Proyecto Final Edgar Eduardo Rizo Sanguino

1
DISEÑO DE UN MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
PARA LA ALCALDIA MUNICIPAL DE SAN CALIXTO NORTE DE SANTANDER,
USANDO COMO HERRAMIENTA LAS ISO/IEC 27001:2013
Autor:
EDGAR EDUARDO RIZO SANGUINO
Proyecto de Grado para Optar al Título de Ingeniero de Sistemas
Director
ANTON GARCIA BARRETO
Ingeniero de Sistemas
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA
FACULTAD DE INGENIERÍAS
INGENIERÍA DE SISTEMAS
Ocaña, Colombia septiembre de 2017

2
Dedicatoria
Dedico este trabajo de grado, principalmente a Dios, por haberme dado la vida y permitirme el
haber llegado hasta este momento tan importante en mi formación profesional. A mis padres, y
demás familiares por ser el pilar más importante y por demostrarme siempre su cariño y apoyo
incondicional y por siempre estar dispuestos a escucharme y ayudarme en cualquier momento,
por su interés y constancia acá está la recompensa, el cumplir esta meta en mi vida.
EDGAR EDUARDO RIZO SANGUINO
Índice
Resumen..........................................................................................................................................9
3
Introducción...................................................................................................................................10
Capítulo 1. Diseño de un Manual de Políticas de Seguridad de la Información para la Alcaldía

Municipal de San Calixto Norte de Santander, Usando Como Herramienta las ISO/IEC
27001:2013....................................................................................................................................12
1.1 Planteamiento del Problema.................................................................................................12
1.2 Formulación del Problema...................................................................................................13
1.3 Objetivos..............................................................................................................................13
1.3.1 Objetivo general.............................................................................................................13
1.3.2 Objetivos específicos.....................................................................................................13
1.4 Justificación..........................................................................................................................14
1.5 Delimitaciones......................................................................................................................14
1.5.1 Conceptual.....................................................................................................................14
1.5.2 Operativa........................................................................................................................15
1.5.3 Temporal........................................................................................................................15
1.5.4 Geográfica. ....................................................................................................................15
Capítulo 2. Marco Referencial.......................................................................................................16

2.1 Marco Histórico....................................................................................................................16
2.1.1 Antecedentes a nivel internacional.................................................................................16
2.1.2 Antecedentes a nivel nacional........................................................................................17
2.1.3 Antecedentes a nivel local..............................................................................................19
2.1.3.1 Historia del municipio de San Calixto........................................................................19
2.2 Marco Contextual.................................................................................................................20
2.3 Marco Teórico......................................................................................................................21
2.4 Marco Conceptual................................................................................................................23
2.4.1 Seguridad informática....................................................................................................23
2.4.2 Riesgos...........................................................................................................................24
2.4.3 Análisis del riesgo..........................................................................................................24
2.4.4 Clasificación del riesgo..................................................................................................25
2.4.5 Reducción del riesgo......................................................................................................26
2.4.6 Control del riesgo...........................................................................................................27
2.4.7 Evaluación de los riesgos...............................................................................................28
2.4.8 Identificar riesgos...........................................................................................................28
2.4.9 Análisis de riesgos..........................................................................................................29
4
2.4.10 Ponderación de los Factores de riesgo.........................................................................29

2.4.11 Valoración del riesgo....................................................................................................29
2.4.12 Políticas de seguridad...................................................................................................31
2.4.13Elementos de una política de seguridad........................................................................31
2.4.14 Seguridad Física...........................................................................................................32
2.4.15 Seguridad de acceso físico...........................................................................................33
2.4.16 Organización................................................................................................................33
2.4.17 Guardias de seguridad..................................................................................................34
2.4.18 Credenciales de identificación.....................................................................................34
2.4.19 Bitácora de registro de accesos....................................................................................34
2.4.20 Control de Vehículos....................................................................................................34
2.4.21 Área de sistemas...........................................................................................................35
2.4.22 Seguridad en la ubicación y Dimensión del área de sistemas......................................35
2.4.23 Seguridad del equipamiento.........................................................................................35
2.5 Marco Legal.........................................................................................................................36
Capítulo 3. Diseño Metodológico..................................................................................................41

3.1 Tipo de Investigación...........................................................................................................41
3.2 Población..............................................................................................................................41
3.3 Muestra.................................................................................................................................41
3.4 Técnica e Instrumentos de Recolección de la Información..................................................41
3.5 Análisis de la Información....................................................................................................42
Capítulo 4. Administración del proyecto.......................................................................................43

4.1 Recursos humanos................................................................................................................43
4.2 Recursos institucionales.......................................................................................................43
4.3 Recursos financieros.............................................................................................................43
Capítulo 5. Presentación de Resultados.........................................................................................44

5.1 Analizar los aspectos administrativos de la Alcaldía municipal de San Calixto, relacionados
con la gestión de la información para determinar si son realizados de forma segura................44
5.2 Examinar la información que se obtuvo para identificar los factores de riesgo en la
integridad, confidencialidad y disponibilidad de la información...............................................62
5.3 Como Estructurar el documento del manual de política de seguridad de la información,
para la Alcaldía municipal de San Calixto, Norte de Santander.................................................69
5
Conclusiones..................................................................................................................................90
Recomendaciones..........................................................................................................................91
Referencias....................................................................................................................................92
Apéndice........................................................................................................................................95
Lista de tablas
Tabla 1. Valoración del riesgo........................................................................................................30

Tabla 2. inventario de hardware.....................................................................................................46
Tabla 3. Conocimiento de responsabilidades y sanciones, frente a la seguridad de la información.
.......................................................................................................................................................47
6
Tabla 4. Acuerdo de confidencialidad de la información..............................................................48

Tabla 5. Se cuenta con mensajería electrónica interna para sus actividades.................................49
Tabla 6. Controles de ingreso del personal al área........................................................................50
Tabla 7. Seguridad en el computador que utiliza...........................................................................51
Tabla 8. Mantenimiento periódico de hardware y software...........................................................52
Tabla 9. Controles contra software malicioso o espía (antivirus, antispyware, etc.).....................53
Tabla 10. El equipo de cómputo es utilizado por dos o más funcionarios.....................................54
Tabla 11. Existencia de manual de procedimientos para la operación de los sistemas de cómputo
en el área........................................................................................................................................55
Tabla 12. Realizan backup’s (Copias de Seguridad de la Información)........................................56
Tabla 13. Medio de almacenamiento.............................................................................................57
Tabla 14. Periodicidad...................................................................................................................58
Tabla 15. Procedimiento formal para reportes de incidentes.........................................................59
Tabla 16. Plan de contingencia......................................................................................................60
Tabla 17. Recolección e investigación de evidencias sobre incidente de seguridad de la
información....................................................................................................................................61
Tabla 18. Hallazgos y riesgos en la seguridad de la información..................................................63
Tabla 19. Hallazgos y riesgos en la seguridad de la información encontrados en la Alcaldia del
Municipio de San Calixto..............................................................................................................64
Lista de figuras
Figura 1. Estructura orgánica de la Acadia de San Calixto...........................................................45

Figura 2. Conocimiento de responsabilidades y sanciones, frente a la seguridad de la
información....................................................................................................................................47
Figura 3. Acuerdo de confidencialidad de la información.............................................................48
Figura 4. Se cuenta con mensajería electrónica interna para sus actividades................................49
Figura 5. Controles de ingreso del personal al área.......................................................................50
Figura 6. Seguridad en el computador que utiliza.........................................................................51
7
Figura 7. Mantenimiento periódico de hardware y software.........................................................52

Figura 8. Controles contra software malicioso o espía (antivirus, antispyware, etc.)...................53
Figura 9. El equipo de cómputo es utilizado por dos o más funcionarios.....................................54
Figura 10. Existencia de manual de procedimientos para la operación de los sistemas de cómputo
en el área........................................................................................................................................55
Figura 11. Realizan backup’s (Copias de Seguridad de la Información).......................................56
Figura 12. Medio de almacenamiento...........................................................................................57
Figura 13. Periodicidad..................................................................................................................58
Figura 14. Procedimiento formal para reportes de incidentes.......................................................59
Figura 15. Plan de contingencia.....................................................................................................60
Figura 16. . Recolección e investigación de evidencias sobre incidente de seguridad de la
información....................................................................................................................................61
Lista de Apéndices
Apéndice 1. Encuesta realizada a los empleados de la Alcaldía Municipal de San Calixto Norte
de Santander...................................................................................................................................95
Apéndice 2. Evidencias fotografías...............................................................................................98
8
9
Resumen
El trabajo que se muestra a continuación, titulado: Diseño de un manual de políticas de
seguridad de la información para la Alcaldía Municipal de San Calixto Norte de Santander,
usando como herramienta las ISO/IEC 27001:2013, se encuentra dividido en seis capítulos,
siendo el primero la propuesta del mismo, en el segundo se encuentran los marcos históricos,
teórico, conceptual y legal. En el tercero se encuentra la metodología utilizada para el desarrollo
del trabajo. El cuarto capítulo es el desarrollo de los objetivos, en donde se encuentran los
resultados arrojados por los mismos, siendo el tema principal el diseño del manual de políticas
para la entidad en mención. El quinto y sexto capítulo son las conclusiones y recomendaciones,
respectivamente.
Los resultados obtenidos fueron satisfactorios, ya que se dio cumplimiento a los objetivos
propuestos, aplicando así los conocimientos adquiridos durante el transcurso de la carrera. Allí se
conoció los procesos que se realizan en la Alcaldía del municipio de San Calixto, relacionados
con la gestión de la información; además se examinó la información que se obtuvo, identificando
así los factores de riesgo en la misma. Finalmente, se propuso el manual de políticas de
seguridad de la información, el cual se diseñó dejándolo a consideración de la entidad para su
implementación.
10
Introducción
La seguridad en cualquier campo de conocimiento y trabajo resulta ser muy importante, dado
que representa confianza y disminuye el grado de incertidumbre. El concepto de seguridad es
punto fuerte para el desarrollo de las Tecnologías de Información y de las empresas. De esta
manera, para que un sistema de información se defina como seguro, debe cumplir con cuatro
características: integridad, confidencialidad, disponibilidad y no repudio.
La integridad significa que la información puede ser modificada solo por personal autorizado;
la confidencialidad, se refiere al acceso autorizado; la disponibilidad, implica que se puede
acceder a la información cuando se necesite; y no repudio, consiste en que el personal no puede
negar su acción sobre la información.[ CITATION Garsf \l 9226 ]. En este sentido, las
tecnologías de información requieren de una coordinación y control adecuados para lograr la
seguridad, que se pretende, siendo relevantes tres elementos clave: la información, equipos que
la soportan y los usuarios.
Por lo anterior, el objetivo del trabajo de grado, fue diseñar una herramienta que brinde apoyo
para poder proteger la información de la Alcaldía Municipal de San Calixto, Norte de Santander,
de la mejor manera y de acuerdo a su situación actual. Para su realización se desarrollaron unos
objetivos específicos, los cuales consistieron en: Análisis de los aspectos administrativos de la
Alcaldía municipal de San Calixto, relacionados con la gestión de la información para determinar
si son realizados de forma segura; examinar la información que se obtuvo para identificar los
factores de riesgo en la integridad, confidencialidad y disponibilidad de la información; y,
estructurar el documento del manual de política de seguridad de la información, para la Alcaldía

11
municipal de San Calixto, Norte de Santander.
La herramienta correspondiente al manual de políticas de la información, fue desarrollada
tomando como base la norma técnica ISO 27001. El mismo queda a consideración de la Alcaldía
de San Calixto, quienes lo estudiarán para poder ser implementado en la misma.

12
Capítulo 1. Diseño de un Manual de Políticas de Seguridad de la Información para la
Alcaldía Municipal de San Calixto Norte de Santander, Usando Como Herramienta las
ISO/IEC 27001:2013
1.1 Planteamiento del Problema
Una política de seguridad informática es aquella que fija los lineamientos y procedimientos
que deben adoptar las empresas para salvaguardar sus sistemas y la información que estos
contienen. Si bien existen algunos modelos o estructuras para su diseño, estás tienen que ser
elaboradas de forma personalizada para cada empresa y así recoger las características propias
que tiene la organización. [ CITATION Oje10 \l 9226 ]
La información es importante para todas las organizaciones y sin ella la empresa dejaría de
funcionar, principalmente si se habla de empresas altamente automatizadas por lo que su
seguridad sigue siendo un punto pendiente en las empresas, basta con mirar sus actividades para
darse cuenta que la seguridad es el factor más determinante por el cual fracasan las
organizaciones. Caso como éstos, es el de la Alcaldía municipal de San Calixto, Norte de
Santander, la cual no ha tenido en cuenta la importancia de mantener segura la información en la
entidad para prevenir el peligro de comprometer sus operaciones, las cuales son en una buena
cantidad, ya que incluye lo que tiene que ver con su parte interna (empleados) y la externa
(municipio); además de no analizar las vulnerabilidades a los que está expuesta la información y
que afectan a su funcionamiento normal y el impacto que puede conllevar los incidentes de
seguridad. Así mismo, la ausencia de unas políticas de seguridad informática en dicha Alcaldía,
hace que el acceso a todas sus áreas físicas, lo pueda realizar cualquier personal de la misma y en
13
muchas de las ocasiones, personas particulares; ya que no cuenta con una herramienta que pueda
controlar su ingreso o políticas de seguridad normadas que prohíba el acceso al departamento y a
servidores de datos o información.
El personal encargado del área de informática, es de cierta manera empírico en cuanto a la
seguridad que manejan dentro de la misma, teniendo en cuenta que lo que allí aplican son los
conocimientos que se tienen y han sido aprendidos de manera externa, lo cual hace más necesaria
la propuesta de un plan estratégico de políticas de seguridad en la Alcaldía Municipal de San
Calixto, Norte de Santander.
1.2 Formulación del Problema
¿Qué beneficios traerá para la Alcaldía del municipio de San Calixto, Norte de Santander, la
propuesta de un manual de políticas de seguridad de la información?
1.3 Objetivos
1.3.1 Objetivo general. Diseñar un manual de políticas de seguridad de la información para la
Alcaldía municipal de San Calixto, Norte de Santander.
1.3.2 Objetivos específicos.
Analizar los aspectos administrativos de la Alcaldía municipal de San Calixto, relacionados
con la gestión de la información para determinar si son realizados de forma segura.
Examinar la información que se obtuvo para identificar los factores de riesgo en la integridad,
confidencialidad y disponibilidad de la información.
Estructurar el documento del manual de política de seguridad de la información, para la
Alcaldía municipal de San Calixto, Norte de Santander.

14
1.4 Justificación
Las políticas y estándares de Seguridad de la Información tienen como objetivo establecer
medidas técnicas de organización de las tecnologías de información y de las personas que
interactúan haciendo uso de los servicios informáticos que proporciona la Alcaldía del municipio
de San Calixto, contribuyendo con la mejora y complimiento de metas institucionales. Además,
el tener en claro el diseño de un plan estratégico de seguridad de la información, permite que esta
no se pierda, no se altere, esté segura y disponible cuando se le requiera, para el correcto y
normal funcionamiento de las actividades que se realizan en la entidad, dando así una mayor
credibilidad y confianza a todos los usuarios.
Todo esto lleva a la importancia de diseñar un manual de políticas de seguridad de la
información para la Alcaldía municipal de San Calixto (Norte de Santander), ya que con la
aplicación de la identificación de riesgos en la Alcaldía y una propuesta de seguridad en la
información, se evaluarán las prácticas de seguridad informática dentro de ella, la cual llegará a
obtener el control total de la información y creará responsabilidad de cada persona que la
manipula, creando así conciencia del funcionamiento adecuado de la información de la empresa,
permitiendo el control de los datos de ésta, obteniéndose ventajas en cuanto a la implantación de
procedimientos, métodos y controles con el objeto de administrar, proteger y salvaguardar uno de
los activos más importantes, como es la información.
1.5 Delimitaciones
1.5.1 Conceptual. El presente diagnóstico se fundamentará en conceptos tales como:
Seguridad de la información, riesgos, políticas de seguridad de la información, controles, Norma
ISO 27001:2013.
15
1.5.2 Operativa. El incumplimiento de los objetivos del presente trabajo, puede darse por
factores ajenos al autor; sin embargo, en caso de presentarse inconvenientes, se buscará la
asesoría a través del director del trabajo de grado.
1.5.3 Temporal. Se determina que el proyecto para su realización tenga una duración de ocho
(8) semanas, a partir de la aprobación del mismo, de acuerdo con el cronograma de actividades
que se incorpora al estudio.
1.5.4 Geográfica. Este proyecto se llevará a cabo en las instalaciones de la Alcaldía del
municipio de San Calixto, Norte de Santander.

16
Capítulo 2. Marco Referencial
2.1 Marco Histórico
2.1.1 Antecedentes a nivel internacional. Sin dudas uno de los pioneros en el tema fue James
P. Anderson, quien allá por 1980 y a pedido de un ente gubernamental produjo uno de los
primeros escritos relacionados con el tema, Computer Security Threat Monitoring and Surveillance
describe ahí la importancia del comportamiento enfocado hacia la seguridad en materia de
informática; y es allí donde se sientan también las bases de palabras que hoy suenan como
naturales, pero que por aquella época parecían ciencia ficción.
En ese documento se encuentran los primeros atisbos de definiciones casi proféticas:
Amenaza: la posibilidad de un intento deliberado y no autorizado de:
Acceder a información
Manipular información
Convertir un sistema en no-confiable o inutilizable
Riesgo: Exposición accidental e impredecible de información, o violación de la integridad de
operaciones debido al malfuncionamiento de hardware o diseño incorrecto o incompleto de
software.
Vulnerabilidad: una falla conocida o su sospecha tanto en hardware como en el diseño de
software, o la operación de un sistema que se expone a la penetración de su información con
exposición accidental.
Ataque: Una formulación especifica o ejecución de un plan para levar a cabo una amenaza.
Penetración: Un ataque exitoso; la habilidad de obtener acceso no-autorizado (indetectable) a
archivos y programas o el control de un sistema computarizado."

17
Estas definiciones fueron vistas y planteadas en 1980.
La definición de Vulnerabilidad fue tan acertada por aquella época que hoy en día se derivan
extensiones donde entre otras cosas se determina que una vulnerabilidad no conocida por nadie
no tiene la entidad de tal ya que es inexplotable hasta tanto sea descubierta. [ CITATION
Mén15 \l 9226 ]
2.1.2 Antecedentes a nivel nacional. MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN
Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior – ICETEX
2014
El Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior – ICETEX
identifica la información como un componente indispensable en la conducción y consecución de
los objetivos definidos por la estrategia de la entidad, razón por la cual es necesario que el
instituto establezca un marco en el cual se asegure que la información es protegida de una
manera adecuada independientemente de la forma en la que ésta sea manejada, procesada,
transportada o almacenada. Este documento describe las políticas y normas de seguridad de la
información definidas por el ICETEX. Para la elaboración del mismo, se toman como base las
leyes y demás regulaciones aplicables, el capítulo décimo segundo del título primero de la
Circular Básica Jurídica de la Superintendencia Financiera de Colombia, la norma ISO
27001:2013 y las recomendaciones del estándar ISO 27002:2013. [ CITATION Ice14 \l 9226 ]
Política general de seguridad de la información
Artesanías de Colombia 2014
Artesanías de Colombia S.A. consiente de los riesgos actuales decidió adoptar el modelo de
gestión de seguridad de la información sugerido por el Ministerio de las Tecnologías de la

18
Información “ESTRATEGIA DE GOBIERNO EN LINEA” el cual permite a la entidad
identificar y minimizar los riesgos a que está expuesta la información y los procesos y elementos
asociados a ella. Dado el gran esfuerzo y recursos que demanda el SGSI, la entidad ha venido
adoptando transicionalmente una serie de políticas y medidas que le permitan ir avanzando hasta
alcanzar el nivel de madurez necesario. Por lo anterior, la política y el desarrollo del SGSI serán
revisadas con regularidad como parte del proceso de revisión gerencial, o en la medida que se
sugieran cambios en el desarrollo del negocio, estructura, objetivos o estrategias que involucren
aspectos afines. [ CITATION Art14 \l 9226 ]
Manual de la política de seguridad para las tecnologías de la información y las
comunicaciones – TICS
Presidencia de la República 2014
Las Políticas de Seguridad de la Información son aplicables para todos los aspectos
administrativos y de control que deben ser cumplidos por los directivos, funcionarios,
contratistas y terceros que presten sus servicios o tengan algún tipo de relación con el
Departamento Administrativo de la Presidencia de la República - DAPRE, para el adecuado
cumplimiento de sus funciones y para conseguir un adecuado nivel de protección de las
características de calidad y seguridad de la información, aportando con su participación en la
toma de medidas preventivas y correctivas, siendo un punto clave para el logro del objetivo y la
finalidad de dicho manual. Los usuarios tienen la obligación de dar cumplimiento a las presentes
políticas emitidas y aprobadas por la Dirección General. Para ello, se presentó en forma clara y
coherente los elementos que conforman la política de seguridad que deben conocer y cumplir
todos los directivos, funcionarios contratistas y terceros que presten sus servicios o tengan algún
tipo de relación con el Departamento Administrativo de la Presidencia de la República.

19
2.1.3 Antecedentes a nivel local. Frente a los compromisos de la implementación de la
Estrategia Gobierno en línea la Alcaldía Municipal de Ocaña, teniendo en cuenta: “La
metodología para la elaboración de diagnósticos para la implementación de la estrategia de
gobierno en línea” (dirección de articulación y gestión) programa gobierno en línea, ha efectuado
las siguientes disposiciones previas al acompañamiento y capacitación para el cumplimiento de
la fase de información y el avance en la fase de interacción:
Actualización del sitio web, con el fin de brindar información actualizada a la comunidad.
Publicitar el sitio web Municipal a través de diferentes mecanismos de socialización, para dar
a conocer el municipio a nivel Nacional e Internacional.
Dinamizar el turismo del municipio, por medio del aprovechamiento del sitio web, como
medio para dar a conocer los diferentes atractivos turísticos, gastronómicos y culturales.
[ CITATION Alc10 \l 9226 ]
2.1.3.1 Historia del municipio de San Calixto. Los indígenas llamados Boquiní, habitaron el
espacio comprendido en la parte oriental de Ocaña (hoy corresponde a la Playa, San Calixto y
Teorama).
El sometimiento de los Boquiní fue tardío, en relación con otros aborígenes del área, debido a
la difícil penetración por la rebeldía indígena y por la poca densidad demográfica.
El primer encomendero del que se tiene noticia, fue Luis García Romany, compartía la
encomienda con Gonzalo Yáñez Caballero. Según título dado por el gobernador Capitán General
de Santa Marta, don Juan Giral Vellón, en 1602.
En 1645, doña Clara Romany heredó la encomienda por adjudicación que le hiciera el
gobernador Vicente de Villalobos.

20
Los Boquiní, recobraron su autonomía al no ser renovada la encomienda y fueron
concentrados como pueblo de San Andrés, aproximadamente en 1725.
A finales del siglo XVll, el área fue sometida a permanentes disputas de tierras y a varias
titulaciones de baldíos.
El gran terrateniente del partido de Boquiní fue Buenaventura de León, quien adquirió esta
tierra, en 1774. [ CITATION San131 \l 9226 ]
2.2 Marco Contextual
San Calixto es un municipio de Colombia, situado al nordeste del país, en el departamento
de Norte de Santander. Limita con los municipios de Teorema y El Tarra por el norte, por el este
con Tibú y Sardinata, y por el sur con Ocaña y Teorama. Uno de sus corregimientos es Cucurina.
Los indígenas de la tribu Hacaritama fueron sus primeros habitantes.
Recibe el nombre de San Calixto en honor al Papa Calixto I.
Tiene una temperatura media de 19 °C y dista de la ciudad de Cúcuta 27 km.
Fundado en 1845 por Cayetano Franco Pinzón, erigido como municipio en 1892. El
municipio cuenta con 12.581 habitantes.
Generalidades:
Altitud: 1.650 metros sobre el nivel del mar.
Extensión: 677 kms2
Clima: 17 grados C.
Distancia a Cúcuta: 243 Kms
Coordenadas geográficas: Longitud al oeste de Greenwich 73º 13', Latitud Norte 8º 25'
Límites: Norte: El Tarra,
Sur: Ocaña y La Playa de Belén,

21
Oriente: Tibú y Hacarí,
Occidente: Teorama.
División Administrativa: Compuesto por 13 corregimientos y 80 veredas
Rios: El Catatumbo, el Tarra y san Miguel y las quebradas Santa catalina, Cristalina, Grande
Maravilla y La Cueva. [ CITATION San131 \l 9226 ]
2.3 Marco Teórico
Hablar de evolución de seguridad es complejo, desde el inicio de la vida en comunidad,
existían acciones para evitar amenazas, proteger la vida y las posesiones, allí se usaban métodos
defensivos y se manejaban conceptos de alertar, evitar, detectar, alarmar y reaccionar a los
diferentes hechos que podían suceder.
La familia, posteriormente diseñó esquemas de protección y se crearon lugares para
resguardarse.
Algunos descubrimientos arqueológicos denotan con evidencias la importancia de la
seguridad para las antiguas generaciones, entre estos tenemos las pirámides egipcias, el palacio
de Sargon, el Dios egipcio Anubis, los Sumaricos, el Código de Hammurabi, entre otros.
Hasta se dice que Julio César utilizaba esquemas de seguridad en época de guerra y en el
gobierno.
La seguridad moderna se originó con la revolución industrial para combatir los delitos y
movimientos laborales, tan comunes en aquella época. Finalmente, un teórico y pionero de la
administración Henry Fayol en 1919 identifica la seguridad como una de las funciones
empresariales, luego de la técnica comercial, financiera, contable y directiva.
Al definir el objetivo de la seguridad Fayol dice: "salvaguardar propiedades y personas contra
el robo, fuego, inundación contrarrestar huelgas y traiciones por parte del personal, y de forma
22
amplia todos los disturbios sociales que puedan poner en peligro el progreso e incluso la vida del
negocio."
Las medidas de seguridad a las que se refiere Fayol, sólo se restringían a los exclusivamente
físicos de la instalación, ya que el mayor activo era justamente ese los equipos, ni siquiera el
empleado. Con la aparición de las computadoras, esta mentalidad se mantuvo, porque ¿Quién
sería capaz de entender estos complicados aparatos como para poner en peligro la integridad de
los datos por ellos utilizados?
Hoy, la seguridad, desde el punto de vista legislativo, está en manos de los políticos, a quienes
les toca decidir sobre su importancia, los delitos en que se pueden incurrir, y el respectivo
castigo, si correspondiera.
Este proceso ha conseguido importantes logros en las áreas de prevención del crimen,
terrorismo y riesgo más que en el pensamiento general sobre seguridad.
En cambio, desde el punto de vista técnico, la seguridad está en manos de la dirección de las
organizaciones y, en última instancia, en cada uno de nosotros y en nuestro grado de
concientización respecto a la importancia de la información y el conocimiento en este nuevo
milenio.
La ISO/IEC 27001:2013, es un estándar internacional ha sido preparado para proporcionar un
modelo para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un
Sistema de Gestión de Seguridad de la Información (SGSI).
La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e
implementación del SGSI de una organización es influenciado por las necesidades y objetivos,
requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización.
En función del tamaño y necesidades se implementa un SGSI con medidas de seguridad más o
23
menos estrictas, que en cualquier caso pueden variar a lo largo del tiempo.
2.4 Marco Conceptual
2.4.1 Seguridad informática. Comenta Pérez (2010), que para llegar a una correcta definición
de seguridad informática se debe conocer primero los conceptos de informática y seguridad
respectivamente:
La definición de seguridad trae consigo una ausencia de amenazas, situación que en el mundo
contemporáneo es muy difícil de sostener, las sociedades actuales son sociedades de riesgo. El
componente riesgo es permanente y da carácter propio de los estados y sociedades nacionales,
como tal la seguridad no puede ser entendida como ausencia de amenazas.
La informática surge en la preocupación del ser humano por encontrar maneras de realizar
operaciones matemáticas de forma cada vez más rápida y fácilmente. Pronto se vio que con
ayuda de aparatos y máquinas las operaciones podían realizarse de forma más eficiente, rápida y
automática.
Según la definición de la Real Academia Española, la palabra informática significa “Conjunto
de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la
información por medio de ordenadores”.
La definición de seguridad informática proviene entonces de los dos términos antes definidos.
La seguridad informática son técnicas desarrolladas para proteger los equipos informáticos y la
información de daños accidentales o intencionados.
Objetivo de la seguridad informática. La seguridad informática tiene como principal objetivo
proteger el activo más importante que tiene la empresa que es su información de los riesgos a los
que está expuesta. Para que la información sea considerada confiable para la organización ya que
sus estrategias de negocio dependerán del almacenamiento, procesamiento y presentación de la

24
misma, esta deberá cubrir los tres fundamentos básicos de seguridad para la información que
son:
Confidencialidad. Se define como la capacidad de proporcionar acceso a usuarios
autorizados, y negarlo a no autorizados.
Integridad. Se define como la capacidad de garantizar que una información o mensaje no han
sido manipulados.
Disponibilidad. Se define como la capacidad de acceder a información o utilizar un servicio
siempre que lo necesitemos.
La seguridad informática se preocupa de que la información manejada por un computador no
sea dañada o alterada, que esté disponible y en condiciones de ser procesada en cualquier
momento y se mantenga confidencial. (p.3)
2.4.2 Riesgos. Los riesgos se pueden definir como aquellas eventualidades que imposibilitan
el cumplimiento de un objetivo y según la Organización Internacional por la Normalización
(ISO) define riesgo tecnológico como “La probabilidad de que una amenaza se materialice,
utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole pérdidas o
daños”. A raíz de esta definición podemos concluir que cualquier problema que afecte al total
funcionamiento de la empresa es considerado un riesgo o amenaza para la entidad. [ CITATION
Luc99 \l 9226 ]
2.4.3 Análisis del riesgo. El primer paso en la Gestión de riesgo es el análisis de riesgo que
tiene como propósito determinar los componentes de un sistema que requieren protección, sus
vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar
su grado de riesgo.
La clasificación de datos tiene el propósito de garantizar la protección de datos (personales) y

25
significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes
niveles de autorización de acceso a los datos e informaciones. Considerando el contexto de
nuestra misión institucional, tenemos que definir los niveles de clasificación como, por ejemplo:
confidencial, privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona que
tiene derecho de acceder a los datos, el grado y mecanismo de autenticación.
Una vez clasificada la información, tenemos que verificar los diferentes flujos existentes de
información internos y externos, para saber quiénes tienen acceso a qué información y datos.
Clasificar los datos y analizar el flujo de la información a nivel interno y externo es
importante, porque ambas cosas influyen directamente en el resultado del análisis de riesgo y las
consecuentes medidas de protección. Porque solo si sabemos quiénes tienen acceso a qué datos y
su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño causado
por un acceso no autorizado.
2.4.4 Clasificación del riesgo. El objetivo de la clasificación de riesgo es determinar hasta
qué grado es factible combatir los riesgos encontrados. La factibilidad normalmente depende de
la voluntad y posibilidad económica de una institución, sino también del entorno donde nos
ubicamos. Los riesgos que no queremos o podemos combatir se llaman riesgos restantes y no hay
otra solución que aceptarlos.
Implementar medidas para la reducción de los riesgos significa realizar inversiones, en
general económicas. El reto en definir las medidas de protección, entonces está en encontrar un
buen equilibrio entre su funcionalidad (cumplir con su objetivo) y el esfuerzo económico que
tenemos que hacer para la implementación y el manejo de éstas.
De igual manera como debemos evitar la escasez de protección, porque nos deja en peligro
que pueda causar daño, el exceso de medidas y procesos de protección, pueden fácilmente
26
paralizar los procesos operativos e impedir el cumplimiento de nuestra misión. El caso extremo
respecto al exceso de medidas sería, cuando las inversiones para ellas, superen el valor del
recurso que pretenden proteger.
Entonces el estado que buscamos es, que los esfuerzos económicos que realizamos y los
procesos operativos, para mantener las medidas de protección, son suficientes, ajustados y
optimizados, para que respondan exitosamente a las amenazas y debilidades (vulnerabilidades)
que enfrentamos. [ CITATION Rop13 \l 9226 ]
2.4.5 Reducción del riesgo. La reducción de riesgo se logra a través de la implementación de
Medidas de protección, que basen en los resultados del análisis y de la clasificación de riesgo.
Las medidas de protección están divididas en medidas físicas y técnicas, personales y
organizativas.
En referencia al Análisis de riesgo, el propósito de las medidas de protección, en el ámbito de
la Seguridad Informática, solo tienen un efecto sobre los componentes de la Probabilidad
de Amenaza, es decir aumentan nuestra capacidad física, técnica, personal y organizativa,
reduciendo así nuestras vulnerabilidades que están expuestas a las amenazas que enfrentamos.
Las medidas normalmente no tienen ningún efecto sobre la Magnitud de Daño, que depende de
los Elementos de Información y del contexto, entorno donde nos ubicamos. Es decir, no se trata y
muy difícilmente se puede cambiar el valor o la importancia que tienen los datos e informaciones
para nosotros, tampoco vamos a cambiar el contexto, ni el entorno de nuestra misión.
La fuerza y el alcance de las medidas de protección, dependen del nivel de riesgo
Alto riesgo: Medidas deben evitar el impacto y daño.
Medio riesgo: Medidas solo mitigan la magnitud de daño, pero no evitan el impacto.
Considerando que las implementaciones de medidas de protección están en directa relación

27
con inversiones de recursos económicos y procesos operativos, es más que obvio, que las
medidas, para evitar un daño, resultarán (mucho) más costosas y complejas, que las que solo
mitigan un daño.
Para que las medias sean exitosas, es esencial que siempre verificamos su factibilidad, es decir
que técnicamente funcionan y cumplen su propósito, que están incorporadas en los procesos
operativos institucionales y que las personas se apropian de estás. Es indispensable que están
respaldadas, aprobadas por aplicadas por la coordinación, porque si no, pierden su credibilidad.
También significa que deben ser diseñadas de tal manera, que no paralizan u obstaculizan los
procesos operativos porque deben apoyar el cumplimiento de nuestra misión, no impedirlo.
Otro punto clave es, que las personas que deben aplicar y apropiarse de las medias saben
sobre su existencia, propósito e importancia y son capacitadas adecuadamente en su uso, de tal
manera, que las ven como una necesidad institucional y no como otra cortapisa laboral.
Debido a que la implementación de las medidas no es una tarea aislada, única, sino un proceso
continuo, su manejo y mantenimiento debe estar integrado en el funcionamiento operativo
institucional, respaldado por normas y reglas que regulan su aplicación, control y las sanciones
en caso de incumplimiento. [CITATION Rop13 \p 2 \l 9226 ]
2.4.6 Control del riesgo. El propósito del control de riesgo es analizar el funcionamiento, la
efectividad y el cumplimiento de las medidas de protección, para determinar y ajustar sus
deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo institucional,
donde se define los momentos de las intervenciones y los responsables de ejecución.
Medir el cumplimiento y la efectividad de las medidas de protección requiere que levantemos
constantemente registros sobre la ejecución de las actividades, los eventos de ataques y sus
28
respectivos resultados. Estos tenemos que analizados frecuentemente. Dependiendo de la
gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones
institucionales para los funcionarios.
En el proceso continuo de la Gestión de riesgo, las conclusiones que salen como resultado del
control de riesgo, nos sirven como fuente de información, cuando se entra otra vez en el proceso
de la Análisis de riesgo. [CITATION Rop13 \p 5 \l 9226 ]
2.4.7 Evaluación de los riesgos. La evaluación de los riesgos es el proceso por el cual se
identifican las vulnerabilidades de la seguridad.
Por tanto el objetivo general de evaluar los riesgos será identificar las causas de los riesgos
potenciales, en toda la organización, a parte de ella o a los sistemas de información individuales,
a componentes específicos de sistemas o servicios donde sea factible y cuantificarlos para que la
Gerencia pueda tener información suficiente al respecto y optar por el diseño e implantación de
los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los
diferentes puntos de análisis. [ CITATION Ech10 \l 9226 ]
Los pasos para realizar una valoración de riesgos se detallan a continuación:
Identificar los riesgos
Análisis de los riesgos
2.4.8 Identificar riesgos. En este paso se identifican los factores que introducen una amenaza
en la planificación del entorno informático, existen formas de identificarlos como:
Cuestionarios de análisis de riesgos: La herramienta clave en la identificación de riesgos son
los cuestionarios los mismos que están diseñados para guiar al administrador de riesgos para
descubrir amenazas a través de una serie de preguntas y en algunas instancias, este instrumento
está diseñado para incluir riesgos asegurables e in-asegurables. El cuestionario de análisis de

29
riesgos está diseñado para servir como un repositorio de la información acumulada de
documentos, entrevistas e inspecciones. Su propósito es guiar a la persona que intenta identificar
exposiciones a riesgo a través del proceso de la identificación en un modelo lógico y consistente.
Listas de chequeo de exposiciones a riesgo: Una segunda ayuda importante en la
identificación de riesgos y una de las más comunes herramientas en el análisis de riesgos son las
listas de chequeo, las cuales son simplemente unas listas de exposiciones a riesgo.
Listas de chequeo de políticas de seguridad: Esta herramienta incluye un catálogo de varias
políticas de seguridad que un negocio dado puede necesitar. El administrador de riesgos consulta
las políticas recolectadas y aplicadas a la firma.
Sistemas expertos: Un sistema experto usado en la administración de riesgos incorpora los
aspectos de las herramientas descritas anteriormente en una sola herramienta. La naturaleza
integrada del programa permite al usuario generar propósitos escritos y prospectos.
2.4.9 Análisis de riesgos. Una vez se hayan identificado los riesgos, el paso siguiente es
analizarlos para determinar su impacto, tomando así las posibles alternativas de solución.
2.4.10 Ponderación de los Factores de riesgo. Ponderar el factor de riesgo es darle un valor
de importancia en términos porcentuales al mismo bajo los criterios de especialistas en el área
informática que pueden identificar su impacto en la organización, teniendo en cuenta las
posibilidades de que se puedan convertir en realidad.
2.4.11 Valoración del riesgo. La valoración del riesgo envuelve la medición del potencial de
las pérdidas y la probabilidad de la pérdida categorizando el orden de las prioridades.
[CITATION Ech10 \p 146 \l 9226 ]
Tabla 1
30
Valoración del riesgo
Cuadrante Valoración del riesgo

Impacto
significante y Alto
probabilidad Alta
Impacto
significante y Medio-alto
probabilidad Baja
Impacto
insignificante y Medio-bajo
probabilidad Alta
Impacto
insignificante y Bajo
probabilidad Baja
Fuente: ECHENIQUE GARCÍA, José Antonio. Auditoria en Informática, 2a Edición. Mc
Graw Hill. p.148.
Una explicación más clara de la valoración es la siguiente:
Riesgo alto: Todas las exposiciones a pérdida en las cuales la magnitud alcanza la bancarrota.
Riesgo medio: Son exposiciones a pérdidas que no alcanzan la bancarrota, pero requieren una
acción de la organización para continuar las operaciones.
Riesgo bajo: Exposiciones a pérdidas que no causan un gran impacto financiero. [ CITATION
ERB10 \l 9226 ]
2.4.12 Políticas de seguridad. Una política de seguridad informática es aquella que fija los
lineamientos y procedimientos que deben adoptar las empresas para salvaguardar sus sistemas y
la información que estos contienen.
Si bien existen algunos modelos o estructuras para su diseño, estás tienen que ser elaboradas
31
de forma personalizada para cada empresa para así recoger las características propias que tiene la
organización.
Una buena política de seguridad corporativa debe recoger, de forma global, la estrategia para
proteger y mantener la disponibilidad de los sistemas informáticos y de sus recursos, es decir que
estás políticas de seguridad deben abarcar las siguientes áreas.
Seguridad Física
Seguridad Lógica
Seguridad en redes
Seguridad en los recursos humanos
Seguridad en el Outsourcing
Planes de Contingencia
2.4.13Elementos de una política de seguridad. Como una política de seguridad debe orientar
las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los
miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes
elementos:
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Objetivos de la política y descripción clara de los elementos involucrados en su definición.
Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los
niveles de la organización.
Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el
alcance de la política.
Definición de violaciones y sanciones por no cumplir con las políticas.

32
Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
Las políticas de seguridad informática, también deben ofrecer:
Explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la
importancia de los recursos.
Deberán establecer las expectativas de la organización, tales expectativas deben tener relación
con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.
Las políticas deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y
términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su
precisión.
Las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los
cambios organizacionales relevantes, como son: el aumento de personal, cambios en la
infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios,
regionalización de la empresa, cambio o diversificación del área de negocios, etc.
2.4.14 Seguridad Física. Según [ CITATION Gar99 \l 9226 ], la seguridad física consiste en
la aplicación de barreras físicas y procedimientos de control, como medidas de prevención ante
amenazas a los recursos e información confidencial que puedan interrumpir el procesamiento de
la información.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre
como por la naturaleza del medio físico en que se encuentra ubicado el centro de cómputo.
Las principales amenazas que se prevén en la seguridad física son:
Desastres naturales, incendios accidentales tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.

33
Otras amenazas como las fallas de energía eléctrica o las fallas de los equipos.
Los recursos que se deben proteger físicamente van desde un simple teclado hasta un respaldo
de toda la información que hay en el sistema, pasando por la propia máquina, igualmente se
deben tener medidas de protección contra las condiciones climáticas y suministros de energía que
pueden afectar la disponibilidad de los sistemas de información e interrumpir los procesos de la
organización.
2.4.15 Seguridad de acceso físico. Se refiere a las medidas de seguridad para evitar el acceso
de personas no autorizadas a los dispositivos de hardware y cualquier medio de salida de
información como fax, copiadoras entre otros, ubicados tanto en el área de sistemas como en las
áreas usuarias.
2.4.16 Organización. Para llevar un buen control de los accesos a la organización no sólo se
requiere la capacidad de identificación, sino también negar asociarla a la apertura o cerramiento
de puertas, permitir o negar accesos basados en restricciones de tiempo, área o sector de la
empresa.
Existen varios métodos de control entre ellos están:
Guardias de seguridad
Detectores de Metales
Sistemas Biométricos
Seguridad con Animales
Protección Electrónica
2.4.17 Guardias de seguridad. La utilización de guardias de seguridad será con el fin de
controlar el acceso de personas ajenas a la organización y del mismo personal que ahí trabaje; la
guardianía debe ser durante las 24 horas del día y deben estar armados para lo cual el personal de
34
seguridad debe poseer un permiso para el manejo de armas otorgado por la autoridad pertinente.
[CITATION Gar99 \p 99 \l 9226 ]
Algunas medidas de seguridad podrían ser:
2.4.18 Credenciales de identificación: Cualquier persona que ingrese a la organización
deberá llevar una credencial.
Estás credenciales pueden clasificarse de la siguiente manera:
Normal o definitiva: para el personal permanente de planta.
Temporaria: para personal recién ingresado.
Contratistas: personas ajenas a la empresa, que por razones de servicio deben ingresar a la
misma.
Visitas.
2.4.19 Bitácora de registro de accesos: Las personas ajenas a la organización deberán llenar
este formulario que deberá contener el motivo de la visita, hora de ingreso, etc.
2.4.20 Control de Vehículos: Para controlar el ingreso y egreso de vehículos, el personal de
vigilancia debe asentar en una planilla los datos personales de los ocupantes del vehículo, la
marca y patente del mismo, y la hora de ingreso y egreso de la empresa.
La utilización de guardias de seguridad también tiene su desventaja que es el soborno del
guardia por un tercero para lograr el acceso a sectores donde no esté habilitado, como así
también para poder ingresar o salir de la empresa con equipos que no ha sido autorizado su
salida. [CITATION Gar99 \p 103 \l 9226 ]
2.4.21 Área de sistemas. El área de sistemas es considerada como la más sensible a las
amenazas debido a que en ella están ubicados los equipos que contienen toda la información que
es procesada en las áreas usuarias y se le debe brindar un control adecuado y exclusivo.

35
Dentro de la organización lo más óptimo para mantener la seguridad y evitar accesos no
permitidos al área de sistemas es implementar como medio de protección los siguientes recursos:
Puerta con cerradura
Puerta de combinación
Puerta electrónica
Puertas sensoriales
Registros de entrada
Videocámaras
Escolta controladora para el acceso de visitantes
Puertas dobles
Alarmas
2.4.22 Seguridad en la ubicación y Dimensión del área de sistemas. Se refiere a las
precauciones que se deben tomar en cuenta para la instalación física del área que servirá como
eje central del procesamiento de la información de la empresa evitando de esta manera los
accesos no permitidos, otras interrupciones y la falta de espacio físico para la adecuada
operación del área.
2.4.23 Seguridad del equipamiento. La información vital de la organización es procesada en
los equipos de computación los cuales deben recibir cuidados especiales para prevenir posibles
fallas ocasionadas por la electricidad, temperatura o falta de mantenimiento del equipo que
puedan provocar interrupciones mientras se estén procesando los datos. [CITATION Gar99 \p
105 \l 9226 ]
2.5 Marco Legal
La Ley 1273 del 5 de enero de 2009, reconocida en Colombia como la Ley de Delitos
36
Informáticos, tuvo sus propios antecedentes jurídicos, además de las condiciones de contexto
analizadas en el numeral anterior. El primero de ellos se remite veinte años atrás, cuando
mediante el Decreto 1360 de 1989 se reglamenta la inscripción del soporte lógico (software) en
el Registro Nacional de Derecho de Autor, que sirvió como fundamento normativo para resolver
aquellas reclamaciones por violación de tales derechos, propios de los desarrolladores de
software. A partir de esa fecha, se comenzó a tener asidero jurídico para proteger la producción
intelectual de estos nuevos creadores de aplicativos y soluciones informáticas.
En este mismo sentido y en el entendido de que el soporte lógico o software es un elemento
informático, las conductas delictivas descritas en los Artículos 51 y 52 del Capítulo IV de la Ley
44 de 1993 sobre Derechos de Autor, y el mismo Decreto 1360 de 1989, Reglamentario de la
inscripción del soporte lógico (software) en el Registro Nacional del Derecho de Autor, se
constituyeron en las primeras normas penalmente sancionatorias de las violaciones a los citados
Derechos de Autor. Al mismo tiempo, se tomaron como base para la reforma del año 2000 al
Código Penal Colombiano:
Capítulo Único del Título VII que determina los Delitos contra los Derechos de Autor:
Artículo 270: Violación a los derechos morales de autor. Artículo 271: Defraudación a los
derechos patrimoniales de autor. Artículo 272: Violación a los mecanismos de protección de los
derechos patrimoniales de autor y otras defraudaciones.
El Código Penal colombiano (Ley 599 de 2000) en su Capítulo séptimo del Libro segundo,
del Título III: Delitos contra la libertad individual y otras garantías, trata sobre la violación a la
intimidad, reserva e interceptación de comunicaciones:
Artículo 192: Violación ilícita de comunicaciones. Artículo 193: Ofrecimiento, venta o

37
compra de instrumento apto para interceptar la comunicación privada entre personas.
Artículo 194: Divulgación y empleo de documentos reservados. Artículo 195: Acceso
abusivo a un sistema informático. Artículo 196: Violación ilícita de comunicaciones o
correspondencia de carácter oficial. Artículo 197: Utilización ilícita de equipos transmisores o
receptores. Estos artículos son concordantes con el artículo 357: Daño en obras o elementos de
los servicios de comunicaciones, energía y combustibles.
Una norma posterior relacionada fue la Ley 679 de 2001, que estableció el Estatuto para
prevenir y contrarrestar la explotación, la pornografía y el turismo sexual con niños menores de
edad. De igual manera, consagra prohibiciones para los proveedores o servidores,
administradores o usuarios de redes globales de información, respecto a alojar imágenes, textos,
documentos o archivos audiovisuales que exploten a los menores en actitudes sexuales o
pornográficas. Sin embargo, la norma no contiene sanciones penales, sino administrativas
(Artículo 10), pues siendo simple prohibición, deja un vacío que quita eficacia a la Ley, cuando
se trata de verdaderos delitos informáticos.
Para subsanar lo anterior, el 21 de julio de 2009, se sancionó la Ley 1336, "por medio de la
cual se adiciona y robustece la Ley 679 de 2001, de lucha contra la explotación, la pornografía y
el turismo sexual, con niños, niñas y adolescentes". En forma específica, en su Capítulo VI,
sanciona los "Tipos penales de turismo sexual y almacenamiento e intercambio de pornografía
infantil" con penas de prisión de diez (10) a veinte (20) años y multas de ciento cincuenta (150) a
mil quinientos (1.500) salarios mínimos legales mensuales vigentes (SMLMV).
La Ley 1273 de 2009 complementa el Código Penal y crea un nuevo bien jurídico tutelado a
partir del concepto de la protección de la información y de los datos, con el cual se preserva
integralmente a los sistemas que utilicen las tecnologías de la información y las comunicaciones.
38
El primer capítulo de los dos en que está dividida la Ley, trata de los atentados contra la
confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. El
segundo Capítulo se refiere a los atentados informáticos y otras infracciones.
A partir de la Ley 1273 de 2009, se tipificaron los delitos informáticos en Colombia en los
siguientes términos: acceso abusivo a un sistema informático (modificado del Código Penal);
obstaculización ilegítima del sistema informático o red de telecomunicación; interceptación de
datos informáticos; daño informático; uso de software malicioso; hurto por medios informáticos
y semejantes; violación de datos personales; suplantación de sitios web para capturar datos
personales y transferencia no consentida de activos.
Este marco jurídico se ha convertido en una importante contribución y un instrumento
efectivo para que las entidades públicas y privadas puedan enfrentar los "delitos informáticos",
con definiciones de procedimientos y políticas de seguridad de la información; y, en
consecuencia, con las acciones penales que pueden adelantar contra las personas que incurran en
las conductas tipificadas en la norma. Con ella, Colombia se ubica al mismo nivel de los países
miembros de la Comunidad Económica Europea (CEE), los cuales ampliaron al nivel
internacional los acuerdos jurídicos relacionados con la protección de la información y los
recursos informáticos de los países, mediante el Convenio 'Cibercriminalidad', suscrito en
Budapest, Hungría, en 2001 y vigente desde julio de 2004.
Con los desarrollos jurídicos hasta ahora logrados acerca de "la protección de la información
y de los datos y la preservación integral de los sistemas que utilicen las tecnologías de
información y comunicaciones", las organizaciones pueden amparar gran parte de sus sistemas
integrados de información: datos, procesos, políticas, personal, entradas, salidas, estrategias,

39
cultura corporativa, recursos de las TIC y el entorno externo (Davenport, 1999), de manera que,
además de contribuir a asegurar las características de calidad de la información, se incorpora la
administración y el control, en el concepto de protección integral.
ISO 27001. La norma ISO 27001 fue publicada en octubre de 2005, esencialmente la
sustitución de la antigua norma BS7799-2. Es la especificación para un SGSI, un Sistema de
Gestión de Seguridad de la Información. Sí BS7799 era un estándar de larga data, publicado por
primera vez en los años noventa como un código de prácticas. Como este maduró, una segunda
parte surgió para cubrir los sistemas de gestión. Es esto en contra de la cual se concede la
certificación. Hoy en día más de mil certificados están en su lugar, en todo el mundo.
En la publicación, la norma ISO 27001 mejora el contenido de la norma BS7799-2 y
armonizada con otros estándares. Un esquema se ha presentado por varios organismos de
certificación para la conversión de la certificación BS7799 con la certificación ISO27001.
El objetivo de la norma en sí misma es "proporcionar los requisitos para establecer,
implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la
Información (SGSI)". En cuanto a su adopción, esto debería ser una decisión estratégica.
Además, "El diseño y la aplicación de la información del sistema de gestión de seguridad de una
organización están influenciados por las necesidades de la organización y objetivos, requisitos de
seguridad, los procesos organizativos utilizados y el tamaño y estructura de la organización."
La versión 2005 de la norma en gran medida empleada del PDCA, Plan-Do-Check-Act
modelo para estructurar los procesos, y reflejen los principios establecidos en las directrices
OECG (ver oecd.org). Sin embargo, la versión más reciente, de 2013, pone más énfasis en la
medición y evaluación de lo bien SGSI de una organización está realizando. Una sección sobre la
40
contratación externa también se añadió con esta versión, y se prestó mayor atención al contexto
de la organización de seguridad de la información.[CITATION ISO16 \l 9226 ]
Capítulo 3. Diseño Metodológico
3.1 Tipo de Investigación
Para llevar a cabo el presente proyecto se utilizará el tipo de estudio descriptivo, ya que éstos
utilizan el método de análisis para lograr caracterizar un objeto de estudio o una situación
concreta, señalar sus características y propiedades, combinada con ciertos criterios de
clasificación, sirve para ordenar, agrupar o sistematizar los objetos propuestos. Además, con la
41
investigación descriptiva, se buscará determinar hechos y características del problema en estudio
mediante la pregunta, descripción y observación de situaciones concretas, facilitando así el
análisis de las ventajas y los beneficios que traerá la propuesta de un manual de políticas de
seguridad informática para la alcaldía del municipio de San Calixto, Norte de Santander.
3.2 Población
La población objeto de estudio que se tendrá en cuenta en el proyecto, será la conformada por
los empleados de la Alcaldía Municipal de San Calixto, N.S., la cual en su total es de 27
personas.
3.3 Muestra
Se tomará el ciento por ciento (100%) de la población objeto de estudio, teniendo en cuenta
que es un número reducido y no ameritan la aplicación de alguna fórmula estadística.
3.4 Técnica e Instrumentos de Recolección de la Información
Las fuentes de información son todos aquellos medios de los cuales procede la información,
que satisfacen las necesidades de conocimiento de una situación o problema presentado y
posteriormente será utilizado para lograr los objetivos esperados. [ CITATION Gal98 \l 9226 ]
De acuerdo a su origen se clasifican en:
Fuentes primarias. Contienen información original, que ha sido publicada por primera vez y
que no ha sido filtrada, interpretada o evaluada por nadie más. Son producto de una investigación
o de una actividad eminentemente creativa. Componen la colección básica de una biblioteca, y
pueden encontrarse en formato tradicional impreso como los libros y las publicaciones seriadas;
o en formatos especiales como las micro formas, los videocasetes y los discos compactos.
Fuentes secundarias. Contienen información primaria, sintetizada y reorganizada. Están

42
especialmente diseñadas para facilitar y maximizar el acceso a las fuentes primarias o a sus
contenidos. Componen la colección de referencia de la biblioteca y facilitan el control y el
acceso a las fuentes primarias.
La técnica que se utilizará para recolectar la información necesaria suministrada por los
empleados de la Alcaldía Municipal de San Calixto, N.S., será la encuesta y como instrumento el
cuestionario que se aplicará a la población objetivo, considerando estos elementos como la
fuente primaria.
En cuanto a la fuente secundaria que se consultará está la Biblioteca Argemiro Bayona, de la
Universidad Francisco de Paula Santander, asesores, especialistas y conocedores del tema.
3.5 Análisis de la Información
Los datos obtenidos mediante la aplicación de los instrumentos de recolección de la
información, serán analizados cuantitativamente a través de tablas y gráficas, mediante la
interpretación de los datos numéricos y el análisis de cada respuesta para la forma cualitativa.
Capítulo 4. Administración del proyecto
4.1 Recursos humanos
El presente estudio será realizado por el estudiante: EDGAR EDUARDO RIZO
SANGUINO Estudiante de Ingeniería de Sistemas. Dirigido por el Ingeniero de Sistemas
ANTON GARCIA BARRETO Profesor catedrático de la UFPSO.

43
4.2 Recursos institucionales
Biblioteca Argemiro Bayona Portillo de la Universidad Francisco de Paula Santander Ocaña.
Universidad Francisco de Paula Santander, seccional Ocaña.
Alcaldía de San Calixto.
4.3 Recursos financieros
Los gastos en la elaboración del proyecto serán cubiertos por el autor del proyecto.
INGRESOS
EDGAR EDUARDO RIZO SANGUINO. $1.000.000
TOTAL, INGRESOS $ 1.000.000

EGRESOS
Trasporte $ 100.000
Digitación e impresión $ 300.000
Papelería y fotocopias $ 200.000
Internet $ 100.000
Gastos varios $ 300.000
TOTAL, EGRESOS $ 1.000.000
SUMAS IGUALES $ 1.000.000 $ 1.000.000
44
Capítulo 5. Presentación de Resultados
5.1 Analizar los aspectos administrativos de la Alcaldía municipal de San Calixto,
relacionados con la gestión de la información para determinar si son realizados de forma
segura.
Para poder realizar el análisis, se desarrolló el instrumento de recolección de información,
siendo éste la encuesta, de donde se obtuvieron los diferentes conceptos de cada uno de los
empleados que se desempeñan en las diferentes áreas de la Alcaldía Municipal de San Calixto.
De igual manera se revisó la estructura orgánica y observación directa a las instalaciones para
poder realizar un inventario del hardware (ver tabla 2) y de software.
La alcaldía de San Calixto es una entidad pública del orden municipal que propende por el
desarrollo sostenible y el mejoramiento de la calidad de vida de sus habitantes, generando un
ambiente de convivencia pacífica y bienestar social. Sustenta su trabajo en las cualidades
humanas de las personas que la integran, en el liderazgo, transparencia, honestidad, en la
capacidad laboral de sus empleados y en el compromiso con la comunidad de construir dignidad
humana.
Como podemos observar en la estructura orgánica de la alcaldía de San Calixto no cuenta con
un departamento de Sistemas, pero sin los equipos tecnológicos necesarios para realizar sus
funciones, la Alcaldía Municipal de San Calixto, N.S., cuenta con un total de 27 empleados en
los que intervienen el Alcalde, el concejo municipal, el concejo territorial de planeación y el

45
gobierno municipal en dicha entidad.[CITATION Alc19 \l 9226 ]
Figura 1. Estructura orgánica de la Acadia de San Calixto

Fuente: [CITATION Alc19 \l 9226 ]
La Alcaldía de San Calixto a pesar de no contar un área de sistemas pose una intranet
institucional, en muy mal estado (ver evidencias fotográficas) en la cual realizan los respectivos
procedimientos para enlazar la información en las bases de datos nacionales, como son los
procesos de planeación, hacienda, gobierno, cultura, familia, desarrollo social, despacho,
servicios públicos, Sisbén, educación, comunitario, deportes, salud pública y personería; pero
necesita de una modernización en los sistemas de información de la Alcaldía, como respuesta al
proceso de reforma de la administración pública local. Aunque la alcaldía de San Calixto ha
realizado cambios mínimos en la información e incorporación de personal técnico no es
suficiente para la planificación efectiva para la adquisición de equipos y programas de

46
computación para confrontar el desarrollo y la modernización del municipio.
Gracias al Ministerio de las TIC posee una plataforma donde se brinda a todos los ciudadanos
por medio de la página Gobierno en línea de esta localidad, la información que requiera del
Municipio y propiciarle numerosos servicios mediante los diferentes medios electrónicos,
facilitando así la comunicación entre el pueblo y su gobierno local, de forma participativa,
transparente y equitativa.
Se pretende que los habitantes de la comunidad conozcan y utilicen estos espacios
tecnológicos para que se involucren mayormente con la función que se desempeña desde la
Administración Municipal.
Dentro del Inventario de hardware y software se destacan los siguientes componentes:
Tabla 2
Inventario de hardware
Cantida
d Equipo Marca N° inventario Estado
Inv2016.
30 CPU Hp 0001 regular
Inv2016.
30 Monitores Hp 0002 buenos
Inv2016.
30 Teclados Genius 0003 regular
Inv2016.
30 Mouses Genius 0004 buenos
Inv2016.
15 Impresoras Epson 0005 regular
Inv2016.
1 Router Tp- link 0006 bueno
Planta Inv2016.
1 telefónica Panasonic 0007 bueno
Inv2016.
1 UPS Energex 0008 bueno
Fuente: Autor del trabajo de grado

47
En cuanto al inventario de Software, la alcaldía maneja Software libre en 20 equipos, office
con licencia en 10 equipos, paquetes contables con licencia en 4 equipos.
A continuación, se presenta el análisis de la información recolectada a través del instrumento
encuesta aplicada a la población seleccionada, se realiza dicho análisis de manera cuantitativa y
cualitativa.
Tabla 3
Conocimiento de responsabilidades y sanciones, frente a la seguridad de la información
Ítem Frecuencia Porcentaje

Si 17 67
No 10 33
Total 27 100
Fuente: Autor del proyecto.
33.00%
Si
No
67.00%
Figura 2. Conocimiento de responsabilidades y sanciones, frente a la seguridad de la

información.
A través del análisis de la figura anterior se puede evidenciar que la mayoría de los
48
encuestados (67%), si tienen conocimiento de las responsabilidades y sanciones que reciben
frente a la seguridad de la información. Tan solo el 33% dice no conocer del mismo.
Tabla 4
Acuerdo de confidencialidad de la información

Si 14 52
No 13 48
Total 27 100
48.15%
51.85%
Si
No
Figura 3. Acuerdo de confidencialidad de la información.

El 52% de los encuestados, afirman que, si se cuenta con un acuerdo de confidencialidad de la
información dentro de la alcaldía de San Calixto, siendo más confiable para los que la conocen.
El otro 48% restante, no conocen sobre la importancia de la misma, haciendo más riesgoso que
se infiltre cualquier información ya sea de entrada o salida, por no conocer la confidencialidad de
la información.
49
Tabla 5
Se cuenta con mensajería electrónica interna para sus actividades

Si 17 67
No 10 33
Total 27 100
33.00%
Si
No
67.00%
Figura 4. Se cuenta con mensajería electrónica interna para sus actividades.

Uno de los servicios internos que se tienen, es el de mensajería electrónica interna para sus
actividades. Aunque el 33% no conoce del mismo, el 67% dice que sí, Cabe destacar que para
esta mensajería no existe ninguna protección ni seguridad que evite que un tercero pueda acceder
a la misma. Según testimonio del encargado de la parte de sistemas de la alcaldía.

50
Tabla 6
Controles de ingreso del personal al área

Si 14 52
No 13 48
Total 27 100
48.15%
51.85%
Si
No
Figura 5. Controles de ingreso del personal al área

El 52% de los empleados de la Alcaldía Municipal de San Calixto, conocen los controles de
ingreso de personal al área la cual está identificada para poder manipular los computadores y la
información. El 48% restante no conocen dichos controles.

51
Tabla 7
Seguridad en el computador que utiliza

Si 17 67
No 10 33
Total 27 100
33.00%
Si
No
67.00%
Figura 6. Seguridad en el computador que utiliza

En cuanto a la seguridad que tiene cada computador utilizado dentro de las áreas que hacen
parte de la Alcaldía Municipal de San Calixto, el 67% conocen la seguridad que tiene el
computador que utiliza. El otro 33% dice no contar con ningún tipo de seguridad.
52
Tabla 8
Mantenimiento periódico de hardware y software

Si 0 0
No 27 100
Total 27 100
Si
No
100.00%
Figura 7. Mantenimiento periódico de hardware y software

El 100% de los encuestados dicen que, en la Alcaldía Municipal de San Calixto, no se le
realiza mantenimiento periódico de hardware y software a los equipos que allí se encuentran, en
base a lo anterior se puede concluir que los equipos están expuestos a problemas que pueden
ocasionar que trabajen de manera lenta, provocando riesgos como los virus y la perdida de la
información.
Tabla 9
53
Controles contra software malicioso o espía (antivirus, antispyware, etc.)

Si 0 0
No 27 100
Total 27 100
Si
No
100.00%
Figura 8. Controles contra software malicioso o espía (antivirus, antispyware, etc.)

El 100% de los empleados de la Alcaldía Municipal de San Calixto, afirman que no existen
controles de seguridad como antivirus actualizados etc. que ayuden a evitar cualquier daño o
perdida de la información en los equipos de la oficina.
Tabla 10
54
El equipo de cómputo es utilizado por dos o más funcionarios

Si 14 52
No 13 48
Total 27 100
48.15%
51.85%
Si
No
Figura 9. El equipo de cómputo es utilizado por dos o más funcionarios

Aunque no debería serlo, en la Alcaldía Municipal de San Calixto, el 52% de los equipos de
cómputo son utilizados por más de una persona, lo que indica que no existe seguridad en este
sentido, toda vez que para ello cualquier persona puede interferir en la información que se
encuentra en estos equipos.
El otro 48% afirman no ceder su equipo a otra persona, siendo el funcionario el único
responsable del mismo.
Tabla 11
55
Existencia de manual de procedimientos para la operación de los sistemas de cómputo en el

área

Si 0 0
No 27 100
Total 27 100
Si
No
100.00%
Figura 10. Existencia de manual de procedimientos para la operación de los sistemas de cómputo
en el área.
El total de empleados de la Alcaldía Municipal de San Calixto (100%), dicen que la
institución no cuenta con un manual de procedimientos, que indique la función o proceso que se
debe llevar a cabio en el área, con respecto a su sistema de cómputo.
Tabla 12
Realizan backup’s (Copias de Seguridad de la Información)
56

Si 14 52
No 13 48
Total 27 100
48.15%
51.85%
Si
No
Figura 11. Realizan backup’s (Copias de Seguridad de la Información)

En lo que tiene que ver con copias de seguridad de la información, en la Alcaldía Municipal
de San Calixto, según el 52% de los encuestados, dicen que cuentan con copias de seguridad de
la información. Y el 48% dice no realizar copias de seguridad de la información que se maneja
en sus equipos.
Tabla 13
Medio de almacenamiento
57

CD 0 0
Memoria USB 14 52
Impresiones 0 0
Otra 0 0
NS/NR 13 48
Total 27 100
48.15%
51.85%
Memori a USB
NS/NR
Figura 12. Medio de almacenamiento

Como se registró en la tabla anterior, donde la mayoría de encuestados opinó que no se
obtiene backup´s en la información, por lo tanto, El 52% responde que sí se realiza copia de
seguridad, la cual es guardada en memoria USB, solamente, no se cuenta con otro medio para
guardar la información. Y el 48% en esta pregunta se abstiene de contestar, ya que, al no realizar
copia de seguridad de la información, ya que no se almacena la misma.
Tabla 14
Periodicidad
58

Diaria 14 52
Semanal 0 0
Mensual 13 48
Bimestral 0 0
Anual 0 0
Otra 0 0
Total 27 100
48.15%
51.85%
Di a ri a
Mens ual
Figura 13. Periodicidad

Las copias de seguridad de las que se habla en la tabla 12, se realiza de manera diaria, dice el
52% de encuestados. El otro 48% afirman no hacer copias de seguridad.
Tabla 15
Procedimiento formal para reportes de incidentes
59

Si 0 0
No 27 100
Total 27 100
Si
No
100.00%
Figura 14. Procedimiento formal para reportes de incidentes.

El total de empleados de la Alcaldía Municipal de San Calixto (100%), dicen que la
institución no cuenta con un procedimiento formal para reportar cualquier incidente que se pueda
presentar en la misma, como el robo de información, pérdida de datos, accesos no permitidos,
entre otros.
Lo anterior es preocupante, toda vez que esto genera el facilitamiento por parte de otras
personas para ingresar a realizar cualquier robo de información sin problema, ya que el reporte es
primordial con el fin de poder cuestionar de dónde proviene y así realizar señalamientos.
Tabla 16
Plan de contingencia
60

Si 0 0
No 27 100
Total 27 100
Si
No
100.00%
Figura 15. Plan de contingencia

Es lamentable y preocupante las cifras que arroja esta encuesta en sus incisos finales, en
donde se nota la falta de seguridad informática en la Alcaldía Municipal de San Calixto, ya que
tampoco se cuenta con un plan de contingencia, según opina el 100% de los encuestados. Todo
esto conlleva a que en el momento que se presente cualquier incidente de seguridad, se pasará
por alto, toda vez que no se tiene un seguimiento para poder verificar de donde proviene el
problema y la manera de solucionarlo.
Tabla 17
Recolección e investigación de evidencias sobre incidente de seguridad de la información

61
Si 0 0
No 27 100
Total 27 100
Si
No
100.00%
Figura 16. Recolección e investigación de evidencias sobre incidente de seguridad de la

información
Como las tablas anteriores, el 100% de empleados de la Alcaldía Municipal de San Calixto,
dice que no se realiza investigación y tampoco recolección de evidencias sobre el incidente de
seguridad de la información, lo cual está representado en la tabla 14, en donde se comenta la
misma situación, teniendo en cuenta que no se tiene un plan de contingencia, que puede ser el
punto de partida para poder recolectar evidencias y proceder a investigar la procedencia del
incidente de seguridad de información que se presente en la Institución.
5.2 Examinar la información que se obtuvo para identificar los factores de riesgo en la
integridad, confidencialidad y disponibilidad de la información.

62
La Alcaldía Municipal de San Calixto, es una institución que, como cualquier otra, se
encuentra expuesta a riesgos en materia de seguridad de la información, toda vez que en ella no
existe la seguridad completa en la misma, por lo que se tuvo en cuenta una serie de riesgos a los
cuales se enfrenta y tomar acciones tendientes a minimizar los posibles efectos negativos de la
materialización de dichos riesgos.
Igualmente, esta institución, debe identificar los riesgos a los que se expone en materia de
seguridad de la información, con el fin de buscar soluciones a los mismos y generar información
de utilidad para la toma de decisiones en materia de controles de seguridad.
Por consiguiente, a continuación, mediante un cuadro, se relacionan los hallazgos encontrados
y de ahí los riesgos que puedan producirse, en la Alcaldía Municipal de San Calixto, Norte de
Santander.
Tabla 18
Escala de probabilidad
CATEGORIA VALOR DESCRIPCIÓN

63
El riesgo está altamente motivado y es

suficientemente capaz de llevarse a
INMINENTE 5 cabo y por tanto la materialización de
la ocurrencia se da diariamente.
FRECUENTE 4 la materialización del riesgo ocurre

una vez a la semana
OCASIONAL 3 la materialización del riesgo ocurre
una vez al mes
REMOTO 2 la materialización del riesgo ocurre
una vez al año
el riesgo no posee la suficiente
IMPROBABLE 1 motivación y capacidad o nunca se ha
materializado, pero no se descarta su
ocurrencia.
Fuente: ECHENIQUE GARCÍA, José Antonio. Auditoria en Informática, 2a Edición. Mc
Graw Hill. p.148.
El análisis de riesgos de la seguridad informática está enfocado para aplicar en el ente objeto
del estudio un análisis de vulnerabilidades con el fin de interpretar, explicar y asesorar las causas
que generan el problema y la necesidad de implementar controles en la red y sistemas de la
Alcaldía municipal de San Calixto Norte de Santander. [ CITATION Ram15 \l 9226 ]
Cabe destacar que la alcaldía se San Calixto no cuenta con un área de sistemas dentro de la
misma, a pesar de esto a los equipos de cómputo, redes encontradas en las diferentes oficinas se
les aplico los hallazgos y riesgos en la seguridad de la información basados en la tabla 18; a
continuación, se realizó la tabla 19 tomando como referencia la tabla de hallazgos y riesgos de
seguridad informática de la alcaldía de Pamplona presentado por la UNAD y se adaptó a los
riesgos y hallazgos de la red y sistemas de la alcaldía del municipio de San Calixto por tener
mucha semejanza.
Tabla 19
Hallazgos y riesgos en la seguridad de la información encontrados en la Alcaldía del Municipio
64
de San Calixto.
RECURSO VULNERABILIDADES AMENAZA RIESGO IMPACTO

1 2 3 4 5
Falta de seguridad en el Ataque a Acceso a la
SOFTWARE x
sistema aplicaciones información
Mal manejo de las No tener discos Perdida de x
políticas de Backup extraíbles y usb información
Instalación de Sanciones,
Usuarios con privilegios software sin demandas, perdida x
inadecuados permiso del puesto
Falta de instalación o
Infección o ataque
actualización del Virus x
por virus
software o antivirus
Ataques
Mala configuración o
Software informáticos,
actualización de los x
malicioso publicidad no
sistemas de cortafuego y
deseada
detección de software
malicioso
Configuración
inadecuada a las
políticas del uso de Ataques
internet como recibir informáticos y x
correos no deseados, Acceso a páginas virus
Facebook, pornografía de internet
etc. prohibidas
Fuente: (Ramírez Montañez Jorge E, 2015)
Continuación tabla 19
VULNERABILIDADE
RECURSO S AMENAZA RIESGO IMPACTO
1 2 3 4 5
65
Falta de seguridad física Acceso a Robo de equipos

HARDWARE e infraestructura personas no x
autorizadas
Falla de equipos de Altas Daños de equipos
refrigeración temperaturas críticos x
Mal uso de los recursos Deterioro Daño en periferia
por parte de los prematuro del
operadores del sistema hardware x
Escaso mantenimiento y Extrema Daños de equipos

equipos de mala calidad suciedad, altas críticos x
temperaturas
No existe un sistema de Fallas electicas Daños de equipos
respaldo de energía críticos x
contra fallos
RECURSO VULNERABILIDADE AMENAZA RIESGO IMPACTO

66
S
1 2 3 4 5
Falta de mantenimiento Deterioro de la Perdida de las
COMUNICACIONE del hardware de red conexión comunicaciones x
S cableada
Mal manejo en la Snifing Robo de
transmisión de la información x
información
Fallos en el cifrado de Desencriptación Robo de
la información de seguridad información x
Falta del Extrema Falla de equipos
mantenimiento del suciedad altas de x
hardware temperaturas comunicaciones
Red de datos abierta Escucha de Robo de
paquetes por información x
terceros
Interferencia Comunicación Perdida en la
electromagnética deficiente transición de x
datos
Falta de control de Acceso no Ataques a
acceso autorizado al servidores x
datacenter
67
VULNERABILIDADE
RECURSO S AMENAZA RIESGO IMPACTO
1 2 3 4 5
SEGURIDAD Falta de sprinklers Incendios Daño de equipos
críticos x
FISICA
Falta de fijación de Terremotos Daño de equipos
equipos críticos x
Falta de piso Falso Inundación Daño de equipos
críticos x
Bajos niveles de Saqueos Daños por
protección física en vandalismo x
áreas perimetrales
Falta de control de Accesos no Perdida de
acceso autorizados información o x
equipos
En la tabla 19 se muestra el panorama del análisis de riesgos en la seguridad de la información
de la Alcaldía de San Calixto Norte de Santander, donde se definió el riesgo total al que se
encuentran expuestos los recursos informáticos de la entidad.
La probabilidad se deduce en el área roja (Riesgo alto), son los riesgos que necesitan
Mitigación y atención, mediante planes de mejoras; según lo analizado se obtuvo lo siguiente
para la Alcaldía de San Calixto:
 Se hace necesario Instalar un servidor para almacenamiento del backup, establecido
por medio de una política que contemple los periodos para realizarlo.
 Implementar un proceso de cifrado de contraseñas utilizando herramientas de
encriptación, almacenadas en un servidor protegido por medio de una política de
seguridad.
 Se hace necesario Instalar un servidor proxy con el objetivo de filtrar el tráfico de

68
información desde y hacia internet por medio de una política que contemple, los sitios
Web restringidos y el filtrado de paquetes entrantes y salientes de la red.
 Utilización de un sistema de vigilancia, monitoreado con cámaras de seguridad. Usar
cerraduras seguras para evitar se abran los gabinetes que guardan los depósitos de red.
 Construcción y adecuación del cuarto de comunicaciones por medio de una política
que contemple las normas para la instalación y ubicación y operación de equipos de
procesamiento de información, comunicación, energía.
 Corregir el acoplamiento del banco de baterías a la red de corriente regulada para tener
disponibilidad de la UPS en caso de desconexión de la red comercial. Establecimiento
de políticas de seguridad sobre el uso y conexión de equipos a la red eléctrica.
 Sensibilizar a todos los funcionarios y colaboradores sobre planes de documentación y
llevado de formatos y reporte acerca de los incidentes que encierra el uso de bienes
informáticos.
 Construir e implementar una política de seguridad que contemple el proceso de
autorización de ingreso y manipulación de bienes informáticos instalados en la
entidad.
 Construir e implementar una política de seguridad que contemple el plan para elevar
los equipos instalados en el piso.
 Con los anteriores ítems se busca sensibilizar y contribuir al saneamiento de las
vulnerabilidades que están generando riesgo al óptimo funcionamiento y tratamiento de la
información, asesorando sobre controles que disminuyan la probabilidad de los riesgos en la
Alcaldía del municipio de San Calixto Norte de Santander.
5.3 Como Estructurar el documento del manual de política de seguridad de la

69
información, para la Alcaldía municipal de San Calixto, Norte de Santander.
Las políticas de seguridad informática tienen como objetivo principal, establecer reglas sobre
el uso de los sistemas informáticos y de comunicaciones. Por ello, en el apéndice B, se propone
un manual de políticas de seguridad de la información, mediante la estructura de un documento,
para la Alcaldía Municipal de San Calixto, Norte de Santander, basado en la norma ISO
27001/2013, con la cual se pretende proteger los recursos de información de la misma y la
tecnología utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o
accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad,
disponibilidad, legalidad y confiabilidad de la información.
La ISO 27001, es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

70
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACION
ALCALDÍA MUNICIPAL DE SAN CALIXTO
NORTE DE SANTANDER
Versión 1
2017
71
Índice
1. Introducción
2. Objetivo
3. Alcance
4. Definiciones
5. Evaluación de Riesgos
6. Administración de Riesgos
7. Comité de Seguridad de la Información
8. Responsable de Seguridad Informática
9. Incidente de Seguridad
10. Correo electrónico masivo
11. ISO / IEC 27001: 2013
12. Políticas de seguridad para la alcaldía municipal de San Calixto Norte de Santander.
13. Política de seguridad.
14. Organización de la Seguridad
15. Gestión de Activos.
16. Seguridad de los Recursos Humanos.
17. Seguridad Física.
18. Gestión de las Telecomunicaciones y Operaciones.
19. Control de Acceso a los Datos.
20. Adquisición, Desarrollo y Mantenimiento de Software.
21. Gestión de Incidentes.
22. Cumplimiento y Normatividad Legal.

72
23. Responsabilidades
24. Organización para la seguridad de la información.
25. formatos.
73
1. Introducción
Las políticas y estándares de seguridad informática y la Norma ISO/IEC 27001:2013 se busca
establecer en la Alcaldía de San Calixto Norte de Santander una cultura de calidad operando de
una forma confiable.
La seguridad informática es un proceso donde se deben evaluar y administrar los riesgos
apoyados en políticas y estándares que cubran las necesidades de la Alcaldía de San Calixto en
materia de seguridad.
Cabe destacar que la ISO / IEC 27001: 2013 especifica los requisitos para establecer,
implementar, mantener y mejorar los sistemas de gestión de la seguridad de la información
dentro del contexto de la alcaldía. También incluye requisitos para la evaluación y tratamiento de
los riesgos de seguridad de la información adaptados a las necesidades de la Alcaldía de San
Calixto Norte de Santander. Los requisitos establecidos en ISO / IEC 27001: 2013 son genéricos
y están destinados a ser aplicables a todas las organizaciones, independientemente del tipo,
tamaño o naturaleza, para mitigar el riesgo de corrupción, la Aplicación política de
administración de la información de la Alcaldía de San Calixto, aplicando las siguientes
acciones: Adoptar Política de seguridad de la información. Conformar Comité de Seguridad de la
Información. Desarrollar controles de la Política de Seguridad de la Información

74
2. Objetivo
El objetivo de este manual es estructurar un documento que oriente la gestión de las políticas
de seguridad de la información para la Alcaldía municipal de San Calixto, Norte de Santander.
3. Alcance
Las políticas de seguridad son reglas de ámbito general, independientemente de la parte
tecnológica y física, donde se cumplen los objetivos sobre el Sistema de Gestión de Seguridad de
la Información. Estas políticas de Seguridad de la Información se plantean según las
disposiciones legales vigentes, para gestionar adecuadamente la seguridad de la información
definidos por la Alcaldía de San Calixto y el personal encargado sobre la Seguridad de la
Información, de la misma, con el fin de lograr un adecuado nivel de confidencialidad, integridad,
disponibilidad y fácil auditoría de los accesos a la información. Siendo de obligatorio
cumplimiento para todos los servidores públicos y particulares que accedan a la información de
la administración municipal; el cual deberá tener en cuenta y estar alineado con los Sistemas de
Control Interno, Gestión Ambiental, Gestión de Calidad, y Desarrollo Administrativo de la
Alcaldía de San Calixto Norte de Santander.
4. Definiciones
Seguridad de la Información
Confidencialidad: se garantiza que la información suministrada por la alcaldía de San
Calixto la manejen solamente el personal autorizado.[ CITATION Mal16 \l 9226 ]
Integridad: Totalidad en el cuidado de la información y los métodos de procesamiento de
la información dados por la Alcaldía de San Calixto.
Disponibilidad: la Alcaldía de San Calixto debe garantizar a los usuarios encargados la

75
autorización para acceder a la información y a los recursos de la Alcaldía cada vez que sea
necesario.
Autenticidad: el encargado de sistemas de la Alcaldía de San Calixto debe asegurarse de
dar los nombres de usuarios y contraseñas al personal encargado de la Alcaldía para generar la
validez de la información en tiempo, forma y distribución, para evitar suplantación de
identidades. [ CITATION Mal16 \l 9226 ]
Auditabilidad: se realiza para dejar constancia de todos los eventos de un sistema queden
registrados para su control posterior.
Protección a la duplicación: el encargado de sistemas de la alcaldía de San Calixto debe
asegurarse que las transacciones se realicen sólo una vez, a menos que sea un caso extremo y
especifique lo contrario
No repudio: Evitar que una entidad que haya enviado o recibido información alegue ante
terceros que no envió o recibió información de la Alcaldía de San Calixto.
Legalidad: la Alcaldía de San Calixto debe cumplir las leyes, normas, reglamentaciones o
disposiciones a las que está sujeto cada municipio.
Confiabilidad de la Información: la información generada por la Alcaldía de San Calixto
debe ser adecuada para sustentar la toma de decisiones y funciones. Para la correcta
interpretación de las presente Políticas de seguridad de la Alcaldía. [ CITATION Mal16 \l
9226 ]
Información: Es toda comunicación o conocimiento de datos, en cualquier forma, como
son textos, números, gráficas, etc., ya sea en medio magnético, en papel, en pantallas de
computadoras, audiovisual u otro, relevante de la Alcaldía de San Calixto.
Sistema de Información: información organizada para su recopilación, organización Se

76
de la información de la Alcaldía de San Calixto de forma automatizada como manual.
Tecnología de la Información: es el hardware y software operados por La Alcaldía de San
Calixto o por algún tercero que actué en nombre de la Alcaldía, sin tener en cuenta la
tecnología utilizada, ya se trate de procesamiento de datos, utilidad de las telecomunicaciones
etc. [ CITATION Mal16 \l 9226 ]
5. Evaluación de Riesgos
La evaluación de riesgos es la evaluación de las amenazas y vulnerabilidades de la
información y a las instalaciones donde se procesa la misma, dentro de la Alcaldía de San
Calixto.
6. Administración de Riesgos
El proceso de administración de riesgos es donde se identifican, controlan y se minimizan o
eliminan n, los riesgos de seguridad que podrían afectar a la información. Esto se realiza de una
manera cíclica y periódica.
7. Comité de Seguridad de la Información
Debe haber dentro de la alcaldía de San Calixto un Comité de Seguridad de la Información,
donde se representen miembros de todas las áreas de la alcaldía. Para garantizar el apoyo de la
seguridad de la información.
8. Responsable de Seguridad Informática

77
En la Alcaldía de San Calixto debe haber una persona que cumpla las funciones de supervisar
dicha política de seguridad y su cumplimiento para asesorar en materia de seguridad la
información a los integrantes de cada área de la Alcaldía. Preferiblemente personal profesional
con experiencia en seguridad informática adscrito a la Secretaría General.
9. Incidente de Seguridad
Los incidentes de seguridad son un evento adverso en un sistema de computadoras, o red de
computadoras, que compromete la confidencialidad, integridad o disponibilidad, la legalidad y
confiabilidad de la información.
10. Correo electrónico masivo
El correo electrónico masivo se refiere a cualquier mensaje de correo electrónico enviado a
una larga lista de destinatarios que tiene un contacto idéntico para cada persona. Ejemplos
boletines de noticias, listas de discusión y actualizaciones de la Alcaldía. Correo electrónico a
granel enviado por una entidad comercial para promover sus productos, etc. [ CITATION
Pat14 \l 9226 ]
11. ISO / IEC 27001: 2013
Especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un
sistema de gestión de la seguridad de la información dentro del contexto de la organización.
También incluye requisitos para la evaluación y tratamiento de los riesgos de seguridad de la
información adaptados a las necesidades de la organización. Los requisitos establecidos en ISO /
IEC 27001: 2013 son genéricos y están destinados a ser aplicables a todas las organizaciones,
78
independientemente del tipo, tamaño o naturaleza. [ CITATION Pat14 \l 9226 ]
12. Políticas de seguridad para la alcaldía municipal de San Calixto Norte de Santander.
La Alcaldía Municipal de San Calixto, define sus políticas de seguridad con fundamentada
bajo la norma en ISO / IEC 27001: 2013. [ CITATION Pat14 \l 9226 ]
13. Política de seguridad.
Realizar controles para proporcionar mejorar la Seguridad de la Información de la Alcaldía
por personal estrictamente elegido para garantizar el correcto desarrollo de los lineamientos
planteados en cada política propuesta por cada departamento de la alcaldía.
14. Organización de la Seguridad
Asignar controles para la gestión de la seguridad de la alcaldía de San Calixto, garantizando
responsables asignados en todos los niveles de la organización, para esto se debe contar con un
comité de seguridad de la información con personal capacitado desde la secretaria General, y
todos los servidores públicos, contratistas y particulares que tengan acceso a los activos de
información de la alcaldía. Siendo estos responsables de cumplir las políticas y normas que se
dicten en materia de seguridad de la información así, como reportar los incidentes que detecten. [
CITATION Pat14 \l 9226 ]
15. Gestión de Activos.

79
En la alcaldía de San Calixto es de vital importancia realizar controles para catalogar los
activos y protegerlos eficazmente. Toda la información sensible de la Alcaldía,así como los
activos donde esta se almacena o procesa, deberán ser inventariados, asignárseles un responsable
y clasificarlos de acuerdo con los requerimientos en materia de seguridad de la información y los
criterios que dicte el Comité de Seguridad de la Información.
16. Seguridad de los Recursos Humanos.
Dentro de la Alcaldía de San Calixto es de vital importancia colocar controles para reducir los
riesgos de error humano, como son: robos, fraudes y utilización abusiva de los equipamientos.
Para verificar la idoneidad e identidad, ética profesional y conducta de sus empleados,
estableciendo responsabilidades de los servidores públicos y contratistas, por la Seguridad de la
Información. [ CITATION Pat14 \l 9226 ]
17. Seguridad Física.
Deberán establecerse áreas seguras para la gestión e Impedir la violación, deterioro y la
perturbación de las instalaciones y los datos de la información., almacenamiento y procesamiento
de información en la Alcaldía de San Calixto, estas deberán contar con protecciones físicas y
ambientales acordes a los activos que protegen, incluyendo perímetros de seguridad, controles de
acceso físicos, controles especiales en áreas de mayor sensibilidad, seguridad de los equipos,
seguridad en el suministro eléctrico y cableado, condiciones ambientales de operación y sistemas
de contención, detección y extinción de incendios adecuados que preserven el medio ambiente.
Esta seguridad debe mantenerse en los momentos de mantenimiento, cuando la información o
los equipos que la contienen deben salir de la alcaldía o cuando se deben eliminar o dar de baja,
80
algunos archivos. [ CITATION Pat14 \l 9226 ]
En la alcaldía de San Calixto la información debe ser mantenida en servidores aprobados por
La Secretaría General a través de la Oficina de Sistemas. No se permite el alojamiento de
información institucional en servidores externos.
Los Equipos deben ser alimentados por sistemas de potencia eléctrica regulados y estar
protegidos por UPS.
Los medios que alojan copias de seguridad deben ser conservados de forma correcta de
acuerdo a las políticas y estándares que para tal efecto elabore y mantenga el Comité de
Seguridad en la Información.[ CITATION Unisf \l 9226 ]
18. Gestión de las Telecomunicaciones y Operaciones.
Controles para garantizar un funcionamiento seguro y adecuado de los dispositivos de
tratamiento de la información. Debe garantizarse una adecuada planificación y aprobación de los
sistemas de información que consideren o provean las necesidades de capacidad futura.
Deben considerarse protecciones contra software malicioso y un adecuado mantenimiento y
administración de la red, así como un adecuado cuidado de los medios de almacenamiento y
seguridad en el intercambio de información de la Alcaldía de San Calixto.
Toda información que sea de interés para un proceso operativo o de misión crítica debe ser
respaldada por copias de seguridad tomadas de acuerdo a los procedimientos documentados por
el Comité de Seguridad de la Información de la alcaldía.
Se debe garantizar la ejecución de las copias de seguridad automatizando el procedimiento

81
por medio de herramientas software de acuerdo a los procedimientos documentados por el
Comité de Seguridad de la Información.
Los registros de copias de seguridad deben ser guardados en una base de datos creada para tal
fin. [ CITATION Unisf \l 9226 ]
El sistema de correo electrónico institucional de la Alcaldía de San Calixto debe ser usado
únicamente para propósitos laborales.
19. Control de Acceso a los Datos.
Debe establecerse medidas de control de acceso a las dependencias de la Alcaldía de San
Calixtoy a los diferentes niveles de la plataforma tecnológica, tales como la red, sistema
operativo y aplicaciones; así como a la información física que tenga un componente de
seguridad.
20. Adquisición, Desarrollo y Mantenimiento de Software.
Realizar controles para garantizar que la Política de Seguridad esté incorporadas a los
sistemas de información. Asegurar que se haga un adecuado análisis e implementación de los
requerimientos de seguridad del software desde su diseño, ya sea interno o adquirido, que
incluya garantías de validación de usuarios y datos de entrada y salida, así como de los procesos
mismos, de acuerdo con la clasificación de los activos a gestionar en la herramienta.
21. Gestión de Incidentes.
En caso de suceder ciertos incidentes. Existe una clasificación de los incidentes según el
82
grado en que afecten el normal funcionamiento de la Alcaldía. Controles para gestionar las
incidencias que afectan a la seguridad de la Información. Asegurar que se haga una adecuada
evaluación del impacto en el organismo frente a los eventos de seguridad relevantes, en los
cuales las políticas de seguridad hayan sido desatendidas o traspasadas y realizará planes de
atención de incidentes y mejora de procesos, para aquellos eventos que resulten críticos para la
supervivencia del mismo. Estos planes deben considerar medidas: técnicas, administrativas y de
vínculo con entidades externas, deben probarse y revisarse periódicamente, así como estar
articulados en todo el organismo con los diferentes tipos de recursos tecnológicos y no
tecnológicos.
22. Cumplimiento y Normatividad Legal.
La alcaldía de San Calixto debe seguir el cumplimiento de las leyes penales o civiles, de las
obligaciones reglamentarias o contractuales y de las exigencias de seguridad. Garantizar que la
gestión de la seguridad dé cumplimiento adecuado a la legislación vigente para lo cual analizará
los requisitos legales aplicables a la información que se gestiona incluyendo los derechos de
propiedad intelectual, los tiempos de retención de registros, privacidad de la información, uso
inadecuado de recursos de procesamiento de información, uso de criptografía y recolección de
evidencias.
23. Responsabilidades
83
La Alcaldía de San Calixto debe crear un Comité de Seguridad de la Información para:
• Garantizar la existencia de una dirección y apoyo gerencial que soporte la administración y
el desarrollo de iniciativas sobre seguridad de la información, a través de compromisos y uso
adecuado de los recursos en el organismo. [ CITATION Pat14 \l 9226 ]
• Formular y mantener una política de seguridad de la información que aplique a toda la
organización conforme con lo dispuesto por la Alcaldía.
Debe crear también un Grupo de Apoyo a la Seguridad para:
• Desarrollar, mantener y administrar operativa y técnicamente la seguridad de la información
conforme con las políticas de seguridad adoptadas por la Alcaldía.
• Materializar las medidas de largo, mediano y corto plazo que permitan el desarrollo efectivo,
estratégico y armónico de las políticas planteadas. [ CITATION Pat14 \l 9226 ]
24. Organización para la seguridad de la información.
La Alcaldía de San Calixto debe garantizar el apoyo al proceso de establecimientos,
implementación, operación, seguimiento, revisión, mantenimiento y mejora del Sistema de
Gestión de la Seguridad de la Información, para la protección de la información de la alcaldía,
creando una comisión de Seguridad de la Información cuya composición conformada de la
siguiente manera:
Líder de Seguridad Informática del Municipio.
Asesor de Despacho del Alcalde Municipal,
Secretario (a) General,
Oficina Jurídica o su delegado

84
Secretario(a) de Planeación y Ordenamiento Territorial,
Un Representante del Área de Archivo
Creando esta comisión dentro de la alcaldía de San Calixto es más fácil mantener la
información de la misma más protegida sin que caiga a manos de terceros.
25. formatos.
Formatos requeridos para cualquier proceso informático dentro de la Alcaldía de san Calixto
85
Formato de creación de cuenta de usuario para la alcaldía de San Calixto Norte de Santander.
FORMATO CREACION DE CUENTA DE USUARIO

CREACION MODIFICACION ELIMINACION
NOMBRE Y APELLIDO DEL ID DE
No USUARIO DEPENDENCIA USUARIO CONSECUTIVO OBSERVACIONES
Fuente: Autor del proyecto
Formato de solicitud de creación de cuenta de usuario para los funcionarios de la alcaldía de San
Calixto Norte de Santander.

86
FORMATO DE SOLICITUD CREACION DE CUENTA DE USUARIO
DE PARA
FECHA CREACION MODIFICACION ELIMINACION
NOMBRE APELLIDOS
CARGO USUARIO
ADMINISTRADO
USUARIO
ROLES: R OPERATIVO
OBSERVACIONES
JEFE SECRETARIA
Formato de seguimiento a las políticas de seguridad informática para los funcionarios de la
Alcaldía de San Calixto Norte de Santander.
SEGUIMIENTO A LAS POLITICAS DE SEGURIDAD INFORMATICA

NOMBRE Y APELLIDOS CARGO BACKUPS FECHA FIRMA FECHA OBSERVACIONES
87
Formato de solicitud de adquisición, reparación, actualización, mantenimiento o cambio de
materiales y equipos de la alcaldía de San Calixto Norte de Santander.
FORMATO DE SOLICITUD DE ADQUISICIÓN, REPARACIÓN,

ACTUALIZACIÓN, MANTENIMIENTO O CAMBIO DE MATERIALES Y
EQUIPOS
NOMBRE Y
APELLIDOS CARGO FECHA ADQUISICION REPARACION ACTUALIZACION MANTENIMIENTO CAMBIO
88
Formato de respaldo de información en medios magnéticos de la alcaldía de San Calixto Norte
de Santander.
FORMATO DE RESPALDO DE INFORMACION EN MEDIOS

MAGNETICOS
TIPO DE
MEDIO
NOMBRE Y TIPO DE INFORMACION A MAGNETIC OBSERVACIONE
APELLIDOS CARGO FECHA ALMACENAR O S

89
Conclusiones
Al realizar este trabajo de investigación, se ha podido comprobar como ingeniero de sistemas
que existe la necesidad de centralizar las políticas de seguridad informática, para cubrir
virtualmente toda la información de las empresas, especialmente la información que arrojan las
entidades del estado en este caso la alcaldía de San Calixto de una forma segura.
Se han logrado realizar los objetivos planteados en este trabajo de investigación, haciendo que
la alcaldía de San Calixto, empiece a entender la importancia de la seguridad informática, para
que en un futuro con esta información se puedan realizar proyectos que dependan de manera
critica con un sistema articulado, para poder garantizar que los sistemas informáticos sean
operados de una manera segura.
Se analizaron y examinaron, los aspectos administrativos de la Alcaldía municipal de San
Calixto, relacionados con la gestión de la información, determinando de una manera segura la
información que se obtuvo para identificar los factores de riesgo en la integridad,
confidencialidad y disponibilidad de la información de la alcaldía.

90
Se logro Estructurar el manual de políticas de seguridad de la información, para la Alcaldía
municipal de San Calixto, Norte de Santander logrando que sea una herramienta de gran ayuda
para cerrar las brechas de la seguridad desde el punto de vista del usuario personal como de la
empresa.
Recomendaciones
En primer lugar, se recomienda a la Alcaldía de San Calixto, crear un área de sistemas con el
fin de mejorar continuamente las políticas de seguridad de la información de esta entidad.
La alcaldía de San Calixto debe dar a sus empleados más vitales confidencialidad, integridad
y disponibilidad de la información para las operaciones realizadas dentro de la alcaldía para su
propio éxito. Usando un enfoque para proteger la información clave mediante el control y la
mejora constantes de las aplicaciones, sistemas y procesos de la alcaldía con el objetivo de
cumplir con las crecientes demandas y desafíos de amenazas de seguridad. Cumplido con las
normas de seguridad ISO 27001 para que la alcaldía reciba la certificación correspondiente.
91
Referencias
Alcaldia de San Calixto. (2016). PLAN DE DESARROLLO. Obtenido de http://sancalixto-
nortedesantander.gov.co/apc-aa-files/36646337336364313563666333356330/pdm-
aprobado-sancionado-2016-2019.pdf
Alcaldía Municipal de Ocaña. (2010). Plan de acción municipio de Ocaña. Obtenido de
http://ocana-nortedesantander.gov.co/apc-
aafiles/61643230666336653165633566373234/Plan_de_Accion_GEL_si_Oca_a_pdf
Artesanías de Colombia. (2014). Política general de seguridad de la información. Obtenido de
http://artesaniasdecolombia.com.co/PortalAC/images/politica-seguridad-informacion-
proteccion-datos-personales.pdf
Echenique, J. A. (2010). Auditoria en Informática. Mexico: McGraw Hill.
ERB, M. (2010). Gestión de riesgo en la seguridad informática, amenazas y vulnerabilidades.
Obtenido de www.protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Galindo, J. (1998). Metodología de la investigación.
Gar, S., & Gene, S. (1999). Seguridad práctica en UNIX e internet. McGraw Hill.
García Garrido Juan Cristóbal. (s.f). Aclaraciones didácticas sobre seguridad Informática.
Obtenido de http://www.eduinnova.es/abril09/Aclaraciones%20didacticas%20sobre
92
%20seguridad%20Informatica.pdf
Icetex. (2014). Manual de políticas de seguridad de la información. Obtenido de
www.icetex.gov.co/dnnpro5/Portals/0/Documentos/La
%20Institucion/manuales/Manualseguridadinformacion.pdf
ISO. (s.f.). 27001. Recuperado el 29 de Marzo de 2016, de http://www.27000.org/iso-27001.htm
Lucena, M. J. (1999). Criptografía y seguridad en computadoras. Universidad de Jaen.
Malagón Saenz Nohora&Figueroa Perez Omayra. (2016). PROPUESTA DE POLÍTICAS DE
SEGURIDAD DE LA INFORMACIÓN. Obtenido de
http://stadium.unad.edu.co/preview/UNAD.php?
url=/bitstream/10596/11881/1/24167182.pdf
Méndez, A. S. (2015). Seguridad de la información. Obtenido de
http://grupoaem.wix.com/virusinformatico#seguridad-informatica/c13w7
Ojeda, J. E. (2010). Delitos informáticos y entorno juridico vigente en Colombia. Obtenido de
www.sci.unal.edu.co/scielo.php?script=sci_arttex&pid=S0123-
147220100002000003&Ing=es&nrm=iso
Patiño León Nancy. (2014). POLITICA DE SEGURIDAD DE LA INFORMACIÓN. Obtenido de
http://www.alcaldiasoacha.gov.co/nuestra-alcaldia/procedimientos-lineamientos-y-
politicas?download=809:seguridad-de-la-informacin
Presidencia de la República. (2014). Manual de política de seguridad para las tecnologías de la
información y las comunicaciones - TICS. Obtenido de
wp.presidencia.gov.co/sitios/dapre/sigepre/manuales/M-TI-01%20Manual%20general
%20Sistema%20de%20Seguridad%20de%20la%20Informacion.pdf
Ramirez Montañez Jorge E. (2015). ANÁLISIS, EVALUACIÓN DE RIESGOS . Obtenido de

93
http://stadium.unad.edu.co/preview/UNAD.php?
url=/bitstream/10596/3415/1/88030934.pdf
Ropero, A. (2013). Gestión de riesgo en la seguridad informática. Obtenido de
http://protejete.wordpress.com/gdr_principal/control_riesgo/
San Calixto. (2013). Antecedentes históricos de San Calixto. Obtenido de
www.cucutanuestra.com/temas/geografía/Norte_mapas_datos/san_calixto.htm
Universidad Distrital Fancisco Jose de Caldas,. (s.f). Política de Seguridad de la Información.
Obtenido de
https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_seguridad/
archivos/Politica_para_Seguridad_Informacion_Version_0.0.1.0.pdf
94
Apéndice
95
Apéndice 1. Encuesta realizada a los empleados de la Alcaldía Municipal de San Calixto

Norte de Santander
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA

PLAN DE ESTUDIOS DE INGENIERÍAS
INGENIERÍA DE SISTEMAS
Objetivo: Conocer la Seguridad en la Información de la Alcaldía Municipal de San Calixto,

Norte de Santander.
(Marque con una X su repuesta)
Dependencia
Cargo
CUESTIONARIO
1. ¿Tiene usted conocimiento de sus responsabilidades y sanciones, frente a la seguridad de

la información?
Sí __ No__
2. ¿Cuentan con un acuerdo de confidencialidad de la información?
Sí__ No__
3. ¿Cuenta con mensajería electrónica interna para sus actividades?
Sí __ No__
96
4. ¿Su área cuenta con controles de ingreso del personal?
Sí__ No__
5. ¿El equipo de cómputo a su disposición, cuenta con seguridad en el sistema?
Sí __ No__
6. ¿Se realiza mantenimiento periódico de hardware y software?
Sí __ No__
7. ¿La Oficina cuenta con controles contra software malicioso o espía (antivirus,
antispyware, etc.)?
Sí __ No__
8. El equipo de cómputo que actualmente está a su disposición, ¿Es utilizado por otro
funcionario?
Sí__ No__
9. ¿Cuenta con manuales de procedimientos para la operación de cada uno de los sistemas
de cómputo del área?
Sí __ No__ Algunos__
10. ¿Realizan backup’s (Copias de Seguridad de la Información)?
Sí __ No__
11. ¿En qué medio se almacenan?
CD
Memorias USB
Impresiones
Otras _______________________________
12. ¿Con que periodicidad se realizan?
Diariamente
Semanalmente
Mensualmente
97
Bimestralmente
Anualmente
Otras ________________________________
13. ¿Cuenta la oficina con un procedimiento formal para reportes de incidentes (robos de
información, pérdida de datos, accesos no permitidos, etc.)?
Sí __ No__
14. ¿Al presentarse un incidente de seguridad, se cuenta con un plan de contingencia?
Sí __ No__
15. ¿Se investiga y recolectan evidencias sobre el incidente de seguridad de la información?
Sí __ No__
¡GRACIAS POR SU COLABORACIÓN!!!

98
Apéndice 2. Evidencias fotografías
en la alcaldía del municipio de San Calixto se puede apreciar la ausencia de un cableado
estructurado, no se cuenta con Los Armarios, o Rack de comunicaciones lo cual hace más
vulnerable la seguridad tanto física como interna de los sistemas de información. En esta
fotografía se puede apreciar un switch genérico que no proporciona ningún tipo de seguridad, así
también se ve la falta de canaletas para proteger el cableado de cortes, los cables son de una
categoría obsoleta de 5 y 5e lo cual no permite utilizar todo el ancho de banda.

99
En esta fotografía podemos apreciar un cable de tipo coaxial el cual está extendido en el techo
sin ningún tipo de protección y expuesto a cualquier tipo de interferencia eléctrica.

100
En el manejo de la telefonía se cuenta con una caja o planta telefónica de marca Panasonic
616 ubicada en un closet de madera al cual cualquiera tiene acceso, también se aprecia el
cableado telefónico extendido en el piso sin ningún tipo de canaleta de protección.

101
En esta foto se pude apreciar el computador conectado a un estabilizador, así como otros
elementos conectados a la misma toma corriente como al estabilizador. Lo cual puede generar
una sobre carga o corto circuito generando así la pérdida total de los datos almacenados en este
equipo y la pérdida del mismo.

102
Para mejor la calidad en la conexión vía inalámbrica o wi-fi se utilizó un repetidor o router
marca 3BUMEN ubicado sin ningún estándar de seguridad tanto para el equipo, así como de los
datos. No cuenta con canaletas de protección y está ubicado en un lugar no recomendable.

103
En una de las oficinas se encuentra una central tefonica Panasonic TEM 824 la cual es una
planta telefónica analógica con una capacidad máxima de 8 líneas y 24 extensiones para
gestionar las llamadas internas y externas de la alcaldía, la cual es la encargada de manejar las
extensiones de las oficinas de la alcandía se encuentra ubicada en una puerta con sus cables
expuestos sin ninguna protección y cualquier persona en cualquier momento podría tener acceso
a él.
104
Se puede apreciar la Caja de tacos la cual está ubicada a 1.75 mts de altura cualquier persona
q ingrese a las oficinas de la alcaldía tiene acceso a ellos permitiendo así cualquier tipo de acción
para entorpecer cualquier tarea que los servidores públicos estén haciendo por tanto pude haber
una pérdida de datos o daños en los sistemas que allí existen.

105
Conexión a la electricidad con el cable eléctrico expuesto sin protección esto puede generar
que la protección de caucho del cable se desgaste y en determinado momento generar un corto
circuito o un accidente al funcionario que labora aquí.
Podemos apreciar unas cajas de conexión en mal estado sin ningún tipo de protección estando
expuestos los cables de datos como eléctricos que generar perdida de datos o lentitud en el
tráfico de ellos ya que cualquier persona los puede tropezar y ocasionar un accidente ya que no
se encuentran instalados correctamente ni con sus respectivas canaletas de protección.

106
en esta foto se pude apreciar un riesgo ya que los cables esta expuestos a cortes rupturas,
corto circuitos, así como también interferencias en el transporte de datos ya que por el mismo
canal o tubo se manejan los cables eléctricos, así como también el cableado de datos.

Proyecto Final Edgar Eduardo Rizo Sanguino

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Proyecto Final Edgar Eduardo Rizo Sanguino

Hochgeladen von

Copyright:

Verfügbare Formate

1

DISEÑO DE UN MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

PARA LA ALCALDIA MUNICIPAL DE SAN CALIXTO NORTE DE SANTANDER,

USANDO COMO HERRAMIENTA LAS ISO/IEC 27001:2013

EDGAR EDUARDO RIZO SANGUINO

Proyecto de Grado para Optar al Título de Ingeniero de Sistemas

ANTON GARCIA BARRETO

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA

Ocaña, Colombia septiembre de 2017

incondicional y por siempre estar dispuestos a escucharme y ayudarme en cualquier momento,

EDGAR EDUARDO RIZO SANGUINO

Capítulo 1. Diseño de un Manual de Políticas de Seguridad de la Información para la Alcaldía

Capítulo 2. Marco Referencial.......................................................................................................16

2.4.10 Ponderación de los Factores de riesgo.........................................................................29

Capítulo 3. Diseño Metodológico..................................................................................................41

Capítulo 4. Administración del proyecto.......................................................................................43

Capítulo 5. Presentación de Resultados.........................................................................................44

Tabla 1. Valoración del riesgo........................................................................................................30

Tabla 4. Acuerdo de confidencialidad de la información..............................................................48

Figura 1. Estructura orgánica de la Acadia de San Calixto...........................................................45

Figura 7. Mantenimiento periódico de hardware y software.........................................................52

El trabajo que se muestra a continuación, titulado: Diseño de un manual de políticas de

seguridad de la información para la Alcaldía Municipal de San Calixto Norte de Santander,

teórico, conceptual y legal. En el tercero se encuentra la metodología utilizada para el desarrollo

con la gestión de la información; además se examinó la información que se obtuvo, identificando

así los factores de riesgo en la misma. Finalmente, se propuso el manual de políticas de

seguridad de la información, el cual se diseñó dejándolo a consideración de la entidad para su

que representa confianza y disminuye el grado de incertidumbre. El concepto de seguridad es

características: integridad, confidencialidad, disponibilidad y no repudio.

la confidencialidad, se refiere al acceso autorizado; la disponibilidad, implica que se puede

acceder a la información cuando se necesite; y no repudio, consiste en que el personal no puede

tecnologías de información requieren de una coordinación y control adecuados para lograr la

la soportan y los usuarios.

de la mejor manera y de acuerdo a su situación actual. Para su realización se desarrollaron unos

factores de riesgo en la integridad, confidencialidad y disponibilidad de la información; y,

estructurar el documento del manual de política de seguridad de la información, para la Alcaldía

municipal de San Calixto, Norte de Santander.

La herramienta correspondiente al manual de políticas de la información, fue desarrollada

de San Calixto, quienes lo estudiarán para poder ser implementado en la misma.

Capítulo 1. Diseño de un Manual de Políticas de Seguridad de la Información para la

1.1 Planteamiento del Problema

que tiene la organización. [ CITATION Oje10 \l 9226 ]

funcionar, principalmente si se habla de empresas altamente automatizadas por lo que su

organizaciones. Caso como éstos, es el de la Alcaldía municipal de San Calixto, Norte de

Santander, la cual no ha tenido en cuenta la importancia de mantener segura la información en la

controlar su ingreso o políticas de seguridad normadas que prohíba el acceso al departamento y a

servidores de datos o información.

El personal encargado del área de informática, es de cierta manera empírico en cuanto a la

la propuesta de un plan estratégico de políticas de seguridad en la Alcaldía Municipal de San

Calixto, Norte de Santander.

1.2 Formulación del Problema

propuesta de un manual de políticas de seguridad de la información?

1.3.1 Objetivo general. Diseñar un manual de políticas de seguridad de la información para la

Alcaldía municipal de San Calixto, Norte de Santander.

1.3.2 Objetivos específicos.

Analizar los aspectos administrativos de la Alcaldía municipal de San Calixto, relacionados

con la gestión de la información para determinar si son realizados de forma segura.

confidencialidad y disponibilidad de la información.

Estructurar el documento del manual de política de seguridad de la información, para la

Alcaldía municipal de San Calixto, Norte de Santander.

Las políticas y estándares de Seguridad de la Información tienen como objetivo establecer

medidas técnicas de organización de las tecnologías de información y de las personas que

de San Calixto, contribuyendo con la mejora y complimiento de metas institucionales. Además,