MODELO DE MEDICIÓN PARA EL SGSI DE LAS ENTIDADES...

MODELO DE MEDICIÓN PARA EL SGSI DE LAS ENTIDADES

GUBERNAMENTALES, QUE HAN SEGUIDO LOS LINEAMIENTOS

ESTABLECIDOS POR LA ESTRATEGIA DE GOBIERNO EN LÍNEA.

DANIEL RICARDO ESCOBAR MORENO

CRISTIAN CAMILO TOBARIA LEÓN

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA

BOGOTA D.C.

2017

MODELO DE MEDICIÓN PARA EL SGSI DE LAS ENTIDADES

GUBERNAMENTALES, QUE HAN SEGUIDO LOS LINEAMIENTOS

ESTABLECIDOS POR LA ESTRATEGIA DE GOBIERNO EN LÍNEA.

DANIEL RICARDO ESCOBAR MORENO

CRISTIAN CAMILO TOBARIA LEÓN

Proyecto de grado para optar al título de Ingeniero en telemática

Ingeniero, Jairo Hernández Gutiérrez

Director de proyecto, Universidad Distrital Francisco José de Caldas

UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA

BOGOTA D.C.

2017

Nota de aceptación:

____________________________________

____________________________________

____________________________________

____________________________________

____________________________________

____________________________________

____________________________________

____________________________________

Ingeniero, Jairo Hernández Gutiérrez

Director

____________________________________

Ingeniero, Miguel Ángel Leguizamón Páez

Jurado

Bogotá D.C. Agosto de 2017

DEDICATORIAS

Dedico este trabajo principalmente a Dios, por permitirme llegar

hasta este momento tan importante en mi vida. A mi padre y a mi madre

por ser un apoyo incondicional en todo momento, por siempre demostrarme su

cariño, por guiarme en todo momento con sus valiosas enseñanzas y

por ser los pilares fundamentales dentro de todo mi desarrollo y crecimiento

tanto personal como profesional.

Daniel Ricardo Escobar Moreno

Dedico este nuevo logro en mi vida a Dios, por darme la capacidad,

la sabiduría y el tiempo para alcanzar mis metas, a mi madre,

que día a día se esfuerza y me motiva con el objetivo de ser el mejor

profesional, a toda mi familia por su apoyo y su confianza en cada una de mis

decisiones, a la Familia Duran Camargo, que siempre me han ayudado,

me han dado su cariño y apoyo de manera incondicional, a mi ahijada Isabella,

ahora no podrás leer esto, pero siempre serás importante para mí,

a Daniel Ricardo Escobar por su confianza y por su amistad

Cristian Camilo Tobaria León

AGRADECIMIENTOS

En primer lugar agradecemos a Dios, por colocar las personas indicadas en el momento

indicado de nuestras vidas, por guiarnos en todo este proceso. En segundo lugar a nuestra

familia, que independientemente la situación que debamos enfrentar nos ha apoyado de

manera incondicional, a nuestros amigos y compañeros que durante toda nuestra formación

universitaria aportaron su granito de arena para culminar satisfactoriamente el desarrollo de

nuestro proyecto de grado. De igual manera a la planta docente que junto con sus

conocimientos, enseñanzas y experiencia nos han formado y nos han motivado siempre a ser

mejores profesionales.

Agradecemos a nuestro director de proyecto, el ingeniero Jairo Hernández Gutiérrez, que nos

acompañó durante todo este proceso académico, por su gran colaboración tanto personal

como profesional en cada detalle, la cual nos ha aportado de una manera muy importante en

nuestra carrera como futuros ingenieros.

También hacemos un agradecimiento a nuestros amigos más cercanos, que se han convertido

ahora en nuestros colegas, de una manera muy especial a Luigui Daniel Peña, por su apoyo,

por sus consejos, no solo ha demostrado ser un gran profesional, sino también una excelente

persona.

CONTENIDO

pág.

INTRODUCCIÓN 1

1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN 2

1.1. TITULO DEL TRABAJO 2

1.2. TEMA 2

1.3. PLANTEAMIENTO DEL PROBLEMA 2

1.3.1. Descripción 2

1.3.2. Formulación del problema 3

1.4. ALCANCES Y DELIMITACIONES 3

1.4.1. Alcances 3

1.4.2. Delimitaciones 4

1.5. OBJETIVOS 4

1.5.1. Objetivo general 4

1.5.2. Objetivos específicos 4

1.6. JUSTIFICACIÓN 4

1.7. MARCO DE REFERENCIA 5

1.7.1. Marco histórico 5

1.7.2. Marco teórico 6

1.7.3. Marco conceptual 18

1.8. FACTIBILIDAD 19

1.8.1. Factibilidad técnica 19

1.8.2. Factibilidad operativa 19

1.8.3. Factibilidad legal 19

1.8.4. Factibilidad económica 20

1.9. CRONOGRAMA DE ACTVIDADES 23

2. LINEAMIENTOS PARA LA EVALUACIÓN EFECTIVA DE

CONTROLES IMPLEMENTADOS CON EL MODELO DE PRIVACIDAD

Y SEGURIDAD 24

2.1 DEFINICIÓN DEL ALCANCE DE LAS MEDICIONES 24

2.2 SELECCIÓN DEL OBJETO DE MEDICIÓN Y SUS ATRIBUTOS 25

2.3 DESARROLLO DE LAS ESTRUCTURAS DE MEDICIÓN 25

2.3.1 Selección de la medida 25

2.3.2 Método de medición 26

2.3.3 Función de medición 26

2.3.4 Modelo analítico 26

2.3.5 Indicadores 27

2.3.6 Criterios de decisión 29

2.3.7 Partes interesadas 29

2.4 OPERACIONES DE MEDICIÓN DE SEGURIDAD 31

2.4.1 Integración del procedimiento 32

2.4.2 Recolección, almacenamiento y verificación de datos 32

3. RECOMENDACIONES A SEGUIR PARA REALIZAR LAS

MEDICIONES APROPIADAS DENTRO DE LINEAMIENTOS DE GOBIERNO

EN LINEA 34

3.1 ASPECTOS A TENER EN CUENTA UNA VEZ FINALIZADA LA MEDICIÓN 34

3.2 RECOMENDACIONES PARA LA ALTA DIRECCIÓN 34

3.3 RECOMENDACIONES PARA LA EVALUACIÓN DE LAS POLÍTICAS

DE SEGURIDAD 36

4. ANÁLISIS DEL ESTADO ACTUAL DEL SISTEMA DE SEGURIDAD DE

LA INFORMACIÓN DE LA POLICIA NACIONAL HACIENDO USO

DEL MODELO DE MEDICIÓN 61

5. CONCLUSIONES 107

6. RECOMENDACIONES GENERALES 108

BIBLIOGRAFÍA 109

ANEXOS 112

ANEXO A. Modelo de medición para el Sistema de Gestión de Seguridad de la

Información (Disponible en medio magnético adjunto)

ANEXO B. Plantilla para ejecutar la evaluación en el SGSI de las Entidades

Gubernamentales (Disponible en medio magnético adjunto)

ANEXO C. Sistema de Gestión de Seguridad de la Información Policia Nacional

de Colombia (Disponible en medio magnético adjunto)

RESUMEN

La realización del presente proyecto tiene como propósito hacer uso de la norma ISO/IEC

27004, la cual es una guía para el desarrollo y utilización de métricas y técnicas de medida

aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles

implementados según ISO/IEC 27002, en los Sistemas de Gestión de Seguridad de la

Información de las Entidad gubernamentales de Colombia, con el objetivo de elaborar un

modelo de medición para el SGSI de las Entidades Gubernamentales que hicieron uso de las

estrategia de Gobierno en Línea. El Gobierno Colombiano a través del Ministerio de

Tecnologías de la Información y las Comunicaciones (MINTIC) tiene a disposición de las

Entidades públicas y a los terceros que provean servicios a las mismas, un modelo para

facilitar el desarrollo e implementación de políticas de seguridad, basadas en estándares

internacionales ISO/IEC.

Antes de desarrollar dicho modelo es necesario realizar el levantamiento de información

respectivo que permita conocer de manera detallada los alcances y las delimitaciones de la

medición sobre el SGSI de las Entidades gubernamentales, de igual manera conocer las bases

técnicas, teóricas y los lineamientos establecidos por MINTIC sobre los cuales se fundamenta

el siguiente proyecto.

A través de este documento se pueden observar, de igual manera, cada uno de los

lineamientos que han sido tenidos en cuenta para crear una plantilla que tiene como objetivo

verificar por cada uno de los objetivos de control, cuestionamientos puntuales que permiten

realizar la medición y evaluación de la implementación de políticas de seguridad. Así mismo

a través de las operaciones medición de seguridad de la información, se definen las

actividades esenciales para asegurar los resultados de las mediciones planteadas para el SGSI

auditado.

Finalmente se plantea una serie de recomendaciones, las cuales le permiten a ente auditor,

realizar una mejor evaluación del Sistema de Gestión de Seguridad de la Información,

haciendo uso del modelo planteado.

ABSTRACT

The purpose of this project is to make use of ISO / IEC 27004, which is a guide for the

development and use of metrics and measurement techniques applicable to determine the

effectiveness of an ISMS and the controls or groups of controls Implemented in accordance

with ISO / IEC 27002, in the Information Security Management Systems of the Government

Entities of Colombia, with the objective of elaborating a measurement model for the ISMS

of the Government Entities that made use of the Government's Online Strategy . The

Colombian Government, through the Ministry of Information and Communication

Technologies (MINTIC), has at the disposal of the Public Entities and third parties that

provide services to them, a model to facilitate the development and implementation of

security policies, based on ISO / IEC international standards.

Before developing such a model, it is necessary to carry out the respective information survey

that allows to know in detail the scope and delimitations of the measurement on the ISMS of

the Government entities, as well as to know the technical, theoretical bases and the guidelines

established by MINTIC On which the following project is based.

Through this document, you can also observe each of the guidelines that have been taken into

account to create a template that aims to verify for each of the control objectives, specific

questions that allow the measurement and Evaluation of the implementation of security

policies. Likewise, through the information security measurement operations, the activities

that are essential to ensure the results of the measurements for the audited ISMS are defined.

Finally, a series of recommendations is presented, which allow the auditing entity to perform

a better evaluation of the Information Security Management System, using the proposed

model.

LISTA DE TABLAS

Pág

Tabla 1 Factibilidad Económica - Recursos Humanos 20

Tabla 2 Factibilidad Económica - Recursos Técnicos 21

Tabla 3 Factibilidad Económica Costo Total 22

Tabla 4. Plantilla para la medición de seguridad 30

Tabla 5. Plantilla 1 para ejecutar la evaluación de SGSI 32


Tabla 7. Recomendaciones para políticas de seguridad de la información 36

Tabla 8. Recomendaciones para la seguridad de la información 36

Tabla 9. Recomendaciones adicionales para la seguridad de la información 37

Tabla 10. Recomendaciones para antes de asumir el empleo 38

Tabla 11. Recomendaciones durante la ejecución del empleo 38

Tabla 12. Recomendaciones para terminación o cambio de empleo 39

Tabla 13. Recomendaciones para responsabilidad por los activos 39

Tabla 14. Recomendaciones para clasificación de la información 40

Tabla 15. Recomendaciones para manejo de los soportes de almacenamiento 40

Tabla 16. Recomendaciones para requisitos del negocio para control de acceso 41

Tabla 17. Recomendaciones para gestión de acceso de usuarios 42

Tabla 18. Recomendaciones para responsabilidades de los usuarios 43

Tabla 19. Recomendaciones para control de acceso a sistemas de información 43

Tabla 20. Recomendaciones para controles criptográficos 44

Tabla 21. Recomendaciones para áreas seguras 45

Tabla 22. Recomendaciones para equipos 46

Tabla 23. Recomendaciones para procedimientos operaciones y responsabilidades 48

Tabla 24. Recomendaciones para protección contra códigos maliciosos 49

Tabla 25. Recomendaciones para copias de respaldo 49

Tabla 26. Recomendaciones para registro de seguimiento 49

Tabla 27. Recomendaciones para control de software operacional 50

Tabla 28. Recomendaciones para gestión de la vulnerabilidad técnica 50

Tabla 29. Recomendaciones para consideraciones sobre auditorías de

sistemas de información 51

Tabla 30. Recomendaciones para gestión de la seguridad de las redes 51

Tabla 31. Recomendaciones para transferencia de la información 52

Tabla 32. Recomendaciones para requisitos de seguridad de los sistemas de

Información 52

Tabla 33. Recomendaciones para seguridad en los procesos de desarrollo y soporte 53

Tabla 34. Recomendaciones para datos de prueba 55

Tabla 35. Recomendaciones para seguridad de la información en las relaciones

con proveedores 55

Tabla 36. Recomendaciones pata gestión de la prestación de servicios con los

Proveedores 56

Tabla 37. Recomendaciones para gestión de incidentes y mejoras en la seguridad

de la información 56

Tabla 38. Recomendaciones para continuidad de seguridad de la información 58

Tabla 39. Recomendaciones para redundancias 58

Tabla 40. Recomendaciones para cumplimiento de requisitos legales y contractuales 59

Tabla 41. Recomendaciones para revisiones de seguridad de la información 60













LISTA DE FIGURAS

Pág

Figura 1. Ciclo PDCA 16

Figura 2. Cronograma de actividades 23

Figura 3. Fragmento de guía de controles de Seguridad y Privacidad de la Información 24

Figura 4. Visualización de rangos de medición 27

Figura 5. Visualización de rangos de medición (Cumple, No cumple) 28

Figura 6. Visualización gráfica de modelo analítico subjetivo 28

1

INTRODUCCIÓN

La información se ha convertido en uno de los activos más importantes e invaluables para

todas las organizaciones (bien sean públicas o privadas), es clave mantenerla a salvo a través

de políticas que rijan el correcto uso que se le debe dar a la misma en cada organización, las

cuales son concebidas en un Sistema de Gestión de Seguridad de la Información (SGSI), en

la norma ISO/IEC 27001. Esto con el objetivo de asegurar la continuidad del negocio,

optimizando los distintos recursos de la organización y el mejorando la imagen corporativa.

Actualmente, el Ministerio de Tecnologías de la Información y las Comunicaciones, a través

de su estrategia Gobierno en línea, ha diseñado un modelo de seguridad y privacidad de la

información para las entidades públicas de orden nacional y territorial, así como proveedores

de servicios de Gobierno en Línea. Pero es sabido que en la seguridad de la información no

solo basta con realizar una implementación, ya que es necesario realizar una evaluación sobre

la misma haciendo uso de proceso de auditoría, esto con el objetivo de alcanzar una mejora

continua de la seguridad de la información, puesto que las organizaciones están en continuo

cambio y dicha implementación del modelo debe tener la capacidad de ser escalable.

En el desarrollo del modelo de medición para el SGSI de las entidades gubernamentales que

han seguido los lineamientos establecidos por la estrategia de Gobierno en Línea, se ha

pensado en que este sea estandarizado y escalable, ya que cada organización hace uso de

controles específicos de la norma teniendo en cuenta su “Core” de negocio y sus necesidades

con respecto a la seguridad de la información. De igual manera se ha tenido en cuenta para

el mismo la normatividad vigente.

2

1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN

En el transcurso de la primera etapa de desarrollo, se da inicio a los parámetros importantes

del proyecto, se plantean los fundamentos para el desarrollo del mismo, permitiendo conocer

el problema que se presenta en las organizaciones, los alcances y límites a los que se enfrenta,

entre otros aspectos necesarios para la justificación del proyecto. De igual manera, se cuenta

con un apoyo teórico, que permite conocer de manera conceptual los distintos modelos y

términos técnicos a usar.

1.1. TITULO DEL TRABAJO

Modelo de medición para el SGSI de las entidades gubernamentales, que han seguido los

lineamientos establecidos por la estrategia de gobierno en línea.

1.2 TEMA

Desarrollo de un modelo de medición de seguridad de la información, basado en la norma

ISO/IEC 27004.

1.3 PLANTEAMIENTO DEL PROBLEMA

1.3.1 Descripción. La información se ha convertido en uno de los activos más importantes

e invaluables para todas las organizaciones (bien sean públicas o privadas), es clave

mantenerla a salvo a través de políticas que rijan el correcto uso que se le debe dar a la misma

en cada organización, las cuales son concebidas en un Sistema de Gestión de Seguridad de

la Información (SGSI), en la norma ISO/IEC 27001. Esto con el objetivo de asegurar la

continuidad del negocio, optimizando los distintos recursos de la organización y el mejorando

la imagen corporativa.

Actualmente, el Ministerio de Tecnologías de la Información y las Comunicaciones, a través

de su estrategia Gobierno en línea, ha diseñado un modelo de seguridad y privacidad de la

información para las entidades públicas de orden nacional y territorial, así como proveedores

de servicios de Gobierno en Línea, este modelo se basa en los siguientes aspectos:

La arquitectura del modelo, se basa en el ciclo PHVA

Etapas alineadas con los niveles de madurez del manual de GEL 3.0

Lineamientos del estándar NTC:ISO/IEC 27001:2005.

3

El uso del ciclo PHVA en el desarrollo de la metodología, permite a las entidades una mejora

integral de la competitividad, de los servicios ofertados a la ciudadanía, buscando una mejora

continua de la calidad y optimizando la productividad. Se siguen los lineamientos

establecidos por la norma ISO/IEC 27001:2005 para garantizar que es un modelo acreditado

internacionalmente.

De igual manera, el objetivo de usar este modelo es generar conciencia sobre la importancia

de clasificar, valorar y asegurar los activos de cada una de estas entidades del estado.

El problema que se ha evidenciado en la implementación de dicho modelo, es que este no

cuenta con un documento que a su vez permita apoyar la tarea para determinar la efectividad

del SGSI diseñado, de los controles o grupos de controles implementados según la norma

NTC: ISO/IEC 27001:2005, pues no solo basta la implementación de la norma si no se

confirma que se ha realizado de manera correcta, ya que cada entidad maneja un Core de

negocio diferente y no es correcto generalizar los resultados.

Puesto que el programa de Gobierno en línea, no cuenta con un modelo técnico para apoyar

las labores de medición sobre el SGSI implementado, no es posible verificar si la guía

entregada por el Ministerios de Tecnologías de la Información y las Comunicaciones ha sido

utilizada de la manera correcta, esto ocasionara un uso inadecuado del modelo, sus controles

o grupo de controles detectados y a su vez una incorrecta implementación de la norma

internacional.

De allí entonces la necesidad de realizar un modelo basado en la norma ISO/IEC 27004 para

determinar la efectividad en la implementación de un SGSI, en entidades públicas de orden

nacional y territorial, que usa la propuesta de Gobierno en línea.

1.3.2 Formulación del problema. ¿En un SGSI que hace uso de los lineamientos de la

estrategia de Gobierno en línea, se puede determinar la efectividad de esta implementación,

a través de un modelo que haga uso de métricas y técnicas aplicables a los controles o grupos

de controles seleccionados para la organización?

1.4 ALCANCES Y DELIMITACIONES

1.4.1 Alcances

El modelo de medición está diseñado bajo los lineamientos de ISO/IEC 27004:2009

y teniendo como referencia el Modelo de Seguridad y Privacidad de la Información,

4

que ha sido diseñado por el Ministerio de Tecnologías de la Información y las

Comunicaciones.

El modelo propuesto puede ser implementado en entidades públicas de orden

nacional y territorial, así como proveedores de servicios de Gobierno en Línea y

terceros que han adoptado el modelo de seguridad y privacidad de la información en

el marco de la Estrategia de Gobierno Línea.

1.4.2 Delimitaciones El desarrollo e implementación de este proyecto está sujeto a los

lineamientos establecidos en el Modelo de Seguridad y Privacidad de la Información del

Ministerio de Tecnologías de la Información y las Comunicaciones.

1.5 OBJETIVOS

1.5.1 Objetivo general

Determinar la efectividad en la implementación de un SGSI, que ha seguido los lineamientos

de seguridad y privacidad de la estrategia de Gobierno en línea, a través de un modelo de

medición que haga uso de métricas y técnicas aplicables a los controles o grupos de controles,

basado en la norma ISO/IEC 27004.

1.5.2 Objetivos específicos

Plantear los lineamientos para efectuar la evaluación efectiva de los controles o grupo

de controles que han sido implementados haciendo uso del modelo de seguridad y

privacidad.

Generar las operaciones de medición de seguridad de la información, con el objetivo

de proporcionar información relacionada con la efectividad de implementación del

SGSI.

Plantear las recomendaciones a seguir para realizar las mediciones apropiadas dentro

de las organizaciones de Gobierno en Línea.

Realizar el análisis del estado actual del SGSI en una de las entidades públicas de

orden nacional y territorial, que siguen los lineamientos de Gobierno en línea.

Generar un documento en donde se consigne cada una de las etapas implementadas

de las fases para la norma ISO/IEC 27004.

1.6 JUSTIFICACIÓN

El propósito por el cual se ha planteado el desarrollo de dicho proyecto, es por la necesidad

de generar unos lineamientos de medición, que permitan identificar la efectividad con que se

ha implementado la norma ISO/IEC 27001, que de manera puntual, es usada a través del

5

Modelo de Seguridad y Privacidad de la Información planteado por el Ministerio de

Tecnologías de la Información y las Comunicaciones el cual tiene como audiencia las

entidades públicas de orden nacional y territorial, proveedores de servicios de Gobierno en

Línea y terceros que deseen adoptar el modelo. Se busca apoyar la tarea de evaluación y

análisis de los SGSI diseñados por las entidades gubernamentales.

1.7 MARCO DE REFERENCIA

1.7.1 Marco histórico

A continuación se hará referencia a ítems en donde los Sistemas de Seguridad de la

Información (SGSI) son parte importante para el Gobierno Nacional a través del Ministerio

de Tecnologías de la Información y las Comunicaciones.

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)

Con el Modelo de Seguridad para las entidades del Estado, el Ministerio TIC entrega una

guía para que puedan construir su Sistema de Gestión de Seguridad de la Información (SGSI).

Se busca generar una conciencia colectiva sobre la importancia de clasificar, valorar y

asegurar los activos de cada entidad.1

Las entidades son conscientes que el tema no sólo abarca el aseguramiento con software y

hardware, si no que en gran medida el resultado exitoso se refleja en la sensibilización y

compromiso del personal para cumplir cada política, conociendo el porqué de cada una.

Se encontraron 3 segmentos correspondientes a los avance en la apropiación y concepción

filosófica de los SGSI en las entidades:

Comenzando: se están enterando del tema, no tienen un proyecto estructurado o se

sienten inseguros hablando al respecto.

En Proceso: hay un responsable, un proyecto y un alcance definido. Esperan terminar

al menos la implementación inicial en 2014.

Avanzadas: Tienen un SGSI implementado que hace parte de la cultura de la entidad

y se sienten orgullosos de él.

1 MINTIC. Sobre Los sistemas de gestión de la seguridad de la información (SGSI). Fortalecimiento de la gestión TI en el estado. Bogotá: Mintic, 2016.

6

MINTIC ACOMPAÑA A LAS INSTITUCIONES PÚBLICAS PARA DAR MAYOR

SEGURIDAD A LA INFORMACIÓN

La información pública es uno de los mayores tesoros del Estado y los ciudadanos, por eso

el Ministerio de Tecnologías de la Información quiere apoyar a las demás instituciones

públicas para que fortalezcan la gestión de la seguridad y privacidad de los datos.

Para cumplir con esta misión, el equipo de acompañamiento de MinTIC ha realizado varias

sesiones grupales con los responsables de la seguridad en entidades del orden nacional. Los

pasados 7 y 14 de noviembre se llevaron a cabo la segunda y tercera de las jornadas orientadas

a avanzar en la implementación del Sistema de Gestión de Seguridad de la Información

(SGSI). Hasta el momento han participado más de 17 entidades.2

1.7.2 Marco teórico A continuación se hace referencia a los conceptos teóricos que

fundamentan los Sistemas de Gestión de Seguridad de la Información, concebido en la norma

ISO/IEC 27001.

IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN EN LAS

ORGANIZACIONES

Las tecnologías de información y de las comunicaciones (TIC) vienen siendo desde ya hace

algún tiempo el motor de las organizaciones, apoyando tanto su operación como la toma

estratégica de decisiones en el negocio.

Las condiciones actuales del mercado dan lugar a economías, gobiernos y organizaciones

cada vez más interconectadas que requieren compartir información, que evolucionan

constantemente, que deben responder a las necesidades de sus clientes y que deben generar

un factor diferenciador ante la competencia.3

2 MINTIC. Sobre el acompañamiento a las instituciones públicas para dar mayor seguridad a la información. Programa Gobierno en línea. Bogotá: Mintic, 2014. 3 Universidad de los Andes. Sobre la importancia de la Seguridad de la Información en las organizaciones. Departamento de Ingeniería de Sistemas y Computación. Bogotá: Facultad de Ingeniería, 2015.

7

ESTRATEGIA DE GOBIERNO EN LÍNEA

¿De qué se trata esta estrategia?

Gobierno en línea es el nombre que recibe la estrategia de gobierno electrónico (e-

government) en Colombia, que busca construir un Estado más eficiente, más transparente y

más participativo gracias a las TIC.4

Esto significa que el Gobierno:

Prestará los mejores servicios en línea al ciudadano.

Logrará la excelencia en la gestión.

Empoderará y generará confianza en los ciudadanos.

Impulsará y facilitará las acciones requeridas para avanzar en los Objetivos de

Desarrollo Sostenible -ODS, facilitando el goce efectivo de derechos a través del uso

de TIC. Declaración de compromiso con la agenda post 2015 -ODS-.

Ejes temáticos de la estrategia

TIC para el Gobierno Abierto: Busca construir un Estado más transparente y colaborativo,

donde los ciudadanos participan activamente en la toma de decisiones gracias a las TIC.

TIC para servicios: Busca crear los mejores trámites y servicios en línea para responder a

las necesidades más apremiantes de los ciudadanos.

TIC para la gestión: Busca darle un uso estratégico a la tecnología para hacer más eficaz la

gestión administrativa.

Seguridad y privacidad de la información: Busca guardar los datos de los ciudadanos

como un tesoro, garantizando la seguridad de la información.

Marco regulatorio

Las normas relacionadas con el diseño y desarrollo de la política de Gobierno electrónico en

Colombia, se encuentran especificadas en el siguiente listado:5

4 Vive digital para la gente. Sobre conocer la estrategia de Gobierno en línea. Ministerio de Tecnologías de la Información y las Comunicaciones. 2016. 5 Marco Regulatorio. Sobre conocer la estrategia de Gobierno en línea. Ministerio de Tecnologías de la Información y las Comunicaciones. 2016.

8

Marco jurídico institucional de la estrategia

Conpes 2790 de 1995: Gestión Pública orientada a resultados.

Decreto Ley 2150 de 1995: Estatuto Anti-trámites.

Conpes 3072 de 2000: Agenda de Conectividad.

Directiva 02 de 2000: Plan de Acción de la estrategia de Gobierno en Línea.

Decreto 127 de 2001: Consejerías y Programas Presidenciales en el

Departamento Administrativo de la Presidencia de la República.

Decreto 3107 de 2003: Supresión del Programa Presidencial e integración de

la Agenda de Conectividad al MinTIC.

Decreto 1151 de 2008: Lineamientos generales de la Estrategia de Gobierno

en línea.

Ley 1341 de 2009: Mecanismo y condiciones para garantizar la masificación

del Gobierno en Línea.

Circular No. 058 de 2009 de la Procuraduría General de la Nación:

Cumplimiento Decreto 1151 de 2008.


en línea.


en línea.

Decreto 1078 de 2015: Decreto Unico Sectorial - Lineamientos generales de

la Estrategia de Gobierno en Línea.

Gobierno abierto

Ley 57 de 1985: Publicidad de los actos y documentos oficiales.

Ley 594 de 2000: Ley General de Archivos.

Acto legislativo 01 de 2003: Uso de medios electrónicos e informáticos para

el ejercicio del derecho al sufragio.

Ley 892 de 2004: Mecanismo electrónico de votación e inscripción.

Ley 1712 de 2014: Ley de Transparencia y del Derecho de Acceso a la

Información Pública Nacional.

Ley Estatutaria 1757 de 2015: Promoción y protección del derecho a la

participación democrática.

Decreto Reglamentario Único 1081 de 2015 - Decreto 103 de 2015:

Reglamento sobre la gestión de la información pública.

Resolución 3564 de 2015: Reglamentaciones asociadas a la Ley de

Transparencia y Acceso a la Información Pública.

Trámites y servicios

Ley 527 de 1999: Ley de Comercio Electrónico.

9

Decreto Ley 2150 de 1995: Suprimen y reforman regulaciones,

procedimientos o trámites innecesarios existentes en la Administración

Pública.

Decreto 1747 de 2000: Entidades de certificación, los certificados y las firmas

digitales.

Ley 734 de 2002: Código Único Disciplinario.

Ley 794 de 2003: Código de Procedimiento Civil.

Ley 812 de 2003: Renovación de la Administración Pública.

Ley 906 de 2004: Código de Procedimiento Penal.

Conpes 3292 de 2004: Proyecto de racionalización y automatización de

trámites.

Ley 962 de 2005: Racionalización de trámites y procedimientos

administrativos procedimientos administrativos.

Decreto 019 de 2012: Suprimir o reformar regulaciones, procedimientos y

trámites innecesarios existentes en la Administración Pública.

NTC 5854 de 2012: Accesibilidad a páginas web.

Decreto 2364 de 2012: Firma electrónica.

Ley estatutaria 1618 de 2013: Ejercicio pleno de las personas con

discapacidad.

Gestión TI

Directiva Presidencial No. 10 de 2002: Programa de renovación de la

Administración Pública: hacía un Estado Comunitario.

Ley 790 de 2002: Programa de Reforma de la Administración Pública.

Conpes 3248 de 2003: Renovación de la Administración Pública.

Decreto 3816 de 2003: Comisión Intersectorial de Políticas y de Gestión de la

Información para la Administración Pública.

Decreto 235 de 2010: Intercambio de información entre entidades para el

cumplimiento de funciones públicas.

Seguridad y privacidad de la información

Ley 1266 de 2008: Disposiciones generales de habeas data y se regula el

manejo de la información.

Ley 1273 de 2009: Código Penal.

Ley Estatutaria 1581 de 2012: Protección de datos personales.

10

MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

Audiencia

Entidades públicas de orden nacional y territorial, así como proveedores de servicios de

Gobierno en Línea, y terceros que deseen adoptar el Modelo de Seguridad y Privacidad de la

información en el marco de la Estrategia de Gobierno en Línea.6

Introducción

El Ministerio de Tecnologías de la Información y las Comunicaciones - MinTIC, es la entidad

encargada de diseñar, adoptar y promover las políticas, planes, programas y proyectos del

sector de las Tecnologías de la Información y las Comunicaciones.

El Modelo de Seguridad y Privacidad de la Información – MSPI, conduce a la preservación

de la confidencialidad, integridad, disponibilidad de la información, permitiendo garantizar

la privacidad de los datos, mediante la aplicación de un proceso de gestión del riesgo,

brindando confianza a las partes interesadas acerca de la adecuada gestión de riesgos.

A través del decreto único reglamentario 1078 de 2015, del sector de Tecnologías de

Información y las Comunicaciones, se define el componente de seguridad y privacidad de la

información, como parte integral de la estrategia GEL.

Objetivos7

Objetivo general

Generar un documento de lineamientos de buenas prácticas en Seguridad y Privacidad para

las entidades del Estado.

Objetivos específicos

Mediante la utilización del Modelo de Seguridad y Privacidad para las Entidades del

Estado, se busca contribuir al incremento de la transparencia en la gestión pública.

Promover el uso de mejores prácticas de seguridad de la información, para ser la base

de aplicación del concepto de Seguridad Digital.

6 Vive digital Colombia. Sobre la audiencia para el Modelo de Seguridad y Privacidad de la Información. MINTIC. 2016. 7 Vive digital Colombia. Sobre los objetivos del Modelo de Seguridad y Privacidad de la Información. MINTIC. 2016.

11

Dar lineamientos para la implementación de mejores prácticas de seguridad que

permita identificar infraestructuras críticas en las entidades.

Contribuir a mejorar los procesos de intercambio de información pública.

Orientar a las entidades en las mejores prácticas en seguridad y privacidad.

Optimizar la gestión de la seguridad de la información al interior de las entidades.

Orientar a las entidades en la transición de lPv4 a IPv6 con la utilización de las guías

disponibles para tal fin.

Orientar a las entidades en la adopción de la legislación relacionada con la protección

de datos personales.

Contribuir en el desarrollo del plan estratégico institucional y la elaboración del plan

estratégico de tecnologías de la información y de las comunicaciones.

Contribuir en el desarrollo del ejercicio de arquitectura empresarial apoyando en el

cumpliendo de los lineamientos del marco de referencia de arquitectura empresarial

para la gestión de TI del estado colombiano.

Orientar a las entidades destinatarias en las mejores prácticas para la construcción de

una política de tratamiento de datos personales respetuosa de los derechos de los

titulares.

Optimizar la labor de acceso a la información pública al interior de las entidades

destinatarias.

Revisar los roles relacionados con la privacidad y seguridad de la información al

interior de la entidad para optimizar su articulación.

Modelo de seguridad y privacidad de la información

El modelo de seguridad y privacidad de la información contempla un ciclo de operación que

consta de cinco (5) fases, las cuales permiten que las entidades puedan gestionar

adecuadamente la seguridad y privacidad de sus activos de información.8

El componente de TIC para Gobierno Abierto se alinea con el componente de Seguridad y

Privacidad de la Información que permite la construcción de un estado más transparente,

colaborativo y participativo al garantizar que la información que se provee tenga controles

de seguridad y privacidad de tal forma que los ejercicios de interacción de información con

el ciudadano, otras entidades y la empresa privada sean confiables.

8 Vive digital Colombia. Sobre el Modelo de Seguridad y Privacidad de la Información. MINTIC. 2016.

12

ISO/IEC 27004 – MEDICIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

ISO 27004 facilita una serie de mejores prácticas para poder medir el resultado de un SGSI

basado en ISO 27001.

ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño y complejidad

de la organización, de la relación coste beneficio y del nivel de integración de la seguridad

de la información en los procesos de la propia organización.

Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la seguridad de

la información son:

Selección procesos y objetos de medición.

Definición de las líneas base.

Recopilación de datos.

Desarrollo de un método de medición.

Interpretación de los valores medidos.

Comunicación de los valores de medición.

ISO 27001: AUDITORÍAS INTERNAS DEL SGSI

El principal objetivos de que se realicen las auditorías internas periódicamente es poder

determinar si los objetivos, los controles, los procesos y los procedimientos del Sistema de

Gestión de Seguridad de la Información se encuentran:

Conformes a los requisitos que establece el estándar internacional ISO27001, además

de la legislación y los reglamentos correspondientes.

Acorde a los requisitos establecidos en seguridad de la información.

Eficazmente implementados y mantenidos.

Comportándose de la manera esperada.

El programa de auditoría se planifica contando con el nivel de importancia de los procesos y

de las áreas que van a ser auditadas, además se debe contar con los resultados obtenidos de

auditorías previas. Se tienen que definir los criterios utilizados durante la auditoría, el

alcance, la frecuencia y los métodos utilizados.

Se debe contar con un procedimiento documentado en el que se especifiquen las

responsabilidades, los requisitos y la dirección de las auditorías, además se debe emitir un

informe con los resultados obtenidos.

13

SEGURIDAD INFORMÁTICA

En informática, como en tantas facetas de la vida, la seguridad entendida según la definición

anterior es prácticamente imposible de conseguir, por lo que se ha relajado y se tiende más

al concepto de fiabilidad; se entiende un sistema seguro como aquel que se comporta como

se espera de él.9

De los sistemas informáticos, ya sean sistemas operativos, servicios o aplicaciones, se dice

que son seguros si cumplen las siguientes características:

Confiabilidad. Requiere que la información sea accesible únicamente por las

entidades autorizadas.

Integridad. Requiere que la información sólo pueda ser modificada por las

entidades autorizadas. Las modificaciones incluyen escritura, cambio, borrado,

creación y reenvío de los mensajes transmitidos.

No repudio. Ofrece protección a un usuario frente a otro usuario que niegue

posteriormente que se realizó cierta comunicación.

Disponibilidad. Requiere que los recursos del sistema informático estén

disponibles a las entidades autorizadas cuando los necesiten.

Amenazas de seguridad

Se entiende por amenaza una condición del entorno del sistema de información (por ejemplo,

persona, máquina, etc.) que, dada una oportunidad, podría dar lugar a que se produjese una

violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo).

Las amenazas de seguridad pueden caracterizarse modelando el sistema como un flujo de

información; desde una fuente, como por ejemplo un fichero o un equipo, a un destino, como

por ejemplo otro fichero o un usuario.10

Cuatro categorías general de amenazas o ataques son los siguientes:

Interrupción. Un recurso del sistema es destruido o deja de estar disponible. Este es

un ataque contra la disponibilidad.

9 GÓMEZ, Julio. Sobre conceptos básicos de seguridad de la información. Guía de campo Hackers aprende a atacar y a defenderte. México: Alfaomega, 2010. p. 17. 10 GÓMEZ, Julio. Sobre amenazas de seguridad. Guía de campo Hackers aprende a atacar y a defenderte. México: Alfaomega, 2010. p. 18.

14

Intercepción. Una entidad no autorizada consigue acceso a un recurso. Éste es un

ataque contra la confidencialidad. La entidad no autorizada puede ser una persona, un

programa o un ordenador.

Modificación. Una entidad no autorizada no sólo consigue acceder a un recurso, sino

que es capaz de manipularlo. Éste es un ataque contra la integridad.

Fabricación. Un ataque contra la autenticidad es cuando una entidad no autorizada

inserta objetos falsificados en el sistema.

Seguridad lógica

Principios de la seguridad lógica

La mayoría de los daños que puede sufrir un sistema informático no será solo los medios

físicos sino contra información almacenada y procesada. El activo más importante que se

posee es la información y por tanto deben existir técnicas más allá de la seguridad física que

la asegure, estas técnicas las brinda la seguridad lógica.11

Técnicas de control de acceso

Estos controles pueden implementarse en la BIOS, el S.O, sobre los sistemas de aplicación,

en las DB, en un paquete específico de seguridad o en cualquier otra aplicación. Constituyen

una importante ayuda para proteger al S.O de la red, al sistema de aplicación y demás

software de la utilización o modificaciones no autorizadas.

Identificación y autenticación

Se denomina identificación al momento en que el usuario se da a conocer en el

sistema y autenticación a la verificación que se realiza en el sistema sobre esta

identificación.

Roles

El acceso a la información también puede controlarse a través de la función perfil o

rol del usuario que requiere dicho acceso.

Limitaciones a los servicios

Estos controles se refieren a las restricciones que dependen de parámetros propios de

la utilización de la aplicación o preestablecidos por el administrador del sistema.

Modalidad de acceso

Se refiere al modo de acceso que se permite al usuario sobre los recursos y la

información esta modalidad puede ser:

Lectura

11 SMR, Seguridad Informática. Sobre los principios de la seguridad lógica. Tema 3 – Seguridad Lógica. WIKI DE SEGURIDAD INFORMÁTICA. 2017.

15

Escritura

Ejecución

Borrado

Todas las anteriores

Además existen otras modalidades de acceso especiales:

Creación: permite al usuario crear archivos nuevos, registros o campos.

Búsqueda: permite listar los archivos de un directorio determinado

Ubicación y horarios

El acceso a determinados recursos del sistema puede estar basado en la ubicación

física o lógica de los datos o personas. En cuanto a los horarios este tipo de controles

permite limitar el acceso de los usuarios a determinadas horas del día o a

determinados días de la semana. Se debe mencionar que en estos dos tipos de

controles siempre deben ir acompañados de algunos de los controles anteriormente

mencionados.

SEGURIDAD DE LA INFORMACIÓN

Sistema de Gestión de Seguridad de la Información

La Seguridad de la Información se puede definir como conjunto de medidas técnicas,

organizativas y legales que permiten a la organización asegurar la confidencialidad,

integridad y disponibilidad de su sistema de información.12

Los sistemas informáticos permiten la digitalización de todo este volumen de información

reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana

en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la

presentación de dicha información.

Seguridad de la información: modelo PDCA

El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es

identificar los 'activos de información' que deben ser protegidos y en qué grado.

12 OBSERVATORIO TECNOLÓGICO, MONOGRÁFICO: Introducción a la seguridad informática - Seguridad de la información / Seguridad informática. Sobre la Seguridad de la información.

16

Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar,

Hacer, Verificar, Actuar y volver a repetir el ciclo.

Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se

eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de

seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan

en su totalidad.13

Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan

en Actuar, consiguiendo así mejorar la seguridad.

Figura 1. Ciclo PDCA

Observatorio tecnológico

PLANIFICAR (Plan): consiste en establecer el contexto en él se crean las políticas de

seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de

aplicabilidad

HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información,

implementar el plan de riesgos e implementar los controles.

VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.

ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora,

acciones preventivas y acciones correctivas.

13 OBSERVATORIO TECNOLÓGICO, MONOGRÁFICO: Introducción a la seguridad informática - Seguridad de la información / Seguridad informática. Sobre el modelo PDCA.

17

AUDITORIA DE SISTEMAS DE INFORMACIÓN

La auditoría en informática es la revisión y la evaluación de los controles, sistemas,

procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y

seguridad, de la organización que participan en el procesamiento de la información, a fin de

que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente

y segura de la información que servirá para una adecuada toma de decisiones.

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas

de información, ya que proporciona los controles necesarios para que los sistemas sean

confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática,

organización de centros de información, hardware y software).14

Planeación de la auditoría e informática

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie

de pasos previos que permitirán dimensionar el tamaño y características de área dentro del

organismo a auditar, sus sistemas, organización y equipo. La planeación es fundamental, pues

habrá que hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general

sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer

una investigación preliminar y algunas entrevistas previas, con base en esto planear el

programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos

auxiliares a solicitar o formular durante el desarrollo de la misma.

Investigación preliminar

Se deberá observar el estado general del área, su situación dentro de la organización, si existe

la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada una

de las áreas basándose en los siguientes puntos:

Administración: Se recopila la información para obtener una visión general del

departamento por medio de observaciones, entrevistas preliminares y solicitud de

documentos para poder definir el objetivo y alcances del departamento.

14 Gerencie.com, Auditoría de sistemas de información. Sobre que es auditoría de sistemas.

18

Sistemas: Descripción general de los sistemas instalados y de los que estén por

instalarse que contengan volúmenes de información.

Importancia de auditoría informática en una empresa

La adecuada planeación de una organización, propicia el espacio para sus evaluaciones, que

permite dimensionar sus principales características, dando la oportunidad de organización a

través de una auditoría contable para garantizar su buen desempeño , proporcionando a su

vez mejor control en su implementación sistemática; rentabilidad a la organización,

eficiencia y seguridad en el procesamiento de la información , y un manejo más seguro de la

información que facilita la toma de decisiones de una forma más seguras y veraz.

1.7.3 Marco conceptual

A continuación se hará referencia a ítems en donde los Sistemas de Seguridad de la

Información (SGSI) son parte importante para el Gobierno Nacional a través del Ministerio

de Tecnologías de la Información y las Comunicaciones.

ISO (International Organization for Standardization): La organización

Internacional de Normalización, es una organización para la creación de estándares

internacionales compuesto por diversas organizaciones nacionales de

estandarización.

ISO/IEC 27000: Esta norma proporciona una visión general de las normas que

componen la serie 27000, indicando para cada una de ellas su alcance de actuación y

el propósito de su publicación.

ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema

de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que

ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores

externos los SGSIs de las organizaciones.

ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de

control y controles recomendables en cuanto a seguridad de la información. No es

certificable.

ISO/IEC 27004: Es una guía para el desarrollo y utilización de métricas y técnicas

de medida aplicables para determinar la eficacia de un SGSI y de los controles o

grupos de controles implementados según ISO/IEC 27001. No certificable.

SGSI: Un sistema de gestión de la seguridad de la información (SGSI) (en inglés:

information security management system, ISMS) es, un conjunto de políticas de

administración de la información. El término es utilizado principalmente por la

ISO/IEC 27001, aunque no es la única normativa que utiliza este término o concepto.

19

SEGURIDAD SE LA INFORMACIÓN: Es el conjunto de medidas preventivas y

reactivas de las organizaciones y de los sistemas tecnológicos que permiten

resguardar y proteger la información buscando mantener la confidencialidad, la

disponibilidad e integridad de datos y de la misma.

AUDITORÍA INFORMÁTICA: Es un proceso que consiste en recoger, agrupar y

evaluar evidencias para determinar si un Sistema de Información salvaguarda el

activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo

eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple

con las leyes y regulaciones establecidas.

GOBIERNO EN LÍNEA (GEL): Es una estrategia definida por el Gobierno

Nacional mediante el Decreto 1151 de 2008, que pretende lograr un salto en la

inclusión social y en la competitividad del país a través de la apropiación y el uso

adecuado de las Tecnologías de la Información y las Comunicaciones (T.I.C).

1.8 FACTIBILIDAD

1.8.1 Factibilidad técnica Para el desarrollo satisfactorio de este proyecto, se tienen los

conocimientos necesarios acerca de las normas de la familia ISO/IEC 27000, de manera

concreta con las normas ISO/IEC 27001:2013, ISO/IEC 27002:2013 y ISO/IEC 27004:2009.

De igual manera se utilizaran dos equipos de cómputo con las características que se describen

a continuación.

Sistema operativo Windows 10 Home Single Language.

Microsoft Office Professional Plus 2013.

Microsoft Project Professional 2013.

Microsoft Visio Professional 2013.

1.8.2 Factibilidad operativa Dado que el proyecto estará diseñado bajo los lineamientos

del Modelo de Seguridad y Privacidad de la información, se garantiza que el uso de la norma

ISO/IEC 27004:2009, estará acorde para llevar a cabo las actividades medición, determinar

la efectividad de un SGSI y de los controles o grupo de controles para las entidades públicas

de orden nacional y territorial, así como proveedores de servicios de Gobierno en Línea, y

terceros que han adoptado el modelo del Ministerio de Tecnologías de la Información y las

Comunicaciones.

1.8.3 Factibilidad legal En este aspecto, los ejecutores del proyecto, cuentan con el

licenciamiento necesario de los productos de software y servicios Microsoft mencionados

20

anteriormente, de igual manera se cuenta con cada una de las normas necesarias de la familia

ISO/IEC 27000 para llevar a cabo el desarrollo del modelo.

1.8.4 Factibilidad económica La factibilidad económica del proyecto es alta, ya que los

recursos necesarios en términos financieros, son mínimo. Se compone de dos equipos de

cómputo, asesorías por parte del tutor del proyecto, acceso a Internet y papelería para realizar

el modelado del proyecto.

En las tablas que se presentan a continuación, se describe la factibilidad económica,

identificando los costos de papelería, hardware, software y recursos humanos necesarios para

la realización del proyecto que se propone.

Estas se dividieron en tres aspectos, recursos humanos, recursos técnicos y otros recursos, la

distinción de los recursos humanos se presenta en la Tabla 1 Factibilidad de Recursos

Humanos. Aquí se presenta las asesorías profesionales que se tendrán y los gastos de los

analistas.

Tabla 1 Factibilidad Económica - Recursos Humanos

TIPO DESCRIPCIÓN VALOR-

HORA

CANTIDAD PROVEEDOR TOTAL

Asesor

Técnico

Asesorías

profesionales para

la realización del

proyecto, referente

a la metodología.

$ 40.000 80 Equipo de

trabajo

$ 3.200.000

Analistas Dos analistas que

realicen el

reconocimiento de

las normas

ISO/IEC 27000 y

la implementación

de la solución.

$ 25.000 10 horas

semanales

Equipo de

trabajo

$ 5.000.000

Total Recursos Humanos $ 8.200.000

Los autores

A continuación en la Tabla 2 se presentarán los gastos de los recursos técnicos, que se

muestran en el desarrollo del proyecto.

21

Tabla 2 Factibilidad Económica - Recursos Técnicos

RECURSO DESCRIPCIÓN VALOR

UNITARIO

CANT PROVEEDOR TOTAL

Computado

r portátil

Lenovo

ideapad

S400U

Procesador:

Intel Core

i5-3317U

Memoria

RAM: 4GB

Almacenam

iento:

500GB

Equipo portátil

para el desarrollo

pertinente de la

documentación

respectiva,

análisis del

modelo de

seguridad de

Gobierno en

línea.

$ 2.000.000 1 Grupo de

trabajo

$ 2.000.000

Computado

r portátil

Lenovo

G400

Procesador:

Intel

Pentium

2020M

Memoria

RAM: 4GB

Almacenam

iento:

500GB

Equipo portátil

para el desarrollo

pertinente de las

pruebas de

implementación

del modelo de

medición.

$ 1.500.000 1 Grupo de

trabajo

$ 1.500.000

Windows

10 Home

Single

Language

Sistema operativo

para los equipos

de cómputo.

$ 200.000 2 Grupo de

trabajo

$ 400.000

Microsoft

Office

Professional

Plus 2013

Paquete de

ofimática básico.

$ 250.000 2 Grupo de

trabajo

$ 500.000

Microsoft

Project

Prefessional

2013

Software de

administración de

proyectos.

$ 150.000 1 Grupo de

trabajo

$ 150.000

Microsoft

Visio

Professional

2013

Software de

dibujo vectorial

$ 150.000 1 Grupo de

trabajo

$ 150.000

Total Recursos Técnicos $ 4.700.000

Los autores

22

De igual manera se muestran los gastos adicionales en la Tabla 3 que serán solventados por

los ejecutores del proyecto.

Tabla 3 Factibilidad Económica Costo Total

RECURSO VALOR

Total Recursos Humanos $ 8.200.000

Total Recursos Técnicos $ 4.700.000

Total Otros recursos $ 500.000

Costos imprevistos (10%) $ 520.000

TOTAL COSTO $13.920.000

Los autores

23

1.9 CRONOGRAMA DE ACTIVIDADES

Figura 2. Cronograma de actividades

Los autores

24

2. LINEAMIENTOS PARA LA EVALUACIÓN EFECTIVA DE CONTROLES

IMPLEMENTADOS CON EL MODELO DE PRIVACIDAD Y SEGURIDAD

A través de este capítulo se mostrarán cada uno de los lineamientos que han sido

implementados para lograr una evaluación efectiva de los controles que han sido

implementados por las Entidades gubernamentales colombianas, que de igual manera

hicieron uso del Modelo de Seguridad y Privacidad del Ministerio de Tecnologías de la

Información y las Comunicaciones, para establecer su correspondiente SGSI.

2.1 DEFINICIÓN DEL ALCANCE DE LAS MEDICIONES

Partiendo de que las Entidades gubernamentales en el territorio colombiano, para establecer

sus políticas, su propio Sistema de Gestión y Seguridad de la Información, hacen uso del

Modelo brindado por el programa Gobierno en Línea. Al momento de definir el alcance de

la medición efectiva de dicho SGSI implementado, es necesario tener en cuenta que estas

Entidades hacen uso de la Guía de Controles de Seguridad de la Información15 en donde se

especifican los controles y grupos de controles a evaluar según la norma ISO/IEC 27002.

Éstas a su vez están delimitando el alcance de la evaluación final del SGSI, ya que la elección

de dichos controles depende de la prioridad otorgada la alta dirección.

Figura 3. Fragmento de guía de controles de Seguridad y Privacidad de la Información

Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia

15 MINTIC. BIBLIOTECA DE SEGURIDAD. En: FORTALECIMIENTO DE LA GESTIÓN TI EN EL ESTADO.

25

2.2 SELECCIÓN DEL OBJETO DE MEDICIÓN Y SUS ATRIBUTOS

Es necesario que en la Entidad se identifique cada uno de los objetos de medición con sus

respectivos atributos, en el contexto general del SGSI de la organización. Estos objetos de

medición se deben seleccionar con base a la prioridad dada al grupo de controles

seleccionados en la Entidad al momento de implementar su Sistema de Seguridad.

Los valores que se asignen a una medida base se obtienen aplicando un método de medición

apropiado para los atributos seleccionados. Las características de los atributos seleccionados

determinan el tipo del método de medición a utilizar para obtener los valores que se van a

asignar a las medidas base, los cuales pueden ser cualitativos o cuantitativos.

De igual manera se han de utilizar datos que describan el objeto de medición y los atributos

correspondientes, como los valores a ser asignados a las medidas base como lo pueden ser:

Productos.

Servicios.

Procesos.

Instalaciones.

Aplicaciones y sistemas de información.

Unidades de negocio.

Ubicaciones geográficas.

Servicios tercerizados.

2.3 DESARROLLO DE LAS ESTRUCTURAS DE MEDICIÓN

2.3.1 Selección de la medida

Es necesario identificar las medidas que satisfagan potencialmente la necesidad de

información seleccionada, se recomienda que las medidas seleccionadas reflejen la prioridad

de las necesidades de información. Los criterios para la selección de medidas incluyen:

Facilidad para la recolección de datos.

Disponibilidad de los recursos humanos para recolectar y gestionar los datos.

Disponibilidad de las herramientas apropiadas.

Facilidad para la interpretación.

Número de usuarios de los resultados de medición desarrollados..

26

2.3.2 Método de medición

Para cada medida base individual se define un método de medición. Dicho método de

medición se utiliza para cuantificar un objeto de medición, a través de la transformación de

los atributos en que se van a asignar a la medida base.

Un método de medición puede ser subjetivo u objetivo. Los métodos subjetivos se basan en

la cuantificación, involucrando el juicio humano, mientras que los métodos objetivos

utilizan la cuantificación basada en reglas numéricas, el cual se puede implementar por

medios humanos o automáticos.

El método de medición cuantifica los atributos como valores al aplicar la escala apropiada.

Cada escala utiliza unidades de medición. Sólo se comparan directamente las cantidades

expresadas en la misma unidad de medición.

Se recomienda que el método de medición sea consistente a través del tiempo, de manera que

los valores asignados a la medida base, tomadas en tiempos distintos, sean comparables y,

que los valores asignados a una medida derivada y a un indicador también sean

comparables.

Una vez realizados los métodos de medición es asociarlo a un tipo de escala, las clases de

escala pueden ser:

Ratio: Uso de escalas de distancia.

Nominal: Uso de valores categóricos.

Intervalos: Uso de máximos y mínimos.

Ordinal: Uso de valores ordenados.

2.3.3 Función de medición

Por cada medida derivada individual, se recomienda que se defina una función de medición,

la cual sea aplicable a dos o más valores asignados a medidas base. Dicha función de

medición se utiliza para transformar los valores asignados a una o más medidas base, al valor

que se va asignar a una medida derivada. En algunos casos, una medida base puede contribuir

directamente al modelo analítico además de una medida derivada.

2.3.4 Modelo analítico

Por cada indicador, se recomienda que se defina un modelo analítico con el propósito

de transformar uno o más valores asignados a una medida base y/o derivada, en valores

que se van a asignar al indicador.

27

El modelo analítico combina medidas relevantes, de una manera que produzca una

salida que tenga significado para las partes interesadas.

2.3.5 Indicadores

Los formatos para la presentación de los indicadores presentarán visualmente las medidas

y proveerán una explicación detallada de los indicadores. Para el Modelo de Medición de

Seguridad de la Información planteado, se hará uso de identificadores de colores teniendo en

cuenta cada uno de los Modelos analíticos planteados.

Modelo analítico objetivo-porcentual (rojo, amarillo, verde)

Figura 4. Visualización de rangos de medición

Los autores

0

10

20

30

40

50

60

70

80

90

100

Rojo (0 % - 60 %) Amarillo (61% - 90%) Verde (91% - 100%)

Visualización de rangos de medición

No cumple Parcialmente Cumple

28

Modelo analítico objetivo-porcentual (cumple, No cumple)

Figura 5. Visualización de rangos de medición (cumple, No cumple)

Los autores

Modelo analítico subjetivo (cumple, No cumple)

Figura 6. Visualización gráfica de modelo analítico subjetivo

Los autores

0

10

20

30

40

50

60

70

80

90

100

Rojo (0% - 90%) Verde (91% - 100%)

Visualización de rangos de medición

No cumple Cumple

0

0,1

0,2

0,3

0,4

0,5

0,6

0,7

0,8

0,9

1

Rojo Verde

Visualización gráfica modelo analítico subjetivo

No cumple Cumple

29

2.3.6 Criterios de decisión

Se recomienda que se definan y documenten los criterios de decisión correspondiente a

cada indicador, basado en los objetivos de seguridad de la información, para proveer una

guía de acción a las partes interesadas. Para el modelo de medición planteado, el criterio

de decisión está relacionado con el tipo de modelo analítico utilizado en cada una de las

estructuras de medición, analizado de la siguiente manera:

Modelo analítico objetivo-porcentual (rojo, amarillo, verde)

Rojo: Se requiere intervención, es necesario efectuar un análisis de las causas para

determinar las razones del no cumplimiento o rendimiento pobre.

Amarillo: Se recomienda que se siga de cerca este indicador por la posibilidad de

que se deslice a Rojo.

Verde: No se requiere acción, continuar con el proceso como se viene

desarrollando.

Modelo analítico objetivo-porcentual (No cumple, cumple)

0-90% - NO CUMPLE; 91-100% - CUMPLE

NO CUMPLE: Se requiere intervención, es necesario efectuar un análisis de las

causas para determinar las razones del no cumplimiento.

CUMPLE: No se requiere acción, continuar con el proceso como se viene

desarrollando.

Modelo analítico subjetivo (cumple, No cumple)

0 - NO CUMPLE; 1 – CUMPLE

NO CUMPLE: Se requiere intervención, es necesario efectuar un análisis de las

causas para determinar las razones del no cumplimiento.

CUMPLE: No se requiere acción, continuar con el proceso como se viene

desarrollando.

2.3.7 Partes interesadas

Por cada medida base y/o derivada, se recomienda que se identifiquen y documenten

las partes interesadas apropiadas. Para el modelo de medición planteado, se realiza la

evaluación de los siguientes ítems, con el objetivo de conocer de manera detallada el área a

la cual se encuentra “ligada” dicha medición.

Cliente de la medición.

Revisor de la medición.

Propietario de la información.

Recolector de la información.

A continuación, se hace relación a la plantilla de medición realizada para poder efectuar la

respectiva evaluación de los controles y/o objetivos de control que hacen parte de la

30

implementación del Sistema de Seguridad de la Información en las Entidades

Gubernamentales, que han hecho uso del Modelo de seguridad y privacidad diseñado por

Gobierno en línea. Dicha plantilla hace uso de los criterios de evaluación más relevantes

partiendo de la norma ISO/IEC 27004, esto con el objetivo de hacer una evaluación mucho

más efectiva.

Tabla 4. Plantilla para la medición de seguridad

Identificación de la estructura de medición

Nombre de la estructura de medición

Identificador numérico

Propósito de la estructura de

medición

Objetivo del control / proceso

Control(1)/proceso(1)

Control(2)/proceso(2)

Objeto de medición y atributos

Objeto de medición

Atributo

Especificación de medidas base (para cada medida base [1..n])

Método de medición

Especificación de medida derivada

Función de medición

Especificación del indicador

Indicador

Modelo analítico

Especificación de los modelos de decisión

Criterios de decisión

Resultados de medición

Interpretación de un indicador

31

Partes interesadas

Cliente de la medición

Revisor de la medición

Propietario de la información

Recolector de la información

Frecuencia / Periodicidad

Frecuencia de la recolección de datos

Frecuencia del análisis de datos

Frecuencia del informe de los

resultados de la medición

Revisión de la medición

Período de medición

Los autores

En el Anexo A de este documento es posible observar la implementación completa del

Modelo de Medición para el Sistema de Gestión de Seguridad de la Información

implementado en las entidades gubernamentales, en este se contemplan cada uno de los

objetivos de control como marco de referencia, de igual manera con los respectivos controles

a los que se hace referencia en la norma ISO/IEC 27002:2013. Se ha diseñado teniendo en

cuenta de manera general cada uno de los ítems que tiene la posibilidad de implementar las

Entidades del Estado colombiano, ya que como se mencionaba en otro apartado, los objetivos

de controles seleccionados por la organización, definen el alcance de las mediciones. Es

válido aclarar que se están siguiendo los lineamientos de la estrategia de Gobierno en Línea

(GEL).

2.4 OPERACIONES DE MEDICIÓN DE SEGURIDAD

La operación de medida de seguridad de información incluye actividades que son esenciales

para asegurar que los resultados obtenidos en la medición proporcionen información precisa

con respecto a la eficacia de una aplicación SGSI, controles o grupo de controles y la

necesidad de acciones de mejora apropiadas. Esta actividad incluye el texto siguiente:

32

La integración de los procedimientos de medición en el funcionamiento general del

SGSI.

Reunir, almacenar y verificar los datos.

2.4.1 Integración del procedimiento

El programa de medición de seguridad de la información debe estar plenamente integrada y

utilizada por el SGSI. Este comprende:

la definición y documentación de roles, autoridades y responsabilidades, con respecto

al desarrollo, implementación y mantenimiento de la medición de la seguridad de la

información.

la comunicación a las partes interesadas pertinentes de los cambios en las actividades

de recolección de datos.

Haciendo uso de esos criterios, a través del Modelo de medición de Seguridad de la

Información, en la sección “Partes interesadas”, se indica de manera general los

departamentos o áreas que deben ser responsables del tratamiento y custodia de dicha

información de igual manera responsables ante el ente auditor de proporcionar datos

verídicos.

2.4.2 Recolección, almacenamiento y verificación de datos

En el siguiente apartado, se realizan actividades de recolección de datos para efectuar la

respectiva medición en el Sistema de Gestión de Seguridad de la Información de las

Entidades Gubernamentales, se ha realizado la creación de una plantilla, que tiene como

objetivo recopilar los datos producto de la ejecución de la evaluación respectiva. Dicha

plantilla está diseñada para recolectar la información teniendo en cuenta los distintos modelos

analíticos mencionados anteriormente en este proyecto.

A continuación, se muestra la forma en que se recolecta la información para el modelo

analítico “objetivo-porcentual (rojo, amarillo, verde)”, se recomienda diligenciar la sección

de indicadores con los colores correspondientes en la plantilla.

Tabla 5. Plantilla 1 para ejecutar la evaluación de SGSI

Estructura

de medición

Identificador

numérico

Indicador Observaciones N/A

Rojo Amarillo Verde %

Los autores

33

A continuación, se muestra la forma en que se recolecta la información para los modelos

analíticos “objetivo-porcentual (cumple, No cumple)” y “subjetivo (cumple, No cumple)”,

se recomienda diligenciar la sección de indicadores con los colores correspondientes en la

plantilla.


Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Los autores

En el Anexo B de este documento es posible observar cada una de las plantillas con la

estructura de medición correspondiente para iniciar la respectiva evaluación y recolección de

información de los controles y grupos de controles que han sido utilizados en las Entidades

Gubernamentales, todo esto siguiendo los lineamientos de Gobierno en Línea (GEL).

34

3. RECOMENDACIONES A SEGUIR PARA REALIZAR LAS MEDICIONES

APROPIADAS DENTRO DE LINEAMIENTOS DE GOBIERNO EN LÍNEA

A través de este capítulo, se relacionan algunos argumentos que se deben tener en cuenta

como guía fundamental para la realización de la respectiva medición de los objetivos de

control y controles utilizados en la implementación del Sistema de seguridad en cualquier

entidad gubernamental. Estas recomendaciones tienen el objetivo de realizar una correcta

medición sobre el Sistema de Gestión de Seguridad de la Información en una Entidad

Gubernamental.

3.1 ASPECTOS A TENER EN CUENTA UNA VEZ FINALIZADA LA MEDICIÓN

El incumplimiento de la Política de Seguridad y privacidad de la Información deberá

tener como resultado la aplicación de diversas sanciones, conforme a la magnitud y

característica del aspecto no cumplido.

Las políticas de seguridad y privacidad de la información deben ser revisadas al

menos una vez al año y actualizadas según las necesidades o los cambios en procesos

y tecnología que se realicen en la entidad evaluada.

Una vez efectuada la medición se recomienda que la Gerencia de Seguridad prepare

un informe sobre los hallazgos, incidencias y deficiencias encontradas, sus posibles

soluciones y propuestas de mejora.

Una vez efectuada la medición se recomienda actualizar los documentos del SGSI

de la entidad, modificando procedimientos y controles que afecten la seguridad de la

información, si fuese necesario, teniendo en cuenta el informe efectuado por la

Gerencia de Seguridad de la entidad.

Se recomienda que la Alta Dirección revise los resultados de las mediciones internas

anualmente y que se haga un seguimiento semestral de las acciones correctivas.

Igualmente se recomienda realizar auditorías externas con una frecuencia de tres (3)

años, haciendo un seguimiento de las acciones por lo menos anualmente.

3.2 RECOMENDACIONES PARA LA ALTA DIRECCIÓN

La implementación de las políticas de seguridad y privacidad de la información tienen

que estar de acuerdo a lo que indican los estándares internacionales, centrándose en

la aceptación de los requerimientos de mediciones.

35

Se recomienda que existan acuerdos entre el personal que realiza las actividades de

medición y la Alta Dirección, con el fin de demostrar que existe un interés de todas

las áreas de la entidad.

Se recomienda que exista una definición de responsabilidades y roles dentro de la

operación, revisión, implementación, mantenimiento, mejora y monitorización del

programa de medición efectuado dentro de la entidad.

Se recomienda que se comunique el personal que se encuentra involucrado en el

programa de medición.

Las responsabilidades y roles que se recomienda deben ser asignadas sin falta son:

Personal responsable de los requerimientos de las mediciones.

Propietario de la medición.

Personal que dirige e interviene en el programa.

Personal responsable de la evaluación del programa.

Personal responsable de almacenar y recolectar los atributos.

Personal responsable de la comunicación a la entidad, sobre la importancia

del programa de medición así como de sus resultados.

Dentro del modelo de medición de las políticas de seguridad y privacidad de la información

se encuentran tres modelos analíticos para los cuales se deben tener en cuenta las siguientes

recomendaciones:

El primer modelo analítico se define como un modelo Porcentual objetivo en el cual

se encuentran tres Umbrales de medición (Rojo, Amarillo Y Verde) los porcentajes

para cada uno de los umbrales se encuentran definidos en cada una de las tablas del

Modelo aplicado, en este modelo analítico se deben seguir cada una de las

operaciones recomendadas para lograr el resultado de medición más exacto.

El segundo modelo analítico se define como un modelo Porcentual objetivo en el cual

se encuentran dos Umbrales de medición (No Cumple y Cumple) los porcentajes para

cada uno de los umbrales se encuentran definidos en cada una de las tablas del Modelo

aplicado, en este modelo analítico se deben seguir cada una de las operaciones

recomendadas para lograr el resultado de medición más exacto.

El tercer modelo analítico se define como un modelo subjetivo en el cual prima el

criterio del empleado y de la persona que realiza la medición, en este modelo analítico

se determinan unas preguntas puntuales que conllevan a la definición del

cumplimiento o no cumplimiento del control implementado, para este modelo

analítico se recomienda evaluar mínimo dos personas involucradas en el

procedimiento que va a ser objeto de la medición, esto con el fin de confirmar el

cumplimiento o no cumplimiento del control implementado.

36

3.3 RECOMENDACIONES PARA LA EVALUACIÓN DE LAS POLÍTICAS DE

SEGURIDAD

A continuación, se describen las respectivas recomendaciones teniendo en cuenta los

objetivos de control, fundamentos del modelo de medición desarrollado.

A.5 Políticas de seguridad de la información

Tabla 7. Recomendaciones para políticas de seguridad de la información

Identificador

numérico Objetivo de Control Control(es) Recomendación(es)

5.1

Directrices establecidas

por la dirección para la

seguridad de la

información

Políticas para

la seguridad de

la información

Es recomendable verificar que

el documento de políticas de

seguridad y privacidad de la

información haya sido

Aprobado, divulgado e

implementado al interior de la

organización.

Revisión de las

políticas para

seguridad de la

información

Es recomendable verificar que

se encuentre documentada la

revisión, actualización y

divulgación de las políticas de

seguridad y privacidad de la

información en la organización.

Los autores

A.6 Organización de la seguridad de la información

Tabla 8. Recomendaciones para la seguridad de la información

Identificador

numérico

Objetivo de control Control (es) Recomendación (es)

6.1

Organización

interna

Roles y

responsabilidades

para la seguridad

de información

Se recomienda verificar que se

encuentran Definidos los roles

y responsabilidades de

seguridad de la información al

interior de la organización.

Separación de

deberes

Se recomienda verificar si se

encuentran Definidos los

deberes en seguridad de la

información de los empleados

de la entidad.

37

Identificador

numérico

Objetivo de control Control (es) Recomendación (es)

Contacto con las

autoridades

Se recomienda verificar que

exista un contacto con las

autoridades en Colombia en el

procedimiento de Gestión de

Incidentes.

Contacto con

grupos de interés

especial


existan contactos con grupos de

investigación, páginas de

información, para mantener

actualizada la organización en

seguridad de la información.

Seguridad de la

información en la

gestión de

proyectos

Se recomienda verificar que se

encuentren Definidas las

políticas, normas o estándares

de seguridad en los nuevos

proyectos de la organización.

Los autores

Tabla 9. Recomendaciones adicionales para la seguridad de la información

Identificador


6.2

Dispositivos

móviles y

teletrabajo

Política para

dispositivos

móviles

Se recomienda verificar si existe una

política de acceso a áreas Seguras de

los dispositivos móviles.

Teletrabajo

Si se contempla por parte de la

organización aprobar el teletrabajo, se

recomienda establecer políticas de

acceso remoto a los servidores y/o

aplicaciones de la organización el

cuál debe ser por un canal seguro

(Cifrado) y tener un listado de cuales

empleados y/o contratistas estarán

Autorizados.

Los autores

38

A.7 Seguridad de los recursos humanos

Tabla 10. Recomendaciones para antes de asumir el empleo

Identificador


7.1

Antes de asumir el

empleo

Selección

Se recomienda verificar que dentro

del procedimiento de selección de

personal de la entidad se analicen los

antecedentes de todos los candidatos

de acuerdo con las leyes, reglamentos

y ética pertinentes.

Términos y

condiciones

del empleo

Se recomienda verificar que los

acuerdos contractuales firmados en la

entidad tanto para empleados como

para contratistas establecen sus

responsabilidades y las de la

organización en cuanto a la seguridad

de la información.

Los autores

Tabla 11. Recomendaciones durante la ejecución del empleo

Identificador

numérico

Objetivo de

Control Control(es) Recomendación(es)

7.2

Durante la

ejecución del

empleo

Responsabilidades

de la dirección

Se recomienda verificar si el

contrato laboral cuenta con un

documento en el cual se

defina la aceptación por parte

de los empleados o

contratistas del cumplimiento

de las Políticas de Seguridad

de la Información establecidas

en la organización.

Toma de

conciencia,

educación y

formación en la

seguridad de la

información

Se recomienda verificar si

existe un plan de

capacitaciones a los

empleados y contratistas en

temas de seguridad de la

información, y de igual

manera un plan de

sensibilización al interior de

la organización del SGSI.

Proceso

disciplinario


existe un documento donde se

39

Identificador

numérico

Objetivo de


estipulen las medidas

Disciplinarias que se deben

efectuar en dado caso de que

se evidencie el

incumplimiento de los

procedimientos, normas o

políticas de seguridad de la

información en la

organización.

Los autores

Tabla 12. Recomendaciones para terminación o cambio de empleo

Identificador


7.3

Terminación o

cambio de empleo

Terminación o

cambio de

responsabilidades

de empleo


existe un documento de

administración de personal,

donde se indique las

actividades en el momento de

la terminación laboral o

cambios en la contratación de

los empleados o contratistas de

la organización.

Los autores

A.8 Gestión de activos

Tabla 13. Recomendaciones para responsabilidad por los activos

Identificador

numérico

Objetivo de


8.1

Responsabilidad

por los activos

Inventario

de activos

Se recomienda verificar si existe un

instructivo para el mantenimiento y

actualización del inventario de

activos.

Propiedad

de los

activos

Se recomienda verificar si dentro del

inventario de activos cada uno de los

activos de la organización cuenta con

un propietario definido.

40

Identificador

numérico

Objetivo de


Uso

aceptable de

los activos

Se recomienda verificar que la

entidad cuenta con una política de

uso aceptable de los activos y esta ha

sido aprobada y divulgada a los

empleados o contratistas.

Devolución

de activos

Se recomienda verificar que exista un

instructivo en el cual se establezca el

proceso para la devolución de activos

de la organización por parte de los

empleados y partes externas de la

organización una vez termine su

empleo, contrato o acuerdo.

Los autores

Tabla 14. Recomendaciones para clasificación de la información

Identificador


8.2

Clasificación de la

información

Clasificación

de la

información


proceso formal donde se determine

la clasificación de la información

de la organización.

Etiquetado de

la información

Se recomienda verificar que La

documentación de la organización

cuente con etiquetado según los

niveles de clasificación definidos y

establecidos por la organización.

Manejo de

activos

Se recomienda verificar que el

manejo de la información este

definido en el proceso o

procedimiento de clasificación de la

información y que este dependa de

su nivel de clasificación.

Los autores

Tabla 15. Recomendaciones para manejo de los soportes de almacenamiento

Identificador


8.3

Manejo de los

soportes de

almacenamiento

Gestión de

medios

removibles

Se recomienda Verificar si existe

una política, procedimiento o

estándar para la compra, manejo

41

Identificador


o eliminación de medios

removibles en la organización

Disposición de

los medios

Se recomienda verificar si existe





Transferencia

de medios

físicos






Los autores

A.9 Control de acceso

Tabla 16. Recomendaciones para requisitos del negocio para control de acceso

Identificador


9.1

Requisitos del

negocio para control

de acceso

Política de

control de

acceso


encuentra definida una política de

control de acceso con base a los

requisitos del negocio y de

seguridad de la información de la

entidad.

Política sobre

el uso de los

servicios de

red


un instructivo para la definición de

autorizaciones para el acceso de

los usuarios a la red y a los

servicios de la red dentro de la

entidad.

Los autores

42

Tabla 17. Recomendaciones para gestión de acceso de usuarios

Identificador

numérico

Objetivo de


9.2

Gestión de acceso

de usuarios

Registro y

cancelación

del registro

de usuarios


proceso de creación y cancelación

de usuarios, para tener control de

los usuarios que acceden a las

aplicaciones.

Suministro

de acceso de

usuarios


del proceso o procedimiento que se

defina en la creación y cancelación

de usuarios de igual manera se

encuentren definidos los diferentes

niveles de privilegios que se pueden

asignar a los sistemas de

información.

Gestión de

derechos de

acceso

privilegiado

Se recomienda verificar que dentro del proceso o procedimiento que se






información.

Gestión de

información

de

autenticación

secreta de

usuarios


del proceso o procedimiento que se






información.

Revisión de

los derechos

de acceso de

usuarios

Se recomienda verificar si la

eliminación de los derechos de

acceso se está realizando de

acuerdo con el procedimiento de

administración de personal de la

entidad. Importante verificar si en

el documento se estipula una

frecuencia de revisión de

privilegios de los sistemas de

información.

43

Identificador

numérico

Objetivo de


Retiro o

ajuste de los

derechos de

acceso


eliminación de los derechos de

acceso se está realizando de

acuerdo con el procedimiento de

administración de personal de la

entidad. Importante verificar si en

el documento se estipula una

frecuencia de revisión de

privilegios de los sistemas de

información.

Los autores

Tabla 18. Recomendaciones para responsabilidades de los usuarios

Identificador


9.3

Responsabilidades

de los usuarios

Uso de la

información de

autenticación

secreta

Se recomienda verificar que exista

una política de contraseñas

seguras y que se lleven a cabo

sensibilizaciones de en el buen

uso de la información de

autenticación secreta de la

entidad.

Los autores

Tabla 19. Recomendaciones para control de acceso a sistemas de información

Identificador

numérico

Objetivo de


9.4

Control de acceso a

sistemas y

aplicaciones

Restricción de

acceso

Información

De acuerdo con la asignación de

privilegios a los sistemas de

información se debe recomienda

verificar si se restringe el acceso

a la información según el nivel

de clasificación que se tenga.

Procedimiento

de ingreso

seguro


encuentra Definido un

procedimiento de ingreso seguro

a los equipos de cómputo de la

organización.

Sistema de

gestión de

contraseñas

Se recomienda verificar que los

sistemas de gestión de

44

Identificador

numérico

Objetivo de


contraseñas aseguren la calidad

de las contraseñas.

Uso de

programas

utilitarios

privilegiados


entidad cuenta con

procedimientos que ayuden a

restringir y controlar el uso de

programas utilitarios que

pudieran tener capacidad de

anular el sistema y los controles

de las aplicaciones.

Control de

acceso a códigos

fuente de

programas


encuentra definido un lugar de

almacenamiento de los códigos

fuentes de las aplicaciones de la

entidad donde solo tenga acceso

el personal autorizado para su

consulta.

Los autores

A.10 Criptografía

Tabla 20. Recomendaciones para controles criptográficos

Identificador


10.1

Controles

criptográficos

Política sobre el

uso de controles

criptográficos


encuentra Definida,

documentada e implementada

una política de controles

criptográficos.

Gestión de llaves


encuentra desarrollado un

procedimiento de gestión

centralizada de las llaves y

certificados digitales.

Los autores

45

A.11 Seguridad física y del entorno

Tabla 21. Recomendaciones para áreas seguras

Identificador

numérico

Objetivo de


11.1

Áreas seguras

Perímetro de

seguridad

física


procedimiento de control de acceso

físico de la entidad se especifican los

controles que se tienen para

garantizar un acceso seguro a las

instalaciones de la entidad para

personal autorizado y que de igual

manera se contemple la solicitud de

permisos a áreas restringidas,

especificando quien es el encargado

de otorgar el permiso y el proceso

que se debe seguir para realizar la

solicitud.

Controles

físicos de

entrada













solicitud.

Seguridad de

oficinas,

recintos e

instalaciones













solicitud.

46

Identificador

numérico

Objetivo de


Protección

contra

amenazas

externas y

ambientales













solicitud.

Trabajo en

áreas seguras

Se recomienda Verificar si se

encuentran Definidas áreas seguras

en la organización donde el control

de acceso y el acceso con equipos

electrónicos sean restringidos.

Áreas de

despacho y

carga

Se recomienda Verificar si se

encuentran Definidas áreas seguras

en la organización donde el control

de acceso y el acceso con equipos

electrónicos sean restringidos.

Los autores

Tabla 22. Recomendaciones para equipos

Identificador

numérico

Objetivo de


11.2

Equipos

Ubicación y

protección de

los equipos


un control de salida de equipos y

un procedimiento de

sensibilización para los usuarios

en la protección física de los

mismos.

Servicios de

suministro


encuentra definido un

procedimiento en el cual se

estipulen las mejores prácticas

para la protección de los activos

de información contra fallas de

energía y otras interrupciones por

47

Identificador

numérico

Objetivo de


fallas en los servicios de

suministro.

Seguridad del

cableado



procedimiento en el cual se

estipulen las mejores prácticas

para la protección del cableado de

potencia y de telecomunicaciones.

Mantenimiento

de equipos


un instructivo para el

mantenimiento y actualización de

equipos con el fin de asegurar la

disponibilidad e integridad

continúa de los mismos.

Retiro de

activos



procedimiento o política que

indique el método de retiro de los

activos de la entidad.

Seguridad de

equipos y

activos fuera de

las instalaciones



procedimiento o política

que indique el método para

garantizar la seguridad de los

equipos fuera de las instalaciones

Disposición

segura o

reutilización de

equipos


encuentra definido e

implementado un procedimiento o

política en la organización para

una segura reutilización o

eliminación de los equipos de

cómputo.

Equipos de

usuario

desatendidos


un documento en el cual se

inventaríen los equipos

desatendidos, con el fin de que se

les dé una protección apropiada a

los mismos.

Política de

escritorio limpio

y pantalla limpia


encuentra definida e

implementada una política para escritorio virtual y físico limpio,

48

Identificador

numérico

Objetivo de


donde no se permita el

almacenamiento o permanencia de

información confidencial.

Los autores

A.12 Seguridad de las operaciones

Tabla 23. Recomendaciones para procedimientos operaciones y responsabilidades

Identificador


12.1

Procedimientos

operacionales y

responsabilidades

Procedimientos de

operación

documentados


todos los procedimientos de

operación se encuentren

debidamente documentados y

que estos sean puestos a

disposición de todos los usuarios que los necesiten.

Gestión de

cambios


encuentra Definido e

implementado un

procedimiento de Gestión de

Cambios para la entidad.

Gestión de

capacidad

Se recomienda Realizar

seguimiento y análisis a los

resultados de la medición,

mantener actas o informes de

las actividades de la medición

para realizar proyecciones de

los requisitos sobre la

capacidad futura.

Separación de los

ambientes de

desarrollo,

pruebas y

operación


encuentran Definidos e

implementados los ambientes

de desarrollo, pruebas y

operación dentro de la entidad.

Los autores

49

Tabla 24. Recomendaciones para protección contra códigos maliciosos

Identificador


12.2

Protección contra

códigos maliciosos

Controles

contra

códigos

maliciosos


encuentran definidos e implementados

controles de detección, prevención y

recuperación para proteger a la

organización contra códigos

maliciosos, de igual manera se

recomienda verificar si existe un plan

de sensibilización para lograr la toma

de conciencia de los usuarios de los

sistemas de información de la entidad.

Los autores

Tabla 25. Recomendaciones para copias de respaldo

Identificador


12.3

Copias de respaldo

Respaldo de

información

Se recomienda verificar si existe una

copia de seguridad del servidor de la

organización, de igual manera se

recomienda confirmar si se hace una

verificación periódica de las copias de

respaldo de los discos compartidos

para revisar su confiabilidad.

Los autores

Tabla 26. Recomendaciones para registro de seguimiento

Identificador

numérico

Objetivo de


12.4

Registro y

seguimiento

Registro de

eventos


un canal para el reporte de eventos

de seguridad, y generación

automática de los eventos que se

presenten en los sistemas de

información.

Protección de

la información de registro

Se recomienda verificar se existe

un almacenamiento seguro de los eventos de seguridad que se

presenten en la organización.

Registros del

administrador

y del operador

Se recomienda Verificar si existe

un registro de actividades en los

sistemas de información y

50

Identificador

numérico

Objetivo de


garantizar un almacenamiento

seguro.

sincronización

de relojes

Se recomienda verificar si todos

los relojes de los sistemas de

procesamiento de información se

encuentran sincronizados con una

única fuente de referencia de

tiempo.

Los autores

Tabla 27. Recomendaciones para control de software operacional

Identificador


12.5

Control de software

operacional

Instalación de

software en

sistemas

operativos



procedimiento para controlar la

instalación de software en sistemas

operativos dentro de la entidad.

Los autores

Tabla 28. Recomendaciones para gestión de la vulnerabilidad técnica

Identificador


12.6

Gestión de la

vulnerabilidad

técnica

Gestión de las

vulnerabilidades

técnicas


encuentra Definido un

procedimiento para la gestión

de las vulnerabilidades técnicas

donde se incluya su reporte,

tratamiento y mejora.

Restricciones

sobre la

instalación de

software


encuentra definida e

implementada una

reglamentación para la

instalación de software por

parte de los usuarios de la

organización.

Los autores

51

Tabla 29. Recomendaciones para consideraciones sobre auditorías de sistemas de

información

Identificador


12.7

Consideraciones sobre

auditorias de sistemas

de información

Información

controles de

auditoría de

sistemas


existe una planificación

cuidadosa de auditorías, con el

fin de minimizar las

interrupciones en los procesos

del negocio.

Los autores

A.13 Seguridad de las comunicaciones

Tabla 30. Recomendaciones para gestión de la seguridad de las redes

Identificador


13.1

Gestión de la

seguridad de las

redes

Controles de

redes


encuentra implementada una

solución (Ej: Control de Acceso a la

Red) que permita controlar los

equipos de funcionaros y de terceros

que conectan a la red de la

organización.

Seguridad de

los servicios

de red


encuentran documentados todos los

servicios de red, y que estos

implementen los controles de

seguridad que apliquen en cada caso.

Separación

en las redes

Se recomienda verificar si el

procedimiento para la instalación y/o

ampliación de la planta de personal

es la adecuada para una óptima

segmentación de redes.

Los autores

52

Tabla 31. Recomendaciones para transferencia de la información

Identificador


13.2

Transferencia de

información

Políticas y

procedimientos de

transferencia de

información


encuentran Definidas e

implementadas políticas de

transferencia de información


Acuerdos sobre

transferencia de

información


encuentran Definidas e

implementadas políticas de

transferencia de información


Mensajería

electrónica


exista cifrado de correo

electrónico y que este se

encuentre activado para todo

el personal de la organización.

Acuerdos de

confidencialidad o

de no divulgación


exista cifrado de correo

electrónico y que este se

encuentre activado para todo

el personal de la organización.

Los autores

A.14 Adquisición, desarrollo y mantenimientos de sistemas

Tabla 32. Recomendaciones para requisitos de seguridad de los sistemas de información

Identificador

numérico

Objetivo de


14.1

Requisitos de

seguridad de los

sistemas de

Información

Análisis y

especificación

de requisitos de

seguridad de la

información


encuentra definida una política

para que en todos los proyectos

de la organización se tenga en

cuenta requisitos de seguridad de

la información.

Seguridad de

servicios de las

aplicaciones en

redes publicas


información involucrada en

servicios de aplicaciones de

redes públicas se encuentren

debidamente protegidas para

evitar actividades fraudulentas,

53

Identificador

numérico

Objetivo de


disputas contractuales,

divulgación y modificaciones no

autorizadas.

Protección de

transacciones de

los servicios de

las aplicaciones


información involucrada en

servicios de aplicaciones de

redes públicas se encuentren

debidamente protegidas para

evitar actividades fraudulentas,

disputas contractuales,

divulgación y modificaciones no

autorizadas.

Los autores

Tabla 33. Recomendaciones para seguridad en los procesos de desarrollo y soporte

Identificador


14.2

Seguridad en los

procesos de

desarrollo y soporte

Política de

desarrollo seguro

Se recomienda

verificar si existe

una política de

desarrollos seguro

en los sistemas de

información y esta

ha sido divulgada e

implementada en la

organización.

Procedimientos de

control de cambios

en sistemas

Se recomienda

verificar si existe un

procedimiento de

control de cambios

en los sistemas de

información e

infraestructura

tecnológica y esta

ha sido divulgada e

implementada en la

organización.

Revisión técnica de

las aplicaciones

después de cambios

en la plataforma de

operación

Se recomienda


procedimiento,

formato o lista de

chequeo cuando se

54

Identificador


realicen cambios en

la plataforma

tecnológica y estos

han sido divulgados

e implementados en

la organización.

Restricciones en los

cambios a los

paquetes de

software

Se recomienda

verificar si existe

una política para la

restricción a los

paquetes de

software y esta ha

sido divulgada e

implementada en la

organización.

Principios de

construcción de

sistemas seguros

Se recomienda

verificar si se

encuentran

desarrollados

estándares de

seguridad de

desarrollo de

software dentro de

la organización.

Ambiente de

desarrollo seguro

Se recomienda

verificar si existen

controles de

seguridad para el

ambiente de

desarrollo de la

organización.

Desarrollo

contratado

externamente

Se recomienda

verificar si la

organización cuenta

con un

procedimiento en el

cual se estipule la

supervisión y

seguimiento que se

realiza a las

actividades de

desarrollo de

55

Identificador


sistemas contratados

externamente.

Pruebas de

seguridad de

sistemas

Se recomienda


plan de pruebas de

seguridad a los

actuales y a los

nuevos desarrollos

de la organización,

y que estos cuentan

con una política que

contenga criterios

de aceptación de los

sistemas.

Prueba de

aceptación de

sistemas

Se recomienda


plan de pruebas de

seguridad a los

actuales y a los

nuevos desarrollos

de la organización,

y que estos cuentan

con una política que

contenga criterios

de aceptación de los

sistemas.

Los autores

Tabla 34. Recomendaciones para datos de prueba

Identificador


14.3

Datos de prueba

Protección de

datos de

prueba


encuentra definida una política que

contenga el uso y manejo adecuado

para la protección de los datos usados

para pruebas.

Los autores

56

A.15 Relación con los proveedores

Tabla 35. Recomendaciones para seguridad de la información en las relaciones con

proveedores

Identificador


15.1

Seguridad de la

información en las

relaciones con los

proveedores

Política de

seguridad de la

información para

las relaciones con

proveedores


existe una política de seguridad

de la información donde se

contemple tener seguridad en la

relación con los proveedores y

que esta haya sido divulgada e

implementada por la

organización.

Tratamiento de la

seguridad dentro

de los acuerdos

con proveedores







implementada por la

organización.

Cadena de

suministro de

tecnología de

información y

comunicación







implementada por la

organización.

Los autores

Tabla 36. Recomendaciones pata gestión de la prestación de servicios con los proveedores

Identificador


15.2

Gestión de la

prestación de

servicios con los

proveedores

Seguimiento y

revisión de los

servicios de los

proveedores

Se recomienda validar la

viabilidad de programar una

auditoria para las empresas

que le prestan servicios a la

organización.

Gestión de

cambios en los


existe un proceso de gestión

de cambios de los

57

Identificador


servicios de

proveedores

proveedores de la

organización.

Los autores

A.16 Gestión de incidentes de seguridad de la información

Tabla 37. Recomendaciones para gestión de incidentes y mejoras en la seguridad de la

información

Identificador


16.1

Gestión de

incidentes y mejoras

en la seguridad de la

información

Responsabilidad y

procedimientos

Se recomienda Verificar si

existe un procedimiento de

gestión de incidentes de

seguridad de la información

y que este ha sido divulgado

e implementado dentro de la

organización.

Reporte de eventos

de seguridad de la

información







organización.

Reporte de

debilidades de

seguridad de la

información







organización.

Evaluación de

eventos de

seguridad de la

información y

decisiones sobre

ellos







organización.

Respuesta a

incidentes de



58

Identificador


seguridad de la

información





organización.

Aprendizaje

obtenido de los

incidentes de

seguridad de la

información







organización.

Recolección de

evidencia







organización.

Los autores

A.17 Aspectos de seguridad de la información de la gestión de continuidad de negocio

Tabla 38. Recomendaciones para continuidad de seguridad de la información

Identificador


17.1

Continuidad de

seguridad de la

información

Planificación de la

continuidad de la

seguridad de la

información


existe un plan de

continuidad del negocio y

este ha sido aprobado

divulgado e implementado


Implementación de

la continuidad de la

seguridad de la

información


existe un plan de





Verificación,

revisión y


existe un plan de

59

Identificador


evaluación de la

continuidad de la

seguridad de la

información





Los autores

Tabla 39. Recomendaciones para redundancias

Identificador


17.2

Redundancias

Disponibilidad de

instalaciones de

procesamiento de

información.

Se recomienda verificar si las

instalaciones de procesamiento

de información cumplen con los

requisitos necesarios para

asegurar su disponibilidad.

Los autores

A.18 Cumplimiento

Tabla 40. Recomendaciones para cumplimiento de requisitos legales y contractuales

Identificador


18.1

Cumplimiento de

requisitos legales y

contractuales

Identificación de la

legislación

aplicable y de los

requisitos

contractuales

Se recomienda verificar cual

es la legislación que aplica a

la Entidad junto con todos los

procedimientos contractuales

que esta conlleva.

Derechos de

propiedad

intelectual


existen en la Entidad actas en

donde se demuestre la

propiedad intelectual de cada

uno de los procesos que se

están evaluando

Protección de

registros


existe en la Entidad una

bitácora de cambios en los

registros de la organización.

Privacidad y

protección de

datos personales


está utilizando la legislación

vigente en la Entidad en

60

Identificador


cuanto a la privacidad de

datos personales propios y de

terceros.

Reglamentación de

controles

criptográficos

Se recomienda revidar que

procesos de la legislación

vigente se están utilizando

para establecer registros

criptográficos.

Los autores

Tabla 41. Recomendaciones para revisiones de seguridad de la información

Identificador


18.2

Revisiones de

seguridad de la

información

Revisión

independiente de

la seguridad de

la información

Se recomienda verificar cuales

son los tiempos que ha

establecido la Entidad para la

revisión de controles y objetivos

de control definidos desde la

implementación de su Sistema de

Gestión de Seguridad de la

Información.

Cumplimiento

con las políticas

y normas de

seguridad

Se recomienda verificar la

manera en que los directores de

cada área, responsables del

proceso, realizan la revisión de

sus políticas internas, el tiempo

de las mismas, así como su

respectivo cumplimiento.

Revisión del

cumplimiento

técnico

Se recomienda verificar cuales

son los tiempos que han sido

establecidos para la respectiva

del cumplimiento de las políticas

enunciadas en el SGSI de la

Entidad.

Los autores

61

4. ANÁLISIS DEL ESTADO ACTUAL DEL SISTEMA DE SEGURIDAD DE

LA INFORMACIÓN DE LA POLICIA NACIONAL HACIENDO USO DEL

MODELO DE MEDICIÓN

En el siguiente capítulo, se hará uso del modelo medición, objeto de este proyecto, para

realizar la respectiva evaluación en el Sistema de Seguridad de la Información de la Policía

Nacional de Colombia, verificando así que éste se encuentre correctamente implementado

dentro de la Entidad. Las tablas correspondientes para evaluar, se encuentran disponibles en

el anexo B de este documento. El anexo C es posible conocer el SGSI implementado por la

Policía Nacional de Colombia. Estos junto con el Anexo A, se encuentran disponibles en

complemento digital adjunto a este proyecto.

Para la medición realizada a través del modelo analítico objetivo-porcentual (rojo, amarillo,

verde), los cuales se evidencia en las tablas 42, 43, 44, 45 y 46, no ha sido posible definir un

dato porcentual, ya que en el levantamiento del Sistema de Gestión de Seguridad de la

Información de la Policía Nacional del Colombia, no se cuenta con datos estadísticos que son

necesarios para conocer de manera precisa el rango de implementación de dicho control,

según el umbral definido en la estructura de medición.


Estructura de

medición

Identificador

numérico



Plan de

Entrenamiento

y

sensibilización

del personal en

la política

general de

seguridad y

privacidad de

la información

de la entidad.

5.1_1 No se realiza

debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición “Plan

de Entrenamiento

y sensibilización

del personal en la

política general

de seguridad y

privacidad de la

información de la

entidad.”.

62

Estructura de

medición

Identificador

numérico



Plan de

Entrenamiento

y

sensibilización

del personal en

la política

general de

seguridad y

privacidad de

la información

de la entidad.

5.1_2 No se realiza

debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición “Plan

de Entrenamiento

y sensibilización

del personal en la

política general

de seguridad y

privacidad de la

información de la

entidad.”.

Los autores


Estructura de

medición

Identificador

numérico



Definición de

roles y

responsabilidades

para el

cumplimiento de

la política de

seguridad y

privacidad de la

información.

6.1 No se realiza

debido a que faltan

datos necesarios

para el desarrollo

de la evaluación,

teniendo en cuenta

la estructura de

medición

“Definición de

roles y

responsabilidades

para el

cumplimiento de la

política de

seguridad y

privacidad de la

información.”.

Los autores

63


Estructura de

medición

Identificador

numérico



Plan de

Entrenamiento

y

Concientización

del personal en

las políticas y

procedimientos

pertinentes para

su cargo.

7.2_1 No se realiza

debido a que

faltan datos

necesarios para

el desarrollo de

la evaluación,

teniendo en

cuenta la

estructura de

medición “Plan

de

Entrenamiento y

Concientización

del personal en

las políticas y

procedimientos

pertinentes para

su cargo.”.

Plan de

Entrenamiento

y

Concientización

del personal en

las políticas y

procedimientos

pertinentes para

su cargo.

7.2_2 No se realiza

debido a que

faltan datos

necesarios para

el desarrollo de

la evaluación,

teniendo en

cuenta la

estructura de

medición “Plan

de

Entrenamiento y

Concientización

del personal en

las políticas y

procedimientos

pertinentes para

su cargo.”.

Los autores

64


Estructura de

medición

Identificador

numérico



Plan de

Entrenamiento

y

sensibilización

del personal en

la política de

contraseñas

seguras y en el

buen uso de la

información de

autenticación

secreta dentro

de la entidad

9.3_1 No se realiza

debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición Plan de

Entrenamiento y

sensibilización

del personal en la

política de

contraseñas

seguras y en el

buen uso de la

información de

autenticación

secreta dentro de

la entidad.”.

Plan de

Entrenamiento

y

sensibilización

del personal en

la política de

contraseñas

seguras y en el

buen uso de la

información de

autenticación

secreta dentro

de la entidad

9.3_2 No se realiza

debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición Plan de

Entrenamiento y

sensibilización

del personal en la

política de

contraseñas

seguras y en el

buen uso de la

información de

autenticación

secreta dentro de

la entidad.”.

Los autores

65

Tabla 46. Plantilla 5 para ejecutar la evaluación de SGSI Estructura de

medición

Identificador

numérico



Control de

software

12.5_1 No se evidencia

que en la Entidad

se realice un

correcto

“inventario” de

los sistemas de

información

implementados,

teniendo en

cuenta la

estructura de

medición

“Control de

software”.

Control de

software

12.5_2 No se realiza

debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición

“Control de

software”.

Control de

software


debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición

“Control de

software”.

Vulnerabilidad

técnica


debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

66

Estructura de

medición

Identificador

numérico



cuenta la

estructura de

medición

“Vulnerabilidade

s técnicas”.

Vulnerabilidad

técnica


debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición

“Vulnerabilidade

s técnicas”.

Vulnerabilidad

técnica


debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición

“Vulnerabilidade

s técnicas”.

Auditorías de

sistemas de

información


debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición

“Auditorías de

sistemas de

información”.

Auditorías de

sistemas de

información.


debido a que

faltan datos

necesarios para el

67

Estructura de

medición

Identificador

numérico



desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición

“Auditorías de

sistemas de

información”.

Auditorías de

sistemas de

información.


debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición

“Auditorías de

sistemas de

información”.

Auditorías de

sistemas de

información.


debido a que

faltan datos

necesarios para el

desarrollo de la

evaluación,

teniendo en

cuenta la

estructura de

medición

“Auditorías de

sistemas de

información”.

Los autores

68


Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Implementación

de Políticas de

Seguridad y

Privacidad de la

información en

lo relacionado al

Uso de

dispositivos

móviles y

teletrabajo en la

entidad.

6.2_1 Articulo 43

Seguridad de los

equipos fuera de

las

instalaciones,

Articulo 97

Computación

Móvil y Trabajo

Remoto,

Existe una

política de

seguridad para

el uso de

dispositivos

móviles y esto

se evidencia en

los empleados

de la entidad.

Implementación

de Políticas de

Seguridad y

Privacidad de la

información en

lo relacionado al

Uso de

dispositivos

móviles y

teletrabajo en la

entidad.

6.2_2 Articulo 97

Computación

Móvil y Trabajo

Remoto,

Se permite el

acceso a

algunos

dispositivos de

forma remota y

se establecen

directrices que

permitan regula

la computación

móvil y trabajo

remoto.

Los autores

69


Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Implementación

de un proceso de

Ingreso y

Desvinculación

del personal

Idóneo para

asegurar el

cumplimiento de

la política

general de

seguridad y

privacidad de la

información de

la entidad

7.1_1 Artículo 32

Selección,

proceso 2SP-CP-

0001,

El personal es

seleccionado

cuidadosamente

en base a su

perfil

y la idoneidad

del trabajo a

realizar

Implementación

de un proceso de

Ingreso y

Desvinculación

del personal

Idóneo para

asegurar el

cumplimiento de

la política

general de

seguridad y

privacidad de la

información de

la entidad

7.1_2 Articulo 33

Términos y

Condiciones

Laborales,

Los Acuerdos

contractuales

incluyen todo lo

relacionado a la

seguridad y

privacidad de la

información,

tanto para

empleados

internos como

externos de la

entidad.

Plan de

Entrenamiento y

Concientización

del personal en

las políticas y

procedimientos

pertinentes para

su cargo.

7.2_3 En cada uno de

los Capítulos se

evidencia que el

empleado está

sujeto a un

proceso

disciplinario en

caso de existir

alguna

70

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Incidencia que

afecte la

seguridad y

privacidad de la

información de

la entidad.

Implementación

de un proceso de

terminación de

contrato o

cambio de

empleo Idóneo

para asegurar el

cumplimiento de

la política

general de

seguridad y

privacidad de la

información de

la entidad

7.3 Articulo 35

Personal que se

encuentra en

Situaciones

administrativas

tales como

(Licencias,

Vacaciones,

Excusas de

Servicios,

Traslado, Retiro,

Desaparición,

Secuestro, Entre

Otras),

Se evidencia que

dentro de la

entidad se cuenta

con un

procedimiento

muy bien

estructurado en

cuanto a lo que

son las

novedades de

cada funcionario,

esto con el fin de

que la seguridad

y privacidad de

la información

de la entidad no

se vea afectada.

Los autores

71


Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Gestión y

Clasificación de

Activos

8.1_1 Articulo 28

Inventario de

Activos,

procedimiento

2IN-PR-0001

El inventario que

se realiza dentro

de la entidad

cumple con los

requerimientos

asociados a la

seguridad y

privacidad de la

información.

Gestión y

Clasificación de

Activos

8.1_2 Articulo 28

Inventario de

Activos,

procedimiento

2IN-PR-0001

Dentro del

Procedimiento de

realización de

inventario de

activos de la

entidad se

especifican los

propietarios de

los activos

informáticos

inventariados y

se tiene un

control

permanente para

asegurar su buen

uso y respectiva

devolución una

vez se termine el

contrato del

funcionario que

72

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

hace uso del

activo.

Gestión y

Clasificación de

Activos

8.1_3 Articulo 28

Inventario de

Activos,

procedimiento

2IN-PR-0001

Dentro del

Procedimiento de

realización de

inventario de

activos de la

entidad se

garantiza la

correcta

disposición de

los activos

cuando ya no son

requeridos por la

entidad.

Gestión y

Clasificación de

la Información

8.2_1 Articulo 29

Clasificación de

la información,

Se evidencia que

La información

de la entidad se

clasifica según su

confidencialidad,

integridad y

disponibilidad de

acuerdo con la

sensibilidad e

importancia de

ésta.

Gestión y

Clasificación de

la Información

8.2_2 Articulo 30

Rotulado de la

información,

Se evidencia que

Todos los

documentos

73

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

físicos o digitales

expedidos por la

entidad, están

etiquetados de

acuerdo al

esquema de

clasificación

definido en el

artículo 29, según

su

confidencialidad.

Gestión y

Clasificación de

la Información

8.2_3 Articulo 28

Inventario de

Activos,

procedimiento

2IN-PR-0001

Se evidencia que

de acuerdo al

esquema de

clasificación de

la información de

la entidad se

realiza la gestión

de activos más

adecuada.

Gestión de

medios

removibles de

almacenamiento

de información

8.3 Articulo 59

Gestión de los

medios de

almacenamiento,

Los activos

removibles de la

entidad cuentan

con el mismo

tratamiento y

esquema de

clasificación de

los demás activos

de la entidad, con

el fin de asegurar

la seguridad y privacidad de la

74

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

información

dentro y fuera de

la entidad.

Los autores


Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Verificación

requisitos

del negocio

para el

control de

acceso

9.1_1 Articulo 75 Reglas

para el control de

acceso,

Se evidencia que

existe un

procedimiento para

el control de acceso

a recursos

tecnológicos, el cual

documenta toda la

reglamentación

necesaria.

Verificación

requisitos

del negocio

para el

control de

acceso

9.1_2 Articulo 76 Gestión

de Identidades,

En este se

contempla todo lo

que tiene que ver

con el registro de

usuarios, gestión de

privilegios y gestión

de contraseñas.

Verificación

requisitos

del negocio

para el

control de

acceso


de Identidades,

En este se

contempla todo lo

que tiene que ver

con el registro de

usuarios, gestión de

75

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

privilegios y gestión

de contraseñas.

Gestión de

Usurarios y

control de

acceso

9.2_1 Capítulo 8 Control

de Acceso,

La Entidad

establece como

política de control

de acceso, el

modelo de

Administración de

identidades y

Control de acceso

(IAM), implantado

mediante el Sistema

de Identificación

Policial Digital, que

de manera integrada

al Sistema Para la

Administración del

Talento Humano

(SIATH) le permite

administrar el ciclo

de vida de los

usuarios, desde la

creación automática

de las cuentas, roles

y permisos

necesarios hasta su

inoperancia; a partir

de las novedades

reportadas por los

grupos de talento

humano; lo anterior

para que el

funcionario tenga

acceso adecuado a

los sistemas de

información y

recursos

tecnológicos,

76

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

validando su

autenticación,

autorización y

auditoría.

Gestión de

Usurarios y

control de

acceso


de Acceso,

La Entidad

establece como


de acceso, el

modelo de

Administración de

identidades y

Control de acceso

(IAM), implantado

mediante el Sistema

de Identificación


de manera integrada

al Sistema Para la

Administración del

Talento Humano

(SIATH) le permite


de vida de los

usuarios, desde la



y permisos

necesarios hasta su


de las novedades

reportadas por los

grupos de talento

humano; lo anterior

para que el

funcionario tenga

acceso adecuado a

los sistemas de

información y

77

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

recursos

tecnológicos,

validando su

autenticación,

autorización y

auditoría.

Gestión de

Usurarios y

control de

acceso


de Acceso,

La Entidad

establece como


de acceso, el

modelo de

Administración de

identidades y

Control de acceso

(IAM), implantado

mediante el Sistema

de Identificación


de manera integrada

al Sistema Para la

Administración del

Talento Humano

(SIATH) le permite


de vida de los

usuarios, desde la



y permisos

necesarios hasta su


de las novedades

reportadas por los

grupos de talento

humano; lo anterior

para que el

funcionario tenga

acceso adecuado a

78

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

los sistemas de

información y

recursos

tecnológicos,

validando su

autenticación,

autorización y

auditoría.

Gestión de

Usurarios y

control de

acceso


de Identidades,

El procedimiento

desarrollado en la

gestión de

identidades

contempla el

registro de usuarios,

la gestión de

privilegios y la

gestión de

contraseñas (se

evidencia su

cumplimiento).

Gestión de

Usurarios y

control de

acceso


de Contraseñas

Se contemplan

todos los aspectos

que tienen que ver

con nomenclatura y

cambio de

contraseñas dentro

de la entidad.

Verificación

del control

de acceso a

sistemas y

aplicaciones

de la entidad

9.4_1 Articulo 95 Control

de Acceso a la

Información,

Los derechos de

acceso a los

sistemas e

información son

79

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

controlados de

acuerdo a rol y

responsabilidad del

empleado en la

entidad.

Verificación

del control

de acceso a

sistemas y

aplicaciones

de la entidad

9.4_2 Articulo 95 Control

de Acceso a la

Información,

Los derechos de

acceso a los

sistemas e

información son

controlados de

acuerdo a rol y

responsabilidad del

empleado en la

entidad.

Verificación

del control

de acceso a

sistemas y

aplicaciones

de la entidad

9.4_3 Articulo 97

Computación Móvil

y Trabajo Remoto,

Articulo 98

Computación y

Comunicaciones

Móviles,

Articulo 99 Trabajo

Remoto,

Articulo 43

Seguridad de los

Equipos fuera de las

instalaciones.

Se permite el acceso

a algunos

dispositivos de

forma remota y se

establecen directrices que

80

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

permitan regula la

computación móvil

y trabajo remoto.

Los autores


Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Garantizar la

disponibilidad,

integridad y

confidencialidad

de la

información con

el buen uso de la

criptografía

10.1_1 Articulo 106

Normas sobre el

uso de controles

Criptográficos,

Se describen

todos los casos

en los cuales

deben ser usados

los controles

criptográficos,

con el fin de

garantizar la

seguridad y

privacidad de la

información en

la entidad.

Garantizar la

disponibilidad,

integridad y

confidencialidad

de la

información con

el buen uso de la

criptografía

10.1_2 Articulo 105

Controles

Criptográficos,

Articulo 106

Normas sobre el

uso de controles

Criptográficos,

Articulo 107

Cifrado,

Se evidencia que

dentro del

81

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

procedimiento

de controles

criptográficos de

la entidad se

especifica la

complejidad de

cada control y se

verifica que sean

acordes a la

criticidad de la

información que

circula a través

de la red o que

se encuentre

alojada en los

sistemas de

información de

la entidad.

Garantizar la

disponibilidad,

integridad y

confidencialidad

de la

información con

el buen uso de la

criptografía

10.1_3 Articulo 109

Protección de

Claves

Criptográficas,

Articulo 110

Normas y

Procedimientos

criptográficos,

Dentro del

procedimiento

de gestión de

llaves

criptográficas se

describe todo el

ciclo de vida de

cada una de las

llaves con el fin

de garantizar la

seguridad y

privacidad de la

información

82

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

alojada en los

sistemas de la

entidad.

Garantizar la

disponibilidad,

integridad y

confidencialidad

de la

información con

el buen uso de la

criptografía

10.1_4 Articulo 109

Protección de

Claves

Criptográficas,

Articulo 110

Normas y

Procedimientos

criptográficos,

Dentro del

procedimiento

de gestión de

llaves

criptográficas se

describe todo el

ciclo de vida de

cada una de las

llaves con el fin

de garantizar la

seguridad y

privacidad de la

información

alojada en los

sistemas de la

entidad.

Los autores


Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Verificación

del control de

acceso físico

en la entidad

11.1_1 Articulo 37

Seguridad Física y

del entorno,

83

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Articulo 38 Áreas

Seguras,

Se evidencia que

se tiene bastante

control sobre

acceso no

autorizado (tanto

internos como

externos).

Verificación

del control de

acceso físico

en la entidad

11.1_2 Articulo 37

Seguridad Física y

del entorno,

Articulo 38 Áreas

Seguras,

Se controla el

acceso del

personal con lo

que se lleva un

registro de

ingresos a los

diferentes puntos

físicos de la

entidad, de igual

manera el

protocolo de

seguridad de las

instalaciones tiene

un sistema de

vigilancia y

control el cual es

el encargado de

verificar los

permisos

requeridos.

Protección,

Mantenimiento

y Retiro de

Activos

11.2_1 Articulo 28

Inventario de

Activos,

84

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

El procedimiento

tiene como

finalidad principal

la identificación y

protección de

todos los activos

de información de

la entidad.

Protección,

Mantenimiento

y Retiro de

Activos

11.2_2 Articulo 28

Inventario de

Activos,

Dos de las

principales

características de

este

procedimiento

son; realizar un

análisis de riesgos

como mínimo una

vez al año, de los

activos de

información de

cada uno de los

procesos de la

entidad y tomar

decisiones y

acciones para

eliminar, mitigar,

transferir o

aceptar los

riesgos, con esto

se evidencia el

cumplimiento de

la medición.

Protección,

Mantenimiento

y Retiro de

Activos

11.2_3 Articulo 46 Retiro

de Bienes de las

instalaciones,

Para el retiro de los equipos,

85

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

software e

información de las

instalaciones

policiales, estará

documentado para

tal fin.

Se realizarán

verificaciones

periódicas, para

detectar el retiro

no autorizado de

activos.

Protección,

Mantenimiento

y Retiro de

Activos

11.2_4 Articulo 59

Gestión de los

medios de

almacenamiento,

Articulo 98

Computación y

comunicaciones

Móviles,

Para los activos

que son retirados

de las

instalaciones de la

entidad se tienen

estipuladas

algunas directrices

en cuanto al

cifrado de la

información

contenida en

medios de

almacenamiento

removibles y se

restringe el uso de

equipos que no

hayan sido

provistos por la

entidad.

86

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Protección,

Mantenimiento

y Retiro de

Activos

11.2_5 Articulo 42

Mantenimiento de

los equipos,

Los equipos son

llevados a

mantenimiento

sólo

por el personal

autorizado bajo

las condiciones

especificadas y a

Intervalos

programados.

Protección,

Mantenimiento

y Retiro de

Activos

11.2_6 Articulo 42

Mantenimiento de

los equipos,

Los equipos son

llevados a

mantenimiento

sólo

por el personal

autorizado bajo

las condiciones

especificadas y a

Intervalos

programados.

Los autores


Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Gestión de

Procedimientos

operacionales

12.1_1 Articulo 117

Procedimiento de

Control de

Cambios,

87

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Buscando

minimizar la

alteración a los

sistemas de

información, se

documentan un

procedimiento de

control de

cambios, alineado

con el artículo 48

control de cambio

en las

operaciones.

Los cambios en

los equipos que

afectan la

seguridad de la

información son

controlados y

debidamente

planeados y

probados.

Gestión de

Procedimientos

operacionales

12.1_2 Articulo 117

Procedimiento de

Control de

Cambios,

Buscando

minimizar la

alteración a los

sistemas de

información, se

documentan un

procedimiento de

control de

cambios, alineado

con el artículo 48

control de cambio

en las

operaciones.

88

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Los cambios en

los equipos que

afectan la

seguridad de la

información son

controlados y

debidamente

planeados y

probados.

Gestión de

Procedimientos

operacionales

12.1_3 Articulo 53


Capacidad,

El proceso de

Direccionamiento

Tecnológico de la

Entidad, realiza

un análisis

estadístico

anualmente para

generar líneas

base que le

permitan

proyectar

necesidades de

crecimiento en

procesamiento,

almacenamiento y

transmisión de la

información, con

el fin de evitar

inconvenientes

que se convierten

en una amenaza a

la seguridad o a la

continuidad de los

servicios

prestados.

89

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Gestión de

Procedimientos

operacionales

12.1_4 Articulo 53


Capacidad,

El proceso de

Direccionamiento

Tecnológico de la

Entidad, realiza

un análisis

estadístico

anualmente para

generar líneas

base que le

permitan

proyectar

necesidades de

crecimiento en

procesamiento,

almacenamiento y

transmisión de la

información, con

el fin de evitar

inconvenientes

que se convierten

en una amenaza a

la seguridad o a la

continuidad de los

servicios

prestados.

Gestión de

Procedimientos

operacionales

12.1_5 Articulo 51

Separación de

Ambientes de

Desarrollo,

Pruebas y

Producción,

Se Evidencia que

si se cuenta con

ambientes por

separada para el

desarrollo, las

90

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

pruebas y la

producción de los

diferentes

sistemas y a su

vez se cuenta con

controles para

asegurar que no

exista ninguna

irregularidad que

pueda afectar el la

seguridad y

privacidad de la

información de la

entidad.

Gestión de

Procedimientos

operacionales

12.1_6 Articulo 51

Separación de

Ambientes de

Desarrollo,

Pruebas y

Producción,

Dentro de los

controles que se

manejan en este

procedimiento se

garantiza que la

transición de

desarrollo a

producción tenga

la compatibilidad

idónea y no se

genere ningún

error al

encontrarse en

diferentes

sistemas (No usar

compiladores,

editores y otros

utilitarios que no

sean necesarios

para el

91

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

funcionamiento

de los ambientes

de producción).

Gestión de

Códigos

Maliciosos

12.2_1 Articulo 55

Protección contra

código malicioso,

La entidad

implementa

controles para

prevenir y

detectar código

malicioso, lo cual

se basa en

software,

concienciación de

usuarios y gestión

del cambio.

Gestión de

Códigos

Maliciosos

12.2_2 Articulo 55

Protección contra

código malicioso,

Dentro del

procedimiento se

Revisa

periódicamente el

contenido de

software y datos

de los equipos de

procesamiento,

investigando

formalmente la

presencia de

archivos no

aprobados o

modificaciones no

autorizadas y se

tiene un

procedimiento de resguardo de

92

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

información en el

cual se realizan

actividades para

probar la

recuperación de la

información.

Verificación de

copias de

respaldo

12.3_1 Artículo 42.

Mantenimiento de

los equipos:

Eliminación de

manera segura la

información

confidencial que

contenga

cualquier equipo

que sea

necesario retirar,

realizándose

previamente las

respectivas copias

de respaldo.

Artículo 55.

Protección contra

código malicioso:

Un esquema de

rótulo de las

copias de

respaldo,

Destrucción de las

copias de

respaldo,

Almacenamiento

de las copias de

respaldo en un

lugar fuera de las

instalaciones del

lugar de origen de

la

Información.

93

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Verificación de

copias de

respaldo

12.3_2 Artículo 55

Protección contra

código malicioso

Almacenamiento

de al menos 5

ciclos de

información de

copias de respaldo

para la

información con

nivel de

clasificación igual

o superior a 3

(artículo 29

clasificación de la

información). O

acorde con lo que

ordene la

legislación

vigente, para las

entidades del

estado.

Registro y

seguimientos

de eventos,

verificación de

evidencia


Requerimientos

mínimos para el

registro de

auditorías

Los sistemas de

información, así

como los

servidores,

dispositivos de

red y demás

servicios

tecnológicos,

guardan registros

de auditoría y

log’s, los cuales

contemplan,

siempre y cuando

sea posible

94

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Registro y

seguimientos

de eventos,

verificación de

evidencia


Seguridad delos

equipos

Los equipos de

cómputo son

ubicados y

protegidos para

reducir la

exposición a

riesgos

ocasionados por

amenazas

ambientales y

oportunidades de

acceso no

autorizado.

Artículo 45.

Normas de

escritorios y

pantallas limpias

Estas normas

tienen como fin

reducir los riesgos

de acceso no

autorizado,

pérdida y daño de

la información

Registro y

seguimientos

de eventos,

verificación de

evidencia


Sincronización de

relojes

Para garantizar la

exactitud de los

registros de

auditoría, la

Policía Nacional,

dispone de un

servicio de

protocolo de

tiempo de red

NTP que esta

95

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

sincronizado a su

vez con la hora

legal colombiana.

Registro y

seguimientos

de eventos,

verificación de

evidencia


Requerimientos

mínimos para el

registro de

auditorías

Los sistemas de

información, así

como los

servidores,

dispositivos de

red y demás

servicios

tecnológicos,

guardan registros

de auditoría y

log’s, los cuales

contemplan,

siempre y cuando

sea posible

Los autores


medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Seguridad de

la información

contenida en

las redes de la

organización

13.1_1 Artículo 56. Controles de

las redes

El proceso de

Direccionamiento

Tecnológico define los

controles de seguridad de

la red de datos

Institucional, para lo cual

usa como referencia el

estándar ISO/IEC 18028

Tecnologia de la

informaciónTecnicas

96

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

de seguridad – la

seguridad de TI de la

Red.

Artículo 78. Control de

acceso a la red

Las conexiones no

seguras a los servicios de

red pueden afectar a toda

la institución, por lo

tanto, se

controla el acceso a los

servicios de red tanto

internos como externos.

Esto es necesario para

garantizar que

los usuarios que tengan

acceso a las redes y a sus

servicios, no

comprometan la

seguridad de los mismos.


enrutamiento de red

El acceso a redes desde y

hacia afuera de la Policía

Nacional cumple con los

lineamientos del artículo

75

Control de acceso a la

red y adicionalmente se

utilizan métodos de

autenticación de

protocolo de

enrutamiento, rutas

estáticas, traducción de

direcciones y listas de

control de acceso.

Seguridad de

la información

contenida en

las redes de la

organización


Requerimientos

mínimos para el

registro de auditorías

Los sistemas de

información, así como

los servidores,

97

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

dispositivos de red y

demás servicios

tecnológicos,

guardan registros de

auditoría y log’s, los

cuales contemplan,

siempre y cuando sea

posible

Control de la

transferencia

de

información a

Entidades

externas.

13.2_1 Artículo 26. Relación

con terceros

La Policía Nacional

establece los

mecanismos de control

en sus relaciones con

personal externo que le

provean bienes o

servicios.

Artículo 63. Intercambio

de información

El intercambio de

información al interior

de la Policía Nacional se

realiza aplicando el

procedimiento 2IN-PR-

0007 Entrega

Información Bajo Deber

de Reserva y otras

entidades bajo acuerdos

de cooperación u

órdenes judiciales.

Artículo 64. Acuerdos de

intercambio de

información y software


acceso a la información

Artículo 108. Firma

digital

Artículo 128.

Cumplimiento de los

controles criptográficos.

98

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Control de la

transferencia

de

información a

Entidades

externas.


con terceros

Diligenciar y firmar los

acuerdos de

confidencialidad y

acuerdos de intercambios

de información con

personal externo,

unidades y dependencias.

Artículo 64. Acuerdos de

intercambio de

información y software

Las partes firman

acuerdos de

confidencialidad y

siguen el procedimiento

2IN-PR-0007 entrega

información bajo deber

reserva.

Los autores


Estructura

de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Seguridad

de los

sistemas de

información

14.1_1 Artículo 23. Proceso

de autorización para

instalaciones de

procesamiento de

información

La adquisición de

nuevos recursos y

servicios

tecnológicos de

Tecnologías de la

Información y las

Comunicaciones son

autorizados por el

proceso de

Direccionamiento

99

Estructura

de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Tecnológico y deben

estar acordes a

recomendaciones de

seguridad

establecidas por el

proceso de

Administración de la

Información.

Seguridad

de los

sistemas de

información


dentro de la política

de seguridad y

privacidad de la

información la

manera en que se

realzia la selección

de ambientes de

desarrollo para el

área de tecnología,

según la estructura

de medición

“Seguridad de los

sistemas de

información”

Procesos de

desarrollo y

soporte


Protección contra

código malicioso

No permite el uso de

software no

autorizado por la

Oficina de

Telemática.

Procesos de

desarrollo y

soporte

14.2_2 Capítulo 9.

Adquisición,

desarrollo y

mantenimiento de

sistemas de

información

Siendo los sistemas

de información parte

importante del

proceso de soporte a

100

Estructura

de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

los procesos

misionales de la

Policía Nacional, se

busca brindar

seguridad a los

aplicativos

institucionales desde

el momento mismo

del

levantamiento de

requerimientos y que

las necesidades de

seguridad, hagan

parte integral de las

decisiones

arquitecturales del

software a construir

y/o adquirir.

Protección

de datos

utilizados en

las pruebas


Protección de datos

de prueba

Se evidencia una

política sobre el uso

de datos de prueba.

Protección

de datos

utilizados en

las pruebas

14.3_2 No se evidencia una

política concreta en

donde se estipule la

manera en que los

datos de pruebas son

seleccionados.

Los autores


medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Manejo de la

información

en las


con terceros

Diligenciar y firmar

los acuerdos de

101

Estructura de

medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

relaciones con

proveedores

confidencialidad y

acuerdos de

intercambios de

información con

personal externo,

unidades y

dependencias.

Manejo de la

información

en las

relaciones con

proveedores


con terceros

Diligenciar y firmar

los acuerdos de

confidencialidad y

acuerdos de

intercambios de

información con

personal externo,

unidades y

dependencias.

Prestación de

servicios con

los

proveedores




manera en que se

presten los servicios

con los proveedores.

Prestación de

servicios con

los

proveedores




manera en que se

presten los servicios

con los proveedores.

Los autores


Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Manejo de

incidentes y

mejoras en la

seguridad de


Procedimiento

manejo de

incidentes

102

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

la

información

El manejo de

incidentes se

realiza acorde con

el procedimiento

2IN-PR-0005

“Atención a

Incidentes”, el cual

garantiza una

respuesta rápida,

eficaz y

sistemática a los

incidentes

relativos a la

seguridad de la

información.

Manejo de

incidentes y

mejoras en la

seguridad de

la

información


una política

concreta en donde

se estipule la

manera en que se

manejen los

incidentes.

Los autores


Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Continuidad

de seguridad

de la

información

17.1_1 Capítulo 10.

Gestión de

incidentes de

seguridad de la

información

la

Policía Nacional

creó el CSIRT-

PONAL, por sus

siglas en inglés

“Computer

103

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Security Incident

Response

Team“, Equipo de

Repuesta a

Incidentes de

Seguridad

Informática de la

Policía Nacional.

Continuidad

de seguridad

de la

información


Gestión de

continuidad del

negocio

la Policía

Nacional, cuenta

con un Plan de

Continuidad del

Negocio que le

permite

recuperarse

de incidentes que

amenacen la

prestación del

servicio de

policía; para lo

cual el comité

del Sistema de

Seguridad de la

Información

elaboró el plan de

continuidad del

negocio y la

Oficina de

Telemática,

elaboró el plan de

recuperación de

desastres en

materia

tecnológica.

Redundancias 17.2_1 No se evidencia

una política completa en donde

104

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

se estipule la

manera en que se

implementen

sistemas

redundantes.

Redundancias 17.2_2 No se evidencia

una política

completa en donde

se estipule la

manera en que se

implementen de

manera técnica los

sistemas

redundantes.

Los autores


Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Cumplimiento

de requisitos legales


Cumplimiento La Policía

Nacional cumple

con las leyes,

obligaciones

estatutarias,

reglamentarias,

contractuales y

cualquier requisito

de legal.

Cumplimiento

de requisitos

legales


Derechos de

propiedad

intelectual

La Policía

Nacional

implementó

procedimientos

adecuados para

105

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

garantizar el

cumplimiento de

restricciones

legales al uso del

material protegido

por normas de

propiedad

intelectual.

Cumplimiento

de requisitos

legales


Protección de los

registros del

organismo

Los registros

críticos de la

Policía Nacional se

protegen contra

pérdida,

destrucción y

falsificación, se

deben clasificar

según las tablas de

retención

documental y su

tiempo de

retención se

realizará de

acuerdo a estas;

con el fin de

cumplir requisitos

legales o

normativos y/o

respaldar

actividades

esenciales de la

institución.

Cumplimiento

de requisitos

legales


Protección de

datos y privacidad

de la información

personal

106

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

La Policía

Nacional garantiza

el derecho al

Habeas Data y

cumple con la

legislación vigente

sobre protección

de datos

personales, con la

implementación

de procedimientos

que permiten a

los servidores

públicos y

ciudadanos en

general, conocer

la información

que la institución

tiene sobre ellos,

actualizarla y

solicitar sean

eliminados, en los

casos que sea

pertinente hacerlo.

Cumplimiento

de requisitos

legales


Cumplimiento de

controles

criptográficos

La utilización de

firmas y

certificados

digitales para el

intercambio de

información con

entidades ajenas a

la Policía

Nacional,

considera lo

dispuesto en la Ley

527 de 1999.

107

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

Revisiones de

seguridad de

la información


Cumplimiento de

las políticas y las

normas de

seguridad y

cumplimiento

técnico

La Policía

Nacional, a través

de su plan anual

de auditorías,

garantiza el

cumplimiento de

la política de

seguridad de la

información

definida en el

presente manual,

buscando el

mejoramiento

continuo del

Sistema de Gestión

de Seguridad de la

Información.

Revisiones de

seguridad de

la información


Cumplimiento de

la política de

seguridad de la

información

Cada unidad

organizacional al

interior de la

institución, velará

por el

cumplimiento de la

política de

seguridad, para lo

cual cuenta con

auditores internos

certificados, que

ayudaran en el

108

Estructura

de medición

Identificador

numérico


Cumple No

cumple

% (Si

aplica)

cumplimiento de la

misma.

Revisiones de

seguridad de

la información


Verificación del

cumplimiento

técnico

El grupo de

seguridad de la

información,

verifica

periódicamente

que los sistemas de

información,

equipos

de procesamiento,

bases de datos y

demás recursos

tecnológicos,

cumplan con los

requisitos de

seguridad

esperados.

Los autores

109

5. CONCLUSIONES

Se han planteado los lineamientos pertinentes para realizar el respectivo levantamiento de

información previo a la realización del modelo de medición, en donde se ha tenido en cuenta

el alcance general de dicha medición sobre el SGSI a evaluar, como la necesidad de

información de la Entidad, teniendo en cuenta los controles más apropiados por la misma.

Finalmente se establece el esquema estándar del modelo, eje central de este proyecto.

A través de las operaciones de medición de seguridad de la información, se han definido las

actividades esenciales para asegurar los resultados de las mediciones establecidas para el

SGSI que se está auditando. Estas son llevadas a cabo a través de una correcta y ordenada

recolección de datos por parte del ente auditor a los encargados del proceso. Cabe aclarar que

para asegurar una correcta medición se deberá conocer de manera generalizada el “Core” del

negocio sobre el cual se está midiendo el uso de los controles implementados.

Se han planteado una serie de recomendaciones para que el ente auditor puede desempeñar

de manera eficiente la tarea de medición sobre el SGSI. Dichas recomendaciones se

desarrollaron con base en los objetivos de control y controles correspondientes, todas

tomadas de manera general en donde sea posible adaptarlas independientemente del “Core”

de negocio que se esté evaluando.

A través de la evaluación del Sistema de Gestión de Seguridad de la Información de la Policía

Nacional de Colombia, se ha logrado determinar mediante el modelo de medición planteado

y sobre la muestra que se ha tomado como ejemplo, que los lineamientos definidos por

Gobierno En Línea (GEL) implementados de una manera correcta, son efectivos para todas

las Entidades del Estado al momento de diseñar su plan de seguridad. Se ha podido observar

que se hace cumplimiento de los controles de la seguridad de la información establecidos en

la norma ISO/IEC 27002.

En este documento se evidencia la estructuración de manera detallada del desarrollo e

implementación de un Modelo de Medición diseñado para las Entidades Gubernamentales,

basado en la norma internacional ISO/IEC 27004.

110

6. RECOMENDACIONES GENERALES

Todos los Integrantes de la Alta Dirección, Empleados, Contratistas o Terceros son

responsables de la implementación de las Políticas de Seguridad y privacidad de la

Información implementadas por la entidad evaluada.

Las Políticas de Seguridad y privacidad de la Información son de Carácter Obligatorio para

todo el personal de la organización, cualquiera sea su situación laboral, el proceso al que

pertenece y cualquiera que sea el nivel organizacional en el que se encuentre.

Los usuarios de la Información y de los Sistemas utilizados para su procesamiento son

responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad y

privacidad de la Información vigente

Es imprescindible que la Alta Dirección apruebe, dé a conocer y entender las políticas de

seguridad y privacidad de la información a toda la organización.

Es fundamental Realizar capacitaciones y sensibilizaciones a todos los empleados de la

entidad evaluada en todos los temas relacionados a la seguridad y privacidad de la

Información para mitigar riesgos de ataques de cualquier tipo.

El personal encargado de realizar la medición de la política de seguridad y privacidad de la

información debe tener el conocimiento total de todas las normas que van a ser evaluadas.

Se recomienda que la medición de la política de seguridad y privacidad de la información de

la entidad sea efectuada sobre alguno de los siguientes atributos:

Conocimiento de las normas por parte de las personas que acceden a los sistemas de

información de la entidad.

Control, revisión y evaluación de registros de usuarios, registros de capacitación,

registros de incidencias de seguridad, control de inventarios de activos, entre otros.

Procedimientos Definidos por la entidad evaluada.

Vulnerabilidades, Amenazas o No cumplimientos identificados en las mediciones

anteriores a la que se esté efectuando.

111

BIBLIOGRAFÍA

Ministerio de Tecnologías de la Información y las Comunicaciones. (n.d.). Sistemas de

Gestión de la Seguridad de la Información (SGSI). Consultado el 28 de Septiembre de 2016,

de http://www.mintic.gov.co/gestionti/615/w3-article-5482.html

Ministerio de Tecnologías de la Información y las Comunicaciones. (2014). Mintic

acompaña a las instituciones públicas para dar mayor seguridad a la información. Consultado

el 28 de Septiembre de 2016, de http://www.mintic.gov.co/portal/604/w3-article-7809.html

Universidad de los Andes Colombia. (2015). Importancia de la Seguridad de la Información

en las organizaciones. Consultado el 29 de Septiembre de 2016, de

https://sistemas.uniandes.edu.co/es/inicio/noticias/item/448-mesienorganizaciones

Blog firma-e. (2014). Beneficios de implantar un SGSI en su empresa. Consultado el 30 de

Septiembre de 2016, de http://blog.firma-e.com/beneficios-de-implantar-un-sgsi-en-su-

empresa/

CENTRO DE SERVICIOS PARA LA ESTANDARIZACIÓN DE SEGURIDAD

INFORMÁTICA Y LA ADAPTACIÓN LOPD 15/1999 Y LSSI 34/2002. (n.d.). PROCESO

DE IMPLANTACIÓN. Consultado el 1 de Octubre de 2016, de

http://www.ceeisec.com/nuevaweb/doc/informacionSGSI.pdf

Redseguridad.com. (n.d.). La importancia y la necesidad de proteger la información sensible.

Consultado el 1 de Octubre de 2016, de http://www.redseguridad.com/especialidades-

tic/proteccion-de-datos/la-importancia-y-la-necesidad-de-proteger-la-informacion-sensible

Ministerio de Tecnologías de la Información y las Comunicaciones. (n.d.). CONOCE LA

ESTRATEGIA DE GOBIERNO EN LÍNEA. Consultado el 2 de Octubre de 2016, de

http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html

Ministerio de Tecnologías de la Información y las Comunicaciones. (n.d.). MARCO

REGULATORIO ESTRATEGIA DE GOBIERNO EN LÍNEA. Consultado el 2 de Octubre

de 2016, de http://estrategia.gobiernoenlinea.gov.co/623/articles-7941_normatividad.pdf

112

Ministerio de Tecnologías de la Información y las Comunicaciones (2016). Modelo de

Seguridad y Privacidad de la Información. Consultado el 3 de Octubre de 2016, de

http://www.mintic.gov.co/gestionti/615/articles5482_Modelo_de_Seguridad_Privacidad.pd

f

SGSI Blog especializado en Sistemas de Gestión de Seguridad de la Información. (2014).

ISO/IEC 27004 – Medición de la Seguridad de la Información. Consultado el 4 de Octubre

de 2016, de http://www.pmg-ssi.com/2014/01/isoiec-27004-medicion-de-la-seguridad-de-

la-informacion/

SGSI Blog especializado en Sistemas de Gestión de Seguridad de la Información. (2014).

ISO 27001: Auditorías internas del SGSI. Consultado el 4 de Octubre de 2016, de

http://www.pmg-ssi.com/2014/12/iso-27001-auditorias-internas-del-sgsi/

AGUIRRE Ricardo Andrés, ZAMBRANO Andrés Fernando. ESTUDIO PARA LA

IMPLEMENTACION DEL SISTEMA DE GESTION DE SEGURIDAD DE LA

INFORMACION PARA LA SECRETARIA DE EDUCACION DEPARTAMENTAL DE

NARIÑO BASADO EN LA NORMA ISO/IEC 27001. Trabajo de grado Especialización en

Seguridad Informática. Pasto, Colombia. Universidad Nacional Abierta y a Distancia.

ALIAGA Flores Luis Carlos. Diseño de un sistema de gestión de seguridad de información

para un instituto educativo. Trabajo de grado Ingeniería Informática. Lima, Perú.

PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ.

LARRONDO Quirós Agustín. Uso de la norma ISO/IEC 27004 para Auditoría Informática.

Trabajo de grado Ingeniería técnica de informática de gestión. Madrid, España. Universidad

Carlos III De Madrid Escuela Politécnica Superior.

VI Congreso Iberoamericano de Seguridad Informática. (2011). MGSM-PYME Métricas de

seguridad en los SGSIs, para conocer el nivel de seguridad de los SSOO y de los SGBD.

Consultado el 4 de Octubre de 2016, de

http://www.criptored.upm.es/cibsi/cibsi2011/info/Ponencias/6.%20M%C3%A9tricas%20d

e%20seguridad%20en%20los%20SGSIs,%20para%20conocer%20el%20nivel%20de%20s

eguridad%20de%20los%20SSOO%20y%20de%20los%20SGBD.pdf

Alejandro Corletti Estrada. (n.d.). ISO-27001 e ISO-27004 BORRADOR DE TRABAJO

ISO/IEC-27004: MEDICIONES PARA LA GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN. Consultado el 5 de Octubre de 2016, de

http://www.revistadintel.es/Revista1/DocsNum09/Normas/Alejandro.pdf

http://www.pmg-ssi.com/2014/01/isoiec-27004-medicion-de-la-seguridad-de-la-informacion/

http://www.pmg-ssi.com/2014/01/isoiec-27004-medicion-de-la-seguridad-de-la-informacion/

http://www.pmg-ssi.com/2014/12/iso-27001-auditorias-internas-del-sgsi/

113

MOMPHOTES Parra Luisa Fernanda, ALZATE Alexander. PROTOTIPO PARA LA

AUDITORIA SISTEMA DE GESTION SEGURIDAD DE LA INFORMACION (SGSI).

Trabajo de grado Ingeniería de Sistemas y Computación. Pereira. Colombia. Universidad

Tecnológica de Pereira.

ABC S.A. (2015). INFORME DE AUDITORÍA INTERNA AL SGSI CON BASE EN LA

NORMA ISO 27001:2013. Consultado el 5 de Octubre de 2016, de

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43054/5/renanquevedoTFM0615an

exo9.pdf

PROMPERÚ. (2016). PROCEDIMIENTO DE AUDITORÍA INTERNA A LOS

SISTEMAS DE GESTIÓN DE LA CALIDAD Y DE LA SEGURIDAD DE LA

INFORMACIÓN DE PROMPERÚ. Consultado el 6 de Octubre de 2016, de

http://media.peru.info/catalogo/Attach/5.3%20Proc%20Auditorias%20Internas.pdf

Gobierno en línea Colombia. (2011). LINEAMIENTOS PARA LA IMPLEMENTACIÓN

DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0. Consultado el 7 de Octubre

de 2016, de

http://www.bucaramanga.gov.co/documents/dependencias/LINEAMIENTOS_SEGURIDA

D.pdf

Ministerio de Tecnologías de la Información y las Comunicaciones. (n.d.). Estrategia

Gobierno en línea 2012 – 2015 Para el orden nacional 2012 – 2017 Para el orden territorial.

Consultado el 8 de Octubre de 2016, de http://programa.gobiernoenlinea.gov.co/apc-aa-

files/eb0df10529195223c011ca6762bfe39e/manual-3.1.pdf

Vive digital Colombia. (2013). Modelo de Seguridad de la Información. Consultado el 8 de

Octubre de 2016, de

http://www.ideca.gov.co/sites/default/files/MinTic_Modelo_de%20_Seguridad_Octubre.pd

f

PDCA Home. (2013). Ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo de

Deming de mejora continua. Consultado el 9 de Octubre de 2016, de

http://www.pdcahome.com/5202/ciclo-pdca/

114

ANEXOS

ANEXO A Modelo de medición para el Sistema de Gestión de Seguridad de la Información

En este Anexo, se han plasmado cada una de las estructuras de medición que pueden ser

utilizadas para la realización de una auditoría dentro de las organizaciones gubernamentales

que tengan implementado el modelo del Sistema de Gestión de Seguridad de la informaciones

definido por Gobierno en Línea, este documento está enfocado en los objetivos de control y

controles que son implementados en la creación del Sistema de Gestión de Seguridad de la

Información en las Entidades del Estado.

ANEXO B Plantilla para ejecutar la evaluación en el SGSI de las Entidades Gubernamentales

En el siguiente Anexo, se han diseñado las respectivas plantillas con el objetivo de efectuar

el registro de los resultados obtenidos a través del uso de las estructuras de medición del

Anexo A en el Sistema de Gestión de Seguridad de la Información de la Entidad auditada.

ANEXO C Sistema de Gestión de Seguridad de la Información Policía Nacional de Colombia

El siguiente es un anexo informativo, ya que en este se puede conocer la Resolución 03049

del 24 de agosto de 2012, por el cual se adopta el Sistema de Gestión de Seguridad de la

Información para la Policía Nacional. Haciendo uso de este se realiza el análisis del estado

actual de este SGSI haciendo uso del modelo planteado.

MODELO DE MEDICIÓN PARA EL SGSI DE LAS ENTIDADES...

Documents

Transcript of MODELO DE MEDICIÓN PARA EL SGSI DE LAS ENTIDADES...