección
física contra los desastres
naturales y/o humanos.
APLICA NIVEL DE
SI NO MADUREZ
Las áreas seguras deben
Control: Se debe estar físicamente
Trabajo en diseñar y aplicar aseguradas y revisadas
A.11.1.5 áreas procedimientos para periódicamente.
seguras trabajo en áreas IMPLEMENTA Inexistente
seguras. SI NO
No se tienen áreas
seguras para ser
aseguradas físicamente.
Áreas de Control: Se deben APLICA NIVEL DE
A.11.1.6
despacho y controlar los puntos SI NO MADUREZ
135
carga de acceso tales Los lugares de entrega

como áreas de de equipos y otros
despacho y de carga dispositivos están
y otros puntos en controlados y se restringe
donde pueden entrar el acceso a áreas
personas no externas de la
autorizadas, y si es organización. Inexistente
posible, aislarlos de IMPLEMENTA
las instalaciones de SI NO
procesamiento de
información para No se tienen áreas de
evitar el acceso no despacho y de carga.
autorizado.
Tabla 56. Verificación Controles de Seguridad De Las Operaciones

A.12 SEGURIDAD DE LAS OPERACIONES
A.12.1 Procedimientos operacionales y responsabilidades
Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de
procesamiento de información.
APLICA NIVEL DE
SI NO MADUREZ
Los procedimientos
operacionales deberían
estar documentados y
disponibles para todos los
usuarios. Estos
procedimientos incluyen
las copias de seguridad,
Control: Los
almacenamiento, manejo
procedimientos de
de errores,
operación se
Procedimientos encendido/apagado de
A.12.1. deben documentar
de operación equipos,
1 y poner a
documentados instalación/configuración Repetible
disposición de
de sistemas, etc.
todos los usuarios
Esta documentación es de
que los necesitan.
carácter obligatorio en la
norma ISO 27001:2013.
IMPLEMENTA
SI NO
Los procedimientos
operacionales están
documentados aunque no
se encuentre
implementado un SGSI.
A.12.1. Gestión de Control: Se APLICA NIVEL DE
136
2 cambios deben controlar SI NO MADUREZ

los cambios en la Los cambios en los
organización, en equipos que afectan la
los procesos de seguridad de la
negocio, en las información deberían ser
instalaciones y en controlados y debidamente
los sistemas de planeados y probados.
procesamiento de IMPLEMENTA Inexistente
información que
afectan la SI NO
seguridad de la No existe una política
información. sobre el control sobre los
cambios en los equipos
que afectan la seguridad
de la información.
APLICA NIVEL DE
SI NO MADUREZ
Control: Se debe Los recursos deberían ser
hacer seguimiento monitoreados con el fin de
al uso de gestionar su capacidad y
recursos, hacer rendimiento, así como
los ajustes, y proyectar que responda a
hacer las necesidades de la
A.12.1. Gestión de organización a largo plazo.
proyecciones de
3 capacidad
los requisitos de IMPLEMENTA Repetible
capacidad futura, SI NO
para asegurar el
desempeño Se les realiza un monitoreo
requerido por el continuo a los recursos y la
sistema. adquisición de nuevos se
proyecta de acuerdo a las
necesidades críticas de la
organización.
APLICA NIVEL DE
Control: Se SI NO MADUREZ
deben separar los La separación de
ambientes de ambientes de desarrollo y
Separación de
desarrollo, prueba pruebas reduce el riesgo
los
y operación, para de operaciones no
A.12.1. ambientes de
reducir los riesgos autorizadas.
4 desarrollo,
de acceso o IMPLEMENTA Repetible
pruebas y
cambios no SI NO
operación
autorizados al
Los ambientes de salones
ambiente de
de clase y las oficinas de
operación.
administrativos están
separados.
A.12.2 Protección contra códigos maliciosos
137
Objetivo: Asegurarse de que la información y las instalaciones de procesamiento de

información estén protegidas contra códigos maliciosos.
APLICA NIVEL DE
SI NO MADUREZ
El malware o software
malicioso es un riesgo
potencial para los
sistemas y equipos, ya
que pueden hacer que los
sistemas operen de forma
ineficiente, captura ilegal
Control: Se deben
de información
implementar
confidencial y borrado
controles de
total.
detección, de
Controles prevención y de IMPLEMENTA
contra recuperación, SI NO
A.12.2.1
códigos combinados con la Aunque no existe una
maliciosos toma de conciencia política claramente Repetible
apropiada de los definida contra el
usuarios, para malware, los usuarios son
proteger contra conscientes de los
códigos maliciosos efectos nefastos que
éstos podrían tener sobre
el sistema y/o
información. De igual
forma, se mantienen los
equipos actualizados y
con software antivirus
ejecutándose donde son
monitoreados
continuamente.
A.12.3 Copias de respaldo
Objetivo: Proteger contra la pérdida de datos.
APLICA NIVEL DE
Control: Se deben SI NO MADUREZ
hacer copias de
Las copias de seguridad
respaldo de
(backups) e imágenes de
información, software
los sistemas garantizan
Respaldo de e imágenes de los
que la información
A.12.3.1 la sistemas, y ponerlos
esencial e instalación de
información a prueba Repetible
software podría ser
regularmente de
recuperada después de
acuerdo con una
fallas o desastres.
política de copias de
respaldo acordadas. IMPLEMENTA
SI NO
138
Las copias de seguridad

se realizan regularmente
de forma manual.
A.12.4 Registro y seguimiento
Objetivo: Registrar eventos y generar evidencia.
APLICA NIVEL DE
elaborar,
Los registros (logs)
conservar y revisar
almacenan información
regularmente los
relevante sobre los
registros acerca de
eventos ocurridos en la
Registro de actividades del
A.12.4.1 operación de un sistema.
eventos usuario,
excepciones, fallas IMPLEMENTA Inexistente
y SI NO
eventos de No se revisan ni se
seguridad de la mantienen los registros
información. de los eventos ocurridos
en los sistemas.
APLICA NIVEL DE
SI NO MADUREZ
Los registros de eventos
Control: Las deberían ser custodiados
Protección de instalaciones y la para prevenir
la información de modificación no
A.12.4.2 información registro se deben autorizada.
de proteger contra IMPLEMENTA Repetible
registro alteración y acceso
SI NO
no autorizado.
Los registros de eventos
están protegidos contra el
acceso no autorizado.
APLICA NIVEL DE
SI NO MADUREZ
Los administradores
Control: Las
tienen accesos
actividades del
privilegiados y podrían
administrador y del
modificar información de
operador del
Registros del los registros de eventos.
sistema se deben
A.12.4.3 administrador IMPLEMENTA
registrar, y
y del operador SI NO Repetible
los registros se
deben proteger Las acciones y registros
y revisar con de los administradores
regularidad. también son
almacenados y
protegidos de cualquier
modificación.
A.12.4.4 Sincronización Control: Los APLICA NIVEL DE
139
de relojes relojes de todos SI NO MADUREZ

los sistemas de La sincronización de los
procesamiento relojes de los sistemas
de información permite mantener una
pertinentes referencia única de
dentro de una tiempo y zona horaria.
organización o IMPLEMENTA
ámbito de
seguridad se deben SI NO
Aunque no existe una Repetible
sincronizar con una
única fuente de política documentada
referencia de sobre la sincronización de
tiempo. los relojes, todos los
sistemas están
sincronizados bajo un
único formato de tiempo y
zona horaria.
A.12.5 Registro y seguimiento
Objetivo: Asegurarse de la integridad de los sistemas operacionales.
APLICA NIVEL DE
SI NO MADUREZ
Se debería controlar las
Control: Se deben
instalaciones de software
implementar
en los sistemas
Instalación de procedimientos
operativos.
software en para controlar la
A.12.5.1 IMPLEMENTA
los sistemas instalación de
operativos software en SI NO Repetible
sistemas No existe una política
operativos. documentada o
procedimientos sobre la
instalación de software en
los sistemas operativos.
A.12.6 Gestión de la vulnerabilidad técnica
Objetivo: Prevenir el aprovechamiento de las vulnerabilidades técnicas.
Control: Se debe APLICA NIVEL DE
obtener SI NO MADUREZ
oportunamente El inventario de los
información activos se debería
Gestión de las acerca de las mantener actualizado
vulnerabilidade vulnerabilidades con el fin de identificar a
A.12.6.1
s técnicas de los tiempo los riesgos
técnicas sistemas de asociados a las Inexistente
información que vulnerabilidades y
se usen; evaluar amenazas técnicas.
la exposición de la IMPLEMENTA
organización a SI NO
140
estas Aunque existe un

vulnerabilidades, y inventario de los activos
tomar las medidas físicos y del software
apropiadas para operacional, no se tiene
tratar el riesgo una metodología de
asociado. riesgos que los evalúe.
APLICA NIVEL DE
SI NO MADUREZ
Cualquier persona con
elevados privilegios de
acceso podría instalar
cualquier software en un
Control: Se debe equipo y/o dispositivo. El
establecer e no control podría liderar
Restricciones
implementar las a la instalación de
sobre la
A.12.6.2 reglas para la software malicioso o no
instalación de
instalación de permitido. Inexistente
software
software por parte IMPLEMENTA
de los usuarios. SI NO
Los equipos de las
oficinas como los de las
aulas de clase tienen
todos los privilegios para
La instalación de
software.
A.12.7 Consideraciones sobre auditorías de sistemas de información
Objetivo: Minimizar el impacto de las actividades de auditoría sobre los sistemas
operativos.
APLICA NIVEL DE
Control: Los
SI NO MADUREZ
requisitos y
actividades que Las auditorías de los
involucran la sistemas deberían ser
verificación de los acordadas, planeadas y
Controles de sistemas controladas sin interferir
auditorías de operativos se en el desarrollo normal de
A.12.7.1
sistemas de deben planificar y los procesos.
información acordar IMPLEMENTA Inexistente
cuidadosamente SI NO
para minimizar las
No se tiene un plan de
interrupciones en
auditoría para la
los procesos de
verificación de los
negocio.
sistemas operativos.
141
Tabla 57. Verificación Controles de Seguridad De Las Comunicaciones

A.13 SEGURIDAD DE LAS COMUNICACIONES
A.13.1 Gestión de la seguridad de las redes
Objetivo: Asegurar la protección de la información en las redes, y sus instalaciones de
procesamiento de información de soporte.
APLICA NIVEL DE
SI NO MADUREZ
Las redes deberían
proteger la transmisión de
la información
Control: Las garantizando su
redes se deben confidencialidad e
gestionar y integridad y en algunos
Controles de controlar para casos su disponibilidad.
A.13.1.1
redes proteger la IMPLEMENTA
información en Inexistente
SI NO
sistemas y
No existe una
aplicaciones.
Infraestructura de Llave
Pública (PKI)
implementada que
garantice que la
información transmitida
en las redes sea segura.
Control: Se APLICA NIVEL DE
deben identificar SI NO MADUREZ
los
El acceso a la red de los
mecanismos de
proveedores de servicios
seguridad, los
de red debería ser
niveles de servicio
controlado y
y los requisitos de
monitoreado.
gestión de todos
Seguridad de IMPLEMENTA
los servicios de
A.13.1.2 los SI NO
red, e incluirlos en
servicios de red Inexistente
los acuerdos de
servicio de red, ya
sea que los El acceso a la red de los
servicios se proveedores de servicio
presten de red no es monitoreado
internamente o y controlado.
contraten
externamente.
Separación en Control: Los APLICA NIVEL DE
A.13.1.3
las grupos de SI NO MADUREZ
142
redes servicios de Los usuarios y servicios

información, deberían estar separados
usuarios y lógicamente en unidades
sistemas de organizacionales o
información se dominios, o a través de
deben separar en VLANS.
las redes. IMPLEMENTA Inexistente
SI NO
No hay separación de
usuarios y servicios a
través de dominios y
VLANS.
A.13.2 Transferencia de información
Objetivo: Mantener la seguridad de la información transferida dentro de una
organización y con cualquier entidad externa.
APLICA NIVEL DE
Control: Se debe SI NO MADUREZ
contar con
Los procedimientos y
políticas,
controles ayudan a
procedimientos y
mantener la seguridad de
controles de
Políticas y la información cuando es
transferencia
procedimientos transferida a otra entidad.
formales para
A.13.2.1 de IMPLEMENTA
proteger la
transferencia de SI NO Inexistente
transferencia de
información
información No existe una
mediante el uso documentación sobre los
de todo tipo de procedimientos y
instalaciones de controles a implementar
comunicaciones. para la transferencia
segura de la información.
APLICA NIVEL DE
SI NO MADUREZ
Se deberían tener
Control: Los acuerdos sobre los
acuerdos deben procedimientos para la
tratar la transferencia segura de la
Acuerdos sobre transferencia información.
A.13.2.2 transferencia de segura de IMPLEMENTA
información información del SI NO Inexistente
negocio entre la
No se han implementado
organización y las
controles Criptográficos
partes externas.
que garanticen la
seguridad en la
transmisión de la
información.
A.13.2.3 Mensajería Control: Se debe APLICA NIVEL DE
143
electrónica proteger SI NO MADUREZ

adecuadamente la Se deberían proteger los
información mensajes enviados
incluida en la internamente de los
mensajería empleados de la
electrónica. organización.
IMPLEMENTA
SI NO Inexistente
No se han implementado
controles criptográficos
que garanticen la
seguridad en la
transmisión de la
información.
APLICA NIVEL DE
SI NO MADUREZ
Control: Se
Los acuerdos con los
deben identificar,
empleados o con entes
revisar
externos deberían tener
regularmente y
acuerdos de
documentar los
Acuerdos de requisitos para los
información.
confidencialidad acuerdos de
A.13.2.4 IMPLEMENTA
o de no confidencialidad o
divulgación no divulgación que SI NO Repetible
reflejen las En los documentos y
necesidades de la acuerdos
organización para contractuales de los
la protección de la empleados se estipula el
información. compromiso con la
información
144
Tabla 58. Verificación Controles De Adquisición, Desarrollo Y Mantenimiento De

Sistemas
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A.14.1 Requisitos de seguridad de los sistemas de información
Objetivo: Asegurar que la seguridad de la información sea una parte integral de los
sistemas de información durante todo el ciclo de vida. Esto incluye los requisitos para
sistemas de información que presten servicios sobre redes públicas.
APLICA NIVEL DE
SI NO MADUREZ
Control: Los Los requerimientos de la
requisitos seguridad de la
relacionados con información deberían ser
seguridad de la identificados utilizando
Análisis y información se varios métodos en
especificación deben incluir en concordancia con las
A.14.1.1 de requisitos de los requisitos parapolíticas y regulaciones.
seguridad de la nuevos sistemas IMPLEMENTA Repetible
información de información o SI NO
para mejoras a los
No existe una política de
sistemas de
seguridad de información
información
que ayude a determinar
existentes.
la adquisición de los
nuevos sistemas de
información
APLICA NIVEL DE
SI NO MADUREZ
La comunicación de los
Control: La
servicios y aplicaciones
información
debería estar garantizada
involucrada en los
bajo esquemas de
servicios de las
encriptación de datos
aplicaciones que
garantizando su
pasan sobre redes
Seguridad de confidencialidad e
públicas se debe
servicios de las integridad.
A.14.1.2 proteger de
aplicaciones en IMPLEMENTA
actividades Inexistente
redes públicas SI NO
fraudulentas,
disputas No existe una
contractuales y Infraestructura de Llave
divulgación y Pública (PKI)
modificación no implementada que
autorizadas. garantice que la
en las redes sea
segura.
A.14.1.3 Protección de Control: La APLICA NIVEL DE
145
las información SI NO MADUREZ

transacciones involucrada en las La comunicación de los
de los servicios transacciones de servicios y aplicaciones
de las los servicios de debería estar garantizada
aplicaciones las aplicaciones bajo esquemas de
se debe proteger encriptación de datos
para evitar la garantizando su
transmisión confidencialidad e
incompleta, el integridad.
enrutamiento IMPLEMENTA
errado, la
alteración no SI NO Inexistente
autorizada de
mensajes, la No existe una
divulgación no Infraestructura de Llave
autorizada y la Pública (PKI)
duplicación o implementada que
reproducción de garantice que la
mensajes no información transmitida
autorizada. en las redes sea segura.
A.14.2 Seguridad en los procesos de desarrollo y soporte

Objetivo: Asegurar que la seguridad de la información esté diseñada e implementada
dentro del ciclo de vida de desarrollo de los sistemas de información.
APLICA NIVEL DE
establecer y aplicar Las políticas y controles
las reglas para el de seguridad deberían
Política de
desarrollo de ser aplicados en el
A.14.2.1 desarrollo
software y de desarrollo de software.
seguro N/A
sistemas, a los IMPLEMENTA
desarrollos dentro SI NO
No se desarrolla
software.
APLICA NIVEL DE
Control: Los SI NO MADUREZ
cambios de El procedimiento formal
sistemas dentro del de los cambios en el
Procedimientos ciclo de vida de desarrollo de software
de control de desarrollo se deben debería ser
A.14.2.2
cambios en controlar mediante documentado para
sistemas el uso de garantizar la integridad N/A
procedimientos del sistema o aplicación.
formales de control IMPLEMENTA
de cambios. SI NO
No se desarrolla
146
software.
APLICA NIVEL DE
SI NO MADUREZ
Los cambios en las
aplicaciones deberían
Control: Cuando se
ser revisados y
cambian las
probados antes de
plataformas de
implementarlas de
operación, se
Revisión manera que se
deben revisar las
técnica de las garantice que no
aplicaciones críticas
aplicaciones comprometa la
del negocio, y
A.14.2.3 después de seguridad.
someter a prueba
cambios en la IMPLEMENTA Gestionado
para asegurar que
plataforma de SI NO
no haya impacto
operación
adverso en las Las aplicaciones y
operaciones de plataformas de
seguridad de la operación son revisadas
organización. y probadas antes de
implementarse por los
proveedores de los
sistemas de
información.
APLICA NIVEL DE
SI NO MADUREZ
Control: Se deben Limitar las
desalentar las modificaciones de
modificaciones de software sólo a lo
los paquetes de estrictamente necesario.
Restricciones
software, los cuales IMPLEMENTA
en los cambios
A.14.2.4 se deben limitar a SI NO
a los paquetes
los cambios Gestionado
de software Las actualizaciones y
necesarios, y todos
modificaciones de
los cambios se
software son
deben controlar
desarrolladas por los
estrictamente.
proveedores de los
sistemas de
información.
establecer, SI NO MADUREZ
documentar y
Principios de Se deberían establecer
mantener principios
construcción de y documentar los
A.14.2.5 para la construcción
los sistemas principios de desarrollo
de sistemas N/A
seguros de software seguro.
seguros, y
aplicarlos a IMPLEMENTA
cualquier actividad SI NO
147
de implementación
de No se desarrolla
sistemas de software.
información.
Control: Las APLICA NIVEL DE
organizaciones SI NO MADUREZ
deben
Los ambientes de
establecer y
desarrollo de software
proteger
también deberían estar
adecuadamente los
protegidos de acceso no
ambientes de
Ambiente de autorizado o de
desarrollo seguros
A.14.2.6 desarrollo ejecución de software
para las actividades
seguro malicioso. N/A
de desarrollo e
integración de IMPLEMENTA
sistemas que SI NO
comprendan todo el
ciclo de vida de No se desarrolla
desarrollo de software.
sistemas.
APLICA NIVEL DE
SI NO MADUREZ
El software desarrollado
Control: La externamente debería
organización debe tener licencia, acuerdos
supervisar y hacer y prácticas de desarrollo
Desarrollo seguimiento de la y pruebas seguros.
A.14.2.7 contratado actividad de IMPLEMENTA
externamente desarrollo de SI NO Inexistente
sistemas
Se asegura que el
contratados
software desarrollado
externamente.
externamente contiene
las prácticas de
desarrollo y pruebas
seguros.
APLICA NIVEL DE
SI NO MADUREZ
Se deberían realizar
visitas y pruebas de
Control: Durante el
seguridad al software
desarrollo se deben
Pruebas de que se está
llevar a cabo
A.14.2.8 seguridad de desarrollando.
pruebas de
sistemas IMPLEMENTA Inexistente
funcionalidad de
seguridad. SI NO
No se realizan pruebas
de seguridad al software
durante su período de
desarrollo.
148
APLICA NIVEL DE
SI NO MADUREZ
Se deberían realizar
Control: Para los
pruebas de seguridad
sistemas de
en base a los
información nuevos,
requerimientos de
actualizaciones y
seguridad de la
nuevas versiones,
Pruebas de organización.
se deben establecer
A.14.2.9 aceptación IMPLEMENTA
programas de
de sistemas SI NO Inexistente
prueba para
aceptación y No se realizan las
criterios de pruebas de seguridad
aceptación debido a que aún no
relacionados. existen los lineamientos
o políticas de la
seguridad de la
información.
A.14.3 Datos de prueba
Objetivo: Asegurar la protección de los datos usados para pruebas.
APLICA NIVEL DE
SI NO MADUREZ
Los datos de prueba
deberían ser
seleccionados
cuidadosamente y que
no contengan ninguna
Control: Los datos
información
de prueba se deben
Protección de confidencial.
A.14.3.1 seleccionar,
datos de prueba IMPLEMENTA
proteger y controlar Inexistente
cuidadosamente. SI NO
Los datos de prueba
son seleccionados
cuidadosamente y no
presentan riesgo para la
violación de
información.
149
Tabla 59. Verificación Controles de Relaciones Con Los Proveedores

A.15 RELACIONES CON LOS PROVEEDORES
A.15.1 Seguridad de la información en las relaciones con los proveedores
Objetivo: Asegurar la protección de los activos de la organización que sean accesibles a
los proveedores.
APLICA NIVEL DE
Control: Los SI NO MADUREZ
requisitos de La organización debería
seguridad de la emplear los controles y
Política de información para procedimientos de
seguridad de la mitigar los riesgos seguridad para el
información asociados con el acceso a los activos por
A.15.1.1
para las acceso de parte de los
relaciones con proveedores a los proveedores. Inexistente
proveedores activos de la IMPLEMENTA
organización se SI NO
deben acordar y se
deben documentar. No se tiene una política
de seguridad definida.
APLICA NIVEL DE
establecer y
Se deberían establecer
acordar todos los
acuerdos de seguridad
requisitos de
documentados entre la
seguridad de la
organización y los
información
proveedores para el
Tratamiento de pertinentes con
acceso a los activos.
la seguridad cada proveedor que
A.15.1.2 dentro de los pueda tener IMPLEMENTA
acuerdos con acceso, procesar, SI NO Inexistente
proveedores almacenar, No se establecen los
comunicar o acuerdos documentados
suministrar ya que no existe una
componentes de clasificación de
infraestructura de TI seguridad de la
para la información información, así como
de la organización. tampoco las políticas y
procedimientos.
Control: Los APLICA NIVEL DE
acuerdos con los SI NO MADUREZ
Cadena de proveedores deben Los suministros de los
suministro de incluir requisitos proveedores deberían
A.15.1.3 tecnología de para tratar los estar acordes a las
información y riesgos de políticas de seguridad Inexistente
comunicación seguridad de de la información de la
información organización.
asociados con la IMPLEMENTA
150
cadena de SI NO
suministro de No se establecen los
productos y acuerdos documentados
servicios de ya que no existe una
tecnología de clasificación de
información y seguridad de la
comunicación. información, así como
tampoco las políticas y
procedimientos.
A.15.2 Gestión de la prestación de servicios de proveedores
Objetivo: Mantener el nivel acordado de seguridad de la información y de prestación del
servicio en línea con los acuerdos con los proveedores.
APLICA NIVEL DE
SI NO MADUREZ
Control: Las El monitoreo y acceso
organizaciones de los proveedores
deben hacer debería ser acorde las
Seguimiento y
seguimiento, revisar políticas de seguridad
revisión de los
A.15.2.1 y auditar con la de la organización.
servicios de los
regularidad la IMPLEMENTA Inexistente
proveedores
prestación de SI NO
servicios de los
No existe una política de
proveedores.
seguridad de la
información y
procedimientos.
gestionar los SI NO MADUREZ
cambios en el
suministro de
servicios por parte Los cambios de los
de los proveedores, proveedores deberían
incluido el estar acordes a los
mantenimiento y la requerimientos de
mejora de las seguridad de la
políticas, información de la
Gestión de organización.
procedimientos y
cambios en los
A.15.2.2 controles de
servicios de los
seguridad de la IMPLEMENTA Inexistente
proveedores
información SI NO
existentes, teniendo
en cuenta la
criticidad de la
información, No existe una política de
sistemas y seguridad de la
procesos del información y
negocio procedimientos.
involucrados y la
reevaluación de
151
riesgos.
Tabla 60. Verificación Controles de Gestión De Incidentes De Seguridad De La

Información
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
A.16.1 Gestión de incidentes y mejoras de la seguridad de la información
Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes de
seguridad de la información, incluida la comunicación sobre eventos de seguridad y
debilidades.
APLICA NIVEL DE
SI NO MADUREZ
Los planes y
Control: Se deben procedimientos para
establecer las gestionar los incidentes
responsabilidades y relacionados a la
procedimientos de seguridad de la
Responsabilida gestión para información deberían
A.16.1.1 des y asegurar una estar documentados.
procedimientos respuesta rápida, IMPLEMENTA Inexistente
eficaz y ordenada a SI NO
los incidentes
No existen los
de seguridad de la
procedimientos
información.
documentados para
gestionar los incidentes
relativos a la seguridad
de la información.
APLICA NIVEL DE
SI NO MADUREZ
Control: Los Todos los empleados
eventos de deben estar pendientes
seguridad de la de los eventos y
Reporte de información se reportes de seguridad
eventos de deben informar a de la información.
A.16.1.2
seguridad de la través de los IMPLEMENTA
información canales de gestión Inexistente
SI NO
apropiados,
Los empleados no están
tan pronto como sea
alertados de los eventos
posible.
e incidentes
correspondientes
relativos a la seguridad
152
de la información.
APLICA NIVEL DE
SI NO MADUREZ
Se deberían
Control: Se debe implementar
exigir a todos mecanismos de reportes
los empleados y de incidentes de
contratistas que seguridad de la
usan los servicios y información en donde
sistemas de todos los empleados
información de la deberían reportar las
Reporte de
organización, brechas de seguridad
debilidades de
A.16.1.3 que observen y con el fin de prevenir
seguridad de la
reporten cualquier incidentes. Inexistente
información
debilidad de IMPLEMENTA
seguridad de la SI NO
información
Los empleados saben
observada o
reconocer
sospechada en los
adecuadamente las
sistemas o
debilidades de
servicios.
seguridad de
información por lo tanto
lo reportan como caída
del sistema.
APLICA NIVEL DE
SI NO MADUREZ
La clasificación y
Control: Los
priorización de los
eventos de
incidentes de seguridad
Evaluación de seguridad de la
ayudan a identificar el
eventos de información se
impacto en la
seguridad de la deben evaluar y se
A.16.1.4 organización.
información y debe decidir si se
decisiones van a clasificar como IMPLEMENTA Inexistente
sobre ellos incidentes de SI NO
seguridad de la Los activos no están
información. clasificados y no existe
una metodología de
análisis y evaluación de
riesgos informáticos.
Respuesta a Control: Se debe APLICA NIVEL DE
A.16.1.5
incidentes de dar respuesta a los SI NO MADUREZ
153
seguridad de la incidentes de Deberían existir

información seguridad de la procedimientos
información de documentados para dar
acuerdo con respuesta a los
procedimientos incidentes
documentados. restableciendo la
operación al nivel de
seguridad aceptable lo
más pronto posible. Inexistente
IMPLEMENTA
SI NO
Los procedimientos de
respuesta no están
documentados, así
como tampoco existe un
Plan de Continuidad del
Negocio.
APLICA NIVEL DE
MADUREZ
SI NO
Control: El Se debería recolectar
conocimiento información de los
adquirido al analizar incidentes ocurridos con
Aprendizaje
y resolver incidentes el fin de prevenirlos en el
obtenido de los futuro.
de seguridad de la
A.16.1.6 incidentes de IMPLEMENTA
información se debe
seguridad de la
usar para reducir la SI NO
información Inexistente
posibilidad o el No se recolecta la
impacto sobre información de los
incidentes futuros. incidentes y en la
mayoría de casos no se
aplican los controles
necesarios para
prevenirlos.
APLICA NIVEL DE
Control: La SI NO MADUREZ
organización debe Se deberían recolectar
definir y aplicar las evidencias y
procedimientos para registros para tomar
la identificación, acciones legales.
Recolección de
A.16.1.7 recolección,
evidencia IMPLEMENTA
adquisición y Inexistente
preservación de SI NO
información que No se almacena ninguna
pueda servir como evidencia formalmente
evidencia. para emprender las
acciones legales.
154
Tabla 61. Verificación Controles de Aspectos De Seguridad De La Información De

La Gestión De La Continuidad Del Negocio
ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE

A.17
LA CONTINUIDAD DEL NEGOCIO
A.17.1 Continuidad de seguridad de la información
Objetivo: La continuidad de seguridad de la información se debe incluir en los sistemas
de gestión de la continuidad de negocio de la organización.
APLICA NIVEL DE
SI NO MADUREZ
Los Planes de
Continuidad del Negocio
Control: La
(BCP) y los Planes de
organización debe
Recuperación de
determinar sus
Desastres (DRP)
requisitos para la
deberían estar
seguridad de la
planificados y
información y la
Planificación de documentados para
continuidad de la
A.17.1. la continuidad de restablecer la operación
gestión de la
1 la seguridad de normal dado un evento.
seguridad de la Inexistente
la información Esta documentación es
información en
de carácter obligatorio en
situaciones
la norma ISO
adversas, por
27001:2013.
ejemplo, durante
una crisis o IMPLEMENTA
desastre. SI NO
No existe la
documentación o los
procedimientos para los
BCP y DRP.
APLICA NIVEL DE
Control: La
SI NO MADUREZ
organización debe
establecer, Los Planes de
documentar, Continuidad del Negocio
implementar y (BCP) y los Planes de
mantener procesos, Recuperación de
Implementación Desastres (DRP)
procedimientos y
A.17.1. de la continuidad deberían estar
controles para
2 de la seguridad
asegurar el nivel de planificados y Inexistente
de la información documentados para
continuidad
requerido para la restablecer la operación
seguridad de la normal dado un evento.
información durante Esta documentación es
una situación de carácter obligatorio en
adversa. la norma ISO
27001:2013.
155
IMPLEMENTA
SI NO
No existe la
documentación o los
procedimientos para los
BCP y DRP.
APLICA NIVEL DE
Control: La SI NO MADUREZ
organización debe Los procedimientos y
verificar a intervalos controles para la
regulares los restablecer los servicios
controles de se deberían revisar en
Verificación,
continuidad de la intervalos regulares con
revisión y
seguridad de la cada uno de los
A.17.1. evaluación de la
información responsables para
3 continuidad de la
establecidos e verificar su efectividad. Inexistente
seguridad de la
implementados, con IMPLEMENTA
información
el fin de asegurar SI NO
que son válidos y
eficaces durante No existe la
situaciones documentación o los
adversas. procedimientos para los
BCP y DRP.
A.17.2 Redundancias
Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de información.
APLICA NIVEL DE
SI NO MADUREZ
La información debería
Control: Las
ser redundante con el fin
instalaciones de
de mantener la
procesamiento de
Disponibilidad de disponibilidad de los
información se
instalaciones de servicios y ser probadas
A.17.2. deben implementar
procesamiento en intervalos regulares.
1 con redundancia
de IMPLEMENTA Inexistente
suficiente para
información SI NO
cumplir los
requisitos de La organización no
disponibilidad. dispone de redundancia
de la información, que
almacena los sistemas
de información.
156
Tabla 62. Verificación Controles de Cumplimiento

A.18 CUMPLIMIENTO
A.18.1 Cumplimiento de los requisitos legales y contractuales
Objetivo: Evitar el incumplimiento de las obligaciones legales, estatuarias, de
reglamentación o contractuales relacionadas con la seguridad de la información y de
cualquier requisito de seguridad.
APLICA NIVEL DE
Control: Todos los SI NO MADUREZ
requisitos
Los administradores
estatuarios,
deberían identificar toda
reglamentarios y
la información legislativa
contractuales
aplicable a la
pertinentes y el
organización con el fin de
Identificación de enfoque de la
cumplir con los
la legislación organización para
requerimientos del
A.18.1.1 aplicable a los cumplirlos, se
negocio.
requisitos deben identificar y Definido
contractuales documentar IMPLEMENTA
explícitamente y
SI NO
mantenerlos
actualizados para Los requisitos
cada sistema de contractuales están
información y para identificados y se
la organización. cumplen con los
requerimientos exigidos
por la ley.
APLICA NIVEL DE
Control: Se deben MADUREZ
SI NO
implementar
procedimientos
apropiados para Se deberían definir las
asegurar el políticas y procedimientos
cumplimiento de los para controlar la
requisitos propiedad intelectual.
Derechos de legislativos, de
A.18.1.2 propiedad reglamentación y
intelectual contractuales IMPLEMENTA N/A
relacionados con SI NO
los derechos de
propiedad
intelectual y el uso Se permite la instalación,
de productos de copia y distribución de
software software sin licencia.
patentados.
A.18.1.3 Protección de Control: Los APLICA NIVEL DE

157
registros registros se deben SI NO MADUREZ

proteger contra Los registros deberían
pérdida, estar clasificados de
destrucción, acuerdo al esquema
falsificación, acceso
adoptado por la
no autorizado y organización de acuerdo
liberación no al nivel de
autorizada, de confidencialidad. Inexistente
acuerdo con los IMPLEMENTA
requisitos
legislativos, de SI NO
reglamentación, No existe un nivel de
contractuales y declasificación formal de
negocio. confidencialidad de los
registros.
APLICA NIVEL DE
SI NO MADUREZ
Control: Se deben Se debería documentar y
asegurar la definir políticas relativas a
privacidad y la la protección de datos
Privacidad y protección de la personales de acuerdo a
protección de información de las reglamentaciones que
A.18.1.4 información de datos personales, la ley exige.
datos como se exige en la IMPLEMENTA Inexistente
personales legislación y la SI NO
reglamentación
pertinentes, cuando
relativa a la protección de
sea aplicable.
datos personales
conforme a los
requerimientos de la ley.
APLICA NIVEL DE
SI NO MADUREZ
Los controles
criptográficos permiten
garantizar la
Control: Se deben confidencialidad,
usar controles integridad y autenticidad
criptográficos, en de la información.
Reglamentación
cumplimiento de IMPLEMENTA
A.18.1.5 de controles
todos los acuerdos, SI NO
criptográficos Inexistente
legislación y
No existe una
reglamentación
Infraestructura de Llave
pertinentes.
Pública (PKI)
implementada que
garantice que la
y/o almacenada sea
segura.
158
A.18.2 Revisiones de seguridad de la información

Objetivo: Asegurar que la seguridad de la información se implemente y opere de
acuerdo con las políticas y procedimientos organizacionales.
Control: El enfoque APLICA NIVEL DE
de la organización SI NO MADUREZ
para la gestión de la
seguridad de la
información y su Se deberían realizar
implementación (es auditorías de los
decir, los objetivos procesos, procedimientos
de control, los y sistemas por medio de
Revisión controles, las entidades externas.
independiente políticas, los
A.18.2.1 de la seguridad procesos y los
de la procedimientos para IMPLEMENTA
Inexistente
información seguridad de SI NO
información) se
deben revisar
independientemente
a intervalos No se realizan auditorías
planificados o con entidades externas.
cuando ocurran
cambios
significativos.
APLICA NIVEL DE
Control: Los MADUREZ
SI NO
directores deben
revisar con
regularidad el Se deberían realizar
cumplimiento del revisiones de las políticas
procesamiento y de seguridad con el fin de
Cumplimiento procedimientos de verificar su cumplimiento.
con información dentro
A.18.2.2 las políticas y de su área de
normas de responsabilidad, IMPLEMENTA Inexistente
seguridad con las políticas y
SI NO
normas de
seguridad No existen políticas de la
apropiadas, y seguridad de la
cualquier otro información con la cual se
requisito de permitan comparar los
seguridad. resultados.
Revisión del Control: Los APLICA NIVEL DE

A.18.2.3
cumplimiento sistemas de SI NO MADUREZ
159
técnico información se Los test de penetración

deben revisar deben ser realizados por
periódicamente con herramientas
para determinar el automáticas, con
cumplimiento con personal calificado y en
las políticas y intervalos programados y
normas de acordados con el fin de
seguridad de verificar las políticas de
información. seguridad así como los
requerimientos. Inexistente
IMPLEMENTA
SI NO
No se aplica ningún test
de penetración, ni mucho
menos hay políticas de
seguridad o metodología
de riesgo que permita
comparar los resultados.
160
3.4. POLÍTICAS DE SEGURIDAD INFORMÁTICA
3.4.1. Actividad 11. Definición de las políticas de seguridad informática.
El objetivo de este documento es establecer las políticas en seguridad de la

información del CETEM, con el fin de mejorar la gestión de la seguridad de la
información al interior de la entidad.
Las Documento completo de Políticas de Seguridad se describen en el ANEXO H
– POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PARA EL CENTRO DE
ESTUDIOS EMSSANAR CETEM, proporcionando instrucciones sobre cómo
mantener más seguros la plataforma tecnológica del CETEM. La violación de
dichas políticas puede conducir medidas disciplinarias dependiendo de la
gravedad de los incidentes de seguridad que puedan ocasionar.
Entre las políticas más importantes podemos mencionar:
3.4.1.1. Política de acceso a redes y recursos de red
La COMITÉ DE SEGURIDAD DE LA INFORMACION Y AREA DE REDES Y

SISTEMAS del CETEM, como responsables de la plataforma tecnológica del
CETEM, suministrará los mecanismos necesarios para proteger las redes y
recursos de red, a través de mecanismos de control de acceso lógico y físico.
Normas de acceso a redes y recursos de red

Normas dirigidas a: COMITÉ DE SEGURIDAD DE LA INFORMACION Y EL AREA
DE REDES Y SISTEMAS
• Deben establecer y verificar periódicamente los procesos de autorización y
controles para proteger el acceso a la plataforma tecnológica del CETEM,
con el fin de revisar que los usuarios tengan acceso permitido únicamente a
aquellos recursos de red y servicios para los que fueron autorizados.
• Deben asegurar que las redes inalámbricas del centro de estudios cuenten
con métodos de autenticación que evite accesos no autorizados y conceder
161
el acceso únicamente a los Funcionarios, Docentes, Estudiantes vinculados

al CETEM actualmente y denegar en caso contrario.
Normas dirigidas a: TODOS LOS USUARIOS

• Se prohíbe conectar a los perfiles de red del CETEM equipos de cómputo
incluyente dispositivos móviles de uso personal, salvo se solicite acceso al
AREA DE REDES Y SISTEMAS.
3.4.1.2. Política de administración de acceso de usuarios

El CETEM establecerá privilegios para el control de acceso lógico de cada usuario
o grupo de usuarios a la plataforma tecnológica. Así mismo, velará porque los
funcionarios, docente y estudiantes tengan acceso únicamente a la información
necesaria para el desarrollo de sus labores.
Normas de administración de acceso de usuarios

DE REDES Y SISTEMAS
• Deben establecer y otorgar privilegios de administración de usuarios de la
plataforma tecnológica del CETEM sólo a aquellos funcionarios designados
para dichas funciones, que contemple la creación, modificación, bloqueo o
eliminación de las cuentas de usuario.
• Otorgar o revocar privilegios de acceso a las redes de datos, los recursos
tecnológicos y los sistemas de información del CETEM de manera oportuna
a los Funcionarios, Docente y Estudiantes de acuerdo a los perfiles
establecidos.
• Deben definir lineamientos para la configuración de contraseñas que
aplicaran sobre la plataforma tecnológica del CETEM; dichos lineamientos
deben considerar aspectos como longitud, complejidad, cambio periódico,
control histórico, bloqueo por número de intentos fallidos en la autenticación
y cambio de contraseña en el primer acceso, entre otros.
162
• Deben verificar periódicamente los privilegios de acceso concedidos tanto a

Funcionarios, Docentes, Estudiantes sobre sus recursos tecnológicos y
sistemas de información.
3.4.1.3. Política de responsabilidades de acceso de los usuarios

Los usuarios de la plataforma tecnológica del CETEM realizarán un uso adecuado
y responsable de los recursos y sistemas, salvaguardando la información a la cual
les es permitido el acceso.
Normas de responsabilidades de acceso de los usuarios

• Los usuarios de la plataforma tecnológica del CETEM deben hacerse
responsables de las acciones realizadas en los mismos, así como del
usuario y contraseña asignados para el acceso a estos.
• Los usuarios no deben compartir sus cuentas de usuario y contraseñas con
otros usuarios o ajenos.
3.4.1.4. Política de controles criptográficos

El CETEM velará porque la información del centro de estudios, clasificada como
reservada o restringida, será cifrada al momento de almacenarse y/o transmitirse
por cualquier medio.
Normas de controles criptográficos

DE REDES Y SISTEMAS
• Deben desarrollar y establecer un procedimiento para el manejo y la
administración de llaves de cifrado.
• Deben desarrollar y establecer estándares para la aplicación de controles
criptográficos.
163
Normas dirigidas a: FUNCIONARIOS

• Deben almacenar y/o transmitir la información digital clasificada como
reservada o restringida bajo técnicas de cifrado con el propósito de proteger
su confidencialidad e integridad.
Normas dirigidas a: DESARROLLADORES EXTERNOS

• Deben cifrar la información reservada o restringida y certificar la
confiabilidad de los sistemas de almacenamiento de dicha información.
• Deben asegurarse que los controles criptográficos de los sistemas
construidos cumplen con los estándares establecidos por el AREA DE
REDES Y SISTEMAS.
3.4.1.5. Política de registro de eventos y monitoreo de la plataforma

tecnológica
El CETEM realizará monitoreo permanente del uso que dan los Funcionarios,
Docentes, Estudiantes a la plataforma tecnológica del centro de estudios.
Normas de registro de eventos y monitoreo de la plataforma tecnológica

DE REDES Y SISTEMAS
• Deben determinar y revisar periódicamente los registros (logs) de auditoria
de la plataforma tecnológica del CETEM con el fin de identificar brechas de
seguridad y otras actividades propias del monitoreo.
• Deben certificar la integridad y disponibilidad de los registros de auditoria
generados en la plataforma tecnológica del CETEM. Estos registros deben
ser almacenados y solo deben ser accedidos por personal autorizado.
• Deben determinar los periodos de retención de los registros (logs) de
auditoria de la plataforma tecnológica del CETEM.
Normas dirigidas a: DESARROLLADORES EXTERNOS

164
• Deben presentar un informe que muestre los usuarios que han accedido a
los sistemas de información de la plataforma tecnológica del CETEM, el
horario y si es posible descripción general de las actividades.
3.4.1.6. Política de gestión de vulnerabilidades

El CETEM, a través del COMITÉ DE SEGURIDAD DE LA INFORMACION Y EL
AREA DE REDES Y SISTEMAS, revisará periódicamente la aparición de
vulnerabilidades técnicas sobre los recursos de la plataforma tecnológica por
medio de la realización periódica de pruebas, con el objetivo de realizar la
corrección sobre los hallazgos arrojados por dichas pruebas.
Normas para la gestión de vulnerabilidades

DE REDES Y SISTEMAS
• Deben adelantar los trámites correspondientes para la realización de
pruebas de vulnerabilidades y hacking ético con una periodicidad
establecida, por un ente independiente al área objeto de las pruebas, con el
fin de garantizar la objetividad del desarrollo de las mismas.
• Deben generar los lineamientos y recomendaciones para la mitigación de
vulnerabilidades, resultado de las pruebas de vulnerabilidades y hacking
ético.
• Deben revisar periódicamente la aparición de nuevas vulnerabilidades
técnicas y reportarlas a los administradores de la plataforma tecnológica y
los desarrolladores de los sistemas de información, con el fin de prevenir la
exposición al riesgo de estos.
• Deben generar y ejecutar o monitorear planes de acción para la mitigación
de las vulnerabilidades técnicas detectadas en la plataforma tecnológica.
• Deben revisar, valorar y gestionar las vulnerabilidades técnicas
encontradas, apoyándose en herramientas tecnológicas para su
identificación.
165
3.4.1.7. Política de gestión y aseguramiento de las redes de datos

El CETEM establecerá, a través del COMITÉ DE SEGURIDAD DE LA
INFORMACION Y EL AREA DE REDES Y SISTEMAS, los mecanismos de control
necesarios para proveer la disponibilidad de las redes de datos y de los servicios
de la plataforma tecnológica; así mismo, velará por que se cuente con los
mecanismos de seguridad que protejan la integridad y la confidencialidad de la
información que se transporta a través de dichas redes de datos.
De igual manera, propenderá por el aseguramiento de las redes de datos, el

control del tráfico en dichas redes y la protección de la información reservada y
restringida del centro de estudios.
Normas de gestión y aseguramiento de las redes de datos

DE REDES Y SISTEMAS
• Deben adoptar medidas para asegurar la disponibilidad de los recursos y
servicios de red del CETEM.
• Deben implantar controles para minimizar los riesgos de seguridad de la
información transportada por medio de las redes de datos.
• Deben mantener las redes de datos segmentadas por dominios, grupos de
servicios, grupos de usuarios o cualquier otra tipificación que se considere
conveniente para el centro de estudios.
• Deben establecer los estándares técnicos de configuración de los
dispositivos de seguridad y de red de la plataforma tecnológica del centro
de estudios, acogiendo buenas prácticas de configuración segura.
• Deben identificar, justificar y documentar los servicios, protocolos y puertos
permitidos por el centro de estudios en sus redes de datos e inhabilitar o
eliminar el resto de los servicios, protocolos y puertos.
166
• Deben instalar protección entre las redes internas del CETEM y cualquier
red externa, que este fuera de la capacidad de control y administración del
centro de estudios.
• Deben velar por la confidencialidad de la información del direccionamiento y
el enrutamiento de las redes de datos del CETEM.
3.4.1.8. Política de uso adecuado de internet

El CETEM consciente de la importancia de Internet como una herramienta para el
desempeño de labores, proporcionará los recursos necesarios para asegurar su
disponibilidad a los usuarios que así lo requieran para el desarrollo de sus
actividades diarias en el centro de estudios.
Normas de uso adecuado de internet

DE REDES Y SISTEMAS
• Deben proporcionar los recursos necesarios para la implementación,
administración y mantenimiento requeridos para la prestación segura del
servicio de Internet, bajo las restricciones de los perfiles de acceso
establecidos.
• Deben diseñar e implementar mecanismos que permitan la continuidad o
restablecimiento del servicio de Internet en caso de contingencia interna.
• Deben monitorear continuamente el canal del servicio de Internet.
• Deben establecer procedimientos e implementar controles para evitar la
descarga de software no autorizado, evitar código malicioso proveniente de
Internet y evitar el acceso a sitios catalogados como restringidos.
• Deben generar registros de la navegación y los accesos de los usuarios a
Internet, así como establecer e implantar procedimientos de monitoreo
sobre la utilización del servicio de Internet.
• Deben generar campañas para concientizar tanto a los funcionarios
internos, como al personal provisto por terceras partes, respecto a las
167
precauciones que deben tener en cuenta cuando utilicen el servicio de

Internet.

• Los usuarios del servicio de Internet del CETEM deben hacer uso del
mismo en relación al rol que desempeñen (funcionarios, Docentes y
Estudiantes) con el objetivo de cumplir con los propósitos del negocio.
• Los usuarios del servicio de Internet deben evitar la descarga de software,
información audiovisual desde internet, así como su instalación en las
estaciones de trabajo o dispositivos móviles del centro de estudios a menos
se para actividades propias del centro de estudios.
• No está permitido el acceso a páginas relacionadas con pornografía,
drogas, alcohol, webproxys, redes sociales, mensajería, descarga de
software, hacking y/o cualquier otra página que vaya en contra de la ética
moral, las leyes vigentes o bien para fines diferentes a las actividades
propias del centro de estudios.
• No está permitida la descarga e intercambio no autorizado de información
de propiedad del CETEM.
3.4.1.9. Política de intercambio de información

El CETEM asegurará la protección de la información en el momento de ser
transferida o intercambiada con otras entidades y establecerá los procedimientos y
controles necesarios para el intercambio de información; así mismo, se
establecerán Acuerdos de Confidencialidad y/o de Intercambio de Información con
las terceras partes con quienes se realice dicho intercambio. El centro de estudios
propenderá por el uso de tecnologías informáticas y de telecomunicaciones para
llevar a cabo el intercambio de información; sin embargo, establecerá directrices
para el intercambio de información en medio físico.
Normas de intercambio de información

168

DE REDES Y SISTEMAS
• Junto con el grupo de Contratación, establecer en los contratos que a
realizar con terceras partes, los Acuerdos de Confidencialidad y/o de
Intercambio de Información incluyendo los compromisos adquiridos y las
penalidades civiles o penales por el incumplimiento de dichos acuerdos.
Entre los aspectos a considerar se Deben incluir la prohibición de divulgar
la información entregada por el CETEM a los terceros con quienes se
establecen estos acuerdos y la destrucción de dicha información una vez
cumpla su cometido.
• Deben definir, establecer y autorizar el procedimiento de intercambio de
información con los diferentes terceros que, hacen parte de la operación del
CETEM, reciben o envían información de los beneficiarios del centro de
estudios, que contemple la utilización de medios de transmisión confiables y
la adopción de controles, con el fin de proteger la confidencialidad e
integridad de la misma.
• Deben ofrecer servicios o herramientas de intercambio de información
seguros, así como adoptar controles como el cifrado de información, que
permitan el cumplimiento del procedimiento para el intercambio de
información (digital o medio magnético), con el fin de proteger dicha
información contra divulgación o modificaciones no autorizadas.
Normas dirigidas a: FUNCIONARIOS

• Los propietarios de los activos de información, o a quien ellos deleguen,
deben verificar que el intercambio de información con terceros sea
autorizada previamente y deje registro del tipo de información
intercambiada, el emisor y receptor de la misma y la fecha de
entrega/recepción.
Normas dirigidas a: TERCEROS CON QUIENES SE INTERCAMBIA

INFORMACION DEL CETEM
169
• Los terceros con quienes se intercambia información del CETEM deben

darle manejo adecuado a la información recibida, en cumplimiento de las
Políticas de seguridad del centro de estudios, de las condiciones
contractuales establecidas y del Procedimiento de intercambio de
información.
• Los terceros con quienes se intercambia información del centro de estudios
deben destruir de manera segura la información suministrada, una vez esta
cumpla con la función para la cual fue enviada y demostrar la realización de
las actividades de destrucción.
Normas dirigidas a: TODOS LOS USUARIOS:

• Los usuarios no deben utilizar el correo electrónico como medio para enviar
o recibir información sensible del centro de estudios o de sus beneficiarios.
• No está permitido el intercambio de información sensible del centro de
estudios por vía telefónica.
170
4. CONCLUSIONES
El SGSI diseñado incluye en los anexos un inventario de los activos de

información, en los que se estipulan el valor de los activos, su clasificación y sus
responsables. De igual manera se realizó satisfactoriamente un proceso de
análisis y evaluación de riesgos utilizando la metodología de análisis de riesgos
MAGERIT, en el cual esta discriminado por cada activo, indicando los tipos de
amenazas a los que se encuentran sometidos cada uno de ellos junto con el
riesgo actual y las vulnerabilidades presentes en la actualidad como resultado de
un test de penetración básico. Sin ser menos importante también permitió conocer
de manera más exacta el estado actual de la seguridad informática de la red de
datos del CETEM y dar a conocer al AREA DE REDES Y SISTEMAS los riesgos a
los que está sometida la información que circula por su Plataforma Tecnológica.
Se realizó de igual manera una verificación de los controles implementados y los

que faltan implementar en el CETEM teniendo como referencia la norma ISO/IEC
27002:2013 con el fin de determinar su respectivo nivel de madurez en la escala
del COBIT.
Se realizó un documento de políticas de seguridad basado en los controles

establecidos en la norma ISO/IEC 27002 y teniendo en cuenta los resultados
obtenidos en todo el proceso diagnóstico del CETEM en temas de seguridad de la
de la red de dato, logrando así un SGSI acorde a las necesidades y
requerimientos propios y así dar el primer paso una posible certificación en
ISO/IEC 27001:2013.
La adopción del SISTEMA DE GESTIÓN DE SEGURIDAD PARA LA RED

DATOS DEL CENTRO DE ESTUDIOS EMSSANAR CETEM permitirá mejorar la
administración de la calidad y la confiabilidad de la infraestructura tecnológica
de red y responder a un creciente número de requerimientos regulatorios y
171
contractuales en un futuro cercano necesarios para alcanzar los objetivos de

negocio ya que es dinámico y fácilmente adaptable a los cambios.
172
5. RECOMENDACIONES
Acondicionar el entorno físico donde está ubicado actualmente el gabinete de red

para que brinde un perímetro de seguridad que minimice el riesgo a los que se
encuentran sometidos los equipos de la red de datos del CETEM.
Realizar una nueva distribución de direcciones IP por subredes como se muestra
en la Tabla 46 preferiblemente asignadas por un servidor DHCP20 y su respectiva
restricción de sitios Web a través de un servidor proxy.
Tabla 63. Distribución de direcciones IP por subredes

Dirección de
Subred Inicio de Host Fin de Host Broadcast
Red
Aula 201 192.168.100.0 192.168.100.1 192.168.100.30 192.168.100.31
Aula 202 192.168.100.32 192.168.100.33 192.168.100.62 192.168.100.63
Aula 203 192.168.100.64 192.168.100.65 192.168.100.94 192.168.100.95
Aula 204 192.168.100.96 192.168.100.97 192.168.100.126 192.168.100.127
Aula 208 192.168.100.128 192.168.100.129 192.168.100.158 192.168.100.159
Estudiantes 192.168.100.160 192.168.100.161 192.168.100.190 192.168.100.191
Visitantes 192.168.100.192 192.168.100.193 192.168.100.222 192.168.100.223
Administrativos 192.168.100.224 192.168.100.225 192.168.100.254 192.168.100.255
La implementación de un firewall físico o de un servidor destinado con este

propósito para implementar los controles lógicos frente a ataques dirigidos por
parte de personal externo a la institución con el fin de resguardar adecuadamente
la información almacenada en los servidores de forma lógica.
En el aspecto lógico se detectaron vulnerabilidades en cuanto al acceso y

configuración de dispositivos de red, por lo cual se recomienda de carácter
20
DHCP (siglas en inglés de Dynamic Host Configuration Protocol, en español «protocolo de
configuración dinámica de host») es un servidor que usa protocolo de red de tipo cliente/servidor
en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando
a los clientes conforme éstas van quedando libres
173
urgente proteger el acceso a estos dispositivos con contraseñas robustas, con el

fin de evitar que el acceso a estos ocasione denegación de algún servicio.
Con respecto a los aplicativos y plataformas web implementadas por el AREA DE

REDES Y SISTEMAS, la más preocupante y critica es la de inyección SQL,
mediante la cual se puede analizar e identificar la estructura de las bases de datos
implementadas en estos aplicativos web, para lo cual se recomienda de carácter
urgente analizar e implementar controles en las entradas y salidas que generan
los mismos, con el fin de evitar este tipo de ataques junto con los de cross site
scripting.
Otra vulnerabilidad encontrada es la transferencia de formularios de inicio de

sesión por texto plano, lo que permite obtener las credenciales de usuario y
contraseña a través de un ataque de hombre en medio escuchando el tráfico de
red, se recomienda para solventar esta vulnerabilidad implementar servicios de
navegación con encriptamiento como lo es el HTTPS.
Difundir y poner en práctica las políticas a los empleados que intervienen con los
activos de la información, a través de correo electrónico, charlas u otros medios
con el fin de concientizarlos de la importancia de los archivos físicos así como la
información generada, procesada, almacenada y transmitida a través de su
plataforma tecnológica
Una recomendación específica es capacitar al personal del AREA DE REDES Y

SISTEMAS en temas de seguridad de la información e incentivar el estar
actualizados en temas relacionados con el fin de estar a la vanguardia de las
nuevas vulnerabilidades y tipos de ataques utilizados.
Realizar periódicamente análisis de riesgos y monitorear frecuente los activos de

información, pues la seguridad que se va a proporcionar con un SGSI es
permanente para lo cual es necesario de un proceso continuo.
174
Encargar a más personas de la seguridad informática de la institución ya que la

actualidad el único encargado es el auxiliar de soporte y mantenimiento, el cual se
encargar tiene otras funciones aparte de esta.
Considerar al SGSI propuesto como un proceso de mejoramiento continuo, en

donde los nuevos requerimientos de seguridad se ajusten a los cambios de la
empresa.
175
BIBLIOGRAFÍA
Administración Nacional de Usinas y Trasmisiones Eléctricas (Uruguay). (45 de 03

de 2016). Política De Seguridad De La Información. Obtenido de Política De
Seguridad De La Información:
http://www.ute.com.uy/compras/normativa/PSeguridad_2014.pdf
Corporación Peruana de Aeropuertos y Aviación Comercial. (15 de 04 de 2016).
Políticas De Seguiridad En El Uso De Dispositivos Móviles. Obtenido de
Políticas De Seguiridad En El Uso De Dispositivos Móviles:
http://www.corpac.gob.pe/Docs/Transparencia/OyM/DocNormativos/Politica
s/Seguridad_Uso_Dispositivos_Moviles_Ver1_(GG-0620-2011-M_12-12-
2011).pdf
Departamento Administrativo de la Función Pública (DAFP). (20 de 03 de 2016).
Guía para la administración del riesgo. Obtenido de Guía para la
administración del riesgo:
http://portal.dafp.gov.co/portal/pls/portal/formularios.retrive_publicaciones?n
o=1592
DIRECCIÓN GENERAL MARITIMA. (09 de 07 de 2016). Política Seguridad En La
Informatica Y Fisica. Obtenido de Política Seguridad En La Informatica Y
Fisica:
https://www.dimar.mil.co/sites/default/files/atach/politica_seguridad.pdf
Emssanar. (04 de 04 de 2015). Centro de Estudios EMSSANAR CETEM.
Obtenido de Centro de Estudios EMSSANAR CETEM:
http://www.emssanar.org.co/contenidos/cetem/portafolio_de_servicios/porta
folio_cetem.pdf
ICETEX. (10 de 9 de 2016). Manual De Políticas De Seguridad De La Información.
Obtenido de Manual De Políticas De Seguridad De La Información:
https://www.icetex.gov.co/dnnpro5/Portals/0/Documentos/La%20Institucion/
manuales/Manualseguridadinformacion.pdf
Implementación efectiva de un SGSI ISO 27001. (22 de 05 de 2015). Obtenido de
Implementación efectiva de un SGSI ISO 27001:
176
http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2014
%20-%20Exposici%C3%B3n%202%20CIGRAS%20ISO%2027001%20-
%20rbq.pdf
Incoder. (12 de 09 de 2016). Política De Seguridad De La Información. Obtenido
de Política De Seguridad De La Información:
http://www.incoder.gov.co/documentos/A%C3%91O_2014/Gestion_Incoder/
Politicas/Agosto_15/PoliticadeSeguridaddelaInformacion.pdf
ISO/IEC 27002:2013. (04 de 04 de 215). Information Technology - Security
techniques – Code of practice for security management. Obtenido de
Information Technology - Security techniques – Code of practice for security
management: http://inicio.ifai.org.mx/DocumentosdeInteres/4-2_ISO-
IEC_27002-2013.pdf
Iso27002.Es. (04 de 04 de 2015). 10 6 Gestión de redes. Obtenido de 10 6
Gestión de redes:
http://datateca.unad.edu.co/contenidos/233004/47797859-ISO-27002-
Espanol.pdf
Iso27002.Wiki.Zoho.Com. (04 de 04 de 2015). 10. Gestión de Comunicaciones y
Operaciones. Obtenido de 10. Gestión de Comunicaciones y Operaciones:
https://iso27002.wiki.zoho.com/10ComunicacionesyOperaciones.html
Javeriana - Centro de escritura. (04 de 04 de 2015). Norma ICONTEC. Obtenido
de Norma ICONTEC:
http://centrodeescritura.javerianacali.edu.co/index.php?option=com_content
&view=article&id=84:norma-icontec&catid=45:referencias-
bibliograficas&Itemid=66
Lamilla Rubio, E. A., Patiño Sánchez , J. R., & Martín M. , I. (04 de 04 de 2015).
Desarrollo de Políticas de Seguridad Informática e Implementación de
Cuatro Dominios en Base a la Norma 27002 para el Área de Hardware en la
Empresa Uniplex Systems S.A. en Guayaquil. Obtenido de Desarrollo de
Políticas de Seguridad Informática e Implementación de Cuatro Dominios
en Base a la Norma 27002 para el Área de Hardware en la Empresa
Uniplex Systems S.A. en Guayaquil:
177
https://www.dspace.espol.edu.ec/bitstream/123456789/5247/1/Desarrollo%
20de%20Pol%C3%ADticas%20de%20Seguridad%20Inform%C3%A1tica%
20e%20Implementaci%C3%B3n.pdf
Redseguridad.Com. (04 de 04 de 2015). ¿Sabes diferenciar la ISO 27001 y la ISO
27002? Obtenido de ¿Sabes diferenciar la ISO 27001 y la ISO 27002?:
http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-iso-
27001-y-la-iso-27002
UDISTRITAL. (24 de 08 de 2016). Politica para Seguridad Informacion. Obtenido
de Politica para Seguridad Informacion:
https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_
seguridad/archivos/Politica_para_Seguridad_Informacion_Version_0.0.1.0.p
df
UNAD. (25 de 05 de 2015). Proyecto De Seguridad Informática Ii. Obtenido de
Proyecto De Seguridad Informática Ii:
ftp://201.236.222.3/publico/Jrivera/Proyecto%20de%20Seguridad%20Inform
atica%202%20(233013_10)/00%20Protocolo%20y%20Modulo/Anterior/233
013_Proyecto%20de%20Seguridad%20Inform%E1tica%20II.pdf
UNAD. (06 de 05 de 2016). Politicas Marco de Referencia SGSI. Obtenido de
Politicas Marco de Referencia SGSI:
https://gidt.unad.edu.co/images/Documentos/20150303%20-
%20Resolucin%204256%20-
%20Polticas%20Marco%20de%20Referencia%20del%20SGSI.pdf
Universidad Nacional de Cordoba (Argentina). (23 de 04 de 2016). Politicas de
Seguridad de la Información para la UNC. Obtenido de Politicas de
Seguridad de la Información para la UNC:
http://www.unc.edu.ar/gestion/unidades/direccion-
operativa/concursos/dgti/00003-08.pdf
Wikipedia.Org. (04 de 04 de 2015). Iso/Iec 27002. Obtenido de iso/iec 27002:
http://es.wikipedia.org/wiki/ISO/IEC_27002

Proyeto Modelo PDF

Cargado por

Copyright:

Formatos disponibles

Proyeto Modelo PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proyeto Modelo PDF

Cargado por

Copyright:

Formatos disponibles

1

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD PARA LA RED

JESÚS ARMANDO CORAL OJEDA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD PARA LA RED

JESÚS ARMANDO CORAL OJEDA

Tesis de grado para optar por el título:

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

San Juan de Pasto, 11 de noviembre de 2016

A Dios por haberme colmado de bendiciones y guiado en el camino para lograr

A mi madre Blanca Ojeda Rodríguez, quien ha sido, es y seguirá siendo mi motivo

A Dios en primer lugar, por haberme colmado de salud en todo momento y

A mi familia por apoyarme incondicionalmente en todos los retos que me he

A la vez un sincero agradecimiento a mi asesor Francisco Nicolás Solarte por

2.1. PLANTEAMIENTO DEL PROBLEMA ............................................................ 23

2.1.1. Formulación Del Problema .......................................................................... 24

2.2. JUSTIFICACIÓN ............................................................................................ 25

2.3. OBJETIVOS ................................................................................................... 27

2.3.1. Objetivo General ......................................................................................... 27

2.3.2. Objetivos Específicos .................................................................................. 27

2.4. MARCO REFERENCIAL ................................................................................ 28

2.4.1. Antecedentes .............................................................................................. 28

2.4.2. Marco Contextual ........................................................................................ 30

2.4.2.1. Planeación y estructura estratégica.......................................................... 31

2.4.2.2. Misión: ...................................................................................................... 31

2.4.2.4. Valores ..................................................................................................... 31

2.4.2.5. Estructura Orgánica de la Fundación ....................................................... 32

2.4.2.6. Estructura Orgánica del área de Redes y Sistemas ................................. 32

2.4.2.7. Distribución de la red LAN - Centro de Estudios EMSSANAR CETEM .... 34

2.4.3. Marco Teórico ............................................................................................. 35

2.4.3.1. Plataforma tecnológica ............................................................................. 35

2.4.3.2. Seguridad Informática .............................................................................. 35

2.4.3.3. Seguridad de la Información ..................................................................... 35

2.4.3.4. Familia ISO/IEC 27000 ............................................................................. 36

2.4.3.5. ISO/IEC 27002:2013 ................................................................................ 37

2.4.3.6. Metodologías de Análisis y Evaluación de Riesgos. ................................ 39

2.4.3.7. MAGERIT 3 .............................................................................................. 40

2.4.3.8. Modelo de Madurez COBIT 4.1 ................................................................ 42

2.4.4. Marco Conceptual ....................................................................................... 44

2.4.5. Marco Legal................................................................................................. 45

2.4.6. Marco Metodológico .................................................................................... 47

2.4.6.1. Tipo de investigación ................................................................................ 47

2.4.6.2. Metodología de desarrollo ........................................................................ 47

3. DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD PARA LA RED

3.1. APOYO DE LA DIRECCIÓN EJECUTIVA...................................................... 50

3.2. ALCANCE ...................................................................................................... 50

3.2.1. Proceso P1: Reconocimiento del entorno y planificación ............................ 53

3.2.1.1. Actividad 1: Planificación. ......................................................................... 53

3.2.2. Proceso P2: Identificación y valoración de los Activos. ............................... 55

3.2.2.1. Actividad 2: Clasificación de los Activos. .................................................. 55

3.2.2.2. Actividad 3: Valoración cualitativa de los Activos y selección de activos

3.2.3. Proceso P3: Identificación de amenazas y vulnerabilidades ....................... 75

3.2.3.1. Actividad 4: Identificación de amenazas................................................... 75

3.2.3.2. Actividad 5: Identificación de vulnerabilidades. ........................................ 79

3.2.4. Proceso P4: Evaluación del Riesgo .......................................................... 100

3.2.4.1. Actividad 6: Estimación del impacto. ...................................................... 100

3.2.4.2. Actividad 7: Estimación del Riesgo. ....................................................... 103

3.2.4.3. Actividad 8: Calificación del Riesgo. ....................................................... 106

3.2.5. Proceso P5: Tratamiento de riesgos ......................................................... 110