Upload
tranbao
View
230
Download
0
Embed Size (px)
Citation preview
MODELO DE MEDICIÓN PARA EL SGSI DE LAS ENTIDADES
GUBERNAMENTALES, QUE HAN SEGUIDO LOS LINEAMIENTOS
ESTABLECIDOS POR LA ESTRATEGIA DE GOBIERNO EN LÍNEA.
DANIEL RICARDO ESCOBAR MORENO
CRISTIAN CAMILO TOBARIA LEÓN
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTA D.C.
2017
MODELO DE MEDICIÓN PARA EL SGSI DE LAS ENTIDADES
GUBERNAMENTALES, QUE HAN SEGUIDO LOS LINEAMIENTOS
ESTABLECIDOS POR LA ESTRATEGIA DE GOBIERNO EN LÍNEA.
DANIEL RICARDO ESCOBAR MORENO
CRISTIAN CAMILO TOBARIA LEÓN
Proyecto de grado para optar al título de Ingeniero en telemática
Ingeniero, Jairo Hernández Gutiérrez
Director de proyecto, Universidad Distrital Francisco José de Caldas
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTA D.C.
2017
Nota de aceptación:
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
Ingeniero, Jairo Hernández Gutiérrez
Director
____________________________________
Ingeniero, Miguel Ángel Leguizamón Páez
Jurado
Bogotá D.C. Agosto de 2017
DEDICATORIAS
Dedico este trabajo principalmente a Dios, por permitirme llegar
hasta este momento tan importante en mi vida. A mi padre y a mi madre
por ser un apoyo incondicional en todo momento, por siempre demostrarme su
cariño, por guiarme en todo momento con sus valiosas enseñanzas y
por ser los pilares fundamentales dentro de todo mi desarrollo y crecimiento
tanto personal como profesional.
Daniel Ricardo Escobar Moreno
Dedico este nuevo logro en mi vida a Dios, por darme la capacidad,
la sabiduría y el tiempo para alcanzar mis metas, a mi madre,
que día a día se esfuerza y me motiva con el objetivo de ser el mejor
profesional, a toda mi familia por su apoyo y su confianza en cada una de mis
decisiones, a la Familia Duran Camargo, que siempre me han ayudado,
me han dado su cariño y apoyo de manera incondicional, a mi ahijada Isabella,
ahora no podrás leer esto, pero siempre serás importante para mí,
a Daniel Ricardo Escobar por su confianza y por su amistad
Cristian Camilo Tobaria León
AGRADECIMIENTOS
En primer lugar agradecemos a Dios, por colocar las personas indicadas en el momento
indicado de nuestras vidas, por guiarnos en todo este proceso. En segundo lugar a nuestra
familia, que independientemente la situación que debamos enfrentar nos ha apoyado de
manera incondicional, a nuestros amigos y compañeros que durante toda nuestra formación
universitaria aportaron su granito de arena para culminar satisfactoriamente el desarrollo de
nuestro proyecto de grado. De igual manera a la planta docente que junto con sus
conocimientos, enseñanzas y experiencia nos han formado y nos han motivado siempre a ser
mejores profesionales.
Agradecemos a nuestro director de proyecto, el ingeniero Jairo Hernández Gutiérrez, que nos
acompañó durante todo este proceso académico, por su gran colaboración tanto personal
como profesional en cada detalle, la cual nos ha aportado de una manera muy importante en
nuestra carrera como futuros ingenieros.
También hacemos un agradecimiento a nuestros amigos más cercanos, que se han convertido
ahora en nuestros colegas, de una manera muy especial a Luigui Daniel Peña, por su apoyo,
por sus consejos, no solo ha demostrado ser un gran profesional, sino también una excelente
persona.
CONTENIDO
pág.
INTRODUCCIÓN 1
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN 2
1.1. TITULO DEL TRABAJO 2
1.2. TEMA 2
1.3. PLANTEAMIENTO DEL PROBLEMA 2
1.3.1. Descripción 2
1.3.2. Formulación del problema 3
1.4. ALCANCES Y DELIMITACIONES 3
1.4.1. Alcances 3
1.4.2. Delimitaciones 4
1.5. OBJETIVOS 4
1.5.1. Objetivo general 4
1.5.2. Objetivos específicos 4
1.6. JUSTIFICACIÓN 4
1.7. MARCO DE REFERENCIA 5
1.7.1. Marco histórico 5
1.7.2. Marco teórico 6
1.7.3. Marco conceptual 18
1.8. FACTIBILIDAD 19
1.8.1. Factibilidad técnica 19
1.8.2. Factibilidad operativa 19
1.8.3. Factibilidad legal 19
1.8.4. Factibilidad económica 20
1.9. CRONOGRAMA DE ACTVIDADES 23
2. LINEAMIENTOS PARA LA EVALUACIÓN EFECTIVA DE
CONTROLES IMPLEMENTADOS CON EL MODELO DE PRIVACIDAD
Y SEGURIDAD 24
2.1 DEFINICIÓN DEL ALCANCE DE LAS MEDICIONES 24
2.2 SELECCIÓN DEL OBJETO DE MEDICIÓN Y SUS ATRIBUTOS 25
2.3 DESARROLLO DE LAS ESTRUCTURAS DE MEDICIÓN 25
2.3.1 Selección de la medida 25
2.3.2 Método de medición 26
2.3.3 Función de medición 26
2.3.4 Modelo analítico 26
2.3.5 Indicadores 27
2.3.6 Criterios de decisión 29
2.3.7 Partes interesadas 29
2.4 OPERACIONES DE MEDICIÓN DE SEGURIDAD 31
2.4.1 Integración del procedimiento 32
2.4.2 Recolección, almacenamiento y verificación de datos 32
3. RECOMENDACIONES A SEGUIR PARA REALIZAR LAS
MEDICIONES APROPIADAS DENTRO DE LINEAMIENTOS DE GOBIERNO
EN LINEA 34
3.1 ASPECTOS A TENER EN CUENTA UNA VEZ FINALIZADA LA MEDICIÓN 34
3.2 RECOMENDACIONES PARA LA ALTA DIRECCIÓN 34
3.3 RECOMENDACIONES PARA LA EVALUACIÓN DE LAS POLÍTICAS
DE SEGURIDAD 36
4. ANÁLISIS DEL ESTADO ACTUAL DEL SISTEMA DE SEGURIDAD DE
LA INFORMACIÓN DE LA POLICIA NACIONAL HACIENDO USO
DEL MODELO DE MEDICIÓN 61
5. CONCLUSIONES 107
6. RECOMENDACIONES GENERALES 108
BIBLIOGRAFÍA 109
ANEXOS 112
ANEXO A. Modelo de medición para el Sistema de Gestión de Seguridad de la
Información (Disponible en medio magnético adjunto)
ANEXO B. Plantilla para ejecutar la evaluación en el SGSI de las Entidades
Gubernamentales (Disponible en medio magnético adjunto)
ANEXO C. Sistema de Gestión de Seguridad de la Información Policia Nacional
de Colombia (Disponible en medio magnético adjunto)
RESUMEN
La realización del presente proyecto tiene como propósito hacer uso de la norma ISO/IEC
27004, la cual es una guía para el desarrollo y utilización de métricas y técnicas de medida
aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles
implementados según ISO/IEC 27002, en los Sistemas de Gestión de Seguridad de la
Información de las Entidad gubernamentales de Colombia, con el objetivo de elaborar un
modelo de medición para el SGSI de las Entidades Gubernamentales que hicieron uso de las
estrategia de Gobierno en Línea. El Gobierno Colombiano a través del Ministerio de
Tecnologías de la Información y las Comunicaciones (MINTIC) tiene a disposición de las
Entidades públicas y a los terceros que provean servicios a las mismas, un modelo para
facilitar el desarrollo e implementación de políticas de seguridad, basadas en estándares
internacionales ISO/IEC.
Antes de desarrollar dicho modelo es necesario realizar el levantamiento de información
respectivo que permita conocer de manera detallada los alcances y las delimitaciones de la
medición sobre el SGSI de las Entidades gubernamentales, de igual manera conocer las bases
técnicas, teóricas y los lineamientos establecidos por MINTIC sobre los cuales se fundamenta
el siguiente proyecto.
A través de este documento se pueden observar, de igual manera, cada uno de los
lineamientos que han sido tenidos en cuenta para crear una plantilla que tiene como objetivo
verificar por cada uno de los objetivos de control, cuestionamientos puntuales que permiten
realizar la medición y evaluación de la implementación de políticas de seguridad. Así mismo
a través de las operaciones medición de seguridad de la información, se definen las
actividades esenciales para asegurar los resultados de las mediciones planteadas para el SGSI
auditado.
Finalmente se plantea una serie de recomendaciones, las cuales le permiten a ente auditor,
realizar una mejor evaluación del Sistema de Gestión de Seguridad de la Información,
haciendo uso del modelo planteado.
ABSTRACT
The purpose of this project is to make use of ISO / IEC 27004, which is a guide for the
development and use of metrics and measurement techniques applicable to determine the
effectiveness of an ISMS and the controls or groups of controls Implemented in accordance
with ISO / IEC 27002, in the Information Security Management Systems of the Government
Entities of Colombia, with the objective of elaborating a measurement model for the ISMS
of the Government Entities that made use of the Government's Online Strategy . The
Colombian Government, through the Ministry of Information and Communication
Technologies (MINTIC), has at the disposal of the Public Entities and third parties that
provide services to them, a model to facilitate the development and implementation of
security policies, based on ISO / IEC international standards.
Before developing such a model, it is necessary to carry out the respective information survey
that allows to know in detail the scope and delimitations of the measurement on the ISMS of
the Government entities, as well as to know the technical, theoretical bases and the guidelines
established by MINTIC On which the following project is based.
Through this document, you can also observe each of the guidelines that have been taken into
account to create a template that aims to verify for each of the control objectives, specific
questions that allow the measurement and Evaluation of the implementation of security
policies. Likewise, through the information security measurement operations, the activities
that are essential to ensure the results of the measurements for the audited ISMS are defined.
Finally, a series of recommendations is presented, which allow the auditing entity to perform
a better evaluation of the Information Security Management System, using the proposed
model.
LISTA DE TABLAS
Pág
Tabla 1 Factibilidad Económica - Recursos Humanos 20
Tabla 2 Factibilidad Económica - Recursos Técnicos 21
Tabla 3 Factibilidad Económica Costo Total 22
Tabla 4. Plantilla para la medición de seguridad 30
Tabla 5. Plantilla 1 para ejecutar la evaluación de SGSI 32
Tabla 6. Plantilla 2 para ejecutar la evaluación de SGSI 33
Tabla 7. Recomendaciones para políticas de seguridad de la información 36
Tabla 8. Recomendaciones para la seguridad de la información 36
Tabla 9. Recomendaciones adicionales para la seguridad de la información 37
Tabla 10. Recomendaciones para antes de asumir el empleo 38
Tabla 11. Recomendaciones durante la ejecución del empleo 38
Tabla 12. Recomendaciones para terminación o cambio de empleo 39
Tabla 13. Recomendaciones para responsabilidad por los activos 39
Tabla 14. Recomendaciones para clasificación de la información 40
Tabla 15. Recomendaciones para manejo de los soportes de almacenamiento 40
Tabla 16. Recomendaciones para requisitos del negocio para control de acceso 41
Tabla 17. Recomendaciones para gestión de acceso de usuarios 42
Tabla 18. Recomendaciones para responsabilidades de los usuarios 43
Tabla 19. Recomendaciones para control de acceso a sistemas de información 43
Tabla 20. Recomendaciones para controles criptográficos 44
Tabla 21. Recomendaciones para áreas seguras 45
Tabla 22. Recomendaciones para equipos 46
Tabla 23. Recomendaciones para procedimientos operaciones y responsabilidades 48
Tabla 24. Recomendaciones para protección contra códigos maliciosos 49
Tabla 25. Recomendaciones para copias de respaldo 49
Tabla 26. Recomendaciones para registro de seguimiento 49
Tabla 27. Recomendaciones para control de software operacional 50
Tabla 28. Recomendaciones para gestión de la vulnerabilidad técnica 50
Tabla 29. Recomendaciones para consideraciones sobre auditorías de
sistemas de información 51
Tabla 30. Recomendaciones para gestión de la seguridad de las redes 51
Tabla 31. Recomendaciones para transferencia de la información 52
Tabla 32. Recomendaciones para requisitos de seguridad de los sistemas de
Información 52
Tabla 33. Recomendaciones para seguridad en los procesos de desarrollo y soporte 53
Tabla 34. Recomendaciones para datos de prueba 55
Tabla 35. Recomendaciones para seguridad de la información en las relaciones
con proveedores 55
Tabla 36. Recomendaciones pata gestión de la prestación de servicios con los
Proveedores 56
Tabla 37. Recomendaciones para gestión de incidentes y mejoras en la seguridad
de la información 56
Tabla 38. Recomendaciones para continuidad de seguridad de la información 58
Tabla 39. Recomendaciones para redundancias 58
Tabla 40. Recomendaciones para cumplimiento de requisitos legales y contractuales 59
Tabla 41. Recomendaciones para revisiones de seguridad de la información 60
Tabla 42. Plantilla 1 para ejecutar la evaluación de SGSI 61
Tabla 43. Plantilla 2 para ejecutar la evaluación de SGSI 62
Tabla 44. Plantilla 3 para ejecutar la evaluación de SGSI 63
Tabla 45. Plantilla 4 para ejecutar la evaluación de SGSI 64
Tabla 46. Plantilla 5 para ejecutar la evaluación de SGSI 65
Tabla 47. Plantilla 6 para ejecutar la evaluación de SGSI 67
Tabla 48. Plantilla 7 para ejecutar la evaluación de SGSI 68
Tabla 49. Plantilla 8 para ejecutar la evaluación de SGSI 70
Tabla 50. Plantilla 9 para ejecutar la evaluación de SGSI 74
Tabla 51. Plantilla 10 para ejecutar la evaluación de SGSI 79
Tabla 52. Plantilla 11 para ejecutar la evaluación de SGSI 82
Tabla 53. Plantilla 12 para ejecutar la evaluación de SGSI 85
Tabla 54. Plantilla 13 para ejecutar la evaluación de SGSI 94
Tabla 55. Plantilla 14 para ejecutar la evaluación de SGSI 96
Tabla 56. Plantilla 15 para ejecutar la evaluación de SGSI 99
Tabla 57. Plantilla 16 para ejecutar la evaluación de SGSI 100
Tabla 58. Plantilla 17 para ejecutar la evaluación de SGSI 100
Tabla 59. Plantilla 18 para ejecutar la evaluación de SGSI 102
LISTA DE FIGURAS
Pág
Figura 1. Ciclo PDCA 16
Figura 2. Cronograma de actividades 23
Figura 3. Fragmento de guía de controles de Seguridad y Privacidad de la Información 24
Figura 4. Visualización de rangos de medición 27
Figura 5. Visualización de rangos de medición (Cumple, No cumple) 28
Figura 6. Visualización gráfica de modelo analítico subjetivo 28
1
INTRODUCCIÓN
La información se ha convertido en uno de los activos más importantes e invaluables para
todas las organizaciones (bien sean públicas o privadas), es clave mantenerla a salvo a través
de políticas que rijan el correcto uso que se le debe dar a la misma en cada organización, las
cuales son concebidas en un Sistema de Gestión de Seguridad de la Información (SGSI), en
la norma ISO/IEC 27001. Esto con el objetivo de asegurar la continuidad del negocio,
optimizando los distintos recursos de la organización y el mejorando la imagen corporativa.
Actualmente, el Ministerio de Tecnologías de la Información y las Comunicaciones, a través
de su estrategia Gobierno en línea, ha diseñado un modelo de seguridad y privacidad de la
información para las entidades públicas de orden nacional y territorial, así como proveedores
de servicios de Gobierno en Línea. Pero es sabido que en la seguridad de la información no
solo basta con realizar una implementación, ya que es necesario realizar una evaluación sobre
la misma haciendo uso de proceso de auditoría, esto con el objetivo de alcanzar una mejora
continua de la seguridad de la información, puesto que las organizaciones están en continuo
cambio y dicha implementación del modelo debe tener la capacidad de ser escalable.
En el desarrollo del modelo de medición para el SGSI de las entidades gubernamentales que
han seguido los lineamientos establecidos por la estrategia de Gobierno en Línea, se ha
pensado en que este sea estandarizado y escalable, ya que cada organización hace uso de
controles específicos de la norma teniendo en cuenta su “Core” de negocio y sus necesidades
con respecto a la seguridad de la información. De igual manera se ha tenido en cuenta para
el mismo la normatividad vigente.
2
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN
En el transcurso de la primera etapa de desarrollo, se da inicio a los parámetros importantes
del proyecto, se plantean los fundamentos para el desarrollo del mismo, permitiendo conocer
el problema que se presenta en las organizaciones, los alcances y límites a los que se enfrenta,
entre otros aspectos necesarios para la justificación del proyecto. De igual manera, se cuenta
con un apoyo teórico, que permite conocer de manera conceptual los distintos modelos y
términos técnicos a usar.
1.1. TITULO DEL TRABAJO
Modelo de medición para el SGSI de las entidades gubernamentales, que han seguido los
lineamientos establecidos por la estrategia de gobierno en línea.
1.2 TEMA
Desarrollo de un modelo de medición de seguridad de la información, basado en la norma
ISO/IEC 27004.
1.3 PLANTEAMIENTO DEL PROBLEMA
1.3.1 Descripción. La información se ha convertido en uno de los activos más importantes
e invaluables para todas las organizaciones (bien sean públicas o privadas), es clave
mantenerla a salvo a través de políticas que rijan el correcto uso que se le debe dar a la misma
en cada organización, las cuales son concebidas en un Sistema de Gestión de Seguridad de
la Información (SGSI), en la norma ISO/IEC 27001. Esto con el objetivo de asegurar la
continuidad del negocio, optimizando los distintos recursos de la organización y el mejorando
la imagen corporativa.
Actualmente, el Ministerio de Tecnologías de la Información y las Comunicaciones, a través
de su estrategia Gobierno en línea, ha diseñado un modelo de seguridad y privacidad de la
información para las entidades públicas de orden nacional y territorial, así como proveedores
de servicios de Gobierno en Línea, este modelo se basa en los siguientes aspectos:
La arquitectura del modelo, se basa en el ciclo PHVA
Etapas alineadas con los niveles de madurez del manual de GEL 3.0
Lineamientos del estándar NTC:ISO/IEC 27001:2005.
3
El uso del ciclo PHVA en el desarrollo de la metodología, permite a las entidades una mejora
integral de la competitividad, de los servicios ofertados a la ciudadanía, buscando una mejora
continua de la calidad y optimizando la productividad. Se siguen los lineamientos
establecidos por la norma ISO/IEC 27001:2005 para garantizar que es un modelo acreditado
internacionalmente.
De igual manera, el objetivo de usar este modelo es generar conciencia sobre la importancia
de clasificar, valorar y asegurar los activos de cada una de estas entidades del estado.
El problema que se ha evidenciado en la implementación de dicho modelo, es que este no
cuenta con un documento que a su vez permita apoyar la tarea para determinar la efectividad
del SGSI diseñado, de los controles o grupos de controles implementados según la norma
NTC: ISO/IEC 27001:2005, pues no solo basta la implementación de la norma si no se
confirma que se ha realizado de manera correcta, ya que cada entidad maneja un Core de
negocio diferente y no es correcto generalizar los resultados.
Puesto que el programa de Gobierno en línea, no cuenta con un modelo técnico para apoyar
las labores de medición sobre el SGSI implementado, no es posible verificar si la guía
entregada por el Ministerios de Tecnologías de la Información y las Comunicaciones ha sido
utilizada de la manera correcta, esto ocasionara un uso inadecuado del modelo, sus controles
o grupo de controles detectados y a su vez una incorrecta implementación de la norma
internacional.
De allí entonces la necesidad de realizar un modelo basado en la norma ISO/IEC 27004 para
determinar la efectividad en la implementación de un SGSI, en entidades públicas de orden
nacional y territorial, que usa la propuesta de Gobierno en línea.
1.3.2 Formulación del problema. ¿En un SGSI que hace uso de los lineamientos de la
estrategia de Gobierno en línea, se puede determinar la efectividad de esta implementación,
a través de un modelo que haga uso de métricas y técnicas aplicables a los controles o grupos
de controles seleccionados para la organización?
1.4 ALCANCES Y DELIMITACIONES
1.4.1 Alcances
El modelo de medición está diseñado bajo los lineamientos de ISO/IEC 27004:2009
y teniendo como referencia el Modelo de Seguridad y Privacidad de la Información,
4
que ha sido diseñado por el Ministerio de Tecnologías de la Información y las
Comunicaciones.
El modelo propuesto puede ser implementado en entidades públicas de orden
nacional y territorial, así como proveedores de servicios de Gobierno en Línea y
terceros que han adoptado el modelo de seguridad y privacidad de la información en
el marco de la Estrategia de Gobierno Línea.
1.4.2 Delimitaciones El desarrollo e implementación de este proyecto está sujeto a los
lineamientos establecidos en el Modelo de Seguridad y Privacidad de la Información del
Ministerio de Tecnologías de la Información y las Comunicaciones.
1.5 OBJETIVOS
1.5.1 Objetivo general
Determinar la efectividad en la implementación de un SGSI, que ha seguido los lineamientos
de seguridad y privacidad de la estrategia de Gobierno en línea, a través de un modelo de
medición que haga uso de métricas y técnicas aplicables a los controles o grupos de controles,
basado en la norma ISO/IEC 27004.
1.5.2 Objetivos específicos
Plantear los lineamientos para efectuar la evaluación efectiva de los controles o grupo
de controles que han sido implementados haciendo uso del modelo de seguridad y
privacidad.
Generar las operaciones de medición de seguridad de la información, con el objetivo
de proporcionar información relacionada con la efectividad de implementación del
SGSI.
Plantear las recomendaciones a seguir para realizar las mediciones apropiadas dentro
de las organizaciones de Gobierno en Línea.
Realizar el análisis del estado actual del SGSI en una de las entidades públicas de
orden nacional y territorial, que siguen los lineamientos de Gobierno en línea.
Generar un documento en donde se consigne cada una de las etapas implementadas
de las fases para la norma ISO/IEC 27004.
1.6 JUSTIFICACIÓN
El propósito por el cual se ha planteado el desarrollo de dicho proyecto, es por la necesidad
de generar unos lineamientos de medición, que permitan identificar la efectividad con que se
ha implementado la norma ISO/IEC 27001, que de manera puntual, es usada a través del
5
Modelo de Seguridad y Privacidad de la Información planteado por el Ministerio de
Tecnologías de la Información y las Comunicaciones el cual tiene como audiencia las
entidades públicas de orden nacional y territorial, proveedores de servicios de Gobierno en
Línea y terceros que deseen adoptar el modelo. Se busca apoyar la tarea de evaluación y
análisis de los SGSI diseñados por las entidades gubernamentales.
1.7 MARCO DE REFERENCIA
1.7.1 Marco histórico
A continuación se hará referencia a ítems en donde los Sistemas de Seguridad de la
Información (SGSI) son parte importante para el Gobierno Nacional a través del Ministerio
de Tecnologías de la Información y las Comunicaciones.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)
Con el Modelo de Seguridad para las entidades del Estado, el Ministerio TIC entrega una
guía para que puedan construir su Sistema de Gestión de Seguridad de la Información (SGSI).
Se busca generar una conciencia colectiva sobre la importancia de clasificar, valorar y
asegurar los activos de cada entidad.1
Las entidades son conscientes que el tema no sólo abarca el aseguramiento con software y
hardware, si no que en gran medida el resultado exitoso se refleja en la sensibilización y
compromiso del personal para cumplir cada política, conociendo el porqué de cada una.
Se encontraron 3 segmentos correspondientes a los avance en la apropiación y concepción
filosófica de los SGSI en las entidades:
Comenzando: se están enterando del tema, no tienen un proyecto estructurado o se
sienten inseguros hablando al respecto.
En Proceso: hay un responsable, un proyecto y un alcance definido. Esperan terminar
al menos la implementación inicial en 2014.
Avanzadas: Tienen un SGSI implementado que hace parte de la cultura de la entidad
y se sienten orgullosos de él.
1 MINTIC. Sobre Los sistemas de gestión de la seguridad de la información (SGSI). Fortalecimiento de la gestión TI en el estado. Bogotá: Mintic, 2016.
6
MINTIC ACOMPAÑA A LAS INSTITUCIONES PÚBLICAS PARA DAR MAYOR
SEGURIDAD A LA INFORMACIÓN
La información pública es uno de los mayores tesoros del Estado y los ciudadanos, por eso
el Ministerio de Tecnologías de la Información quiere apoyar a las demás instituciones
públicas para que fortalezcan la gestión de la seguridad y privacidad de los datos.
Para cumplir con esta misión, el equipo de acompañamiento de MinTIC ha realizado varias
sesiones grupales con los responsables de la seguridad en entidades del orden nacional. Los
pasados 7 y 14 de noviembre se llevaron a cabo la segunda y tercera de las jornadas orientadas
a avanzar en la implementación del Sistema de Gestión de Seguridad de la Información
(SGSI). Hasta el momento han participado más de 17 entidades.2
1.7.2 Marco teórico A continuación se hace referencia a los conceptos teóricos que
fundamentan los Sistemas de Gestión de Seguridad de la Información, concebido en la norma
ISO/IEC 27001.
IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN EN LAS
ORGANIZACIONES
Las tecnologías de información y de las comunicaciones (TIC) vienen siendo desde ya hace
algún tiempo el motor de las organizaciones, apoyando tanto su operación como la toma
estratégica de decisiones en el negocio.
Las condiciones actuales del mercado dan lugar a economías, gobiernos y organizaciones
cada vez más interconectadas que requieren compartir información, que evolucionan
constantemente, que deben responder a las necesidades de sus clientes y que deben generar
un factor diferenciador ante la competencia.3
2 MINTIC. Sobre el acompañamiento a las instituciones públicas para dar mayor seguridad a la información. Programa Gobierno en línea. Bogotá: Mintic, 2014. 3 Universidad de los Andes. Sobre la importancia de la Seguridad de la Información en las organizaciones. Departamento de Ingeniería de Sistemas y Computación. Bogotá: Facultad de Ingeniería, 2015.
7
ESTRATEGIA DE GOBIERNO EN LÍNEA
¿De qué se trata esta estrategia?
Gobierno en línea es el nombre que recibe la estrategia de gobierno electrónico (e-
government) en Colombia, que busca construir un Estado más eficiente, más transparente y
más participativo gracias a las TIC.4
Esto significa que el Gobierno:
Prestará los mejores servicios en línea al ciudadano.
Logrará la excelencia en la gestión.
Empoderará y generará confianza en los ciudadanos.
Impulsará y facilitará las acciones requeridas para avanzar en los Objetivos de
Desarrollo Sostenible -ODS, facilitando el goce efectivo de derechos a través del uso
de TIC. Declaración de compromiso con la agenda post 2015 -ODS-.
Ejes temáticos de la estrategia
TIC para el Gobierno Abierto: Busca construir un Estado más transparente y colaborativo,
donde los ciudadanos participan activamente en la toma de decisiones gracias a las TIC.
TIC para servicios: Busca crear los mejores trámites y servicios en línea para responder a
las necesidades más apremiantes de los ciudadanos.
TIC para la gestión: Busca darle un uso estratégico a la tecnología para hacer más eficaz la
gestión administrativa.
Seguridad y privacidad de la información: Busca guardar los datos de los ciudadanos
como un tesoro, garantizando la seguridad de la información.
Marco regulatorio
Las normas relacionadas con el diseño y desarrollo de la política de Gobierno electrónico en
Colombia, se encuentran especificadas en el siguiente listado:5
4 Vive digital para la gente. Sobre conocer la estrategia de Gobierno en línea. Ministerio de Tecnologías de la Información y las Comunicaciones. 2016. 5 Marco Regulatorio. Sobre conocer la estrategia de Gobierno en línea. Ministerio de Tecnologías de la Información y las Comunicaciones. 2016.
8
Marco jurídico institucional de la estrategia
Conpes 2790 de 1995: Gestión Pública orientada a resultados.
Decreto Ley 2150 de 1995: Estatuto Anti-trámites.
Conpes 3072 de 2000: Agenda de Conectividad.
Directiva 02 de 2000: Plan de Acción de la estrategia de Gobierno en Línea.
Decreto 127 de 2001: Consejerías y Programas Presidenciales en el
Departamento Administrativo de la Presidencia de la República.
Decreto 3107 de 2003: Supresión del Programa Presidencial e integración de
la Agenda de Conectividad al MinTIC.
Decreto 1151 de 2008: Lineamientos generales de la Estrategia de Gobierno
en línea.
Ley 1341 de 2009: Mecanismo y condiciones para garantizar la masificación
del Gobierno en Línea.
Circular No. 058 de 2009 de la Procuraduría General de la Nación:
Cumplimiento Decreto 1151 de 2008.
Decreto 2693 de 2012: Lineamientos generales de la Estrategia de Gobierno
en línea.
Decreto 2573 de 2014: Lineamientos generales de la Estrategia de Gobierno
en línea.
Decreto 1078 de 2015: Decreto Unico Sectorial - Lineamientos generales de
la Estrategia de Gobierno en Línea.
Gobierno abierto
Ley 57 de 1985: Publicidad de los actos y documentos oficiales.
Ley 594 de 2000: Ley General de Archivos.
Acto legislativo 01 de 2003: Uso de medios electrónicos e informáticos para
el ejercicio del derecho al sufragio.
Ley 892 de 2004: Mecanismo electrónico de votación e inscripción.
Ley 1712 de 2014: Ley de Transparencia y del Derecho de Acceso a la
Información Pública Nacional.
Ley Estatutaria 1757 de 2015: Promoción y protección del derecho a la
participación democrática.
Decreto Reglamentario Único 1081 de 2015 - Decreto 103 de 2015:
Reglamento sobre la gestión de la información pública.
Resolución 3564 de 2015: Reglamentaciones asociadas a la Ley de
Transparencia y Acceso a la Información Pública.
Trámites y servicios
Ley 527 de 1999: Ley de Comercio Electrónico.
9
Decreto Ley 2150 de 1995: Suprimen y reforman regulaciones,
procedimientos o trámites innecesarios existentes en la Administración
Pública.
Decreto 1747 de 2000: Entidades de certificación, los certificados y las firmas
digitales.
Ley 734 de 2002: Código Único Disciplinario.
Ley 794 de 2003: Código de Procedimiento Civil.
Ley 812 de 2003: Renovación de la Administración Pública.
Ley 906 de 2004: Código de Procedimiento Penal.
Conpes 3292 de 2004: Proyecto de racionalización y automatización de
trámites.
Ley 962 de 2005: Racionalización de trámites y procedimientos
administrativos procedimientos administrativos.
Decreto 019 de 2012: Suprimir o reformar regulaciones, procedimientos y
trámites innecesarios existentes en la Administración Pública.
NTC 5854 de 2012: Accesibilidad a páginas web.
Decreto 2364 de 2012: Firma electrónica.
Ley estatutaria 1618 de 2013: Ejercicio pleno de las personas con
discapacidad.
Gestión TI
Directiva Presidencial No. 10 de 2002: Programa de renovación de la
Administración Pública: hacía un Estado Comunitario.
Ley 790 de 2002: Programa de Reforma de la Administración Pública.
Conpes 3248 de 2003: Renovación de la Administración Pública.
Decreto 3816 de 2003: Comisión Intersectorial de Políticas y de Gestión de la
Información para la Administración Pública.
Decreto 235 de 2010: Intercambio de información entre entidades para el
cumplimiento de funciones públicas.
Seguridad y privacidad de la información
Ley 1266 de 2008: Disposiciones generales de habeas data y se regula el
manejo de la información.
Ley 1273 de 2009: Código Penal.
Ley Estatutaria 1581 de 2012: Protección de datos personales.
10
MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Audiencia
Entidades públicas de orden nacional y territorial, así como proveedores de servicios de
Gobierno en Línea, y terceros que deseen adoptar el Modelo de Seguridad y Privacidad de la
información en el marco de la Estrategia de Gobierno en Línea.6
Introducción
El Ministerio de Tecnologías de la Información y las Comunicaciones - MinTIC, es la entidad
encargada de diseñar, adoptar y promover las políticas, planes, programas y proyectos del
sector de las Tecnologías de la Información y las Comunicaciones.
El Modelo de Seguridad y Privacidad de la Información – MSPI, conduce a la preservación
de la confidencialidad, integridad, disponibilidad de la información, permitiendo garantizar
la privacidad de los datos, mediante la aplicación de un proceso de gestión del riesgo,
brindando confianza a las partes interesadas acerca de la adecuada gestión de riesgos.
A través del decreto único reglamentario 1078 de 2015, del sector de Tecnologías de
Información y las Comunicaciones, se define el componente de seguridad y privacidad de la
información, como parte integral de la estrategia GEL.
Objetivos7
Objetivo general
Generar un documento de lineamientos de buenas prácticas en Seguridad y Privacidad para
las entidades del Estado.
Objetivos específicos
Mediante la utilización del Modelo de Seguridad y Privacidad para las Entidades del
Estado, se busca contribuir al incremento de la transparencia en la gestión pública.
Promover el uso de mejores prácticas de seguridad de la información, para ser la base
de aplicación del concepto de Seguridad Digital.
6 Vive digital Colombia. Sobre la audiencia para el Modelo de Seguridad y Privacidad de la Información. MINTIC. 2016. 7 Vive digital Colombia. Sobre los objetivos del Modelo de Seguridad y Privacidad de la Información. MINTIC. 2016.
11
Dar lineamientos para la implementación de mejores prácticas de seguridad que
permita identificar infraestructuras críticas en las entidades.
Contribuir a mejorar los procesos de intercambio de información pública.
Orientar a las entidades en las mejores prácticas en seguridad y privacidad.
Optimizar la gestión de la seguridad de la información al interior de las entidades.
Orientar a las entidades en la transición de lPv4 a IPv6 con la utilización de las guías
disponibles para tal fin.
Orientar a las entidades en la adopción de la legislación relacionada con la protección
de datos personales.
Contribuir en el desarrollo del plan estratégico institucional y la elaboración del plan
estratégico de tecnologías de la información y de las comunicaciones.
Contribuir en el desarrollo del ejercicio de arquitectura empresarial apoyando en el
cumpliendo de los lineamientos del marco de referencia de arquitectura empresarial
para la gestión de TI del estado colombiano.
Orientar a las entidades destinatarias en las mejores prácticas para la construcción de
una política de tratamiento de datos personales respetuosa de los derechos de los
titulares.
Optimizar la labor de acceso a la información pública al interior de las entidades
destinatarias.
Revisar los roles relacionados con la privacidad y seguridad de la información al
interior de la entidad para optimizar su articulación.
Modelo de seguridad y privacidad de la información
El modelo de seguridad y privacidad de la información contempla un ciclo de operación que
consta de cinco (5) fases, las cuales permiten que las entidades puedan gestionar
adecuadamente la seguridad y privacidad de sus activos de información.8
El componente de TIC para Gobierno Abierto se alinea con el componente de Seguridad y
Privacidad de la Información que permite la construcción de un estado más transparente,
colaborativo y participativo al garantizar que la información que se provee tenga controles
de seguridad y privacidad de tal forma que los ejercicios de interacción de información con
el ciudadano, otras entidades y la empresa privada sean confiables.
8 Vive digital Colombia. Sobre el Modelo de Seguridad y Privacidad de la Información. MINTIC. 2016.
12
ISO/IEC 27004 – MEDICIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
ISO 27004 facilita una serie de mejores prácticas para poder medir el resultado de un SGSI
basado en ISO 27001.
ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño y complejidad
de la organización, de la relación coste beneficio y del nivel de integración de la seguridad
de la información en los procesos de la propia organización.
Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la seguridad de
la información son:
Selección procesos y objetos de medición.
Definición de las líneas base.
Recopilación de datos.
Desarrollo de un método de medición.
Interpretación de los valores medidos.
Comunicación de los valores de medición.
ISO 27001: AUDITORÍAS INTERNAS DEL SGSI
El principal objetivos de que se realicen las auditorías internas periódicamente es poder
determinar si los objetivos, los controles, los procesos y los procedimientos del Sistema de
Gestión de Seguridad de la Información se encuentran:
Conformes a los requisitos que establece el estándar internacional ISO27001, además
de la legislación y los reglamentos correspondientes.
Acorde a los requisitos establecidos en seguridad de la información.
Eficazmente implementados y mantenidos.
Comportándose de la manera esperada.
El programa de auditoría se planifica contando con el nivel de importancia de los procesos y
de las áreas que van a ser auditadas, además se debe contar con los resultados obtenidos de
auditorías previas. Se tienen que definir los criterios utilizados durante la auditoría, el
alcance, la frecuencia y los métodos utilizados.
Se debe contar con un procedimiento documentado en el que se especifiquen las
responsabilidades, los requisitos y la dirección de las auditorías, además se debe emitir un
informe con los resultados obtenidos.
13
SEGURIDAD INFORMÁTICA
En informática, como en tantas facetas de la vida, la seguridad entendida según la definición
anterior es prácticamente imposible de conseguir, por lo que se ha relajado y se tiende más
al concepto de fiabilidad; se entiende un sistema seguro como aquel que se comporta como
se espera de él.9
De los sistemas informáticos, ya sean sistemas operativos, servicios o aplicaciones, se dice
que son seguros si cumplen las siguientes características:
Confiabilidad. Requiere que la información sea accesible únicamente por las
entidades autorizadas.
Integridad. Requiere que la información sólo pueda ser modificada por las
entidades autorizadas. Las modificaciones incluyen escritura, cambio, borrado,
creación y reenvío de los mensajes transmitidos.
No repudio. Ofrece protección a un usuario frente a otro usuario que niegue
posteriormente que se realizó cierta comunicación.
Disponibilidad. Requiere que los recursos del sistema informático estén
disponibles a las entidades autorizadas cuando los necesiten.
Amenazas de seguridad
Se entiende por amenaza una condición del entorno del sistema de información (por ejemplo,
persona, máquina, etc.) que, dada una oportunidad, podría dar lugar a que se produjese una
violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo).
Las amenazas de seguridad pueden caracterizarse modelando el sistema como un flujo de
información; desde una fuente, como por ejemplo un fichero o un equipo, a un destino, como
por ejemplo otro fichero o un usuario.10
Cuatro categorías general de amenazas o ataques son los siguientes:
Interrupción. Un recurso del sistema es destruido o deja de estar disponible. Este es
un ataque contra la disponibilidad.
9 GÓMEZ, Julio. Sobre conceptos básicos de seguridad de la información. Guía de campo Hackers aprende a atacar y a defenderte. México: Alfaomega, 2010. p. 17. 10 GÓMEZ, Julio. Sobre amenazas de seguridad. Guía de campo Hackers aprende a atacar y a defenderte. México: Alfaomega, 2010. p. 18.
14
Intercepción. Una entidad no autorizada consigue acceso a un recurso. Éste es un
ataque contra la confidencialidad. La entidad no autorizada puede ser una persona, un
programa o un ordenador.
Modificación. Una entidad no autorizada no sólo consigue acceder a un recurso, sino
que es capaz de manipularlo. Éste es un ataque contra la integridad.
Fabricación. Un ataque contra la autenticidad es cuando una entidad no autorizada
inserta objetos falsificados en el sistema.
Seguridad lógica
Principios de la seguridad lógica
La mayoría de los daños que puede sufrir un sistema informático no será solo los medios
físicos sino contra información almacenada y procesada. El activo más importante que se
posee es la información y por tanto deben existir técnicas más allá de la seguridad física que
la asegure, estas técnicas las brinda la seguridad lógica.11
Técnicas de control de acceso
Estos controles pueden implementarse en la BIOS, el S.O, sobre los sistemas de aplicación,
en las DB, en un paquete específico de seguridad o en cualquier otra aplicación. Constituyen
una importante ayuda para proteger al S.O de la red, al sistema de aplicación y demás
software de la utilización o modificaciones no autorizadas.
Identificación y autenticación
Se denomina identificación al momento en que el usuario se da a conocer en el
sistema y autenticación a la verificación que se realiza en el sistema sobre esta
identificación.
Roles
El acceso a la información también puede controlarse a través de la función perfil o
rol del usuario que requiere dicho acceso.
Limitaciones a los servicios
Estos controles se refieren a las restricciones que dependen de parámetros propios de
la utilización de la aplicación o preestablecidos por el administrador del sistema.
Modalidad de acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y la
información esta modalidad puede ser:
Lectura
11 SMR, Seguridad Informática. Sobre los principios de la seguridad lógica. Tema 3 – Seguridad Lógica. WIKI DE SEGURIDAD INFORMÁTICA. 2017.
15
Escritura
Ejecución
Borrado
Todas las anteriores
Además existen otras modalidades de acceso especiales:
Creación: permite al usuario crear archivos nuevos, registros o campos.
Búsqueda: permite listar los archivos de un directorio determinado
Ubicación y horarios
El acceso a determinados recursos del sistema puede estar basado en la ubicación
física o lógica de los datos o personas. En cuanto a los horarios este tipo de controles
permite limitar el acceso de los usuarios a determinadas horas del día o a
determinados días de la semana. Se debe mencionar que en estos dos tipos de
controles siempre deben ir acompañados de algunos de los controles anteriormente
mencionados.
SEGURIDAD DE LA INFORMACIÓN
Sistema de Gestión de Seguridad de la Información
La Seguridad de la Información se puede definir como conjunto de medidas técnicas,
organizativas y legales que permiten a la organización asegurar la confidencialidad,
integridad y disponibilidad de su sistema de información.12
Los sistemas informáticos permiten la digitalización de todo este volumen de información
reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana
en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la
presentación de dicha información.
Seguridad de la información: modelo PDCA
El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es
identificar los 'activos de información' que deben ser protegidos y en qué grado.
12 OBSERVATORIO TECNOLÓGICO, MONOGRÁFICO: Introducción a la seguridad informática - Seguridad de la información / Seguridad informática. Sobre la Seguridad de la información.
16
Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar,
Hacer, Verificar, Actuar y volver a repetir el ciclo.
Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se
eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de
seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan
en su totalidad.13
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan
en Actuar, consiguiendo así mejorar la seguridad.
Figura 1. Ciclo PDCA
Observatorio tecnológico
PLANIFICAR (Plan): consiste en establecer el contexto en él se crean las políticas de
seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de
aplicabilidad
HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información,
implementar el plan de riesgos e implementar los controles.
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora,
acciones preventivas y acciones correctivas.
13 OBSERVATORIO TECNOLÓGICO, MONOGRÁFICO: Introducción a la seguridad informática - Seguridad de la información / Seguridad informática. Sobre el modelo PDCA.
17
AUDITORIA DE SISTEMAS DE INFORMACIÓN
La auditoría en informática es la revisión y la evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participan en el procesamiento de la información, a fin de
que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente
y segura de la información que servirá para una adecuada toma de decisiones.
La auditoría en informática es de vital importancia para el buen desempeño de los sistemas
de información, ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática,
organización de centros de información, hardware y software).14
Planeación de la auditoría e informática
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie
de pasos previos que permitirán dimensionar el tamaño y características de área dentro del
organismo a auditar, sus sistemas, organización y equipo. La planeación es fundamental, pues
habrá que hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general
sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer
una investigación preliminar y algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la misma.
Investigación preliminar
Se deberá observar el estado general del área, su situación dentro de la organización, si existe
la información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada una
de las áreas basándose en los siguientes puntos:
Administración: Se recopila la información para obtener una visión general del
departamento por medio de observaciones, entrevistas preliminares y solicitud de
documentos para poder definir el objetivo y alcances del departamento.
14 Gerencie.com, Auditoría de sistemas de información. Sobre que es auditoría de sistemas.
18
Sistemas: Descripción general de los sistemas instalados y de los que estén por
instalarse que contengan volúmenes de información.
Importancia de auditoría informática en una empresa
La adecuada planeación de una organización, propicia el espacio para sus evaluaciones, que
permite dimensionar sus principales características, dando la oportunidad de organización a
través de una auditoría contable para garantizar su buen desempeño , proporcionando a su
vez mejor control en su implementación sistemática; rentabilidad a la organización,
eficiencia y seguridad en el procesamiento de la información , y un manejo más seguro de la
información que facilita la toma de decisiones de una forma más seguras y veraz.
1.7.3 Marco conceptual
A continuación se hará referencia a ítems en donde los Sistemas de Seguridad de la
Información (SGSI) son parte importante para el Gobierno Nacional a través del Ministerio
de Tecnologías de la Información y las Comunicaciones.
ISO (International Organization for Standardization): La organización
Internacional de Normalización, es una organización para la creación de estándares
internacionales compuesto por diversas organizaciones nacionales de
estandarización.
ISO/IEC 27000: Esta norma proporciona una visión general de las normas que
componen la serie 27000, indicando para cada una de ellas su alcance de actuación y
el propósito de su publicación.
ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema
de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que
ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores
externos los SGSIs de las organizaciones.
ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de
control y controles recomendables en cuanto a seguridad de la información. No es
certificable.
ISO/IEC 27004: Es una guía para el desarrollo y utilización de métricas y técnicas
de medida aplicables para determinar la eficacia de un SGSI y de los controles o
grupos de controles implementados según ISO/IEC 27001. No certificable.
SGSI: Un sistema de gestión de la seguridad de la información (SGSI) (en inglés:
information security management system, ISMS) es, un conjunto de políticas de
administración de la información. El término es utilizado principalmente por la
ISO/IEC 27001, aunque no es la única normativa que utiliza este término o concepto.
19
SEGURIDAD SE LA INFORMACIÓN: Es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnológicos que permiten
resguardar y proteger la información buscando mantener la confidencialidad, la
disponibilidad e integridad de datos y de la misma.
AUDITORÍA INFORMÁTICA: Es un proceso que consiste en recoger, agrupar y
evaluar evidencias para determinar si un Sistema de Información salvaguarda el
activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple
con las leyes y regulaciones establecidas.
GOBIERNO EN LÍNEA (GEL): Es una estrategia definida por el Gobierno
Nacional mediante el Decreto 1151 de 2008, que pretende lograr un salto en la
inclusión social y en la competitividad del país a través de la apropiación y el uso
adecuado de las Tecnologías de la Información y las Comunicaciones (T.I.C).
1.8 FACTIBILIDAD
1.8.1 Factibilidad técnica Para el desarrollo satisfactorio de este proyecto, se tienen los
conocimientos necesarios acerca de las normas de la familia ISO/IEC 27000, de manera
concreta con las normas ISO/IEC 27001:2013, ISO/IEC 27002:2013 y ISO/IEC 27004:2009.
De igual manera se utilizaran dos equipos de cómputo con las características que se describen
a continuación.
Sistema operativo Windows 10 Home Single Language.
Microsoft Office Professional Plus 2013.
Microsoft Project Professional 2013.
Microsoft Visio Professional 2013.
1.8.2 Factibilidad operativa Dado que el proyecto estará diseñado bajo los lineamientos
del Modelo de Seguridad y Privacidad de la información, se garantiza que el uso de la norma
ISO/IEC 27004:2009, estará acorde para llevar a cabo las actividades medición, determinar
la efectividad de un SGSI y de los controles o grupo de controles para las entidades públicas
de orden nacional y territorial, así como proveedores de servicios de Gobierno en Línea, y
terceros que han adoptado el modelo del Ministerio de Tecnologías de la Información y las
Comunicaciones.
1.8.3 Factibilidad legal En este aspecto, los ejecutores del proyecto, cuentan con el
licenciamiento necesario de los productos de software y servicios Microsoft mencionados
20
anteriormente, de igual manera se cuenta con cada una de las normas necesarias de la familia
ISO/IEC 27000 para llevar a cabo el desarrollo del modelo.
1.8.4 Factibilidad económica La factibilidad económica del proyecto es alta, ya que los
recursos necesarios en términos financieros, son mínimo. Se compone de dos equipos de
cómputo, asesorías por parte del tutor del proyecto, acceso a Internet y papelería para realizar
el modelado del proyecto.
En las tablas que se presentan a continuación, se describe la factibilidad económica,
identificando los costos de papelería, hardware, software y recursos humanos necesarios para
la realización del proyecto que se propone.
Estas se dividieron en tres aspectos, recursos humanos, recursos técnicos y otros recursos, la
distinción de los recursos humanos se presenta en la Tabla 1 Factibilidad de Recursos
Humanos. Aquí se presenta las asesorías profesionales que se tendrán y los gastos de los
analistas.
Tabla 1 Factibilidad Económica - Recursos Humanos
TIPO DESCRIPCIÓN VALOR-
HORA
CANTIDAD PROVEEDOR TOTAL
Asesor
Técnico
Asesorías
profesionales para
la realización del
proyecto, referente
a la metodología.
$ 40.000 80 Equipo de
trabajo
$ 3.200.000
Analistas Dos analistas que
realicen el
reconocimiento de
las normas
ISO/IEC 27000 y
la implementación
de la solución.
$ 25.000 10 horas
semanales
Equipo de
trabajo
$ 5.000.000
Total Recursos Humanos $ 8.200.000
Los autores
A continuación en la Tabla 2 se presentarán los gastos de los recursos técnicos, que se
muestran en el desarrollo del proyecto.
21
Tabla 2 Factibilidad Económica - Recursos Técnicos
RECURSO DESCRIPCIÓN VALOR
UNITARIO
CANT PROVEEDOR TOTAL
Computado
r portátil
Lenovo
ideapad
S400U
Procesador:
Intel Core
i5-3317U
Memoria
RAM: 4GB
Almacenam
iento:
500GB
Equipo portátil
para el desarrollo
pertinente de la
documentación
respectiva,
análisis del
modelo de
seguridad de
Gobierno en
línea.
$ 2.000.000 1 Grupo de
trabajo
$ 2.000.000
Computado
r portátil
Lenovo
G400
Procesador:
Intel
Pentium
2020M
Memoria
RAM: 4GB
Almacenam
iento:
500GB
Equipo portátil
para el desarrollo
pertinente de las
pruebas de
implementación
del modelo de
medición.
$ 1.500.000 1 Grupo de
trabajo
$ 1.500.000
Windows
10 Home
Single
Language
Sistema operativo
para los equipos
de cómputo.
$ 200.000 2 Grupo de
trabajo
$ 400.000
Microsoft
Office
Professional
Plus 2013
Paquete de
ofimática básico.
$ 250.000 2 Grupo de
trabajo
$ 500.000
Microsoft
Project
Prefessional
2013
Software de
administración de
proyectos.
$ 150.000 1 Grupo de
trabajo
$ 150.000
Microsoft
Visio
Professional
2013
Software de
dibujo vectorial
$ 150.000 1 Grupo de
trabajo
$ 150.000
Total Recursos Técnicos $ 4.700.000
Los autores
22
De igual manera se muestran los gastos adicionales en la Tabla 3 que serán solventados por
los ejecutores del proyecto.
Tabla 3 Factibilidad Económica Costo Total
RECURSO VALOR
Total Recursos Humanos $ 8.200.000
Total Recursos Técnicos $ 4.700.000
Total Otros recursos $ 500.000
Costos imprevistos (10%) $ 520.000
TOTAL COSTO $13.920.000
Los autores
23
1.9 CRONOGRAMA DE ACTIVIDADES
Figura 2. Cronograma de actividades
Los autores
24
2. LINEAMIENTOS PARA LA EVALUACIÓN EFECTIVA DE CONTROLES
IMPLEMENTADOS CON EL MODELO DE PRIVACIDAD Y SEGURIDAD
A través de este capítulo se mostrarán cada uno de los lineamientos que han sido
implementados para lograr una evaluación efectiva de los controles que han sido
implementados por las Entidades gubernamentales colombianas, que de igual manera
hicieron uso del Modelo de Seguridad y Privacidad del Ministerio de Tecnologías de la
Información y las Comunicaciones, para establecer su correspondiente SGSI.
2.1 DEFINICIÓN DEL ALCANCE DE LAS MEDICIONES
Partiendo de que las Entidades gubernamentales en el territorio colombiano, para establecer
sus políticas, su propio Sistema de Gestión y Seguridad de la Información, hacen uso del
Modelo brindado por el programa Gobierno en Línea. Al momento de definir el alcance de
la medición efectiva de dicho SGSI implementado, es necesario tener en cuenta que estas
Entidades hacen uso de la Guía de Controles de Seguridad de la Información15 en donde se
especifican los controles y grupos de controles a evaluar según la norma ISO/IEC 27002.
Éstas a su vez están delimitando el alcance de la evaluación final del SGSI, ya que la elección
de dichos controles depende de la prioridad otorgada la alta dirección.
Figura 3. Fragmento de guía de controles de Seguridad y Privacidad de la Información
Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia
15 MINTIC. BIBLIOTECA DE SEGURIDAD. En: FORTALECIMIENTO DE LA GESTIÓN TI EN EL ESTADO.
25
2.2 SELECCIÓN DEL OBJETO DE MEDICIÓN Y SUS ATRIBUTOS
Es necesario que en la Entidad se identifique cada uno de los objetos de medición con sus
respectivos atributos, en el contexto general del SGSI de la organización. Estos objetos de
medición se deben seleccionar con base a la prioridad dada al grupo de controles
seleccionados en la Entidad al momento de implementar su Sistema de Seguridad.
Los valores que se asignen a una medida base se obtienen aplicando un método de medición
apropiado para los atributos seleccionados. Las características de los atributos seleccionados
determinan el tipo del método de medición a utilizar para obtener los valores que se van a
asignar a las medidas base, los cuales pueden ser cualitativos o cuantitativos.
De igual manera se han de utilizar datos que describan el objeto de medición y los atributos
correspondientes, como los valores a ser asignados a las medidas base como lo pueden ser:
Productos.
Servicios.
Procesos.
Instalaciones.
Aplicaciones y sistemas de información.
Unidades de negocio.
Ubicaciones geográficas.
Servicios tercerizados.
2.3 DESARROLLO DE LAS ESTRUCTURAS DE MEDICIÓN
2.3.1 Selección de la medida
Es necesario identificar las medidas que satisfagan potencialmente la necesidad de
información seleccionada, se recomienda que las medidas seleccionadas reflejen la prioridad
de las necesidades de información. Los criterios para la selección de medidas incluyen:
Facilidad para la recolección de datos.
Disponibilidad de los recursos humanos para recolectar y gestionar los datos.
Disponibilidad de las herramientas apropiadas.
Facilidad para la interpretación.
Número de usuarios de los resultados de medición desarrollados..
26
2.3.2 Método de medición
Para cada medida base individual se define un método de medición. Dicho método de
medición se utiliza para cuantificar un objeto de medición, a través de la transformación de
los atributos en que se van a asignar a la medida base.
Un método de medición puede ser subjetivo u objetivo. Los métodos subjetivos se basan en
la cuantificación, involucrando el juicio humano, mientras que los métodos objetivos
utilizan la cuantificación basada en reglas numéricas, el cual se puede implementar por
medios humanos o automáticos.
El método de medición cuantifica los atributos como valores al aplicar la escala apropiada.
Cada escala utiliza unidades de medición. Sólo se comparan directamente las cantidades
expresadas en la misma unidad de medición.
Se recomienda que el método de medición sea consistente a través del tiempo, de manera que
los valores asignados a la medida base, tomadas en tiempos distintos, sean comparables y,
que los valores asignados a una medida derivada y a un indicador también sean
comparables.
Una vez realizados los métodos de medición es asociarlo a un tipo de escala, las clases de
escala pueden ser:
Ratio: Uso de escalas de distancia.
Nominal: Uso de valores categóricos.
Intervalos: Uso de máximos y mínimos.
Ordinal: Uso de valores ordenados.
2.3.3 Función de medición
Por cada medida derivada individual, se recomienda que se defina una función de medición,
la cual sea aplicable a dos o más valores asignados a medidas base. Dicha función de
medición se utiliza para transformar los valores asignados a una o más medidas base, al valor
que se va asignar a una medida derivada. En algunos casos, una medida base puede contribuir
directamente al modelo analítico además de una medida derivada.
2.3.4 Modelo analítico
Por cada indicador, se recomienda que se defina un modelo analítico con el propósito
de transformar uno o más valores asignados a una medida base y/o derivada, en valores
que se van a asignar al indicador.
27
El modelo analítico combina medidas relevantes, de una manera que produzca una
salida que tenga significado para las partes interesadas.
2.3.5 Indicadores
Los formatos para la presentación de los indicadores presentarán visualmente las medidas
y proveerán una explicación detallada de los indicadores. Para el Modelo de Medición de
Seguridad de la Información planteado, se hará uso de identificadores de colores teniendo en
cuenta cada uno de los Modelos analíticos planteados.
Modelo analítico objetivo-porcentual (rojo, amarillo, verde)
Figura 4. Visualización de rangos de medición
Los autores
0
10
20
30
40
50
60
70
80
90
100
Rojo (0 % - 60 %) Amarillo (61% - 90%) Verde (91% - 100%)
Visualización de rangos de medición
No cumple Parcialmente Cumple
28
Modelo analítico objetivo-porcentual (cumple, No cumple)
Figura 5. Visualización de rangos de medición (cumple, No cumple)
Los autores
Modelo analítico subjetivo (cumple, No cumple)
Figura 6. Visualización gráfica de modelo analítico subjetivo
Los autores
0
10
20
30
40
50
60
70
80
90
100
Rojo (0% - 90%) Verde (91% - 100%)
Visualización de rangos de medición
No cumple Cumple
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Rojo Verde
Visualización gráfica modelo analítico subjetivo
No cumple Cumple
29
2.3.6 Criterios de decisión
Se recomienda que se definan y documenten los criterios de decisión correspondiente a
cada indicador, basado en los objetivos de seguridad de la información, para proveer una
guía de acción a las partes interesadas. Para el modelo de medición planteado, el criterio
de decisión está relacionado con el tipo de modelo analítico utilizado en cada una de las
estructuras de medición, analizado de la siguiente manera:
Modelo analítico objetivo-porcentual (rojo, amarillo, verde)
Rojo: Se requiere intervención, es necesario efectuar un análisis de las causas para
determinar las razones del no cumplimiento o rendimiento pobre.
Amarillo: Se recomienda que se siga de cerca este indicador por la posibilidad de
que se deslice a Rojo.
Verde: No se requiere acción, continuar con el proceso como se viene
desarrollando.
Modelo analítico objetivo-porcentual (No cumple, cumple)
0-90% - NO CUMPLE; 91-100% - CUMPLE
NO CUMPLE: Se requiere intervención, es necesario efectuar un análisis de las
causas para determinar las razones del no cumplimiento.
CUMPLE: No se requiere acción, continuar con el proceso como se viene
desarrollando.
Modelo analítico subjetivo (cumple, No cumple)
0 - NO CUMPLE; 1 – CUMPLE
NO CUMPLE: Se requiere intervención, es necesario efectuar un análisis de las
causas para determinar las razones del no cumplimiento.
CUMPLE: No se requiere acción, continuar con el proceso como se viene
desarrollando.
2.3.7 Partes interesadas
Por cada medida base y/o derivada, se recomienda que se identifiquen y documenten
las partes interesadas apropiadas. Para el modelo de medición planteado, se realiza la
evaluación de los siguientes ítems, con el objetivo de conocer de manera detallada el área a
la cual se encuentra “ligada” dicha medición.
Cliente de la medición.
Revisor de la medición.
Propietario de la información.
Recolector de la información.
A continuación, se hace relación a la plantilla de medición realizada para poder efectuar la
respectiva evaluación de los controles y/o objetivos de control que hacen parte de la
30
implementación del Sistema de Seguridad de la Información en las Entidades
Gubernamentales, que han hecho uso del Modelo de seguridad y privacidad diseñado por
Gobierno en línea. Dicha plantilla hace uso de los criterios de evaluación más relevantes
partiendo de la norma ISO/IEC 27004, esto con el objetivo de hacer una evaluación mucho
más efectiva.
Tabla 4. Plantilla para la medición de seguridad
Identificación de la estructura de medición
Nombre de la estructura de medición
Identificador numérico
Propósito de la estructura de
medición
Objetivo del control / proceso
Control(1)/proceso(1)
Control(2)/proceso(2)
Objeto de medición y atributos
Objeto de medición
Atributo
Especificación de medidas base (para cada medida base [1..n])
Método de medición
Especificación de medida derivada
Función de medición
Especificación del indicador
Indicador
Modelo analítico
Especificación de los modelos de decisión
Criterios de decisión
Resultados de medición
Interpretación de un indicador
31
Partes interesadas
Cliente de la medición
Revisor de la medición
Propietario de la información
Recolector de la información
Frecuencia / Periodicidad
Frecuencia de la recolección de datos
Frecuencia del análisis de datos
Frecuencia del informe de los
resultados de la medición
Revisión de la medición
Período de medición
Los autores
En el Anexo A de este documento es posible observar la implementación completa del
Modelo de Medición para el Sistema de Gestión de Seguridad de la Información
implementado en las entidades gubernamentales, en este se contemplan cada uno de los
objetivos de control como marco de referencia, de igual manera con los respectivos controles
a los que se hace referencia en la norma ISO/IEC 27002:2013. Se ha diseñado teniendo en
cuenta de manera general cada uno de los ítems que tiene la posibilidad de implementar las
Entidades del Estado colombiano, ya que como se mencionaba en otro apartado, los objetivos
de controles seleccionados por la organización, definen el alcance de las mediciones. Es
válido aclarar que se están siguiendo los lineamientos de la estrategia de Gobierno en Línea
(GEL).
2.4 OPERACIONES DE MEDICIÓN DE SEGURIDAD
La operación de medida de seguridad de información incluye actividades que son esenciales
para asegurar que los resultados obtenidos en la medición proporcionen información precisa
con respecto a la eficacia de una aplicación SGSI, controles o grupo de controles y la
necesidad de acciones de mejora apropiadas. Esta actividad incluye el texto siguiente:
32
La integración de los procedimientos de medición en el funcionamiento general del
SGSI.
Reunir, almacenar y verificar los datos.
2.4.1 Integración del procedimiento
El programa de medición de seguridad de la información debe estar plenamente integrada y
utilizada por el SGSI. Este comprende:
la definición y documentación de roles, autoridades y responsabilidades, con respecto
al desarrollo, implementación y mantenimiento de la medición de la seguridad de la
información.
la comunicación a las partes interesadas pertinentes de los cambios en las actividades
de recolección de datos.
Haciendo uso de esos criterios, a través del Modelo de medición de Seguridad de la
Información, en la sección “Partes interesadas”, se indica de manera general los
departamentos o áreas que deben ser responsables del tratamiento y custodia de dicha
información de igual manera responsables ante el ente auditor de proporcionar datos
verídicos.
2.4.2 Recolección, almacenamiento y verificación de datos
En el siguiente apartado, se realizan actividades de recolección de datos para efectuar la
respectiva medición en el Sistema de Gestión de Seguridad de la Información de las
Entidades Gubernamentales, se ha realizado la creación de una plantilla, que tiene como
objetivo recopilar los datos producto de la ejecución de la evaluación respectiva. Dicha
plantilla está diseñada para recolectar la información teniendo en cuenta los distintos modelos
analíticos mencionados anteriormente en este proyecto.
A continuación, se muestra la forma en que se recolecta la información para el modelo
analítico “objetivo-porcentual (rojo, amarillo, verde)”, se recomienda diligenciar la sección
de indicadores con los colores correspondientes en la plantilla.
Tabla 5. Plantilla 1 para ejecutar la evaluación de SGSI
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Rojo Amarillo Verde %
Los autores
33
A continuación, se muestra la forma en que se recolecta la información para los modelos
analíticos “objetivo-porcentual (cumple, No cumple)” y “subjetivo (cumple, No cumple)”,
se recomienda diligenciar la sección de indicadores con los colores correspondientes en la
plantilla.
Tabla 6. Plantilla 2 para ejecutar la evaluación de SGSI
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Los autores
En el Anexo B de este documento es posible observar cada una de las plantillas con la
estructura de medición correspondiente para iniciar la respectiva evaluación y recolección de
información de los controles y grupos de controles que han sido utilizados en las Entidades
Gubernamentales, todo esto siguiendo los lineamientos de Gobierno en Línea (GEL).
34
3. RECOMENDACIONES A SEGUIR PARA REALIZAR LAS MEDICIONES
APROPIADAS DENTRO DE LINEAMIENTOS DE GOBIERNO EN LÍNEA
A través de este capítulo, se relacionan algunos argumentos que se deben tener en cuenta
como guía fundamental para la realización de la respectiva medición de los objetivos de
control y controles utilizados en la implementación del Sistema de seguridad en cualquier
entidad gubernamental. Estas recomendaciones tienen el objetivo de realizar una correcta
medición sobre el Sistema de Gestión de Seguridad de la Información en una Entidad
Gubernamental.
3.1 ASPECTOS A TENER EN CUENTA UNA VEZ FINALIZADA LA MEDICIÓN
El incumplimiento de la Política de Seguridad y privacidad de la Información deberá
tener como resultado la aplicación de diversas sanciones, conforme a la magnitud y
característica del aspecto no cumplido.
Las políticas de seguridad y privacidad de la información deben ser revisadas al
menos una vez al año y actualizadas según las necesidades o los cambios en procesos
y tecnología que se realicen en la entidad evaluada.
Una vez efectuada la medición se recomienda que la Gerencia de Seguridad prepare
un informe sobre los hallazgos, incidencias y deficiencias encontradas, sus posibles
soluciones y propuestas de mejora.
Una vez efectuada la medición se recomienda actualizar los documentos del SGSI
de la entidad, modificando procedimientos y controles que afecten la seguridad de la
información, si fuese necesario, teniendo en cuenta el informe efectuado por la
Gerencia de Seguridad de la entidad.
Se recomienda que la Alta Dirección revise los resultados de las mediciones internas
anualmente y que se haga un seguimiento semestral de las acciones correctivas.
Igualmente se recomienda realizar auditorías externas con una frecuencia de tres (3)
años, haciendo un seguimiento de las acciones por lo menos anualmente.
3.2 RECOMENDACIONES PARA LA ALTA DIRECCIÓN
La implementación de las políticas de seguridad y privacidad de la información tienen
que estar de acuerdo a lo que indican los estándares internacionales, centrándose en
la aceptación de los requerimientos de mediciones.
35
Se recomienda que existan acuerdos entre el personal que realiza las actividades de
medición y la Alta Dirección, con el fin de demostrar que existe un interés de todas
las áreas de la entidad.
Se recomienda que exista una definición de responsabilidades y roles dentro de la
operación, revisión, implementación, mantenimiento, mejora y monitorización del
programa de medición efectuado dentro de la entidad.
Se recomienda que se comunique el personal que se encuentra involucrado en el
programa de medición.
Las responsabilidades y roles que se recomienda deben ser asignadas sin falta son:
Personal responsable de los requerimientos de las mediciones.
Propietario de la medición.
Personal que dirige e interviene en el programa.
Personal responsable de la evaluación del programa.
Personal responsable de almacenar y recolectar los atributos.
Personal responsable de la comunicación a la entidad, sobre la importancia
del programa de medición así como de sus resultados.
Dentro del modelo de medición de las políticas de seguridad y privacidad de la información
se encuentran tres modelos analíticos para los cuales se deben tener en cuenta las siguientes
recomendaciones:
El primer modelo analítico se define como un modelo Porcentual objetivo en el cual
se encuentran tres Umbrales de medición (Rojo, Amarillo Y Verde) los porcentajes
para cada uno de los umbrales se encuentran definidos en cada una de las tablas del
Modelo aplicado, en este modelo analítico se deben seguir cada una de las
operaciones recomendadas para lograr el resultado de medición más exacto.
El segundo modelo analítico se define como un modelo Porcentual objetivo en el cual
se encuentran dos Umbrales de medición (No Cumple y Cumple) los porcentajes para
cada uno de los umbrales se encuentran definidos en cada una de las tablas del Modelo
aplicado, en este modelo analítico se deben seguir cada una de las operaciones
recomendadas para lograr el resultado de medición más exacto.
El tercer modelo analítico se define como un modelo subjetivo en el cual prima el
criterio del empleado y de la persona que realiza la medición, en este modelo analítico
se determinan unas preguntas puntuales que conllevan a la definición del
cumplimiento o no cumplimiento del control implementado, para este modelo
analítico se recomienda evaluar mínimo dos personas involucradas en el
procedimiento que va a ser objeto de la medición, esto con el fin de confirmar el
cumplimiento o no cumplimiento del control implementado.
36
3.3 RECOMENDACIONES PARA LA EVALUACIÓN DE LAS POLÍTICAS DE
SEGURIDAD
A continuación, se describen las respectivas recomendaciones teniendo en cuenta los
objetivos de control, fundamentos del modelo de medición desarrollado.
A.5 Políticas de seguridad de la información
Tabla 7. Recomendaciones para políticas de seguridad de la información
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
5.1
Directrices establecidas
por la dirección para la
seguridad de la
información
Políticas para
la seguridad de
la información
Es recomendable verificar que
el documento de políticas de
seguridad y privacidad de la
información haya sido
Aprobado, divulgado e
implementado al interior de la
organización.
Revisión de las
políticas para
seguridad de la
información
Es recomendable verificar que
se encuentre documentada la
revisión, actualización y
divulgación de las políticas de
seguridad y privacidad de la
información en la organización.
Los autores
A.6 Organización de la seguridad de la información
Tabla 8. Recomendaciones para la seguridad de la información
Identificador
numérico
Objetivo de control Control (es) Recomendación (es)
6.1
Organización
interna
Roles y
responsabilidades
para la seguridad
de información
Se recomienda verificar que se
encuentran Definidos los roles
y responsabilidades de
seguridad de la información al
interior de la organización.
Separación de
deberes
Se recomienda verificar si se
encuentran Definidos los
deberes en seguridad de la
información de los empleados
de la entidad.
37
Identificador
numérico
Objetivo de control Control (es) Recomendación (es)
Contacto con las
autoridades
Se recomienda verificar que
exista un contacto con las
autoridades en Colombia en el
procedimiento de Gestión de
Incidentes.
Contacto con
grupos de interés
especial
Se recomienda verificar que
existan contactos con grupos de
investigación, páginas de
información, para mantener
actualizada la organización en
seguridad de la información.
Seguridad de la
información en la
gestión de
proyectos
Se recomienda verificar que se
encuentren Definidas las
políticas, normas o estándares
de seguridad en los nuevos
proyectos de la organización.
Los autores
Tabla 9. Recomendaciones adicionales para la seguridad de la información
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
6.2
Dispositivos
móviles y
teletrabajo
Política para
dispositivos
móviles
Se recomienda verificar si existe una
política de acceso a áreas Seguras de
los dispositivos móviles.
Teletrabajo
Si se contempla por parte de la
organización aprobar el teletrabajo, se
recomienda establecer políticas de
acceso remoto a los servidores y/o
aplicaciones de la organización el
cuál debe ser por un canal seguro
(Cifrado) y tener un listado de cuales
empleados y/o contratistas estarán
Autorizados.
Los autores
38
A.7 Seguridad de los recursos humanos
Tabla 10. Recomendaciones para antes de asumir el empleo
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
7.1
Antes de asumir el
empleo
Selección
Se recomienda verificar que dentro
del procedimiento de selección de
personal de la entidad se analicen los
antecedentes de todos los candidatos
de acuerdo con las leyes, reglamentos
y ética pertinentes.
Términos y
condiciones
del empleo
Se recomienda verificar que los
acuerdos contractuales firmados en la
entidad tanto para empleados como
para contratistas establecen sus
responsabilidades y las de la
organización en cuanto a la seguridad
de la información.
Los autores
Tabla 11. Recomendaciones durante la ejecución del empleo
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
7.2
Durante la
ejecución del
empleo
Responsabilidades
de la dirección
Se recomienda verificar si el
contrato laboral cuenta con un
documento en el cual se
defina la aceptación por parte
de los empleados o
contratistas del cumplimiento
de las Políticas de Seguridad
de la Información establecidas
en la organización.
Toma de
conciencia,
educación y
formación en la
seguridad de la
información
Se recomienda verificar si
existe un plan de
capacitaciones a los
empleados y contratistas en
temas de seguridad de la
información, y de igual
manera un plan de
sensibilización al interior de
la organización del SGSI.
Proceso
disciplinario
Se recomienda verificar si
existe un documento donde se
39
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
estipulen las medidas
Disciplinarias que se deben
efectuar en dado caso de que
se evidencie el
incumplimiento de los
procedimientos, normas o
políticas de seguridad de la
información en la
organización.
Los autores
Tabla 12. Recomendaciones para terminación o cambio de empleo
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
7.3
Terminación o
cambio de empleo
Terminación o
cambio de
responsabilidades
de empleo
Se recomienda verificar si
existe un documento de
administración de personal,
donde se indique las
actividades en el momento de
la terminación laboral o
cambios en la contratación de
los empleados o contratistas de
la organización.
Los autores
A.8 Gestión de activos
Tabla 13. Recomendaciones para responsabilidad por los activos
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
8.1
Responsabilidad
por los activos
Inventario
de activos
Se recomienda verificar si existe un
instructivo para el mantenimiento y
actualización del inventario de
activos.
Propiedad
de los
activos
Se recomienda verificar si dentro del
inventario de activos cada uno de los
activos de la organización cuenta con
un propietario definido.
40
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
Uso
aceptable de
los activos
Se recomienda verificar que la
entidad cuenta con una política de
uso aceptable de los activos y esta ha
sido aprobada y divulgada a los
empleados o contratistas.
Devolución
de activos
Se recomienda verificar que exista un
instructivo en el cual se establezca el
proceso para la devolución de activos
de la organización por parte de los
empleados y partes externas de la
organización una vez termine su
empleo, contrato o acuerdo.
Los autores
Tabla 14. Recomendaciones para clasificación de la información
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
8.2
Clasificación de la
información
Clasificación
de la
información
Se recomienda verificar si existe un
proceso formal donde se determine
la clasificación de la información
de la organización.
Etiquetado de
la información
Se recomienda verificar que La
documentación de la organización
cuente con etiquetado según los
niveles de clasificación definidos y
establecidos por la organización.
Manejo de
activos
Se recomienda verificar que el
manejo de la información este
definido en el proceso o
procedimiento de clasificación de la
información y que este dependa de
su nivel de clasificación.
Los autores
Tabla 15. Recomendaciones para manejo de los soportes de almacenamiento
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
8.3
Manejo de los
soportes de
almacenamiento
Gestión de
medios
removibles
Se recomienda Verificar si existe
una política, procedimiento o
estándar para la compra, manejo
41
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
o eliminación de medios
removibles en la organización
Disposición de
los medios
Se recomienda verificar si existe
una política, procedimiento o
estándar para la compra, manejo
o eliminación de medios
removibles en la organización
Transferencia
de medios
físicos
Se recomienda verificar si existe
una política, procedimiento o
estándar para la compra, manejo
o eliminación de medios
removibles en la organización
Los autores
A.9 Control de acceso
Tabla 16. Recomendaciones para requisitos del negocio para control de acceso
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
9.1
Requisitos del
negocio para control
de acceso
Política de
control de
acceso
Se recomienda verificar si se
encuentra definida una política de
control de acceso con base a los
requisitos del negocio y de
seguridad de la información de la
entidad.
Política sobre
el uso de los
servicios de
red
Se recomienda verificar si existe
un instructivo para la definición de
autorizaciones para el acceso de
los usuarios a la red y a los
servicios de la red dentro de la
entidad.
Los autores
42
Tabla 17. Recomendaciones para gestión de acceso de usuarios
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
9.2
Gestión de acceso
de usuarios
Registro y
cancelación
del registro
de usuarios
Se recomienda verificar si existe un
proceso de creación y cancelación
de usuarios, para tener control de
los usuarios que acceden a las
aplicaciones.
Suministro
de acceso de
usuarios
Se recomienda verificar que dentro
del proceso o procedimiento que se
defina en la creación y cancelación
de usuarios de igual manera se
encuentren definidos los diferentes
niveles de privilegios que se pueden
asignar a los sistemas de
información.
Gestión de
derechos de
acceso
privilegiado
Se recomienda verificar que dentro del proceso o procedimiento que se
defina en la creación y cancelación
de usuarios de igual manera se
encuentren definidos los diferentes
niveles de privilegios que se pueden
asignar a los sistemas de
información.
Gestión de
información
de
autenticación
secreta de
usuarios
Se recomienda verificar que dentro
del proceso o procedimiento que se
defina en la creación y cancelación
de usuarios de igual manera se
encuentren definidos los diferentes
niveles de privilegios que se pueden
asignar a los sistemas de
información.
Revisión de
los derechos
de acceso de
usuarios
Se recomienda verificar si la
eliminación de los derechos de
acceso se está realizando de
acuerdo con el procedimiento de
administración de personal de la
entidad. Importante verificar si en
el documento se estipula una
frecuencia de revisión de
privilegios de los sistemas de
información.
43
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
Retiro o
ajuste de los
derechos de
acceso
Se recomienda verificar si la
eliminación de los derechos de
acceso se está realizando de
acuerdo con el procedimiento de
administración de personal de la
entidad. Importante verificar si en
el documento se estipula una
frecuencia de revisión de
privilegios de los sistemas de
información.
Los autores
Tabla 18. Recomendaciones para responsabilidades de los usuarios
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
9.3
Responsabilidades
de los usuarios
Uso de la
información de
autenticación
secreta
Se recomienda verificar que exista
una política de contraseñas
seguras y que se lleven a cabo
sensibilizaciones de en el buen
uso de la información de
autenticación secreta de la
entidad.
Los autores
Tabla 19. Recomendaciones para control de acceso a sistemas de información
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
9.4
Control de acceso a
sistemas y
aplicaciones
Restricción de
acceso
Información
De acuerdo con la asignación de
privilegios a los sistemas de
información se debe recomienda
verificar si se restringe el acceso
a la información según el nivel
de clasificación que se tenga.
Procedimiento
de ingreso
seguro
Se recomienda verificar si se
encuentra Definido un
procedimiento de ingreso seguro
a los equipos de cómputo de la
organización.
Sistema de
gestión de
contraseñas
Se recomienda verificar que los
sistemas de gestión de
44
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
contraseñas aseguren la calidad
de las contraseñas.
Uso de
programas
utilitarios
privilegiados
Se recomienda verificar si la
entidad cuenta con
procedimientos que ayuden a
restringir y controlar el uso de
programas utilitarios que
pudieran tener capacidad de
anular el sistema y los controles
de las aplicaciones.
Control de
acceso a códigos
fuente de
programas
Se recomienda verificar si se
encuentra definido un lugar de
almacenamiento de los códigos
fuentes de las aplicaciones de la
entidad donde solo tenga acceso
el personal autorizado para su
consulta.
Los autores
A.10 Criptografía
Tabla 20. Recomendaciones para controles criptográficos
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
10.1
Controles
criptográficos
Política sobre el
uso de controles
criptográficos
Se recomienda verificar si se
encuentra Definida,
documentada e implementada
una política de controles
criptográficos.
Gestión de llaves
Se recomienda verificar si se
encuentra desarrollado un
procedimiento de gestión
centralizada de las llaves y
certificados digitales.
Los autores
45
A.11 Seguridad física y del entorno
Tabla 21. Recomendaciones para áreas seguras
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
11.1
Áreas seguras
Perímetro de
seguridad
física
Se recomienda verificar si dentro del
procedimiento de control de acceso
físico de la entidad se especifican los
controles que se tienen para
garantizar un acceso seguro a las
instalaciones de la entidad para
personal autorizado y que de igual
manera se contemple la solicitud de
permisos a áreas restringidas,
especificando quien es el encargado
de otorgar el permiso y el proceso
que se debe seguir para realizar la
solicitud.
Controles
físicos de
entrada
Se recomienda verificar si dentro del
procedimiento de control de acceso
físico de la entidad se especifican los
controles que se tienen para
garantizar un acceso seguro a las
instalaciones de la entidad para
personal autorizado y que de igual
manera se contemple la solicitud de
permisos a áreas restringidas,
especificando quien es el encargado
de otorgar el permiso y el proceso
que se debe seguir para realizar la
solicitud.
Seguridad de
oficinas,
recintos e
instalaciones
Se recomienda verificar si dentro del
procedimiento de control de acceso
físico de la entidad se especifican los
controles que se tienen para
garantizar un acceso seguro a las
instalaciones de la entidad para
personal autorizado y que de igual
manera se contemple la solicitud de
permisos a áreas restringidas,
especificando quien es el encargado
de otorgar el permiso y el proceso
que se debe seguir para realizar la
solicitud.
46
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
Protección
contra
amenazas
externas y
ambientales
Se recomienda verificar si dentro del
procedimiento de control de acceso
físico de la entidad se especifican los
controles que se tienen para
garantizar un acceso seguro a las
instalaciones de la entidad para
personal autorizado y que de igual
manera se contemple la solicitud de
permisos a áreas restringidas,
especificando quien es el encargado
de otorgar el permiso y el proceso
que se debe seguir para realizar la
solicitud.
Trabajo en
áreas seguras
Se recomienda Verificar si se
encuentran Definidas áreas seguras
en la organización donde el control
de acceso y el acceso con equipos
electrónicos sean restringidos.
Áreas de
despacho y
carga
Se recomienda Verificar si se
encuentran Definidas áreas seguras
en la organización donde el control
de acceso y el acceso con equipos
electrónicos sean restringidos.
Los autores
Tabla 22. Recomendaciones para equipos
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
11.2
Equipos
Ubicación y
protección de
los equipos
Se recomienda verificar si existe
un control de salida de equipos y
un procedimiento de
sensibilización para los usuarios
en la protección física de los
mismos.
Servicios de
suministro
Se recomienda verificar si se
encuentra definido un
procedimiento en el cual se
estipulen las mejores prácticas
para la protección de los activos
de información contra fallas de
energía y otras interrupciones por
47
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
fallas en los servicios de
suministro.
Seguridad del
cableado
Se recomienda verificar si se
encuentra definido un
procedimiento en el cual se
estipulen las mejores prácticas
para la protección del cableado de
potencia y de telecomunicaciones.
Mantenimiento
de equipos
Se recomienda verificar si existe
un instructivo para el
mantenimiento y actualización de
equipos con el fin de asegurar la
disponibilidad e integridad
continúa de los mismos.
Retiro de
activos
Se recomienda verificar si se
encuentra definido un
procedimiento o política que
indique el método de retiro de los
activos de la entidad.
Seguridad de
equipos y
activos fuera de
las instalaciones
Se recomienda verificar si se
encuentra definido un
procedimiento o política
que indique el método para
garantizar la seguridad de los
equipos fuera de las instalaciones
Disposición
segura o
reutilización de
equipos
Se recomienda verificar si se
encuentra definido e
implementado un procedimiento o
política en la organización para
una segura reutilización o
eliminación de los equipos de
cómputo.
Equipos de
usuario
desatendidos
Se recomienda verificar si existe
un documento en el cual se
inventaríen los equipos
desatendidos, con el fin de que se
les dé una protección apropiada a
los mismos.
Política de
escritorio limpio
y pantalla limpia
Se recomienda verificar si se
encuentra definida e
implementada una política para escritorio virtual y físico limpio,
48
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
donde no se permita el
almacenamiento o permanencia de
información confidencial.
Los autores
A.12 Seguridad de las operaciones
Tabla 23. Recomendaciones para procedimientos operaciones y responsabilidades
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
12.1
Procedimientos
operacionales y
responsabilidades
Procedimientos de
operación
documentados
Se recomienda verificar que
todos los procedimientos de
operación se encuentren
debidamente documentados y
que estos sean puestos a
disposición de todos los usuarios que los necesiten.
Gestión de
cambios
Se recomienda verificar si se
encuentra Definido e
implementado un
procedimiento de Gestión de
Cambios para la entidad.
Gestión de
capacidad
Se recomienda Realizar
seguimiento y análisis a los
resultados de la medición,
mantener actas o informes de
las actividades de la medición
para realizar proyecciones de
los requisitos sobre la
capacidad futura.
Separación de los
ambientes de
desarrollo,
pruebas y
operación
Se recomienda verificar si se
encuentran Definidos e
implementados los ambientes
de desarrollo, pruebas y
operación dentro de la entidad.
Los autores
49
Tabla 24. Recomendaciones para protección contra códigos maliciosos
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
12.2
Protección contra
códigos maliciosos
Controles
contra
códigos
maliciosos
Se recomienda verificar si se
encuentran definidos e implementados
controles de detección, prevención y
recuperación para proteger a la
organización contra códigos
maliciosos, de igual manera se
recomienda verificar si existe un plan
de sensibilización para lograr la toma
de conciencia de los usuarios de los
sistemas de información de la entidad.
Los autores
Tabla 25. Recomendaciones para copias de respaldo
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
12.3
Copias de respaldo
Respaldo de
información
Se recomienda verificar si existe una
copia de seguridad del servidor de la
organización, de igual manera se
recomienda confirmar si se hace una
verificación periódica de las copias de
respaldo de los discos compartidos
para revisar su confiabilidad.
Los autores
Tabla 26. Recomendaciones para registro de seguimiento
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
12.4
Registro y
seguimiento
Registro de
eventos
Se recomienda verificar si existe
un canal para el reporte de eventos
de seguridad, y generación
automática de los eventos que se
presenten en los sistemas de
información.
Protección de
la información de registro
Se recomienda verificar se existe
un almacenamiento seguro de los eventos de seguridad que se
presenten en la organización.
Registros del
administrador
y del operador
Se recomienda Verificar si existe
un registro de actividades en los
sistemas de información y
50
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
garantizar un almacenamiento
seguro.
sincronización
de relojes
Se recomienda verificar si todos
los relojes de los sistemas de
procesamiento de información se
encuentran sincronizados con una
única fuente de referencia de
tiempo.
Los autores
Tabla 27. Recomendaciones para control de software operacional
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
12.5
Control de software
operacional
Instalación de
software en
sistemas
operativos
Se recomienda verificar si se
encuentra definido un
procedimiento para controlar la
instalación de software en sistemas
operativos dentro de la entidad.
Los autores
Tabla 28. Recomendaciones para gestión de la vulnerabilidad técnica
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
12.6
Gestión de la
vulnerabilidad
técnica
Gestión de las
vulnerabilidades
técnicas
Se recomienda verificar si se
encuentra Definido un
procedimiento para la gestión
de las vulnerabilidades técnicas
donde se incluya su reporte,
tratamiento y mejora.
Restricciones
sobre la
instalación de
software
Se recomienda verificar si se
encuentra definida e
implementada una
reglamentación para la
instalación de software por
parte de los usuarios de la
organización.
Los autores
51
Tabla 29. Recomendaciones para consideraciones sobre auditorías de sistemas de
información
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
12.7
Consideraciones sobre
auditorias de sistemas
de información
Información
controles de
auditoría de
sistemas
Se recomienda verificar si
existe una planificación
cuidadosa de auditorías, con el
fin de minimizar las
interrupciones en los procesos
del negocio.
Los autores
A.13 Seguridad de las comunicaciones
Tabla 30. Recomendaciones para gestión de la seguridad de las redes
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
13.1
Gestión de la
seguridad de las
redes
Controles de
redes
Se recomienda verificar si se
encuentra implementada una
solución (Ej: Control de Acceso a la
Red) que permita controlar los
equipos de funcionaros y de terceros
que conectan a la red de la
organización.
Seguridad de
los servicios
de red
Se recomienda verificar si se
encuentran documentados todos los
servicios de red, y que estos
implementen los controles de
seguridad que apliquen en cada caso.
Separación
en las redes
Se recomienda verificar si el
procedimiento para la instalación y/o
ampliación de la planta de personal
es la adecuada para una óptima
segmentación de redes.
Los autores
52
Tabla 31. Recomendaciones para transferencia de la información
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
13.2
Transferencia de
información
Políticas y
procedimientos de
transferencia de
información
Se recomienda verificar si se
encuentran Definidas e
implementadas políticas de
transferencia de información
en la organización.
Acuerdos sobre
transferencia de
información
Se recomienda verificar si se
encuentran Definidas e
implementadas políticas de
transferencia de información
en la organización.
Mensajería
electrónica
Se recomienda verificar que
exista cifrado de correo
electrónico y que este se
encuentre activado para todo
el personal de la organización.
Acuerdos de
confidencialidad o
de no divulgación
Se recomienda verificar que
exista cifrado de correo
electrónico y que este se
encuentre activado para todo
el personal de la organización.
Los autores
A.14 Adquisición, desarrollo y mantenimientos de sistemas
Tabla 32. Recomendaciones para requisitos de seguridad de los sistemas de información
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
14.1
Requisitos de
seguridad de los
sistemas de
Información
Análisis y
especificación
de requisitos de
seguridad de la
información
Se recomienda verificar si se
encuentra definida una política
para que en todos los proyectos
de la organización se tenga en
cuenta requisitos de seguridad de
la información.
Seguridad de
servicios de las
aplicaciones en
redes publicas
Se recomienda verificar que la
información involucrada en
servicios de aplicaciones de
redes públicas se encuentren
debidamente protegidas para
evitar actividades fraudulentas,
53
Identificador
numérico
Objetivo de
Control Control(es) Recomendación(es)
disputas contractuales,
divulgación y modificaciones no
autorizadas.
Protección de
transacciones de
los servicios de
las aplicaciones
Se recomienda verificar que la
información involucrada en
servicios de aplicaciones de
redes públicas se encuentren
debidamente protegidas para
evitar actividades fraudulentas,
disputas contractuales,
divulgación y modificaciones no
autorizadas.
Los autores
Tabla 33. Recomendaciones para seguridad en los procesos de desarrollo y soporte
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
14.2
Seguridad en los
procesos de
desarrollo y soporte
Política de
desarrollo seguro
Se recomienda
verificar si existe
una política de
desarrollos seguro
en los sistemas de
información y esta
ha sido divulgada e
implementada en la
organización.
Procedimientos de
control de cambios
en sistemas
Se recomienda
verificar si existe un
procedimiento de
control de cambios
en los sistemas de
información e
infraestructura
tecnológica y esta
ha sido divulgada e
implementada en la
organización.
Revisión técnica de
las aplicaciones
después de cambios
en la plataforma de
operación
Se recomienda
verificar si existe un
procedimiento,
formato o lista de
chequeo cuando se
54
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
realicen cambios en
la plataforma
tecnológica y estos
han sido divulgados
e implementados en
la organización.
Restricciones en los
cambios a los
paquetes de
software
Se recomienda
verificar si existe
una política para la
restricción a los
paquetes de
software y esta ha
sido divulgada e
implementada en la
organización.
Principios de
construcción de
sistemas seguros
Se recomienda
verificar si se
encuentran
desarrollados
estándares de
seguridad de
desarrollo de
software dentro de
la organización.
Ambiente de
desarrollo seguro
Se recomienda
verificar si existen
controles de
seguridad para el
ambiente de
desarrollo de la
organización.
Desarrollo
contratado
externamente
Se recomienda
verificar si la
organización cuenta
con un
procedimiento en el
cual se estipule la
supervisión y
seguimiento que se
realiza a las
actividades de
desarrollo de
55
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
sistemas contratados
externamente.
Pruebas de
seguridad de
sistemas
Se recomienda
verificar si existe un
plan de pruebas de
seguridad a los
actuales y a los
nuevos desarrollos
de la organización,
y que estos cuentan
con una política que
contenga criterios
de aceptación de los
sistemas.
Prueba de
aceptación de
sistemas
Se recomienda
verificar si existe un
plan de pruebas de
seguridad a los
actuales y a los
nuevos desarrollos
de la organización,
y que estos cuentan
con una política que
contenga criterios
de aceptación de los
sistemas.
Los autores
Tabla 34. Recomendaciones para datos de prueba
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
14.3
Datos de prueba
Protección de
datos de
prueba
Se recomienda verificar si se
encuentra definida una política que
contenga el uso y manejo adecuado
para la protección de los datos usados
para pruebas.
Los autores
56
A.15 Relación con los proveedores
Tabla 35. Recomendaciones para seguridad de la información en las relaciones con
proveedores
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
15.1
Seguridad de la
información en las
relaciones con los
proveedores
Política de
seguridad de la
información para
las relaciones con
proveedores
Se recomienda verificar si
existe una política de seguridad
de la información donde se
contemple tener seguridad en la
relación con los proveedores y
que esta haya sido divulgada e
implementada por la
organización.
Tratamiento de la
seguridad dentro
de los acuerdos
con proveedores
Se recomienda verificar si
existe una política de seguridad
de la información donde se
contemple tener seguridad en la
relación con los proveedores y
que esta haya sido divulgada e
implementada por la
organización.
Cadena de
suministro de
tecnología de
información y
comunicación
Se recomienda verificar si
existe una política de seguridad
de la información donde se
contemple tener seguridad en la
relación con los proveedores y
que esta haya sido divulgada e
implementada por la
organización.
Los autores
Tabla 36. Recomendaciones pata gestión de la prestación de servicios con los proveedores
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
15.2
Gestión de la
prestación de
servicios con los
proveedores
Seguimiento y
revisión de los
servicios de los
proveedores
Se recomienda validar la
viabilidad de programar una
auditoria para las empresas
que le prestan servicios a la
organización.
Gestión de
cambios en los
Se recomienda verificar si
existe un proceso de gestión
de cambios de los
57
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
servicios de
proveedores
proveedores de la
organización.
Los autores
A.16 Gestión de incidentes de seguridad de la información
Tabla 37. Recomendaciones para gestión de incidentes y mejoras en la seguridad de la
información
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
16.1
Gestión de
incidentes y mejoras
en la seguridad de la
información
Responsabilidad y
procedimientos
Se recomienda Verificar si
existe un procedimiento de
gestión de incidentes de
seguridad de la información
y que este ha sido divulgado
e implementado dentro de la
organización.
Reporte de eventos
de seguridad de la
información
Se recomienda Verificar si
existe un procedimiento de
gestión de incidentes de
seguridad de la información
y que este ha sido divulgado
e implementado dentro de la
organización.
Reporte de
debilidades de
seguridad de la
información
Se recomienda Verificar si
existe un procedimiento de
gestión de incidentes de
seguridad de la información
y que este ha sido divulgado
e implementado dentro de la
organización.
Evaluación de
eventos de
seguridad de la
información y
decisiones sobre
ellos
Se recomienda Verificar si
existe un procedimiento de
gestión de incidentes de
seguridad de la información
y que este ha sido divulgado
e implementado dentro de la
organización.
Respuesta a
incidentes de
Se recomienda Verificar si
existe un procedimiento de
58
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
seguridad de la
información
gestión de incidentes de
seguridad de la información
y que este ha sido divulgado
e implementado dentro de la
organización.
Aprendizaje
obtenido de los
incidentes de
seguridad de la
información
Se recomienda Verificar si
existe un procedimiento de
gestión de incidentes de
seguridad de la información
y que este ha sido divulgado
e implementado dentro de la
organización.
Recolección de
evidencia
Se recomienda Verificar si
existe un procedimiento de
gestión de incidentes de
seguridad de la información
y que este ha sido divulgado
e implementado dentro de la
organización.
Los autores
A.17 Aspectos de seguridad de la información de la gestión de continuidad de negocio
Tabla 38. Recomendaciones para continuidad de seguridad de la información
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
17.1
Continuidad de
seguridad de la
información
Planificación de la
continuidad de la
seguridad de la
información
Se recomienda verificar si
existe un plan de
continuidad del negocio y
este ha sido aprobado
divulgado e implementado
en la organización.
Implementación de
la continuidad de la
seguridad de la
información
Se recomienda verificar si
existe un plan de
continuidad del negocio y
este ha sido aprobado
divulgado e implementado
en la organización.
Verificación,
revisión y
Se recomienda verificar si
existe un plan de
59
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
evaluación de la
continuidad de la
seguridad de la
información
continuidad del negocio y
este ha sido aprobado
divulgado e implementado
en la organización.
Los autores
Tabla 39. Recomendaciones para redundancias
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
17.2
Redundancias
Disponibilidad de
instalaciones de
procesamiento de
información.
Se recomienda verificar si las
instalaciones de procesamiento
de información cumplen con los
requisitos necesarios para
asegurar su disponibilidad.
Los autores
A.18 Cumplimiento
Tabla 40. Recomendaciones para cumplimiento de requisitos legales y contractuales
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
18.1
Cumplimiento de
requisitos legales y
contractuales
Identificación de la
legislación
aplicable y de los
requisitos
contractuales
Se recomienda verificar cual
es la legislación que aplica a
la Entidad junto con todos los
procedimientos contractuales
que esta conlleva.
Derechos de
propiedad
intelectual
Se recomienda verificar si
existen en la Entidad actas en
donde se demuestre la
propiedad intelectual de cada
uno de los procesos que se
están evaluando
Protección de
registros
Se recomienda verificar si
existe en la Entidad una
bitácora de cambios en los
registros de la organización.
Privacidad y
protección de
datos personales
Se recomienda verificar si se
está utilizando la legislación
vigente en la Entidad en
60
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
cuanto a la privacidad de
datos personales propios y de
terceros.
Reglamentación de
controles
criptográficos
Se recomienda revidar que
procesos de la legislación
vigente se están utilizando
para establecer registros
criptográficos.
Los autores
Tabla 41. Recomendaciones para revisiones de seguridad de la información
Identificador
numérico Objetivo de Control Control(es) Recomendación(es)
18.2
Revisiones de
seguridad de la
información
Revisión
independiente de
la seguridad de
la información
Se recomienda verificar cuales
son los tiempos que ha
establecido la Entidad para la
revisión de controles y objetivos
de control definidos desde la
implementación de su Sistema de
Gestión de Seguridad de la
Información.
Cumplimiento
con las políticas
y normas de
seguridad
Se recomienda verificar la
manera en que los directores de
cada área, responsables del
proceso, realizan la revisión de
sus políticas internas, el tiempo
de las mismas, así como su
respectivo cumplimiento.
Revisión del
cumplimiento
técnico
Se recomienda verificar cuales
son los tiempos que han sido
establecidos para la respectiva
del cumplimiento de las políticas
enunciadas en el SGSI de la
Entidad.
Los autores
61
4. ANÁLISIS DEL ESTADO ACTUAL DEL SISTEMA DE SEGURIDAD DE
LA INFORMACIÓN DE LA POLICIA NACIONAL HACIENDO USO DEL
MODELO DE MEDICIÓN
En el siguiente capítulo, se hará uso del modelo medición, objeto de este proyecto, para
realizar la respectiva evaluación en el Sistema de Seguridad de la Información de la Policía
Nacional de Colombia, verificando así que éste se encuentre correctamente implementado
dentro de la Entidad. Las tablas correspondientes para evaluar, se encuentran disponibles en
el anexo B de este documento. El anexo C es posible conocer el SGSI implementado por la
Policía Nacional de Colombia. Estos junto con el Anexo A, se encuentran disponibles en
complemento digital adjunto a este proyecto.
Para la medición realizada a través del modelo analítico objetivo-porcentual (rojo, amarillo,
verde), los cuales se evidencia en las tablas 42, 43, 44, 45 y 46, no ha sido posible definir un
dato porcentual, ya que en el levantamiento del Sistema de Gestión de Seguridad de la
Información de la Policía Nacional del Colombia, no se cuenta con datos estadísticos que son
necesarios para conocer de manera precisa el rango de implementación de dicho control,
según el umbral definido en la estructura de medición.
Tabla 42. Plantilla 1 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Rojo Amarillo Verde %
Plan de
Entrenamiento
y
sensibilización
del personal en
la política
general de
seguridad y
privacidad de
la información
de la entidad.
5.1_1 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición “Plan
de Entrenamiento
y sensibilización
del personal en la
política general
de seguridad y
privacidad de la
información de la
entidad.”.
62
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Rojo Amarillo Verde %
Plan de
Entrenamiento
y
sensibilización
del personal en
la política
general de
seguridad y
privacidad de
la información
de la entidad.
5.1_2 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición “Plan
de Entrenamiento
y sensibilización
del personal en la
política general
de seguridad y
privacidad de la
información de la
entidad.”.
Los autores
Tabla 43. Plantilla 2 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Rojo Amarillo Verde %
Definición de
roles y
responsabilidades
para el
cumplimiento de
la política de
seguridad y
privacidad de la
información.
6.1 No se realiza
debido a que faltan
datos necesarios
para el desarrollo
de la evaluación,
teniendo en cuenta
la estructura de
medición
“Definición de
roles y
responsabilidades
para el
cumplimiento de la
política de
seguridad y
privacidad de la
información.”.
Los autores
63
Tabla 44. Plantilla 3 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Rojo Amarillo Verde %
Plan de
Entrenamiento
y
Concientización
del personal en
las políticas y
procedimientos
pertinentes para
su cargo.
7.2_1 No se realiza
debido a que
faltan datos
necesarios para
el desarrollo de
la evaluación,
teniendo en
cuenta la
estructura de
medición “Plan
de
Entrenamiento y
Concientización
del personal en
las políticas y
procedimientos
pertinentes para
su cargo.”.
Plan de
Entrenamiento
y
Concientización
del personal en
las políticas y
procedimientos
pertinentes para
su cargo.
7.2_2 No se realiza
debido a que
faltan datos
necesarios para
el desarrollo de
la evaluación,
teniendo en
cuenta la
estructura de
medición “Plan
de
Entrenamiento y
Concientización
del personal en
las políticas y
procedimientos
pertinentes para
su cargo.”.
Los autores
64
Tabla 45. Plantilla 4 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Rojo Amarillo Verde %
Plan de
Entrenamiento
y
sensibilización
del personal en
la política de
contraseñas
seguras y en el
buen uso de la
información de
autenticación
secreta dentro
de la entidad
9.3_1 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición Plan de
Entrenamiento y
sensibilización
del personal en la
política de
contraseñas
seguras y en el
buen uso de la
información de
autenticación
secreta dentro de
la entidad.”.
Plan de
Entrenamiento
y
sensibilización
del personal en
la política de
contraseñas
seguras y en el
buen uso de la
información de
autenticación
secreta dentro
de la entidad
9.3_2 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición Plan de
Entrenamiento y
sensibilización
del personal en la
política de
contraseñas
seguras y en el
buen uso de la
información de
autenticación
secreta dentro de
la entidad.”.
Los autores
65
Tabla 46. Plantilla 5 para ejecutar la evaluación de SGSI Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Rojo Amarillo Verde %
Control de
software
12.5_1 No se evidencia
que en la Entidad
se realice un
correcto
“inventario” de
los sistemas de
información
implementados,
teniendo en
cuenta la
estructura de
medición
“Control de
software”.
Control de
software
12.5_2 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición
“Control de
software”.
Control de
software
12.5_3 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición
“Control de
software”.
Vulnerabilidad
técnica
12.6_1 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
66
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Rojo Amarillo Verde %
cuenta la
estructura de
medición
“Vulnerabilidade
s técnicas”.
Vulnerabilidad
técnica
12.6_2 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición
“Vulnerabilidade
s técnicas”.
Vulnerabilidad
técnica
12.6_3 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición
“Vulnerabilidade
s técnicas”.
Auditorías de
sistemas de
información
12.7_1 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición
“Auditorías de
sistemas de
información”.
Auditorías de
sistemas de
información.
12.7_2 No se realiza
debido a que
faltan datos
necesarios para el
67
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Rojo Amarillo Verde %
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición
“Auditorías de
sistemas de
información”.
Auditorías de
sistemas de
información.
12.7_3 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición
“Auditorías de
sistemas de
información”.
Auditorías de
sistemas de
información.
12.7_4 No se realiza
debido a que
faltan datos
necesarios para el
desarrollo de la
evaluación,
teniendo en
cuenta la
estructura de
medición
“Auditorías de
sistemas de
información”.
Los autores
68
Tabla 47. Plantilla 6 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Implementación
de Políticas de
Seguridad y
Privacidad de la
información en
lo relacionado al
Uso de
dispositivos
móviles y
teletrabajo en la
entidad.
6.2_1 Articulo 43
Seguridad de los
equipos fuera de
las
instalaciones,
Articulo 97
Computación
Móvil y Trabajo
Remoto,
Existe una
política de
seguridad para
el uso de
dispositivos
móviles y esto
se evidencia en
los empleados
de la entidad.
Implementación
de Políticas de
Seguridad y
Privacidad de la
información en
lo relacionado al
Uso de
dispositivos
móviles y
teletrabajo en la
entidad.
6.2_2 Articulo 97
Computación
Móvil y Trabajo
Remoto,
Se permite el
acceso a
algunos
dispositivos de
forma remota y
se establecen
directrices que
permitan regula
la computación
móvil y trabajo
remoto.
Los autores
69
Tabla 48. Plantilla 7 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Implementación
de un proceso de
Ingreso y
Desvinculación
del personal
Idóneo para
asegurar el
cumplimiento de
la política
general de
seguridad y
privacidad de la
información de
la entidad
7.1_1 Artículo 32
Selección,
proceso 2SP-CP-
0001,
El personal es
seleccionado
cuidadosamente
en base a su
perfil
y la idoneidad
del trabajo a
realizar
Implementación
de un proceso de
Ingreso y
Desvinculación
del personal
Idóneo para
asegurar el
cumplimiento de
la política
general de
seguridad y
privacidad de la
información de
la entidad
7.1_2 Articulo 33
Términos y
Condiciones
Laborales,
Los Acuerdos
contractuales
incluyen todo lo
relacionado a la
seguridad y
privacidad de la
información,
tanto para
empleados
internos como
externos de la
entidad.
Plan de
Entrenamiento y
Concientización
del personal en
las políticas y
procedimientos
pertinentes para
su cargo.
7.2_3 En cada uno de
los Capítulos se
evidencia que el
empleado está
sujeto a un
proceso
disciplinario en
caso de existir
alguna
70
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Incidencia que
afecte la
seguridad y
privacidad de la
información de
la entidad.
Implementación
de un proceso de
terminación de
contrato o
cambio de
empleo Idóneo
para asegurar el
cumplimiento de
la política
general de
seguridad y
privacidad de la
información de
la entidad
7.3 Articulo 35
Personal que se
encuentra en
Situaciones
administrativas
tales como
(Licencias,
Vacaciones,
Excusas de
Servicios,
Traslado, Retiro,
Desaparición,
Secuestro, Entre
Otras),
Se evidencia que
dentro de la
entidad se cuenta
con un
procedimiento
muy bien
estructurado en
cuanto a lo que
son las
novedades de
cada funcionario,
esto con el fin de
que la seguridad
y privacidad de
la información
de la entidad no
se vea afectada.
Los autores
71
Tabla 49. Plantilla 8 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Gestión y
Clasificación de
Activos
8.1_1 Articulo 28
Inventario de
Activos,
procedimiento
2IN-PR-0001
El inventario que
se realiza dentro
de la entidad
cumple con los
requerimientos
asociados a la
seguridad y
privacidad de la
información.
Gestión y
Clasificación de
Activos
8.1_2 Articulo 28
Inventario de
Activos,
procedimiento
2IN-PR-0001
Dentro del
Procedimiento de
realización de
inventario de
activos de la
entidad se
especifican los
propietarios de
los activos
informáticos
inventariados y
se tiene un
control
permanente para
asegurar su buen
uso y respectiva
devolución una
vez se termine el
contrato del
funcionario que
72
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
hace uso del
activo.
Gestión y
Clasificación de
Activos
8.1_3 Articulo 28
Inventario de
Activos,
procedimiento
2IN-PR-0001
Dentro del
Procedimiento de
realización de
inventario de
activos de la
entidad se
garantiza la
correcta
disposición de
los activos
cuando ya no son
requeridos por la
entidad.
Gestión y
Clasificación de
la Información
8.2_1 Articulo 29
Clasificación de
la información,
Se evidencia que
La información
de la entidad se
clasifica según su
confidencialidad,
integridad y
disponibilidad de
acuerdo con la
sensibilidad e
importancia de
ésta.
Gestión y
Clasificación de
la Información
8.2_2 Articulo 30
Rotulado de la
información,
Se evidencia que
Todos los
documentos
73
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
físicos o digitales
expedidos por la
entidad, están
etiquetados de
acuerdo al
esquema de
clasificación
definido en el
artículo 29, según
su
confidencialidad.
Gestión y
Clasificación de
la Información
8.2_3 Articulo 28
Inventario de
Activos,
procedimiento
2IN-PR-0001
Se evidencia que
de acuerdo al
esquema de
clasificación de
la información de
la entidad se
realiza la gestión
de activos más
adecuada.
Gestión de
medios
removibles de
almacenamiento
de información
8.3 Articulo 59
Gestión de los
medios de
almacenamiento,
Los activos
removibles de la
entidad cuentan
con el mismo
tratamiento y
esquema de
clasificación de
los demás activos
de la entidad, con
el fin de asegurar
la seguridad y privacidad de la
74
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
información
dentro y fuera de
la entidad.
Los autores
Tabla 50. Plantilla 9 para ejecutar la evaluación de SGSI
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Verificación
requisitos
del negocio
para el
control de
acceso
9.1_1 Articulo 75 Reglas
para el control de
acceso,
Se evidencia que
existe un
procedimiento para
el control de acceso
a recursos
tecnológicos, el cual
documenta toda la
reglamentación
necesaria.
Verificación
requisitos
del negocio
para el
control de
acceso
9.1_2 Articulo 76 Gestión
de Identidades,
En este se
contempla todo lo
que tiene que ver
con el registro de
usuarios, gestión de
privilegios y gestión
de contraseñas.
Verificación
requisitos
del negocio
para el
control de
acceso
9.1_3 Articulo 76 Gestión
de Identidades,
En este se
contempla todo lo
que tiene que ver
con el registro de
usuarios, gestión de
75
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
privilegios y gestión
de contraseñas.
Gestión de
Usurarios y
control de
acceso
9.2_1 Capítulo 8 Control
de Acceso,
La Entidad
establece como
política de control
de acceso, el
modelo de
Administración de
identidades y
Control de acceso
(IAM), implantado
mediante el Sistema
de Identificación
Policial Digital, que
de manera integrada
al Sistema Para la
Administración del
Talento Humano
(SIATH) le permite
administrar el ciclo
de vida de los
usuarios, desde la
creación automática
de las cuentas, roles
y permisos
necesarios hasta su
inoperancia; a partir
de las novedades
reportadas por los
grupos de talento
humano; lo anterior
para que el
funcionario tenga
acceso adecuado a
los sistemas de
información y
recursos
tecnológicos,
76
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
validando su
autenticación,
autorización y
auditoría.
Gestión de
Usurarios y
control de
acceso
9.2_2 Capítulo 8 Control
de Acceso,
La Entidad
establece como
política de control
de acceso, el
modelo de
Administración de
identidades y
Control de acceso
(IAM), implantado
mediante el Sistema
de Identificación
Policial Digital, que
de manera integrada
al Sistema Para la
Administración del
Talento Humano
(SIATH) le permite
administrar el ciclo
de vida de los
usuarios, desde la
creación automática
de las cuentas, roles
y permisos
necesarios hasta su
inoperancia; a partir
de las novedades
reportadas por los
grupos de talento
humano; lo anterior
para que el
funcionario tenga
acceso adecuado a
los sistemas de
información y
77
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
recursos
tecnológicos,
validando su
autenticación,
autorización y
auditoría.
Gestión de
Usurarios y
control de
acceso
9.2_3 Capítulo 8 Control
de Acceso,
La Entidad
establece como
política de control
de acceso, el
modelo de
Administración de
identidades y
Control de acceso
(IAM), implantado
mediante el Sistema
de Identificación
Policial Digital, que
de manera integrada
al Sistema Para la
Administración del
Talento Humano
(SIATH) le permite
administrar el ciclo
de vida de los
usuarios, desde la
creación automática
de las cuentas, roles
y permisos
necesarios hasta su
inoperancia; a partir
de las novedades
reportadas por los
grupos de talento
humano; lo anterior
para que el
funcionario tenga
acceso adecuado a
78
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
los sistemas de
información y
recursos
tecnológicos,
validando su
autenticación,
autorización y
auditoría.
Gestión de
Usurarios y
control de
acceso
9.2_4 Articulo 76 Gestión
de Identidades,
El procedimiento
desarrollado en la
gestión de
identidades
contempla el
registro de usuarios,
la gestión de
privilegios y la
gestión de
contraseñas (se
evidencia su
cumplimiento).
Gestión de
Usurarios y
control de
acceso
9.2_5 Articulo 90 Gestión
de Contraseñas
Se contemplan
todos los aspectos
que tienen que ver
con nomenclatura y
cambio de
contraseñas dentro
de la entidad.
Verificación
del control
de acceso a
sistemas y
aplicaciones
de la entidad
9.4_1 Articulo 95 Control
de Acceso a la
Información,
Los derechos de
acceso a los
sistemas e
información son
79
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
controlados de
acuerdo a rol y
responsabilidad del
empleado en la
entidad.
Verificación
del control
de acceso a
sistemas y
aplicaciones
de la entidad
9.4_2 Articulo 95 Control
de Acceso a la
Información,
Los derechos de
acceso a los
sistemas e
información son
controlados de
acuerdo a rol y
responsabilidad del
empleado en la
entidad.
Verificación
del control
de acceso a
sistemas y
aplicaciones
de la entidad
9.4_3 Articulo 97
Computación Móvil
y Trabajo Remoto,
Articulo 98
Computación y
Comunicaciones
Móviles,
Articulo 99 Trabajo
Remoto,
Articulo 43
Seguridad de los
Equipos fuera de las
instalaciones.
Se permite el acceso
a algunos
dispositivos de
forma remota y se
establecen directrices que
80
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
permitan regula la
computación móvil
y trabajo remoto.
Los autores
Tabla 51. Plantilla 10 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Garantizar la
disponibilidad,
integridad y
confidencialidad
de la
información con
el buen uso de la
criptografía
10.1_1 Articulo 106
Normas sobre el
uso de controles
Criptográficos,
Se describen
todos los casos
en los cuales
deben ser usados
los controles
criptográficos,
con el fin de
garantizar la
seguridad y
privacidad de la
información en
la entidad.
Garantizar la
disponibilidad,
integridad y
confidencialidad
de la
información con
el buen uso de la
criptografía
10.1_2 Articulo 105
Controles
Criptográficos,
Articulo 106
Normas sobre el
uso de controles
Criptográficos,
Articulo 107
Cifrado,
Se evidencia que
dentro del
81
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
procedimiento
de controles
criptográficos de
la entidad se
especifica la
complejidad de
cada control y se
verifica que sean
acordes a la
criticidad de la
información que
circula a través
de la red o que
se encuentre
alojada en los
sistemas de
información de
la entidad.
Garantizar la
disponibilidad,
integridad y
confidencialidad
de la
información con
el buen uso de la
criptografía
10.1_3 Articulo 109
Protección de
Claves
Criptográficas,
Articulo 110
Normas y
Procedimientos
criptográficos,
Dentro del
procedimiento
de gestión de
llaves
criptográficas se
describe todo el
ciclo de vida de
cada una de las
llaves con el fin
de garantizar la
seguridad y
privacidad de la
información
82
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
alojada en los
sistemas de la
entidad.
Garantizar la
disponibilidad,
integridad y
confidencialidad
de la
información con
el buen uso de la
criptografía
10.1_4 Articulo 109
Protección de
Claves
Criptográficas,
Articulo 110
Normas y
Procedimientos
criptográficos,
Dentro del
procedimiento
de gestión de
llaves
criptográficas se
describe todo el
ciclo de vida de
cada una de las
llaves con el fin
de garantizar la
seguridad y
privacidad de la
información
alojada en los
sistemas de la
entidad.
Los autores
Tabla 52. Plantilla 11 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Verificación
del control de
acceso físico
en la entidad
11.1_1 Articulo 37
Seguridad Física y
del entorno,
83
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Articulo 38 Áreas
Seguras,
Se evidencia que
se tiene bastante
control sobre
acceso no
autorizado (tanto
internos como
externos).
Verificación
del control de
acceso físico
en la entidad
11.1_2 Articulo 37
Seguridad Física y
del entorno,
Articulo 38 Áreas
Seguras,
Se controla el
acceso del
personal con lo
que se lleva un
registro de
ingresos a los
diferentes puntos
físicos de la
entidad, de igual
manera el
protocolo de
seguridad de las
instalaciones tiene
un sistema de
vigilancia y
control el cual es
el encargado de
verificar los
permisos
requeridos.
Protección,
Mantenimiento
y Retiro de
Activos
11.2_1 Articulo 28
Inventario de
Activos,
84
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
El procedimiento
tiene como
finalidad principal
la identificación y
protección de
todos los activos
de información de
la entidad.
Protección,
Mantenimiento
y Retiro de
Activos
11.2_2 Articulo 28
Inventario de
Activos,
Dos de las
principales
características de
este
procedimiento
son; realizar un
análisis de riesgos
como mínimo una
vez al año, de los
activos de
información de
cada uno de los
procesos de la
entidad y tomar
decisiones y
acciones para
eliminar, mitigar,
transferir o
aceptar los
riesgos, con esto
se evidencia el
cumplimiento de
la medición.
Protección,
Mantenimiento
y Retiro de
Activos
11.2_3 Articulo 46 Retiro
de Bienes de las
instalaciones,
Para el retiro de los equipos,
85
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
software e
información de las
instalaciones
policiales, estará
documentado para
tal fin.
Se realizarán
verificaciones
periódicas, para
detectar el retiro
no autorizado de
activos.
Protección,
Mantenimiento
y Retiro de
Activos
11.2_4 Articulo 59
Gestión de los
medios de
almacenamiento,
Articulo 98
Computación y
comunicaciones
Móviles,
Para los activos
que son retirados
de las
instalaciones de la
entidad se tienen
estipuladas
algunas directrices
en cuanto al
cifrado de la
información
contenida en
medios de
almacenamiento
removibles y se
restringe el uso de
equipos que no
hayan sido
provistos por la
entidad.
86
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Protección,
Mantenimiento
y Retiro de
Activos
11.2_5 Articulo 42
Mantenimiento de
los equipos,
Los equipos son
llevados a
mantenimiento
sólo
por el personal
autorizado bajo
las condiciones
especificadas y a
Intervalos
programados.
Protección,
Mantenimiento
y Retiro de
Activos
11.2_6 Articulo 42
Mantenimiento de
los equipos,
Los equipos son
llevados a
mantenimiento
sólo
por el personal
autorizado bajo
las condiciones
especificadas y a
Intervalos
programados.
Los autores
Tabla 53. Plantilla 12 para ejecutar la evaluación de SGSI
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Gestión de
Procedimientos
operacionales
12.1_1 Articulo 117
Procedimiento de
Control de
Cambios,
87
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Buscando
minimizar la
alteración a los
sistemas de
información, se
documentan un
procedimiento de
control de
cambios, alineado
con el artículo 48
control de cambio
en las
operaciones.
Los cambios en
los equipos que
afectan la
seguridad de la
información son
controlados y
debidamente
planeados y
probados.
Gestión de
Procedimientos
operacionales
12.1_2 Articulo 117
Procedimiento de
Control de
Cambios,
Buscando
minimizar la
alteración a los
sistemas de
información, se
documentan un
procedimiento de
control de
cambios, alineado
con el artículo 48
control de cambio
en las
operaciones.
88
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Los cambios en
los equipos que
afectan la
seguridad de la
información son
controlados y
debidamente
planeados y
probados.
Gestión de
Procedimientos
operacionales
12.1_3 Articulo 53
Planificación de la
Capacidad,
El proceso de
Direccionamiento
Tecnológico de la
Entidad, realiza
un análisis
estadístico
anualmente para
generar líneas
base que le
permitan
proyectar
necesidades de
crecimiento en
procesamiento,
almacenamiento y
transmisión de la
información, con
el fin de evitar
inconvenientes
que se convierten
en una amenaza a
la seguridad o a la
continuidad de los
servicios
prestados.
89
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Gestión de
Procedimientos
operacionales
12.1_4 Articulo 53
Planificación de la
Capacidad,
El proceso de
Direccionamiento
Tecnológico de la
Entidad, realiza
un análisis
estadístico
anualmente para
generar líneas
base que le
permitan
proyectar
necesidades de
crecimiento en
procesamiento,
almacenamiento y
transmisión de la
información, con
el fin de evitar
inconvenientes
que se convierten
en una amenaza a
la seguridad o a la
continuidad de los
servicios
prestados.
Gestión de
Procedimientos
operacionales
12.1_5 Articulo 51
Separación de
Ambientes de
Desarrollo,
Pruebas y
Producción,
Se Evidencia que
si se cuenta con
ambientes por
separada para el
desarrollo, las
90
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
pruebas y la
producción de los
diferentes
sistemas y a su
vez se cuenta con
controles para
asegurar que no
exista ninguna
irregularidad que
pueda afectar el la
seguridad y
privacidad de la
información de la
entidad.
Gestión de
Procedimientos
operacionales
12.1_6 Articulo 51
Separación de
Ambientes de
Desarrollo,
Pruebas y
Producción,
Dentro de los
controles que se
manejan en este
procedimiento se
garantiza que la
transición de
desarrollo a
producción tenga
la compatibilidad
idónea y no se
genere ningún
error al
encontrarse en
diferentes
sistemas (No usar
compiladores,
editores y otros
utilitarios que no
sean necesarios
para el
91
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
funcionamiento
de los ambientes
de producción).
Gestión de
Códigos
Maliciosos
12.2_1 Articulo 55
Protección contra
código malicioso,
La entidad
implementa
controles para
prevenir y
detectar código
malicioso, lo cual
se basa en
software,
concienciación de
usuarios y gestión
del cambio.
Gestión de
Códigos
Maliciosos
12.2_2 Articulo 55
Protección contra
código malicioso,
Dentro del
procedimiento se
Revisa
periódicamente el
contenido de
software y datos
de los equipos de
procesamiento,
investigando
formalmente la
presencia de
archivos no
aprobados o
modificaciones no
autorizadas y se
tiene un
procedimiento de resguardo de
92
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
información en el
cual se realizan
actividades para
probar la
recuperación de la
información.
Verificación de
copias de
respaldo
12.3_1 Artículo 42.
Mantenimiento de
los equipos:
Eliminación de
manera segura la
información
confidencial que
contenga
cualquier equipo
que sea
necesario retirar,
realizándose
previamente las
respectivas copias
de respaldo.
Artículo 55.
Protección contra
código malicioso:
Un esquema de
rótulo de las
copias de
respaldo,
Destrucción de las
copias de
respaldo,
Almacenamiento
de las copias de
respaldo en un
lugar fuera de las
instalaciones del
lugar de origen de
la
Información.
93
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Verificación de
copias de
respaldo
12.3_2 Artículo 55
Protección contra
código malicioso
Almacenamiento
de al menos 5
ciclos de
información de
copias de respaldo
para la
información con
nivel de
clasificación igual
o superior a 3
(artículo 29
clasificación de la
información). O
acorde con lo que
ordene la
legislación
vigente, para las
entidades del
estado.
Registro y
seguimientos
de eventos,
verificación de
evidencia
12.4_1 Artículo 71.
Requerimientos
mínimos para el
registro de
auditorías
Los sistemas de
información, así
como los
servidores,
dispositivos de
red y demás
servicios
tecnológicos,
guardan registros
de auditoría y
log’s, los cuales
contemplan,
siempre y cuando
sea posible
94
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Registro y
seguimientos
de eventos,
verificación de
evidencia
12.4_2 Artículo 39.
Seguridad delos
equipos
Los equipos de
cómputo son
ubicados y
protegidos para
reducir la
exposición a
riesgos
ocasionados por
amenazas
ambientales y
oportunidades de
acceso no
autorizado.
Artículo 45.
Normas de
escritorios y
pantallas limpias
Estas normas
tienen como fin
reducir los riesgos
de acceso no
autorizado,
pérdida y daño de
la información
Registro y
seguimientos
de eventos,
verificación de
evidencia
12.4_3 Artículo 74.
Sincronización de
relojes
Para garantizar la
exactitud de los
registros de
auditoría, la
Policía Nacional,
dispone de un
servicio de
protocolo de
tiempo de red
NTP que esta
95
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
sincronizado a su
vez con la hora
legal colombiana.
Registro y
seguimientos
de eventos,
verificación de
evidencia
12.4_4 Artículo 71.
Requerimientos
mínimos para el
registro de
auditorías
Los sistemas de
información, así
como los
servidores,
dispositivos de
red y demás
servicios
tecnológicos,
guardan registros
de auditoría y
log’s, los cuales
contemplan,
siempre y cuando
sea posible
Los autores
Tabla 54. Plantilla 13 para ejecutar la evaluación de SGSI Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Seguridad de
la información
contenida en
las redes de la
organización
13.1_1 Artículo 56. Controles de
las redes
El proceso de
Direccionamiento
Tecnológico define los
controles de seguridad de
la red de datos
Institucional, para lo cual
usa como referencia el
estándar ISO/IEC 18028
Tecnologia de la
informaciónTecnicas
96
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
de seguridad – la
seguridad de TI de la
Red.
Artículo 78. Control de
acceso a la red
Las conexiones no
seguras a los servicios de
red pueden afectar a toda
la institución, por lo
tanto, se
controla el acceso a los
servicios de red tanto
internos como externos.
Esto es necesario para
garantizar que
los usuarios que tengan
acceso a las redes y a sus
servicios, no
comprometan la
seguridad de los mismos.
Artículo 86. Control de
enrutamiento de red
El acceso a redes desde y
hacia afuera de la Policía
Nacional cumple con los
lineamientos del artículo
75
Control de acceso a la
red y adicionalmente se
utilizan métodos de
autenticación de
protocolo de
enrutamiento, rutas
estáticas, traducción de
direcciones y listas de
control de acceso.
Seguridad de
la información
contenida en
las redes de la
organización
13.1_2 Artículo 71.
Requerimientos
mínimos para el
registro de auditorías
Los sistemas de
información, así como
los servidores,
97
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
dispositivos de red y
demás servicios
tecnológicos,
guardan registros de
auditoría y log’s, los
cuales contemplan,
siempre y cuando sea
posible
Control de la
transferencia
de
información a
Entidades
externas.
13.2_1 Artículo 26. Relación
con terceros
La Policía Nacional
establece los
mecanismos de control
en sus relaciones con
personal externo que le
provean bienes o
servicios.
Artículo 63. Intercambio
de información
El intercambio de
información al interior
de la Policía Nacional se
realiza aplicando el
procedimiento 2IN-PR-
0007 Entrega
Información Bajo Deber
de Reserva y otras
entidades bajo acuerdos
de cooperación u
órdenes judiciales.
Artículo 64. Acuerdos de
intercambio de
información y software
Artículo 95. Control de
acceso a la información
Artículo 108. Firma
digital
Artículo 128.
Cumplimiento de los
controles criptográficos.
98
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Control de la
transferencia
de
información a
Entidades
externas.
13.2_2 Artículo 26. Relación
con terceros
Diligenciar y firmar los
acuerdos de
confidencialidad y
acuerdos de intercambios
de información con
personal externo,
unidades y dependencias.
Artículo 64. Acuerdos de
intercambio de
información y software
Las partes firman
acuerdos de
confidencialidad y
siguen el procedimiento
2IN-PR-0007 entrega
información bajo deber
reserva.
Los autores
Tabla 55. Plantilla 14 para ejecutar la evaluación de SGSI
Estructura
de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Seguridad
de los
sistemas de
información
14.1_1 Artículo 23. Proceso
de autorización para
instalaciones de
procesamiento de
información
La adquisición de
nuevos recursos y
servicios
tecnológicos de
Tecnologías de la
Información y las
Comunicaciones son
autorizados por el
proceso de
Direccionamiento
99
Estructura
de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Tecnológico y deben
estar acordes a
recomendaciones de
seguridad
establecidas por el
proceso de
Administración de la
Información.
Seguridad
de los
sistemas de
información
14.1_2 No se evidencia
dentro de la política
de seguridad y
privacidad de la
información la
manera en que se
realzia la selección
de ambientes de
desarrollo para el
área de tecnología,
según la estructura
de medición
“Seguridad de los
sistemas de
información”
Procesos de
desarrollo y
soporte
14.2_1 Artículo 55.
Protección contra
código malicioso
No permite el uso de
software no
autorizado por la
Oficina de
Telemática.
Procesos de
desarrollo y
soporte
14.2_2 Capítulo 9.
Adquisición,
desarrollo y
mantenimiento de
sistemas de
información
Siendo los sistemas
de información parte
importante del
proceso de soporte a
100
Estructura
de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
los procesos
misionales de la
Policía Nacional, se
busca brindar
seguridad a los
aplicativos
institucionales desde
el momento mismo
del
levantamiento de
requerimientos y que
las necesidades de
seguridad, hagan
parte integral de las
decisiones
arquitecturales del
software a construir
y/o adquirir.
Protección
de datos
utilizados en
las pruebas
14.3_1 Artículo 113.
Protección de datos
de prueba
Se evidencia una
política sobre el uso
de datos de prueba.
Protección
de datos
utilizados en
las pruebas
14.3_2 No se evidencia una
política concreta en
donde se estipule la
manera en que los
datos de pruebas son
seleccionados.
Los autores
Tabla 56. Plantilla 15 para ejecutar la evaluación de SGSI Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Manejo de la
información
en las
15.1_1 Artículo 26. Relación
con terceros
Diligenciar y firmar
los acuerdos de
101
Estructura de
medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
relaciones con
proveedores
confidencialidad y
acuerdos de
intercambios de
información con
personal externo,
unidades y
dependencias.
Manejo de la
información
en las
relaciones con
proveedores
15.1_2 Artículo 26. Relación
con terceros
Diligenciar y firmar
los acuerdos de
confidencialidad y
acuerdos de
intercambios de
información con
personal externo,
unidades y
dependencias.
Prestación de
servicios con
los
proveedores
15.2_1 No se evidencia una
política concreta en
donde se estipule la
manera en que se
presten los servicios
con los proveedores.
Prestación de
servicios con
los
proveedores
15.2_2 No se evidencia una
política concreta en
donde se estipule la
manera en que se
presten los servicios
con los proveedores.
Los autores
Tabla 57. Plantilla 16 para ejecutar la evaluación de SGSI
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Manejo de
incidentes y
mejoras en la
seguridad de
16.1_1 Artículo 49.
Procedimiento
manejo de
incidentes
102
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
la
información
El manejo de
incidentes se
realiza acorde con
el procedimiento
2IN-PR-0005
“Atención a
Incidentes”, el cual
garantiza una
respuesta rápida,
eficaz y
sistemática a los
incidentes
relativos a la
seguridad de la
información.
Manejo de
incidentes y
mejoras en la
seguridad de
la
información
16.1_2 No se evidencia
una política
concreta en donde
se estipule la
manera en que se
manejen los
incidentes.
Los autores
Tabla 58. Plantilla 17 para ejecutar la evaluación de SGSI
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Continuidad
de seguridad
de la
información
17.1_1 Capítulo 10.
Gestión de
incidentes de
seguridad de la
información
la
Policía Nacional
creó el CSIRT-
PONAL, por sus
siglas en inglés
“Computer
103
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Security Incident
Response
Team“, Equipo de
Repuesta a
Incidentes de
Seguridad
Informática de la
Policía Nacional.
Continuidad
de seguridad
de la
información
17.1_2 Capítulo 11.
Gestión de
continuidad del
negocio
la Policía
Nacional, cuenta
con un Plan de
Continuidad del
Negocio que le
permite
recuperarse
de incidentes que
amenacen la
prestación del
servicio de
policía; para lo
cual el comité
del Sistema de
Seguridad de la
Información
elaboró el plan de
continuidad del
negocio y la
Oficina de
Telemática,
elaboró el plan de
recuperación de
desastres en
materia
tecnológica.
Redundancias 17.2_1 No se evidencia
una política completa en donde
104
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
se estipule la
manera en que se
implementen
sistemas
redundantes.
Redundancias 17.2_2 No se evidencia
una política
completa en donde
se estipule la
manera en que se
implementen de
manera técnica los
sistemas
redundantes.
Los autores
Tabla 59. Plantilla 18 para ejecutar la evaluación de SGSI
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Cumplimiento
de requisitos legales
18.1_1 Capítulo 12.
Cumplimiento La Policía
Nacional cumple
con las leyes,
obligaciones
estatutarias,
reglamentarias,
contractuales y
cualquier requisito
de legal.
Cumplimiento
de requisitos
legales
18.1_2 Artículo 124.
Derechos de
propiedad
intelectual
La Policía
Nacional
implementó
procedimientos
adecuados para
105
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
garantizar el
cumplimiento de
restricciones
legales al uso del
material protegido
por normas de
propiedad
intelectual.
Cumplimiento
de requisitos
legales
18.1_3 Artículo 125.
Protección de los
registros del
organismo
Los registros
críticos de la
Policía Nacional se
protegen contra
pérdida,
destrucción y
falsificación, se
deben clasificar
según las tablas de
retención
documental y su
tiempo de
retención se
realizará de
acuerdo a estas;
con el fin de
cumplir requisitos
legales o
normativos y/o
respaldar
actividades
esenciales de la
institución.
Cumplimiento
de requisitos
legales
18.1_4 Artículo 126.
Protección de
datos y privacidad
de la información
personal
106
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
La Policía
Nacional garantiza
el derecho al
Habeas Data y
cumple con la
legislación vigente
sobre protección
de datos
personales, con la
implementación
de procedimientos
que permiten a
los servidores
públicos y
ciudadanos en
general, conocer
la información
que la institución
tiene sobre ellos,
actualizarla y
solicitar sean
eliminados, en los
casos que sea
pertinente hacerlo.
Cumplimiento
de requisitos
legales
18.1_5 Artículo 128.
Cumplimiento de
controles
criptográficos
La utilización de
firmas y
certificados
digitales para el
intercambio de
información con
entidades ajenas a
la Policía
Nacional,
considera lo
dispuesto en la Ley
527 de 1999.
107
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
Revisiones de
seguridad de
la información
18.2_1 Artículo 129.
Cumplimiento de
las políticas y las
normas de
seguridad y
cumplimiento
técnico
La Policía
Nacional, a través
de su plan anual
de auditorías,
garantiza el
cumplimiento de
la política de
seguridad de la
información
definida en el
presente manual,
buscando el
mejoramiento
continuo del
Sistema de Gestión
de Seguridad de la
Información.
Revisiones de
seguridad de
la información
18.2_2 Artículo 130.
Cumplimiento de
la política de
seguridad de la
información
Cada unidad
organizacional al
interior de la
institución, velará
por el
cumplimiento de la
política de
seguridad, para lo
cual cuenta con
auditores internos
certificados, que
ayudaran en el
108
Estructura
de medición
Identificador
numérico
Indicador Observaciones N/A
Cumple No
cumple
% (Si
aplica)
cumplimiento de la
misma.
Revisiones de
seguridad de
la información
18.2_3 Artículo 131.
Verificación del
cumplimiento
técnico
El grupo de
seguridad de la
información,
verifica
periódicamente
que los sistemas de
información,
equipos
de procesamiento,
bases de datos y
demás recursos
tecnológicos,
cumplan con los
requisitos de
seguridad
esperados.
Los autores
109
5. CONCLUSIONES
Se han planteado los lineamientos pertinentes para realizar el respectivo levantamiento de
información previo a la realización del modelo de medición, en donde se ha tenido en cuenta
el alcance general de dicha medición sobre el SGSI a evaluar, como la necesidad de
información de la Entidad, teniendo en cuenta los controles más apropiados por la misma.
Finalmente se establece el esquema estándar del modelo, eje central de este proyecto.
A través de las operaciones de medición de seguridad de la información, se han definido las
actividades esenciales para asegurar los resultados de las mediciones establecidas para el
SGSI que se está auditando. Estas son llevadas a cabo a través de una correcta y ordenada
recolección de datos por parte del ente auditor a los encargados del proceso. Cabe aclarar que
para asegurar una correcta medición se deberá conocer de manera generalizada el “Core” del
negocio sobre el cual se está midiendo el uso de los controles implementados.
Se han planteado una serie de recomendaciones para que el ente auditor puede desempeñar
de manera eficiente la tarea de medición sobre el SGSI. Dichas recomendaciones se
desarrollaron con base en los objetivos de control y controles correspondientes, todas
tomadas de manera general en donde sea posible adaptarlas independientemente del “Core”
de negocio que se esté evaluando.
A través de la evaluación del Sistema de Gestión de Seguridad de la Información de la Policía
Nacional de Colombia, se ha logrado determinar mediante el modelo de medición planteado
y sobre la muestra que se ha tomado como ejemplo, que los lineamientos definidos por
Gobierno En Línea (GEL) implementados de una manera correcta, son efectivos para todas
las Entidades del Estado al momento de diseñar su plan de seguridad. Se ha podido observar
que se hace cumplimiento de los controles de la seguridad de la información establecidos en
la norma ISO/IEC 27002.
En este documento se evidencia la estructuración de manera detallada del desarrollo e
implementación de un Modelo de Medición diseñado para las Entidades Gubernamentales,
basado en la norma internacional ISO/IEC 27004.
110
6. RECOMENDACIONES GENERALES
Todos los Integrantes de la Alta Dirección, Empleados, Contratistas o Terceros son
responsables de la implementación de las Políticas de Seguridad y privacidad de la
Información implementadas por la entidad evaluada.
Las Políticas de Seguridad y privacidad de la Información son de Carácter Obligatorio para
todo el personal de la organización, cualquiera sea su situación laboral, el proceso al que
pertenece y cualquiera que sea el nivel organizacional en el que se encuentre.
Los usuarios de la Información y de los Sistemas utilizados para su procesamiento son
responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad y
privacidad de la Información vigente
Es imprescindible que la Alta Dirección apruebe, dé a conocer y entender las políticas de
seguridad y privacidad de la información a toda la organización.
Es fundamental Realizar capacitaciones y sensibilizaciones a todos los empleados de la
entidad evaluada en todos los temas relacionados a la seguridad y privacidad de la
Información para mitigar riesgos de ataques de cualquier tipo.
El personal encargado de realizar la medición de la política de seguridad y privacidad de la
información debe tener el conocimiento total de todas las normas que van a ser evaluadas.
Se recomienda que la medición de la política de seguridad y privacidad de la información de
la entidad sea efectuada sobre alguno de los siguientes atributos:
Conocimiento de las normas por parte de las personas que acceden a los sistemas de
información de la entidad.
Control, revisión y evaluación de registros de usuarios, registros de capacitación,
registros de incidencias de seguridad, control de inventarios de activos, entre otros.
Procedimientos Definidos por la entidad evaluada.
Vulnerabilidades, Amenazas o No cumplimientos identificados en las mediciones
anteriores a la que se esté efectuando.
111
BIBLIOGRAFÍA
Ministerio de Tecnologías de la Información y las Comunicaciones. (n.d.). Sistemas de
Gestión de la Seguridad de la Información (SGSI). Consultado el 28 de Septiembre de 2016,
de http://www.mintic.gov.co/gestionti/615/w3-article-5482.html
Ministerio de Tecnologías de la Información y las Comunicaciones. (2014). Mintic
acompaña a las instituciones públicas para dar mayor seguridad a la información. Consultado
el 28 de Septiembre de 2016, de http://www.mintic.gov.co/portal/604/w3-article-7809.html
Universidad de los Andes Colombia. (2015). Importancia de la Seguridad de la Información
en las organizaciones. Consultado el 29 de Septiembre de 2016, de
https://sistemas.uniandes.edu.co/es/inicio/noticias/item/448-mesienorganizaciones
Blog firma-e. (2014). Beneficios de implantar un SGSI en su empresa. Consultado el 30 de
Septiembre de 2016, de http://blog.firma-e.com/beneficios-de-implantar-un-sgsi-en-su-
empresa/
CENTRO DE SERVICIOS PARA LA ESTANDARIZACIÓN DE SEGURIDAD
INFORMÁTICA Y LA ADAPTACIÓN LOPD 15/1999 Y LSSI 34/2002. (n.d.). PROCESO
DE IMPLANTACIÓN. Consultado el 1 de Octubre de 2016, de
http://www.ceeisec.com/nuevaweb/doc/informacionSGSI.pdf
Redseguridad.com. (n.d.). La importancia y la necesidad de proteger la información sensible.
Consultado el 1 de Octubre de 2016, de http://www.redseguridad.com/especialidades-
tic/proteccion-de-datos/la-importancia-y-la-necesidad-de-proteger-la-informacion-sensible
Ministerio de Tecnologías de la Información y las Comunicaciones. (n.d.). CONOCE LA
ESTRATEGIA DE GOBIERNO EN LÍNEA. Consultado el 2 de Octubre de 2016, de
http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html
Ministerio de Tecnologías de la Información y las Comunicaciones. (n.d.). MARCO
REGULATORIO ESTRATEGIA DE GOBIERNO EN LÍNEA. Consultado el 2 de Octubre
de 2016, de http://estrategia.gobiernoenlinea.gov.co/623/articles-7941_normatividad.pdf
112
Ministerio de Tecnologías de la Información y las Comunicaciones (2016). Modelo de
Seguridad y Privacidad de la Información. Consultado el 3 de Octubre de 2016, de
http://www.mintic.gov.co/gestionti/615/articles5482_Modelo_de_Seguridad_Privacidad.pd
f
SGSI Blog especializado en Sistemas de Gestión de Seguridad de la Información. (2014).
ISO/IEC 27004 – Medición de la Seguridad de la Información. Consultado el 4 de Octubre
de 2016, de http://www.pmg-ssi.com/2014/01/isoiec-27004-medicion-de-la-seguridad-de-
la-informacion/
SGSI Blog especializado en Sistemas de Gestión de Seguridad de la Información. (2014).
ISO 27001: Auditorías internas del SGSI. Consultado el 4 de Octubre de 2016, de
http://www.pmg-ssi.com/2014/12/iso-27001-auditorias-internas-del-sgsi/
AGUIRRE Ricardo Andrés, ZAMBRANO Andrés Fernando. ESTUDIO PARA LA
IMPLEMENTACION DEL SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION PARA LA SECRETARIA DE EDUCACION DEPARTAMENTAL DE
NARIÑO BASADO EN LA NORMA ISO/IEC 27001. Trabajo de grado Especialización en
Seguridad Informática. Pasto, Colombia. Universidad Nacional Abierta y a Distancia.
ALIAGA Flores Luis Carlos. Diseño de un sistema de gestión de seguridad de información
para un instituto educativo. Trabajo de grado Ingeniería Informática. Lima, Perú.
PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ.
LARRONDO Quirós Agustín. Uso de la norma ISO/IEC 27004 para Auditoría Informática.
Trabajo de grado Ingeniería técnica de informática de gestión. Madrid, España. Universidad
Carlos III De Madrid Escuela Politécnica Superior.
VI Congreso Iberoamericano de Seguridad Informática. (2011). MGSM-PYME Métricas de
seguridad en los SGSIs, para conocer el nivel de seguridad de los SSOO y de los SGBD.
Consultado el 4 de Octubre de 2016, de
http://www.criptored.upm.es/cibsi/cibsi2011/info/Ponencias/6.%20M%C3%A9tricas%20d
e%20seguridad%20en%20los%20SGSIs,%20para%20conocer%20el%20nivel%20de%20s
eguridad%20de%20los%20SSOO%20y%20de%20los%20SGBD.pdf
Alejandro Corletti Estrada. (n.d.). ISO-27001 e ISO-27004 BORRADOR DE TRABAJO
ISO/IEC-27004: MEDICIONES PARA LA GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN. Consultado el 5 de Octubre de 2016, de
http://www.revistadintel.es/Revista1/DocsNum09/Normas/Alejandro.pdf
113
MOMPHOTES Parra Luisa Fernanda, ALZATE Alexander. PROTOTIPO PARA LA
AUDITORIA SISTEMA DE GESTION SEGURIDAD DE LA INFORMACION (SGSI).
Trabajo de grado Ingeniería de Sistemas y Computación. Pereira. Colombia. Universidad
Tecnológica de Pereira.
ABC S.A. (2015). INFORME DE AUDITORÍA INTERNA AL SGSI CON BASE EN LA
NORMA ISO 27001:2013. Consultado el 5 de Octubre de 2016, de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43054/5/renanquevedoTFM0615an
exo9.pdf
PROMPERÚ. (2016). PROCEDIMIENTO DE AUDITORÍA INTERNA A LOS
SISTEMAS DE GESTIÓN DE LA CALIDAD Y DE LA SEGURIDAD DE LA
INFORMACIÓN DE PROMPERÚ. Consultado el 6 de Octubre de 2016, de
http://media.peru.info/catalogo/Attach/5.3%20Proc%20Auditorias%20Internas.pdf
Gobierno en línea Colombia. (2011). LINEAMIENTOS PARA LA IMPLEMENTACIÓN
DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0. Consultado el 7 de Octubre
de 2016, de
http://www.bucaramanga.gov.co/documents/dependencias/LINEAMIENTOS_SEGURIDA
D.pdf
Ministerio de Tecnologías de la Información y las Comunicaciones. (n.d.). Estrategia
Gobierno en línea 2012 – 2015 Para el orden nacional 2012 – 2017 Para el orden territorial.
Consultado el 8 de Octubre de 2016, de http://programa.gobiernoenlinea.gov.co/apc-aa-
files/eb0df10529195223c011ca6762bfe39e/manual-3.1.pdf
Vive digital Colombia. (2013). Modelo de Seguridad de la Información. Consultado el 8 de
Octubre de 2016, de
http://www.ideca.gov.co/sites/default/files/MinTic_Modelo_de%20_Seguridad_Octubre.pd
f
PDCA Home. (2013). Ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo de
Deming de mejora continua. Consultado el 9 de Octubre de 2016, de
http://www.pdcahome.com/5202/ciclo-pdca/
114
ANEXOS
ANEXO A Modelo de medición para el Sistema de Gestión de Seguridad de la Información
En este Anexo, se han plasmado cada una de las estructuras de medición que pueden ser
utilizadas para la realización de una auditoría dentro de las organizaciones gubernamentales
que tengan implementado el modelo del Sistema de Gestión de Seguridad de la informaciones
definido por Gobierno en Línea, este documento está enfocado en los objetivos de control y
controles que son implementados en la creación del Sistema de Gestión de Seguridad de la
Información en las Entidades del Estado.
ANEXO B Plantilla para ejecutar la evaluación en el SGSI de las Entidades Gubernamentales
En el siguiente Anexo, se han diseñado las respectivas plantillas con el objetivo de efectuar
el registro de los resultados obtenidos a través del uso de las estructuras de medición del
Anexo A en el Sistema de Gestión de Seguridad de la Información de la Entidad auditada.
ANEXO C Sistema de Gestión de Seguridad de la Información Policía Nacional de Colombia
El siguiente es un anexo informativo, ya que en este se puede conocer la Resolución 03049
del 24 de agosto de 2012, por el cual se adopta el Sistema de Gestión de Seguridad de la
Información para la Policía Nacional. Haciendo uso de este se realiza el análisis del estado
actual de este SGSI haciendo uso del modelo planteado.