INFORME INICIAL

CARLOS ALFREDO MORALES GARCIA 5921420019

UNIVERSIDAD DE CARTAGENA
PROGRAMA DE EDUCACION SUPERIOR A DISTANCIA

PROGRAMA DE INGIENERIA DE SISTEMAS

MOMPOX

2018
 PRIMER INFORME DE LA PRÁCTICA EMPRESARIAL

PRIMER PERIODO DE 2019

Diagnóstico de Necesidades

Alcaldía Municipal de Talaigua Nuevo-Bolívar

Ubicada en el municipio de Talaigua nuevo bolívar, es una sede con dos plantas, primera planta

administración y la segunda funcionarios, bajo el gobierno de Gerardo arias Zuluaga alcalde

municipal.

Misión

Servir a la sociedad a través de un gobierno sensible e incluyente, apoyado por un equipo

humanista y eficiente que genera confianza y logra el bienestar de los habitantes de Talaigua

Nuevo. El municipio determinará con claridad, la misión y propósito.

Visión

Para el año 2030 el Municipio de Talaigua Nuevo, Bolívar, será un territorio donde se garantiza

los derechos sociales, económicos y ambientales para todos sus habitantes, con especial atención

a lograr un territorio pacifico entre los diversos actores.

Corresponde al Municipio:

1.Administrar los asuntos municipales y prestar los servicios públicos que determine la Ley.

2.Ordenar el desarrollo de su territorio y construir las obras de infraestructura que demande el

progreso municipal.

3.Promover la participación comunitaria y el mejoramiento social y cultural de sus habitantes.

4.Planificar el desarrollo económico social y ambiental de su territorio de conformidad con la ley

y en coordinación con otras entidades.

5.Solucionar las necesidades insatisfechas de salud, educación, saneamiento ambiental, agua

potable, servicios públicos domiciliarios, vivienda, recreación y deporte, con especial énfasis en

la niñez, la mujer, la tercera edad y los sectores discapacitados, directamente y en concurrencia,

complementariedad y coordinación con las demás entidades territoriales y la nación, en los

términos que defina la ley.

6.Velar por el adecuado manejo de los recursos naturales y del medio ambiente de conformidad

con la ley.

7.promover el mejoramiento económico y social de los habitantes del municipio.

8.Hacer cuanto adelantar por sí mismo en subsidio de otras entidades territoriales, mientras éstas

proveen lo necesario.
 Las demás que señale la Constitución.

Objetivos

- Generar mayores recursos económicos que permitan la realización de mejores indicadores de

educación,

- Trabajar de forma conjunta con el sector privado para aunar esfuerzos en torno a los objetivos

propuestos en el área de la salud,

- Crear confianza al mismo tiempo que una relación de cooperación con la ciudadanía en la que

todos contribuyen al logro de mejores estándares de alcantarillado, saneamiento básico y

electrificación.

- Avanzar en el ordenamiento de la ciudad, el respeto por las normas y la generación de en la

construcción de vivienda digna.

- Desarrollar, diseñar e impulsar políticas culturas, de recreación y deporte en el municipio,

- Impulsar programas encaminados a reivindicar a los desplazados con el propósito de

reinsertarlos a la vida económica, política, productiva y social del municipio.

- Diseñar estrategias para garantizar espacios de convivencia y participación ciudadana de niños

y adultos mayores residentes en el municipio.

 Imagen Actual

La alcaldía municipal de Talaigua Nuevo-bolívar, para dar detalles la sede está comprendida por

oficinas de gran importancia como, Planeación, Sisben, Secretaria de salud, Financiera, de los

cuales cada equipo almacena de una gran cantidad de información de mucha importancia, a todo

esto añadiremos que estos equipos tienen un gran tiempo estando laborando, además, la gran

parte de la población que trabajan en estos equipos no almacena la información o no hace copias

de seguridad. Durante el tiempo que estado elaborando mis prácticas en la alcaldía municipal de

Talaigua nuevo, se vio reflejado el gran deterioro que los equipos presentan y las fallas que han

presentado, hasta información de gran importancia ha habido involucrada, cualquiera puede

conectar una unidad disco externa, la red de internet es muy débil, las claves de sus equipos las

encuentras escritas en sus escritorios a la igual que sus correos, en sus archivos encuentras todo

tipo de aplicación y música descargadas, además las licencias de sus sistemas operativos no son

legales, ni de Office, ni mucho menos de su antivirus, hay mucha vulnerabilidad de la

información.
 Imagen Posible

Para dar una posible solución se ha llevado acabo la intervención de un proyecto de la seguridad

de la información, que se estará abarcando los temas más importantes de cómo proteger y

resguardar la información que conllevan en sus equipos, como medio de seguridad, donde

hablaremos de cómo darle más importancia a la información, temas como el internet de las Cosas

y la interconectividad del todo, ataques dirigidos y ciberespionaje, Windows 10: funcionalidad

de seguridad y privacidad, leyes de protección de datos personales y la necesidad de esfuerzo

conjunto entre empresas y usuarios, confidencialidad, integridad y disponibilidad de la

información.
 Plan de trabajo o Proyecto de prácticas

Plan estratégico de tecnología de la información con base a la seguridad de la

información en la alcaldía municipal de Talaigua nuevo- bolívar.

 Introducción

La seguridad de la información es una parte esencial para la alcaldía; En el mundo, las

organizaciones gubernamentales han ido creciendo de manera continua y eficiente con

respecto a métodos y estrategias que buscan velar por la seguridad de la información. Los

gobiernos han estado implementando distintas estrategias para sus entidades públicas,

todo esto relacionado a la protección de una manera eficiente de la información contenida

en ellas y todos los procesos resultantes prestados del uso de la misma, buscando poder

participar en conjunto con la ciudadanía a través de la publicación de información que

estaba protegida y ahora pueda ser puesta a disposición de los ciudadanos mediante el uso

de las nuevas tecnologías. Pero proteger esta información y determinar cuál puede ser

publicada o cuál debe ser resguardada no ha sido una tarea sencilla, ya que ha sido

vulnerada de muchas maneras buscando apropiarse de ella o afectándola para que no

cumpla el objetivo por el cual fue creada.

De acuerdo al estudio Global Open Data Index – Índice Global de Datos Abiertos

realizado por Open Knowledge Foundation – Fundación de Conocimiento Abierto,

durante estos últimos años se ha venido evidenciando las mejoras establecidas por los

gobiernos para el manejo, uso y publicación de información destinada a la población

buscando crear un estado más transparente y colaborativo de la mano con la ciudadanía.

Dentro de este estudio, bajo el índice internacional, se evidencia que Colombia ha sido un

partícipe directo de este tipo de estrategias logrando posicionarse en el cuarto lugar a

nivel Mundial refiriéndonos al índice de datos abiertos y en el puesto doce en un listado

general en materia de gobierno Electrónico. (Ministerio de Tecnologías de la Información

y las Comunicaciones, 2015).

En Colombia, bajo el marco de la estrategia Gobierno en Línea (GEL), se ha

implementado a nivel nacional métodos, normas, planes y políticas refiriéndonos al eje de

seguridad y privacidad de la información, buscando definir y aclarar qué información

puede considerarse para ser mostrada al público y velando por que el uso que le destinen

sea el apropiado de acuerdo a su objetivo

Este proyecto tiene como disposición llevar a cabo un plan estratégico que asuma la

responsabilidad de gestionar la seguridad de la información como medida de proteger y

salva guardar la información, para evitar que la información no se pierda, no sea

vulnerada o sea afecta por daño de virus, es por eso que daremos a conocer los riesgos

que pueden ocasionar el no establecer niveles de seguridad en la información.

 Justificación

Velar por una eficiente seguridad de la información es una ardua labor que se ha venido

justificando a través de los años, pues la información ha sido estimada como un elemento de alta

importancia para el cumplimiento de los objetivos institucionales en las empresas. En cuanto a

las entidades públicas, el manejo de esta información, de acuerdo a las nuevas estrategias que

tienen como finalidad desarrollar un Estado más transparente, resaltan el poder determinar de

manera precisa cuál o qué información debe clasificarse como visible por todos y para todos, y

para lograr esto siempre debe establecerse una etapa inicial que permita determinar el estado

actual referente a la seguridad de la información y de todo lo que corresponde a esto.

Lo importante de este proyecto es apoyar el plan estratégico de tecnología de la información con

el fin, detectar vulnerabilidades, proteger los activos tecnológicos, hacer recomendaciones de uso

y concientizar a usuarios y funcionarios de la alcaldía municipal de Talaigua nuevo, todo esto

dirigido a cumplir con los principios de seguridad de la información establecidos por el

Ministerio de Tecnologías de la Información y las Comunicaciones bajo el Modelo de Seguridad

y Privacidad de la Información contenido dentro del marco de la estrategia Gobierno en Línea

(GEL).
 Objetivos

Objetivos Generales

Elaborar un plan estratégico de tecnología de la información con base a la seguridad de la

información con respecto a los requerimientos de los modelos de seguridad de la información en

el MinTIC.

Objetivos Específicos

 Evaluar el estado actual de la gestión de seguridad de la información en la alcaldía

municipal de Talaigua nuevo.

 Realizar un plan de seguridad.

 Establecer políticas de seguridad.

 Realizar un plan de contingencia.

 Administrar el firewall.

 Monitorear los sistemas de información verificando la integridad de la información.

 Implementar y administrar IPS (Sistemas de prevención de intrusos), IDS (sistema de

detención de intrusos) para monitorear ataques externos.

 Proyectar el plan estratégico el mejoramiento de la seguridad de la información.

 Fundamentos Teóricos

Con el objetivo de garantizar que las organizaciones realizan una correcta gestión de la seguridad

de la información, es necesario contar con un proceso sistemático, documento, conocido y

adoptado por toda la organización, basado en un enfoque de gestión de riesgos. Este proceso, es

el que constituye un Sistema de Gestión de Seguridad de la Información. De acuerdo a la norma

NTC-ISO-IEC 27001:201310, un sistema de gestión de seguridad de la información tiene por

finalidad preservar la confidencialidad, integridad y disponibilidad de la información, a través de

la aplicación de un proceso de gestión del riesgo. Un Sistema de Gestión de Seguridad de la

Información, le permite a las organizaciones gestionar de manera efectiva los riesgos asociados a

la seguridad sobre sus activos de información mediante la identificación de las amenazas que

puedan llegar con comprometer la seguridad sus activos de información, lo cual, genera

confianza en sus partes interesadas debido a que demuestra que los riesgos de la organización

son debidamente gestionados.

El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), según la Ley

1341 o Ley de TIC, es la entidad que se encarga de diseñar, adoptar y promover las políticas,

planes, programas y proyectos del sector de las Tecnologías de la Información y las

Comunicaciones. Dentro de sus funciones está incrementar y facilitar el acceso de todos los

habitantes del territorio nacional a las Tecnologías de la Información y las Comunicaciones y a

sus beneficios. (Ministerio de las Tecnologías de la Información y las Comunicaciones, 2017)

La estrategia GEL es una estrategia promovida e implementada por MinTIC , instaurada como

una política Nacional de Gobierno electrónico que se definió a través del Decreto 1078 de 2015

artículo 2.2.9.1.1.1 y fue estructurada en 4 ejes temáticos, (TIC para el gobierno Abierto, TIC

para servicios, TIC para la gestión y por último Seguridad y privacidad de la información) y que
tiene como propósito lograr que los ciudadanos cuenten con servicios en línea de alta calidad,

impulsar el empoderamiento y la colaboración de los ciudadanos con el Gobierno, todo esto

gracias al uso estratégico de la tecnología. Esta estrategia fue establecida para ser adoptada por

las entidades públicas y que al hacerlo aporten de la mejor manera a su desarrollo, en un

concepto más preciso para el cumplimiento de los objetivos institucionales y que estos

contribuyan a los fines esenciales del estado. (Ministerio de las Tecnologías de la Información y

las Comunicaciones, 2017)

El Modelo de Seguridad y Privacidad de la Información (MSPI) es una guía que conduce a la

preservación de la confidencialidad, integridad y disponibilidad de la información, permitiendo

garantizar la privacidad de los datos mediante la aplicación de un proceso de gestión del riesgo,

brindando confianza a las partes interesadas acerca de la adecuada gestión de riesgos y el cual

fue estructurado recopilando las mejores prácticas nacionales e internacionales para suministrar

requisitos para sus 5 fases las cuales son: el Diagnóstico, la Planificación, la Implementación, la

Gestión y el Mejoramiento continuo referentes a la privacidad y seguridad de la información

(Ministerio de las Tecnologías de la Información y las Comunicaciones, 2017).

De los 4 ejes implícitos dentro del marco de la estrategia GEL, se tomó como base para el

desarrollo del proyecto el eje correspondiente a la seguridad y privacidad de la información el

cual tiene como propósito garantizar la integridad, la disponibilidad y la confidencialidad de la

información pública, en una definición menos técnica, este eje comprende las acciones tendientes

a proteger la información y los sistemas de información, de acceso, uso, divulgación,

interrupción o destrucción no autorizada. Para ello, ha creado un modelo que ha sido

estructurado bajo normas y estándares nacionales e internacionales recalcando el uso de las

mejores prácticas relacionadas a la protección de la información.

El Modelo de Seguridad y Privacidad de la Información (MSPI) es una guía que conduce a la

preservación de la confidencialidad, integridad y disponibilidad de la información, permitiendo

garantizar la privacidad de los datos mediante la aplicación de un proceso de gestión del riesgo,

brindando confianza a las partes interesadas acerca de la adecuada gestión de riesgos y el cual

fue estructurado recopilando las mejores prácticas nacionales e internacionales para suministrar

requisitos para sus 5 fases las cuales son: el Diagnóstico, la Planificación, la Implementación, la

Gestión y el Mejoramiento continuo referentes a la privacidad y seguridad de la información

(Ministerio de las Tecnologías de la Información y las Comunicaciones, 2017). De estas 5 fases,

en el ámbito del proyecto se estimará únicamente la fase inicial o Fase Diagnóstico con el cual se

podrá determinar el estado de seguridad y privacidad de la información en la Alcaldía Municipal

de Talaigua nuevo-bolivar con respecto a los requerimientos del MSPI.

El diagnóstico es el primer de cinco fases que se encuentran establecidas dentro del ciclo de

operación del Modelo de Seguridad y Privacidad de la Información (MSPI). Esta fase tiene como

objetivo identificar el estado actual de la organización con respecto a los requerimientos del

mismo y su desarrollo debe apoyarse principalmente en el diligenciamiento del Instrumento de

Evaluación, el cual contiene todos los aspectos necesarios para realizar una valoración

satisfactoria que sirve como eje inicial de cualquier proceso de seguridad y privacidad de la

información en las entidades públicas. (Ministerio de Tecnologías de la Información y las

Comunicaciones, 2016)

De manera precisa la Fase de Diagnóstico pretende identificar el estado actual de la organización

con respecto a los requerimientos del Modelo de Seguridad y Privacidad de la Información

(MSPI), entre sus metas y para dar cumplimiento a esto están el determinar el estado actual de la

gestión de seguridad y privacidad de la información, identificar el nivel de madurez de seguridad

y privacidad de la información e identificar las vulnerabilidades técnicas y administrativas dentro

de la entidad que sirvan como insumo para la segunda fase denominada Fase de Planeación (La

Fase Planeación no está estipulada en el desarrollo del proyecto). (Ministerio de Tecnologías de

la Información y las Comunicaciones, 2017). Para desarrollar el diagnóstico en la Alcaldía, se

hizo uso de la Herramienta de Diagnóstico de Seguridad y Privacidad de la Información

(Instrumento_de_Evaluación_MSPI) (Ver anexo: Instrumento de Evaluación MSPI), herramienta

que está contenida dentro de la Fase Diagnóstico que a su misma vez esta contendía dentro del

MSPI, la cual permite hacer un levantamiento de información y un proceso de evaluación siendo

parte de la línea base para determinar el estado actual en la entidad con respecto a la seguridad y

privacidad de la información, dicha herramienta está contenida en el marco del MSPI como parte

de la primer fase del desarrollo y adopción de este modelo denominada Fase de Diagnóstico.

(Ministerio de Tecnologías de la Información y las 24 Comunicaciones, 2016) En esta fase es

necesario que las entidades identifiquen cómo se está garantizando la privacidad sobre todo el

ciclo de la información que tienen en su poder verificando la implantación o no de medidas que

den cumplimiento a los requerimientos de las normas sobre protección de datos personales y que,

adicionalmente contribuya a identificar la información pública sometida a reserva o clasificada

en los términos de la Ley. Para ello se pone a disposición de las entidades, el instrumento de

diagnóstico y seguimiento a la implementación. A través del diligenciamiento de este

instrumento se podrá conocer la realidad de la información relacionada con el manejo de los

activos de la información que reposen en bancos de datos o archivos y a partir de allí determinar

las medidas a nivel procedimental que deben adelantar las entidades para otorgar un nivel

adecuado de protección a esta información. (Ministerio de las Tecnologías de la Información y

las Comunicaciones, 2017)

Con el resultado del diagnóstico se puede contar con un insumo frente a la identificación de

aquella información que debe ser manejada como privada (clasificada en los términos de la Ley)

para a partir de allí incorporar las medidas de seguridad proporcionales a su naturaleza como los

procedimientos que lleven al cumplimiento de la normatividad de protección de datos,

transparencia y acceso a la información pública soportado todo ello en la incorporación de un

sistema de privacidad por diseño que responda a la realidad presupuestal, humana y técnica de

cada entidad. Para construir los instrumentos de gestión de la información pública, las entidades

pueden remitirse a la Guía sobre Instrumentos de Gestión de la Información Pública de la

Secretaría de Transparencia de la Presidencia de la República. La herramienta de diagnóstico

(Instrumento de Evaluación MSPI) es una herramienta que fue creada con el fin de identificar el

nivel de madurez en la implementación del Modelo de seguridad y Privacidad de la Información,

permitiendo establecer el estado de la gestión y adopción de controles técnicos y administrativos

al interior de las Entidades Públicas, según lo definido en la Estrategia de Gobierno en Línea en

su cuarto componente “Seguridad y Privacidad de la Información”. (Ministerio de Tecnologías

de la Información y las Comunicaciones, 2016). El diligenciamiento de esta herramienta debe

consentir realizarse basándose en un Instructivo, (Instructivo para el Diligenciamiento de la

Herramienta de Diagnostico de Seguridad y Privacidad de la Información), que se establece y

que les permite a las entidades públicas de orden nacional, y entidades públicas del orden

territorial, entender de una mejor manera como se debe diligenciar la herramienta de diagnóstico

para poder obtener un resultado preciso, el cual le permite a cada entidad generar un plan de

seguridad de la información para ser desarrollado al interior de esta, y de esta manera dar

cumplimiento con lo estipulado en el manual de gobierno en línea en su cuarto componente.

(Ministerio de Tecnologías de la Información y las Comunicaciones, 2016).

 Metodología

La metodología planteada pretende dar cumplimiento a los objetivos específicos que se

definieron con el propósito de poder alcanzar el objetivo general de proyecto, para lo cual, esta

metodología tendrá en cuenta el marco de referencia de la norma ISO/IEC 27001:2013 que

especifica, entre otros aspectos, los requerimientos y actividades que se deben desarrollar para el

diseño de un Sistema de Gestión de Seguridad de la Información.

el método de investigación de campo, que permite el análisis sistemático del problema en la

realidad, con el fin de describirlo, interpretarlo, entender su naturaleza y explicar sus causas y

efectos. En este tipo de investigación, la información de interés es recogida de forma directa de

la fuente, mediante encuestas, cuestionario, entrevista o reuniones.

Instrumentos De Recolección De Información

Para el desarrollo del presente trabajo de grado, se utilizaron los siguientes mecanismos e

instrumentos para la recolección de información:

 Encuesta.

Evaluación con base en la experiencia del autor. También, se usó de diferentes fuentes de

información, tales como tesis, libros, textos, revistas, normas, etc., existentes tanto en medios

físicos, electrónicos y publicados en Internet.

 Indicadores De Resultados

Indicadores Plan estratégico de TI de la seguridad de la

Información.

Nivel de compromiso de los funcionarios en • Establece un Gobierno de Seguridad

adoptar funciones y responsabilidades s de compuesto por una estructura

seguridad organizacional con roles y

responsabilidades de seguridad.

• Define funciones y responsabilidades de

seguridad asociados a roles y cargos de la

entidad.

• Define políticas y procedimiento de

seguridad.

• Promueve la divulgación y sensibilización

de las políticas de seguridad con el

propósito de garantizar su desempeño,

eficacia y cumplimiento.

• Promueve que los funcionarios adopten,

interioricen y acaten la política,

procedimientos y prácticas de seguridad

definidas en la entidad y comprendan las

implicaciones, peligros y riesgos de sus

acciones.

Grado de cubrimiento de los planes de • Genera sentido de pertenencia y

tratamiento de riesgos de seguridad apropiación en temas de seguridad en cada

uno de los funcionarios de la entidad,

logrando con ello la participación activa de

toda la organización con relación a la

planeación, definición, identificación e

implementación de controles y medidas

orientadas a salvaguardar la seguridad de la

información de la organización.

• Permite disponer de una metodología para

la gestión de riesgos, con el objetivo

identificar, clasificar y valorar los riesgos

que puedan atentar contra la

confidencialidad, integridad y

disponibilidad de la información.

• Permite clasificar los activos de

información en términos de su valor,

requerimientos legales, sensibilidad y

criticidad para la Entidad. • Permite

determinar la efectividad de los controles

existentes orientados a proteger la seguridad

de la información.

• Permite establecer planes de tratamiento a

los riesgos identificados.

Eficacia tratamiento de riesgos •Permite medir la eficacia de los controles,

medidas y actividades establecidas para el

cumplimiento de los planes de tratamiento

de los riesgos identificados.

• Permite reaccionar de manera oportuna y

ágil ante incidentes de seguridad gracias a

un esquema claro de roles y

responsabilidades, minimizando así los

impactos de la materialización de una

vulnerabilidad.

• Permite establecer un modelo o

mecanismo para la gestión y monitoreo de

los incidentes de seguridad.

• Permite contar con los mecanismos para la

mejora continua de la seguridad de la

información, mediante la supervisión,

revisión y eficacia de los procesos

implantados.

• Promueve que los riesgos de la seguridad

de la información sean conocidos,

asumidos, gestionados y minimizados por la

organización, así como, que los problemas

de seguridad se comuniquen de manera

 proactiva y oportuna.

Concienciación en seguridad de la • Fomenta la cultura de seguridad de la

información información a todo nivel dentro de la

organización, mediante campañas y/o

capacitaciones en temas de seguridad.

• Provee herramientas para fomentar en los

funcionarios una mayor concienciación con

relación a la importancia de la seguridad,

evitando fugas de información.

• Define un lenguaje común dentro de la

Entidad para referirse a la protección de la

información.

• Enseña a los funcionarios sobre mejores

prácticas y buenos hábitos en materia de

seguridad.

• Una buena cultura de seguridad al interior

de la organización y una conciencia clara de

cuál es la información que se debe proteger,

evita inversiones innecesarias en seguridad

y tecnología.
 Determinación De Los Recursos

Para darle logro a la venida de este proyecto daremos determinación a nuestro proyecto como

plan de estrategia para la mejora de la seguridad de la información, por medios de conferencias

expondremos las debilidades de los sistemas, pero además de todo queremos ver cómo podemos

fortalecer nuestros sistemas, proyectaremos nuestro plan estratégico para el mejoramiento de la

información, estableciendo políticas de seguridad, Implementaremos sistemas de prevención de

intrusos y sistema de detención de intrusos para monitorear ataques externos, con el fin de

mejorar la seguridad de la información en la alcaldía municipal de Talaigua Nuevo-Bolívar.

Cronograma De Actividades
 Referencias Bibliográficas

Ministerio de las Tecnologías de la Información y las Comunicaciones. (2017). MinTIC.

Obtenido de http://www.mintic.gov.co/portal/604/w3-propertyvalue-540.html

Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Gobierno en Linea.

Obtenido de http://estrategia.gobiernoenlinea.gov.co/623/w3-channel.html

Ministerio de Tecnologías de la Información y las Comunicaciones. (2016). Modelo de

Seguridad y Privacidad de la Información. Obtenido de

https://www.mintic.gov.co/gestionti/615/articles5482_Modelo_de_Seguridad_Privacidad.pdf

Gobierno en Linea, MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI

- SGSI, 2008. [En línea]. Available: http://programa.gobiernoenlinea.gov.co/apc-

aafiles/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI. pdf. [Último

acceso: 15 06 2015].
Bitácoras