1

AUDITORIA DE SISTEMAS Y

DISEÑO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA

EXTRA RÁPIDO LOS MOTILONES S.A.

MOISES RODRIGUEZ MORA

YESID MENDEZ

CORPORACIÓN UNIVERSITARIA REMINGTÓN CT CUCUTA

FACULTAD DE INGENIERÍA DE SISTEMAS

SAN JOSÉ DE CÚCUTA

2019

AUDITORIA DE SISTEMAS Y
 2

DISEÑO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN LA EMPRESA

EXTRA RÁPIDO LOS MOTILONES S.A.

JOSÉ GREGORIO GÓMEZ MARCIALES

RICHARD ORLANDO ACOSTA AREVALO

WALTER DAVID GUTIERREZ FUENTES

YOLANDA HOSTOS PALACIOS

Tutor

Ingeniero de Sistemas

CORPORACIÓN UNIVERSITARIA REMINGTÓN CT CUCUTA

FACULTAD DE INGENIERÍA DE SISTEMAS

SAN JOSÉ DE CÚCUTA

2019
 3

Tabla de contenido

Pag

Introducción 9

1. El problema 11

1.1 Titulo 11

1.2 Formulación del Problema 11

1.3 Justificación 11

1.3.1 A nivel de la empresa Extra Rápido Los Motilones S.A. 13

1.3.2 A nivel de la carrera Ingeniería de Sistemas 13

1.3.3 A nivel personal 14

1.4 Objetivos 14

1.4.1 Objetivo general 14

1.4.2 Objetivos específicos 14

2. Marco referencial 15

2.1 Marco Teórico 15

2.2 Marco Histórico 16

2.2.1 Reseña Histórica 16

2.2.2 Misión 17

2.2.3 Visión 18

2.2.4 Valores 18

2.3 Marco Conceptual 19

2.4 Marco Legal 24

 4

2.4.1 Estándares Normativos. Los estándares normativos más destacados para la

implementación de la seguridad informática están: 24

2.4.2 Leyes y Decretos Colombianos. Las leyes, resoluciones y circulares creadas en

Colombia en pro de la protección de los medios informáticos, la información y el comercio

electrónico, se destacan los siguientes: 25

3. Diseño metodológico preliminar 27

3.1 Tipo de Investigación 27

3.2 Población y Muestra 27

3.3 Técnicas de Recolección de Datos 29

3.3.1 Fuentes Primarias 29

3.3.2 Fuentes Secundarias 29

3.4 Técnicas de Análisis de la Información 29

3.4.1 Análisis Documental 30

4. Participantes en el proceso y recursos disponibles 31

4.1 Integrantes del proceso 31

4.2 Recursos Disponibles 31

4.2.1 Materiales. 31

4.2.2 Institucionales 31

4.2.3 Financieros 32

4.3 Cronograma de Actividades 32

5. Interpretación de resultados encuesta a empleados empresa extra rápido LOS MOTILONES S.A

33

6. Políticas de seguridad de la información 44

 5

6.1 Objetivo 44

6.2 Alcance 44

6.3 Términos y definiciones 44

6.4 Descripción de las políticas 60

6.4.1 Política Global de Seguridad de la Información 60

6.4.2 Política No.1: acceso a la información 62

6.4.3 Política No.2: administración de hardware y software 65

6.4.4 Política No.3: seguridad de la información 66

6.4.5 Política No.4: seguridad de los servicios informáticos 67

6.4.6 Política No.5: seguridad de los sistemas de información 69

6.4.7 Política No.6: seguridad en las redes de comunicación 70

6.4.8 Política No.7: seguridad para usuarios terceros 72

6.4.9 Política No.8: software utilizado 73

6.4.10 Política No.9: actualización de hardware 75

6.4.11 Política No.10: copias de respaldo (backup). 75

6.4.12 Política No.11: auditoria. 76

6.4.13 Política No.12: seguridad física. 76

6.4.14 Política No.13: administración de seguridad. 78

Conclusiones 79

Bibliografía 81

Webgrafia 82

Anexos 83
 6

Lista de figuras

Pag

Figura 1.Conocimientos sobre Amenaza Informática 33

Figura 2: Amenazas Informáticas Conocidas por los empleados de la empresa 34

Figura 3: Cultura sobre Prevención de un Ataque Informático 35

Figura 4 Responsabilidad de la Seguridad de la Información 36

Figura 5: Áreas de Trabajo Participantes en la encuesta. 37

Figura 6: Uso de medio de almacenamiento externo en equipos de la empresa 38

Figura 7: Ante quien se tramita solicitud de cambios en recursos informáticos 39

Figura 8: Solicita autorización para la entrega de información 40

Figura 9 En la red se comparten archivos en los diferentes equipos de la empresa 41

Figura 10: Seguridad aplicada por los empleados en lo equipos 41

Figura 11 Su equipo de trabajo cuenta con acceso a internet 42

Figura 12 Accede a internet por motivos laborales 43

 7

Lista de tablas

Pag

Tabla 1.Población y Muestra 28

Tabla 2.Cronograma de actividades 32

 8

Lista de anexos

Pag

Anexo 1. Formato Nro.1 Controles de seguridad Cuentas de usuario 84

Anexo 2. Formato Nro.2 Requerimientos de respaldos de información 87

Anexo 3. Formato Nro.3 Acceso Físico 91

Anexo 4 Formato Nro.4 Acta de Entrega, recepción de medios 92

Anexo 5. Formato Nro.5 Bitácora de restauración de respaldos 94

Anexo 6. Formato Nro. 6 Controles Contraseñas Segura 96

Anexo 7. Formato Nro. 7 Solicitud instalación Software 98

Anexo 8.Formato Nro. 8 Formato Encuesta Aplicada 100

 9

Introducción

La ausencia de políticas y procedimientos en seguridad es uno de los problemas más graves que

confrontan las empresas en la actualidad en lo que se refiere a la protección de sus activos de

información frente a peligros externos e internos.

Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo

manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva

de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes

de contingencia y detección de intrusos.

A menudo las políticas van acompañadas de normas, instrucciones, procedimientos y son

obligatorias, mientras que las recomendaciones o directrices son más bien opcionales. De

hecho, las declaraciones de políticas de seguridad pueden transformarse fácilmente en

recomendaciones.

El tratamiento de la información abarca aspectos que van desde el manejo de documentos en

medio físico como el proceso de almacenaje y recuperación conocido también como proceso de

gestión documental, hasta los sistemas de información que tenga la organización o sistemas

externos a los que esté obligada a reportar información, pasando por aspectos tan importantes como

la forma de almacenamiento de los datos digitales, modelos de respaldo de información y planes

de contingencia o de continuidad del negocio, si existen, claro está, incluyendo además los

sistemas físicos de protección y accesibilidad a sitios o áreas restringidas.

 10

Los equipos de cómputo almacenan información, la procesan y la transmiten a través de redes

y canales de comunicación, abriendo nuevas posibilidades y facilidades a los usuarios, pero se

deben considerar nuevos paradigmas en estos modelos tecnológicos y tener muy claro que no

existen sistemas cien por ciento seguros, porque el costo de la seguridad total es muy alto (aunque

en la realidad no es alcanzable idealmente), y las organizaciones no están preparadas para hacer

este tipo de inversión.

Se tiene la falsa percepción de que la seguridad de la información es una tarea imposible de

aplicar, en realidad, con esfuerzo, el conocimiento necesario y el apoyo constante de las directivas

se puede alcanzar un nivel de seguridad razonable, capaz de satisfacer las expectativas de

seguridad propias.

Extra Rápido Los Motilones S.A. es una empresa en crecimiento que debe involucrar dentro de

sus procesos buenas prácticas encaminadas a la protección de la información; razón por la cual es

necesario el desarrollo del análisis de riesgo de la seguridad de la información aplicado a cada uno

de los activos.

El análisis de riesgo permite realizar un diagnóstico para conocer las debilidades y fortalezas

internas encaminadas en la generación de los controles adecuados y normalizados dentro de las

políticas de seguridad informática que hacen parte de un Sistema de Gestión de Seguridad de la

Información (SGSI), además de facilitar su continuo monitoreo a través de procesos de auditorías

y mejoras continuas.
 11

1. El problema

1.1 Titulo

Diseño de Políticas de Seguridad de la Información en la empresa Extra Rápido Los Motilones

S.A.

1.2 Formulación del Problema

¿Cómo identificar y tratar los riesgos que afectan la información de la empresa Extra Rápido

Los Motilones S.A., con la finalidad de establecer las Políticas de Seguridad de la Información?

1.3 Justificación

La empresa Extra Rápido Los Motilones S.A., líder en el sector de Transporte de pasajeros,

encomiendas y giros, tiene enormes cantidades de información confidencial sobre sus empleados,

clientes, proveedores, contratistas. La cual es procesada, consolidada, gestionada y almacenada

para los requerimientos de la empresa.

La empresa tiene una infraestructura tecnológica en crecimiento, de la de la cual dependen

muchos de los procesos, dependencias y el funcionamiento tanto administrativo como operativo.

Gran parte de la información institucional, se encuentra en los equipos del personal administrativo,

operativo y en el servidor web de la empresa, también existe información en formato físico. Pero
 12

se evidencia que no hay políticas de control que puedan proveer un adecuado tratamiento de este

valioso activo como es la información sensible de Extra Rápido Los Motilones S.A.

El sector del transporte al igual que las diversas actividades económicas de la nación, presentan

un aporte considerable al crecimiento económico y a la generación de empleo y por ello se deben

aplicar buenas prácticas y recomendaciones de seguridad informática ya que muy seguramente en

un futuro cercano podría ser víctima de delitos informáticos que obstaculicen su normal

funcionamiento como lo pueden ser intrusiones, modificación y/o robo de información,

denegación de servicios, entre otros que podrían llevar al caos empresarial.

Extra Rápido los Motilones S.A. no tiene unas Políticas de Seguridad en la Información que

permita a la gerencia, y/o directivos en determinado momento tomar decisiones relacionadas con

el flujo de esta información. Conscientes de la importancia que tiene para Extra Rápido Los

Motilones S.A., su actuación en el negocio del transporte de pasajeros y encomiendas, se busca a

través de la realización de este trabajo manejar e interpretar los comportamientos y tendencias de

este sector, y poder tomar medidas correctivas y preventivas, comprender esta dinámica constituye

una herramienta determinante en el desempeño de esta actividad.

Frecuentemente se escuchan los términos seguridad de la información, seguridad informática y

garantía de la información. El significado de dichas palabras es diferente, pero todos persiguen la

misma finalidad que es proteger la confidencialidad, la integridad y la disponibilidad de la

información sensible de la organización.

 13

Se considera de gran importancia desarrollar el diseño de las políticas de seguridad de la

información para la empresa, con la plena certeza de que va a tener una excelente aceptación y que

los resultados esperados se darán a muy corto plazo. De la excelente aplicación de este diseño de

Políticas depende la obtención de los objetivos trazados.

1.3.1 A nivel de la empresa Extra Rápido Los Motilones S.A. El diseño de las Políticas de

Seguridad de la información, se convierte para la Empresa Extra Rápido Los Motilones S.A., En

una herramienta fundamental puesto que la gerencia y su directiva, como un estilo de dirección,

requiere de información confiable y oportuna que permita la toma de decisiones que garanticen un

rumbo acertado y controlado de las actividades de la empresa, utilizando de forma eficaz sus

ventajas comparativas y posicionamiento del mercado minimizando los riesgos a los que se pueda

exponer la información manejada por la empresa.

Conociendo la situación actual de la empresa, se podrá recomendar, fortalecer o conservar las

actuaciones encaminadas al aseguramiento de la información mediante el uso de las políticas de

seguridad informática y que podrá redundar en un mayor beneficio a la empresa.

1.3.2 A nivel de la carrera Ingeniería de Sistemas. Con la realización del presente trabajo de

grado, a través de sus estudiantes de la carrera de Ingeniería de Sistemas, la Corporación

Universitaria Remington tiene la oportunidad de cumplir con uno de sus principios como es el de

fundamentar el desarrollo del liderazgo y compromiso, con la solución de problemas, además de

servir como instrumento de extensión a la comunidad estudiantil y como parte de investigaciones

futuras.
 14

1.3.3 A nivel personal. El desarrollo del diseño de las Políticas de Seguridad de la Información,

le permitirá en lo personal, a quienes lo realicen, como aspirantes a obtener el título de Ingenieros

de Sistemas, colocar en práctica los conocimientos adquiridos, de manera que se aplique integral

y sistemáticamente los conceptos, logrando así una experiencia enriquecedora que facilitará el

desempeño posterior en el campo laboral.

1.4 Objetivos

1.4.1 Objetivo general

Diseñar las políticas de seguridad informática para la empresa Extra Rápido Los Motilones S.A.

1.4.2 Objetivos específicos

Identificar los riesgos o fugas de información que presentan en la Empresa.

Construir un matriz de vulnerabilidades para diseñar las políticas que se requieran.

Analizar los riesgos y priorizarlos para el diseño de las políticas de seguridad de la información.
 15

2. Marco referencial

2.1 Marco Teórico

En el tema de Seguridad de Información toda empresa debe estar a la expectativa de los

constantes cambios en los que se dispone de información continua, confiable y en tiempo, esto es

constituye una ventaja fundamental donde tener información es tener poder donde la información

se reconoce como: Importante, Crítica, indispensable para garantizar la continuidad operativa de

la empresa es un activo corporativo que tiene valor en sí mismo que debe ser conocida por las

personas que requieren los datos.

El Sistema de Información debe ser el de preservar la Confidencialidad Asegurándose que la

información es accesible sólo a las personas autorizadas proteger la información contra accesos o

divulgación no autorizados la falta de confidencialidad puede darse por indiscreciones voluntarias

e involuntarias en cualquier tipo de soporte y su no preservación puede tener las siguientes

consecuencias

Al definir una política de seguridad se debe incluir el marco general y los objetivos de seguridad

de la información de la organización; considerar los requerimientos legales o contractuales

relativos a la seguridad de la información; esté alineada con el contexto estratégico de gestión de

riesgos de la organización en el que se establecerá y mantendrá el SGSI; establezca los criterios

con los que se va a evaluar el riesgo; esté aprobada por la dirección.

 16

2.2 Marco Histórico

2.2.1 Reseña Histórica. Extra Rápido Los Motilones S.A. inició sus servicios en el municipio

de Pamplona (Norte de Santander) el 17 de octubre de 1956, al ver la necesidad que tenían las

personas de contar con un servicio de transporte organizado para trasladarse de una ciudad a otra

y así poder realizar más fácilmente aquellas actividades que requerían dicho desplazamiento.

Tras esta necesidad, varios de sus habitantes que contaban con vehículos aptos para el transporte

por carretera tipo bus, decidieron asociarse y conformar una empresa que reflejara estabilidad para

la ciudadanía y a la vez que para ellos se convirtiera en una fuente de ingresos, el cual la

denominaron ESTRELLITA DEL NORTE.

Inicialmente se prestaba el servicio de transporte de pasajeros y encomiendas entre los

municipios de Pamplona y Cúcuta, con un parque automotor de aproximadamente 15 carros tipo

Bus.

En el año 1966, debido a la acogida que tuvo la prestación de este servicio, se crea una Sociedad

Anónima conformada por 700 socios, constituida mediante Escritura Pública el día 26 de Julio de

1966, con su domicilio principal en la ciudad de San José de Cúcuta, denominándose EXTRA

RÁPIDO LOS MOTILONES S.A., nombre que actualmente la identifica.

 17

En 1968, la empresa combinó su parque automotor incluyendo vehículos tipo RANCHERA y

empezó a cubrir la ruta a Bucaramanga con la aprobación del Instituto Nacional de Transporte.

Allí abrió una sucursal y contaba con 30 carros afiliados.

Posteriormente se logró conseguir las rutas a Barrancabermeja, Aguachica y El Banco

(Magdalena); afilió vehículos tipo AUTOMOVIL y desaparecieron los de tipo Ranchera. Se

abrieron agencias en esas ciudades y se incluyó el servicio de GIROS.

Actualmente Extra Rápido Los Motilones S.A. cuenta con 182 automóviles, 23 microbuses y

80 buses en el radio de Acción Nacional, 105 automóviles en el radio de acción Urbano (en la

ciudad de San José de Cúcuta) y 50 automóviles en el radio de acción Urbano del municipio de

Pamplona (Norte de Santander).

Se ha incluido también el servicio de expresos a cualquier parte del país y se mantienen

estrategias o convenios comerciales con otras transportadoras que prestan el servicio de

encomiendas locales. Extra Rápido Los Motilones S.A. tiene el reconocimiento de toda la región

del oriente colombiano y se destaca por su rapidez y responsabilidad en el servicio.

2.2.2 Misión

Extra Rápido Los Motilones S.A. busca los máximos estándares de servicio al cliente interno y

externo, brindando calidad, seguridad y bienestar, mediante la capacitación del talento humano,

innovación de servicios, tecnología y renovación constante de su parque automotor, coordinando

 18

procesos de transporte y distribución de encomiendas, para estar siempre un paso adelante,

cumpliendo así con nuestro objetivo de ser los mejores y de obtener una rentabilidad que garantice

nuestra solidez y permanencia en el mercado.

El cumplimiento de esta Misión propicia, a partir de los valores y principios éticos tradicionales

de la organización, la prosperidad de los clientes, colaboradores, accionistas y de la comunidad en

general.

2.2.3 Visión

Queremos que Extra Rápido Los Motilones S.A. sea un modelo de empresa líder en servicios

de Transporte terrestre de pasajeros, Giros y Encomiendas, brindando un servicio exclusivo con

calidad, seguridad, oportunidad y cubrimiento en los Santanderes y EL RESTO DEL PAIS, con

presencia competitiva a nivel NACIONAL, para lograr así una rentabilidad empresarial y un

reconocimiento como la mejor empresa de transporte terrestre de pasajeros, GIROS Y

ENCOMIENDAS.

2.2.4 Valores

Estos definen aspectos importantes para la organización y deben ser compartidos por todos.

Por lo tanto, constituyen una norma de vida corporativa, el soporte de la cultura organizacional.
 19

 La responsabilidad, la ética y honestidad con que los afiliados y conductores prestan el

servicio de transporte.

 El servicio a través de la entidad, actividad que realiza en cumplimiento de su misión,

garantizando la seguridad y comodidad de las personas.

 La participación activa y responsable de todos los funcionarios de la entidad en el momento

de transmitir los mensajes.

 Respeto que se tiene para con sus clientes internos y externos.

 Solidaridad.

2.3 Marco Conceptual

El activo más importante que tiene una empresa es la información y, por lo tanto, deben existir

parámetros claros que permitan su aseguramiento sin dejar de lado la seguridad física aplicada a

los equipos donde se encuentra almacenada.

Dichos lineamientos o técnicas están dadas por la seguridad lógica y aspectos de la seguridad

física que permite la creación de barreras y procedimientos que resguardan la información y

permiten el acceso a ella única y exclusivamente a personal autorizado.

 20

La gestión de la seguridad debe ser planteada tanto en la parte lógica como física a través de

los planes de contingencia, políticas de seguridad y aplicación de normativas.

Características de un Sistema Seguro:

 Confidencialidad: Los componentes del sistema serán accesibles sólo por aquellos usuarios

autorizados.

 Integridad: Los componentes del sistema sólo pueden ser creados y modificados por los

usuarios autorizados.

 Disponibilidad: Los usuarios deben tener disponibles todos los componentes del sistema

cuando así lo deseen. De nada sirve la información si se encuentra intacta en el sistema, pero los

usuarios no pueden acceder a ella. La disponibilidad también se entiende como la capacidad de un

sistema para recuperarse rápidamente en caso de ocurrencia de algún problema.

Otras características y conceptos que se relacionan con el proyecto y deben ser tenidos en cuenta

por su composición teórica son los siguientes:

 Control de acceso a los recursos: Se entiende como la regulación de quién utiliza el sistema

o cualquiera de los recursos que ofrece y cómo lo hace.

 Auditoría: Son los mecanismos para poder determinar qué es lo que está ocurriendo en el

sistema, qué es lo que hace cada uno de los usuarios, los tiempos y fechas de dichas acciones.
 21

 Metodología de auditoría: Permite de una manera adecuada presentar una guía

 Procedimental para que se efectúen tareas, actividades y tareas tendientes a realizar el

proceso de revisión preliminar, revisión de controles, diagnósticos y comparación de estados

actuales en materia de seguridad, finalizando con informes que presentan los resultados de la

aplicación metodológica.

 Magerit: Es un tipo de metodología que es una guía de referencia para realizar procesos de

análisis de riesgos al igual que provee lineamientos para la gestión de riesgos en sistemas

informáticos y todos los aspectos que giran alrededor de ellos en las organizaciones para lograr

muchas de las metas planteadas al interior de las mismas y buscando cumplir las políticas de buen

gobierno.

El proyecto en mención se basa en esta metodología para poder efectuar el proceso de análisis

de riesgos logrando identificar los activos, las amenazas, determinar tanto los riesgos como los

impactos potenciales y se recomiendan como proceder a elegir las salvaguardas o contra medidas

para minimizar los riesgos.

 Papeles de trabajo: Hacen referencia al material de evidencia que el auditor maneja para

recolectar datos o constancia escrita del trabajo que se está realizando, para este caso aplica la

utilización de formatos.
 22

 SGSI: Un Sistema de gestión de la seguridad de la información, es como su nombre lo

expresa un sistema que se encarga de proveer una cantidad de mecanismos y herramientas basados

en la norma ISO 27001 y tiene por objetivo conocer al interior de la institución a los que puede

estar expuesta la información, define como se deben gestionar los riesgos y debe ser un marco de

referencia para la institución el cual debe ser conocido por todo el personal y debe estar sometido

a una revisión y a un proceso de mejora constante.

Los anteriores aspectos deben ser tenidos en cuenta al momento de elaborar las políticas y

procedimientos de una organización para evitar pasar por alto aspectos importantes para que así

los usuarios y los sistemas realicen sus procedimientos de la mejor manera posible, de forma

concreta y clara además se debe tener presente los derechos y límites de usuarios y

administradores. Sin embargo, antes de realizar cualquier acción para lograr garantizar estos

servicios, es necesario asegurarnos de que los usuarios conozcan las políticas para no generar un

ambiente de tensión y/o agresión.

La seguridad informática esta creada para velar y proteger los activos informáticos, en aras de

garantizar la integridad, disponibilidad y confidencialidad de los datos propios de una

organización, independiente de su tamaño, tipo o razón social.

 La información: Este elemento es el más importante dentro de una empresa. La seguridad

informática debe ser administrada según los criterios establecidos por los administradores y

personal capacitado, previendo que usuarios externos y no autorizados puedan acceder a ella sin

autorización. Evitando que corra el riesgo de que la información sea utilizada maliciosamente para
 23

obtener ventajas de ella o que sea manipulada, llegando a obtener posteriormente datos erróneos e

incompletos. Se contempla en seguridad informática la accesibilidad y disponibilidad lo que al

permitir asegurar el acceso a la información y poder disponer de ella en el momento oportuno,

incluyendo los backups para que en caso de que se presenten daños o pérdida de datos, producto

de accidentes, atentados o desastres, se pueda subir una copia y evitar catástrofes organizacionales

o suspensión de servicios, que en ocasiones trae como consecuencia altas perdidas económicas.

 La infraestructura computacional: Parte esencial para gestionar, administrar y almacenar la

información indispensable dentro del normal funcionamiento de la Institución. El papel que

desempeña la seguridad informática en este punto es velar que el hardware (parte física) tengan un

óptimo funcionamiento y logre evitar problemas relacionados con robo, incendios, desastres

naturales, bloqueos, fallas en el suministro eléctrico, vandalismo, entre otros que lleguen a afectar

directamente la infraestructura informática.

 Los usuarios: Son las personas que están directamente involucradas con la infraestructura

tecnológica, comunicaciones y administradores de la información. La seguridad informática debe

establecer normas que minimicen los riesgos tanto de información como de su infraestructura,

dentro de dichas normas de debe contemplar, horarios de acceso, restricciones físicas y lógicas,

permisos, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo esto debe

estar regido por estándares y normas que minimicen los riesgos y el impacto en caso de llegar a

presentar un siniestro.
 24

2.4 Marco Legal

Para el caso que estamos estudiando, se basa en los soportes teóricos y prácticos de estándares

normativos, metodologías y buenas practicas que establecen los principios para el uso eficaz,

eficiente y aceptable en las tecnologías de la información, ayudando a los encargados de esa parte,

a equilibrar riesgos y oportunidades con el único objetivo esencial de proteger la información de

la empresa para que no caiga en manos equivocadas o se pierda.

2.4.1 Estándares Normativos. Los estándares normativos más destacados para la

implementación de la seguridad informática están:

 ISO 27001-2005. Estándar Internacional proporciona un modelo para: establecer,

implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad

de la Información (SGSI) en una compañía.

 ISO 27002. Recopilación de buenas prácticas para un SGSI en la compañía la cual contiene

recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una

compañía y describe los aspectos a analizar para garantizar la seguridad de la información y

especifica los controles y medidas recomendables a implementar.

 ISO 27005-2008. Establece las directrices para la gestión del riesgo en la seguridad de la

información. para lo cual previamente se debe tener conocimiento de los conceptos, modelos,

procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002, que es aplicable a
 25

todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan

comprometer la seguridad de la información.

2.4.2 Leyes y Decretos Colombianos. Las leyes, resoluciones y circulares creadas en Colombia

en pro de la protección de los medios informáticos, la información y el comercio electrónico, se

destacan los siguientes:

 Ley 527 de 1999 - COMERCIO ELECTRÓNICO Por medio de la cual se define y

reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas

digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”.

 Ley 962 de 2005. Con esta Ley invita a los organismos, que ejercen funciones públicas a

utilizar medios tecnológicos integrados con el apoyo del ministerio de comunicaciones, para

disminuir tiempos y costos en la realización de gestiones administrativas, aplicando los principios

de igualdad, economía, celeridad, imparcialidad, publicidad, moralidad y eficacia en la función

administrativa y deberá garantizar los principios de autenticidad, disponibilidad e integridad.

 Ley 1273 de 2009. Por medio de la cual se modifica el Código Penal, se crea un nuevo bien

jurídico tutelado denominado “de la protección de la información y de los datos” y se preservan

integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones,

entre otras disposiciones, como penas de prisión de 120 meses y multa de hasta 1500 salarios

mínimos legales mensuales vigentes.

 26

 Ley 1341 de 2009. La presente ley, determina el marco general para la formulación de las

políticas públicas que regirán el sector de las Tecnologías de la Información y las Comunicaciones,

su ordenamiento general, el régimen de competencia, la protección al usuario, así como lo

concerniente a la cobertura, la calidad del servicio, la promoción de la inversión en el sector y el

desarrollo de estas tecnologías.

 Ley 1581de 2012. La presente ley tiene por objeto desarrollar el derecho constitucional que

tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido

sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías

constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la

información consagrado en el artículo 20 de la misma.

 27

3. Diseño metodológico preliminar

3.1 Tipo de Investigación

La empresa Extra Rápido Los Motilones objeto de estudio permite que la investigación sea de

tipo documental, la misma no cuenta con sistemas de control real y eficiente del manejo de la

información.

No han establecido indicadores de gestión en cuanto a la seguridad de la información y

documentos en los que puedan verificar los procesos relacionados, responsables, quienes manejan

su información.

El diseño de las políticas de seguridad de la información es descriptivo ya que desarrolla

cualidades, características específicas, dentro de la empresa objeto de estudio, lo cual hace que la

investigación sea descriptiva, de campo y de caso y de tendencias de desarrollo, porque la

información que se suministra para la elaboración del estudio podrá ser aprovechada y

maximizarse en un futuro para mejorare múltiples aspectos organizacionales dentro de la empresa.

3.2 Población y Muestra

La población está compuesta por el recurso humano existente en la empresa, se determina como

muestra para el presente estudio el 100% de la población, considerando el bajo número de la

misma, garantizando un margen de error mínimo en el desarrollo del estudio.

 28

Población: La investigación está dirigida a la empresa Extra Rápido Los Motilones S.A.;

ubicada en Cúcuta con su domicilio principal está en la Avenida 6 N° 1-39 piso 2, en su personal

directivo, administrativo y auxiliar operativo.

Tabla 1.Población y Muestra

Descripción Cargo Hombre Mujer Total

Directivo
Junta directiva 4 0 4
Administrativo
Gerente 0 1 1
Jefe de Personal 1 0 1
Directos Administrativo 1 0 1
Jefe de Rutas 1 0 1
Secretaria de Gerencias 0 1 1
Revisor Fiscal 1 0 1
Contador 0 1 1
Asesor Jurídico 0 1 1
Secretaria Operativa 0 1 1
Auxiliar Contable 1 5 6
Aprendiz Sena 0 1 1
Operativo
Jefe de Oficina Bucaramanga 1 0 1
Jefe de Oficina Barrancabermeja 0 1 1
Jefe de Oficina Pamplona 1 0 1
Oficinistas Bucaramanga 6 4 10
Oficinistas Cúcuta 6 1 7
Oficinistas Pamplona 0 3 3
Oficinistas Los Patios 1 0 1
Servicios Generales 0 2 2
Mensajero 1 0 1
Total 25 22 47
Fuente: Archivos de Talento Humano de la empresa Extra Rápido Los Motilones S.A.

Muestra: Considerando que el tamaño del universo objeto de estudio, es reducido se tomará

como referencia el 100% del mismo.

 29

3.3 Técnicas de Recolección de Datos

Para la consecución de la información de las fuentes primarias, los autores de investigación

usarán fundamentalmente la observación directa al área administrativa de la Empresa objeto de

estudio, igualmente se aplicará en el sitio de trabajo los cuestionarios previamente diseñados y las

entrevistas al personal que labora en el respectivo departamento.

La captura de información de las fuentes secundarias (bibliotecas, libros, folletos, etc.) será

realizada directamente por los autores de la investigación.

3.3.1 Fuentes Primarias. Para asegurar la veracidad de la información requerida se emplea como

medio de recolección de datos la entrevista, y el cuestionario, aplicado al área encargada del

manejo de la información.

3.3.2 Fuentes Secundarias. Se observarán, y analizarán los procesos utilizados, los soportes

que se guarden en el proceso de seguimiento y control de la diversa información, para

complementar la investigación a desarrollar se acudirá a estudios similares, literatura disponible,

legislación actual respectiva.

3.4 Técnicas de Análisis de la Información

Se aplicarán las técnicas estadísticamente válidas como son:

 30

3.4.1 Análisis Documental. Una vez recibida la información para su estudio, se procede a

organizarla para su posterior codificación en forma descriptiva y lógica, observando sus falencias.
 31

4. Participantes en el proceso y recursos disponibles

4.1 Integrantes del proceso

Los siguientes estudiantes de Ingeniería de Sistemas de la Universidad Remington CT Cúcuta

desarrollaran las políticas de seguridad para la empresa Extra Rápido Los Motilones S.A.:

 JOSÉ GREGORIO GÓMEZ MARCIALES

 RICHARD ORLANDO ACOSTA AREVALO

 WALTER DAVID GUTIERREZ FUENTES

 YOLANDA HOSTOS PALACIOS

4.2 Recursos Disponibles

4.2.1 Materiales. La empresa cuenta con bienes tangibles e insumos propiedad de la

organización como computadores e impresoras, huelleros los cuales se encuentran divididos en

área administrativa, área operativa, atención al público en atención a remesas, giros y pasajes,

donde se almacena la información.

4.2.2 Institucionales. La empresa provee para el desarrollo de este proyecto en las Políticas de

Seguridad de la información un espacio físico para la retroalimentación y conocimiento de la

empresa, autorización para dialogar con personal requerido en el tema, la papelería física donde

reposa información como procesos, directrices y demás, etc.

 32

4.2.3 Financieros. En cuanto a la parte de los recursos monetarios, de los que se dispone para

ejecutar las decisiones o tareas del proyecto en su financiación; este solo cuenta con los aportes

económicos propios de los autores del mismo.

4.3 Cronograma de Actividades

Tabla 2.Cronograma de actividades

 33

5. Interpretación de resultados encuesta a empleados empresa extra rápido LOS

MOTILONES S.A

En el desarrollo de la presente investigación en la aplicación de fuentes de información se aplica

encuesta a los empleados de las diferentes sucursales de la empresa Extra Rápido Los Motilones

S.A., sobre esta los autores del estudio han concluido:

A. ¿Tiene conocimientos generales sobre que es una amenaza informática?

Considerando el concepto de que amenaza informática es toda circunstancia, evento o persona

que tiene el potencial de causar daño a un sistema en forma de robo, destrucción, divulgación,

modificación de datos o negación de servicio, es importante para la empresa Extra Rápido Los

Motilones S.A., la obtención de los resultados en la encuesta aplicada a sus empleados:

Conocimientos sobre Amenaza Informática

40%
60%

Si No

Figura 1.Conocimientos sobre Amenaza Informática

 34

Se obtiene como resultado que un 60% de los empleados consideran o tienen conocimiento

sobre que es una amenaza informática y el 40% no lo sabe, lo cual coloca a la empresa en un

riesgo elevado por cuanto, no sabría este personal en forma preventiva como accionar.

B. Si su respuesta anterior es si, favor responder la siguiente pregunta de lo contrario pasar

a siguiente pregunta. ¿Qué amenazas informáticas conoce?

Amenazas Informáticas Conocidas por los empleados de la

empresa

45%
40%
35%
30%
25%
20%
15%
10%
5%
0%
Ingreso de terceros no autorizados Virus
troyanos, gusanos Hackers
Caballos de Troya Acceder a nuestros correos
No responde

Figura 2: Amenazas Informáticas Conocidas por los empleados de la empresa

Del 60% que manifiesta tener conocimiento sobre amenaza informática, identifica como

amenazas el ingreso de terceros no autorizados, troyanos, virus y hackers y quienes no responde

son las personas que no conocen sobre el tema, el 40% restante fue el personal que no responde

esta pregunta por cuanto la pregunta anterior fue negativa.

 35

C. ¿Tiene conocimientos sobre cómo prevenir un ataque informático?

Figura 3: Cultura sobre Prevención de un Ataque Informático

Al indagar sobre la cultura que mantienen los empleados sobre prevenir un ataque informático

se establece que un 45% no maneja esta cultura así que algún empleado podría por ejemplo hacer

clic en enlaces que resulten sospechosos, no tener cuidado con lo que se descarga y otras acciones

que afecten la empresa, situación que la empresa deberá tener especial atención ya que es un factor

crítico en la misma. Mientras que un 55% de los empleados es precavido en el tema, lo que da

una tranquilidad sobre el manejo de los ataques informáticos.

 36

D. ¿Conoce de quién depende la responsabilidad en la seguridad de la información de la

empresa?

Responsable de la Seguridad de la
Información
4% 4%

92%

Area de Sistemas
Todo el personal de la empresa
cada área

Figura 4 Responsabilidad de la Seguridad de la Información

El manejo de información es un proceso que exige informarse e informar. Es decir, exige

construir, primero, una representación de una determinada realidad con los datos que adquirimos

de ella para poder darla a conocer, disponiendo esa representación al alcance de los demás o

comunicarla. El manejo de la información, es sin duda un factor letal que debe considerar el

usuario a la hora de navegar en la red.

 37

El 92% de los participantes cree que el responsable del manejo de la información es el área de

sistemas, el 4% todo el personal de la empresa y un 4% cada una de las áreas de trabajo de la

empresa. Las empresas siempre están en constante búsqueda de la privacidad, y por más que se

intente sigue habiendo problemas e inseguridad.

Se observa que no es clara la responsabilidad para el personal, sobre quien o quienes son los

responsables del manejo de información porque en la pregunta no se menciona seguridad

informática si no seguridad de la información.

E. ¿Usted a que área de trabajo depende dentro de la empresa?

Areas de Trabajo Participantes en la

encuesta
8%

área de control
46% 23%
área de nivel ejecutivo
área contable
Otros

23%

Figura 5: Áreas de Trabajo Participantes en la encuesta.

 38

Las áreas de trabajo que conforman el desarrollo de la encuesta son el 8% área de control,

23% área de nivel ejecutivo, 23% área contable y un 46% de otras áreas de la empresa.

F. ¿Usted usa o ha usado medios de almacenamiento externos tales como USB, celulares,

discos externos en su sitio de trabajo con fines laborales o personales?

Uso de Medios de Almacenamiento externo

en equipos de la empresa.

75%
80%
70%
60%
50%
40% 25%
30%
20%
10%
0%

Si No

Figura 6: Uso de medio de almacenamiento externo en equipos de la empresa

El 75% de los empleados usa o ha usado medios de almacenamiento externo como celulares,

USB lo que califica en un riesgo alto la seguridad de la información de la empresa por cuando por

este medio podría afectarse gravemente la información interna de la empresa. El 25% no ha

realizado este uso de medios externos en su trabajo.

 39

G. ¿Al solicitar cambios de hardware o software que afecte los recursos informáticos, quien

o que área solicita estos requerimientos?

Ante quien se tramita solicitud de cambios

en recursos Informáticos
38.5%
40.0%
30.0% 23.1%
20.0%
15.4% 15.4%
7.7%
10.0%
0.0%

Figura 7: Ante quien se tramita solicitud de cambios en recursos informáticos

El 7.7% hace esta solicitud a gerencia, el 23% ante subgerente, el 15.4% al área de sistemas, el

38.5% al jefe inmediato, el 15.4% considera que no hay definido la persona específica para este

fin.
 40

H. Si usted es requerido para entregar algún tipo de información a un tercero. ¿Solicita

autorización?

92%
100%

80%

60% Si
No
40%
8%
20%

0%
Si No

Figura 8: Solicita autorización para la entrega de información

EL 92% de los empleados solicita autorización para hacer entrega de información de la empresa

a un tercero, pero el 8% no lo solicita.

Este es un punto crítico donde se deben establecer claramente los procedimientos a seguir al

momento de entregar información, aunque sea solo un 8% del personal que no lo solicite porque

es indispensable que el flujo de información se transmita a los interesados, pero debidamente

autorizados.
 41

I. ¿En la red se comparten archivos en los diferentes equipos de la empresa?

En la red se comparten archivos en los

diferentes equipos de la empresa

Si
No
100%

Figura 9 En la red se comparten archivos en los diferentes equipos de la empresa

Se tiene que el 100% de los archivos se comparten en la red.

J. ¿Tienen algún tipo de seguridad?

8% 8% 8% Antivirús
7%
Bloqueo de carpetas
Con clave de acceso
69% No tiene seguridad
Algunos documentos

Figura 10: Seguridad aplicada por los empleados en lo equipos

 42

El 69% de los equipos no cuenta con medidas de seguridad de ningún tipo, el 8% cuenta con

antivirus, el 8% bloquea carpetas, el 7% restringe con claves de acceso, otros solo seleccionan

algunos documentos para aplicarles seguridad. Es de destacar que todos los equipos de la empresa

cuentan con antivirus, pero el personal entrevistado no lo considero como un tipo de seguridad en

el desarrollo de esta pregunta.

K. ¿Tiene acceso directo a internet su puesto de trabajo?

Tiene acceso a internet en equipo de trabajo

Si

100%
No

Figura 11 Su equipo de trabajo cuenta con acceso a internet

Se evidencia que la exposición es máxima ya que el 100% de los equipos cuentan con internet.

Si la respuesta anterior es afirmativa, responder la siguiente pregunta.

 43

L. ¿Normalmente accede en internet por razones laborales?

Si
100% No

Figura 12 Accede a internet por motivos laborales

El 100% de los empleados dice que accede a internet por razones laborales.
 44

6. Políticas de seguridad de la información

6.1 Objetivo

Proteger y salvaguardar la información generada en los procesos de la empresa evitando su

posible pérdida mediante exposición a amenazas latentes en el entorno, como acceso,

manipulación o deterioro la información.

6.2 Alcance

Las políticas de seguridad de la información, definidas en el presente documento aplican para

todos los funcionarios y contratista de la empresa, y a toda la información que se requiera en los

procesos, mediante el uso y/o utilización del recurso informático de la empresa Extra Rápido Los

Motilones S.A.

6.3 Términos y definiciones

Acción correctiva: Medida de tipo reactivo orientada a eliminar la causa de una no

conformidad asociada a la implementación y operación del SGSI con el fin de prevenir su

repetición.

Acción preventiva: Medida de tipo pro-activo orientada a prevenir potenciales no

conformidades asociadas a la implementación y operación del SGSI.

 45

Aceptación del Riesgo: Decisión de aceptar un riesgo.

Activo: Según [ISO/lEC 13335-12004]: Cualquier cosa que tiene valor para la organización.

También se entiende por cualquier información o sistema relacionado con el tratamiento de la

misma que tenga valor para la organización. Es todo activo que contiene información, la cual posee

un valor y es necesaria para realizar los procesos misionales y operativos de Extra Rápido Los

Motilones S.A. Se pueden clasificar de la siguiente manera:

 Datos: Son todos aquellos elementos básicos de la información (en cualquier formato) que

se generan, recogen, gestionan, transmiten y destruyen en EXTRA RÁPIDO LOS MOTILONES

S.A. Ejemplo: archivo de Word “listado de empleados.docx”

 Aplicaciones: Es todo el software que se utiliza para la gestión de la información. Ejemplo:

Transporte.

 Personal: Son todos los empleados de EXTRA RÁPIDO LOS MOTILONES S.A,

contratistas, los clientes, usuarios y en general, todos aquellos que tengan acceso de una manera u

otra a los activos de información de EXTRA RÁPIDO LOS MOTILONES S.A. Ejemplo: Pepito

Pérez.

 Servicios: Son tanto los servicios internos, aquellos que una parte de la organización

suministra a otra, como los externos, aquellos que la organización suministra a clientes y usuarios.

 Ejemplo: Publicación de hojas de vida, solicitud de vacaciones.

 46

 Tecnología: Son todos los equipos utilizados para gestionar la información y las

comunicaciones Ejemplo: equipo de cómputo, teléfonos, impresoras.

 Instalaciones: Son todos los lugares en los que se alojan los sistemas de información.

Ejemplo: Oficina de Pagos.

 Equipamiento auxiliar: Son todos aquellos activos que dan soporte a los sistemas de

información y que no se hallan en ninguno de los tipos anteriormente definidos. Ejemplo: Aire

acondicionado, destructora de papel.

Administración de riesgos: Gestión de riesgos, es un enfoque estructurado para manejar la

incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que

incluyen evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación del riesgo

utilizando recursos gerenciales. Las estrategias incluyen transferir el riesgo a otra parte, evadir el

riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un

riesgo particular.

Administración de incidentes de seguridad: Un sistema de seguimiento de incidentes

(denominado en inglés como issue tracking system, trouble ticket system o incident ticket system)

es un paquete de software que administra y mantiene listas de incidentes, conforme son requeridos

por una institución. Los sistemas de este tipo son comúnmente usados en la central de llamadas de

servicio al cliente de una organización para crear, actualizar y resolver incidentes reportados por

usuarios, o inclusive incidentes reportados por otros funcionarios, contratistas, colaboradores de

la entidad o de terceras partes. Un sistema de seguimiento de incidencias también contiene una

base de conocimiento que contiene información de cada cliente, soluciones a problemas comunes
 47

y otros datos relacionados. Un sistema de reportes de incidencias es similar a un Sistema de

seguimiento de errores (bugtracker) y, en algunas ocasiones, una entidad de software puede tener

ambos, y algunos bugtrackers pueden ser usados como un sistema de seguimiento de incidentes, y

viceversa.

Alcance: Ámbito de la organización que queda sometido al SGSI. Debe incluir la identificación

clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una parte

de la organización.

Alerta: Una notificación formal de que se ha producido un incidente relacionado con la

seguridad de la información que puede evolucionar hasta convertirse en desastre.

Amenaza: Según [ISO/lEC 13335-1:2004): causa potencial de un incidente no deseado, el cual

puede causar el daño a un sistema o la organización.

Análisis de riesgos: Según [ISO/lEC Guía 73:2002): Uso sistemático de la información para

identificar fuentes y estimar el riesgo.

Auditabilidad: Los activos de información deben tener controles que permitan su revisión.

Permitir la reconstrucción, revisión y análisis de la secuencia de eventos.

Auditor: Persona encargada de verificar, de manera independiente, la calidad e integridad del

trabajo que se ha realizado en un área particular.

 48

Auditoría: Proceso planificado y sistemático en el cual un auditor obtiene evidencias objetivas

que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una

organización.

Autenticación: Proceso que tiene por objetivo asegurar la identificación de una persona o

sistema.

Autenticidad: Los activos de información solo pueden estar disponibles verificando la

identidad de un sujeto o recurso, Propiedad que garantiza que la identidad de un sujeto o recurso

es la que declara, Se aplica a entidades tales como usuarios, procesos, sistemas de información.

Base de datos de gestión de configuraciones (CMDB, Configuration Management

Database): Es una base de datos que contiene toda la información pertinente acerca de los

componentes del sistema de información utilizado en una organización de servicios de TI y las

relaciones entre esos componentes. Una CMDB ofrece una vista organizada de los datos y una

forma de examinar los datos desde cualquier perspectiva que desee. En este contexto, los

componentes de un sistema de información se conocen como elementos de configuración (CI). Un

CI puede ser cualquier elemento imaginable de TI, incluyendo software, hardware, documentación

y personal, así como cualquier combinación de ellos. Los procesos de gestión de la configuración

tratan de especificar, controlar y realizar seguimiento de elementos de configuración y los cambios

introducidos en ellos de manera integral y sistemática.

 49

B57799: Estándar británico de seguridad de la información, publicado por primera vez en 1995.

En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para

la gestión de la seguridad de la información –no es certificable- y la parte segunda especifica el

sistema de gestión de seguridad de la información -es certificable-o La parte primera es el origen

de ISO 17799 e ISO 27002 Y la parte segunda de ISO 27001. Como tal el estándar, ha sido

derogado ya, por la aparición de estos últimos.

Características de la Información: las principales características son la confidencialidad, la

disponibilidad y la integridad.

Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros

los objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y

profundidad y reduce los prejuicios del auditor y su carga de trabajo, Este tipo de listas también se

pueden utilizar durante la implantación del SGSI para facilitar su desarrollo.

CobiT - Control Objectives for Information and related Technology: Publicados y

mantenidos por ISACA. Su misión es investigar, desarrollar, publicar y promover un conjunto de

objetivos de control de Tecnología de Información rectores, actualizados, internacionales y

generalmente aceptados para ser empleados por gerentes de empresas y auditores.

Compromiso de la Dirección: Alineamiento firme de la Dirección de la organización con el

establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora

del SGSI.
 50

Cómputo forense: El cómputo forense, también llamado informática forense, computación

forense, análisis forense digital o exanimación forense digital es la aplicación de técnicas

científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar,

preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Confiabilidad: Se puede definir como la capacidad de un producto de realizar su función de la

manera prevista, De otra forma, la confiabilidad se puede definir también como la probabilidad en

que un producto realizará su función prevista sin incidentes por un período de tiempo especificado

y bajo condiciones indicadas.

Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados,

Según [ISO/lEC13335-1:2004]:" característica/propiedad por la que la información no está

disponible o revelada a individuos, entidades, o procesos no autorizados.

Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas

concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo

asumido, (Nota: Control es también utilizado como sinónimo de salvaguarda).

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de

que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto

deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.

 51

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto

deliberado. Impide que una amenaza llegue siquiera a materializarse.

Declaración de aplicabilidad: Documento que enumera los controles aplicados por el SGSI

de la organización -tras el resultado de los procesos de evaluación y tratamiento de riesgos- además

de la justificación tanto de su selección como de la exclusión de controles incluidos en el anexo A

de la norma.

Denegación de servicios: Acción iniciada por una persona u otra causa que incapacite el

hardware o el software, o ambos y después niegue el servicio.

Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las

operaciones o servicios habituales de una organización durante el tiempo suficiente como para

verse la misma afectada de manera significativa.

Directiva: Según [ISO/lEC 13335-1: 2004): una descripción que clarifica qué debería ser hecho

y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.

Disponibilidad: Según [ISO/lEC 13335-1: 2004): característica o propiedad de permanecer

accesible y disponible para su uso cuando lo requiera una entidad autorizada.

Evaluación de riesgos: Según [ISO/lEC Guía 73:2002]: proceso de comparar el riesgo

estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
 52

Evento: Según [ISO/lEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado

de la red que indica una posible brecha en la política de seguridad de la información o fallo de las

salvaguardas, o una situación anterior desconocida que podría ser relevante para la seguridad.

Evidencia objetiva: Información, registro o declaración de hechos, cualitativa o cuantitativa,

verificable y basada en observación, medida o test, sobre aspectos relacionados con la

confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e

implementación de un elemento del sistema de seguridad de la información.

Gestión de claves: Controles referidos a la gestión de claves criptográficas.

Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a un coste

aceptable, de los riesgos que afecten a la información de la organización. Incluye la valoración de

riesgos y el tratamiento de riesgos. Según [ISO/lEC Guía 73:2002]: actividades coordinadas para

dirigir y controlar una organización con respecto al riesgo.

Gusanos: Es un programa de computador que tiene la capacidad de duplicarse a sí mismo. A

diferencia del virus, no precisa alterar los archivos de programas, sino que reside en la memoria y

se duplica a sí mismo. Siempre dañan la red (aunque sea simplemente consumiendo ancho de

banda).

Impacto: Resultado de un incidente de seguridad de la información.

 53

Incidente: Según [ISO/lEC TR 18044:2004]: Evento único o serie de eventos de seguridad de

la información inesperados o no deseados que poseen una probabilidad significativa de

comprometer las operaciones del negocio y amenazar la seguridad de la información.

Información: La información constituye un importante activo, esencial para las actividades de

una organización y, en consecuencia, necesita una protección adecuada. La información puede

existir de muchas maneras. Puede estar impresa o escrita en papel, puede estar almacenada

electrónicamente, ser transmitida por correo o por medios electrónicos, se la puede mostrar en

videos, o exponer oralmente en conversaciones.

Ingeniería Social: En el campo de la seguridad informática, es la práctica de obtener

información confidencial a través de la manipulación de usuarios legítimos ganando su confianza

muchas veces. Es una técnica que pueden utilizar investigadores privados, criminales, delincuentes

computacionales (conocidos como cracker) para obtener información, acceso o privilegios en

sistemas de información que les permiten realizar algún acto que perjudique o exponga a la persona

o entidad a riesgos o abusos.

Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de

proceso. Según [ISOIIEC 13335-1: 2004]: propiedad/característica de salvaguardar la exactitud y

completitud de los activos.

 54

Inventario de activos: Lista de todos aquellos recursos (físicos, de información, software,

documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del SGSI,

que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.

IPS: Sistema de prevención de intrusos. Es un dispositivo que ejerce el control de acceso en

una red informática para proteger a los sistemas computacionales de ataques y abusos.

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una

agrupación de organizaciones nacionales de normalización cuyo objetivo es establecer,

promocionar y gestionar estándares.

ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado

por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio

de nomenclatura el 1 de Julio de 2007. No es certificable.

ISO 19011: "Guidelines for quality and/or environmental management systems auditing". Guía

de utilidad para el desarrollo de las funciones de auditor interno para un SGSI.

ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por

ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en 20005.

 55

ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información

(transcripción de ISO 17799). No es certificable. Cambio oficial de nomenclatura de ISO

17799:20005 a ISO 27002:20005 el 1 de Julio de 2007.

ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO.

ISO/lEC TR 13335-3: "Information technology. Guidelines for the management of IT Security

.Techniques for the management of IT Security." Guía de utilidad en la aplicación de metodologías

de evaluación del riesgo.

ISO/lEC TR 18044: "Information technology. Security techniques. Information security

incident management". Guía de utilidad para la gestión de incidentes de seguridad de la

información.

ITIL IT Infrastructure Library: Un marco de gestión de los servicios de tecnologías de la

información.

Keyloggers: Aplicaciones que registran el teclado efectuado por un usuario.

Legalidad: El principio de legalidad o Primacía de la ley es un principio fundamental del

Derecho público conforme al cual todo ejercicio del poder público debería estar sometido a la

voluntad de la ley de su jurisdicción y no a la voluntad de las personas (ej. el Estado sometido a la

constitución o al Imperio de la ley). Por esta razón se dice que el principio de legalidad establece
 56

la seguridad jurídica, Seguridad de Información, Seguridad informática y garantía de la

información.

No conformidad: Situación aislada que, basada en evidencias objetivas, demuestra el

incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la

adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de

información sensible, o representa un riesgo menor.

No conformidad grave: Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que,

basada en evidencias objetivas, permita dudar seriamente de la adecuación de las medidas para

preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un

riesgo inaceptable.

No repudio: Los activos de información deben tener la capacidad para probar que una acción

o un evento han tenido lugar, de modo que tal evento o acción no pueda ser negado posteriormente.

Phishing: Tipo de delito encuadrado dentro del ámbito de las estafas, que se comete mediante

el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial

de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de

crédito u otra información bancaria).

 57

Plan de continuidad del negocio (Bussines Continuity Plan): Plan orientado a permitir la

continuación de las principales funciones de la Entidad en el caso de un evento imprevisto que las

ponga en peligro.

Plan de tratamiento de riesgos (Risk treatment plan): Documento de gestión que define las

acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información

inaceptables e implantar los controles necesarios para proteger la misma.

Política de seguridad: Documento que establece el compromiso de la Dirección y el enfoque

de la organización en la gestión de la seguridad de la información. Según [ISO/lEC 27002:20005):

intención y dirección general expresada formalmente por la Dirección.

Política dé escritorio despejado: La política de la empresa que indica a los funcionarios,

contratista y demás colaboradores de EXTRA RÁPIDO LOS MOTILONES S.A, que deben dejar

su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el día.

Protección a la duplicidad: La protección de copia, también conocida como prevención de

copia, es una medida técnica diseñada para prevenir la duplicación de información. La protección

de copia es a menudo tema de discusión y se piensa que en ocasiones puede violar los derechos de

copia de los usuarios, por ejemplo, el derecho a hacer copias de seguridad de una videocinta que

el usuario ha comprado de manera legal, el instalar un software de computadora en varias

computadoras, o el subir la música a reproductores de audio digital para facilitar el acceso y

escucharla.
 58

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar

una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la

probabilidad de un evento y sus consecuencias.

Riesgo Residual: Según [ISOIIEC Guía 73:2002] El riesgo que permanece tras el tratamiento

del riesgo.

Salvaguarda: Véase: Control.

Segregación de tareas: Separar tareas sensibles entre distintos funcionarios o contratistas para

reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.

Seguridad de la información: Según [ISO/lEC 27002:20005]: Preservación de la

confidencialidad, integridad y disponibilidad de la información; además, otras propiedades como

autenticidad, responsabilidad, no repudio, trazabilidad y fiabilidad pueden ser también

consideradas.

Selección de controles: Proceso de elección de los controles que aseguren la reducción de los

riesgos a un nivel aceptable.

SGSI Sistema de Gestión de la Seguridad de la Información: Según [ISO/lEC 27001:

20005]: la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece,

implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota:

 59

el sistema de gestión incluye una estructura de organización, políticas, planificación de

actividades, responsabilidades, procedimientos, procesos y recursos.)

Servicios de tratamiento de información: Según [ISO/lEC 27002:20005]: cualquier sistema,

servicio o infraestructura de tratamiento de información o ubicaciones físicas utilizados para su

alojamiento.

Spamming: Se llama spam, correo basura o sms basura a los mensajes no solicitados,

habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que

perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se

denomina spamming. La vía más usada es el correo electrónico.

Sniffers: Programa de captura de las tramas de red. Generalmente se usa para gestionar la red

con una finalidad docente o de control, aunque también puede ser utilizado con fines maliciosos.

Spoofing: Falsificación de la identidad origen en una sesión: la identidad es por una dirección

IP o Mac Address.

Tratamiento de riesgos: Según [ISO/IEC Guía 73:2002]: Proceso de selección e

implementación de medidas para modificar el riesgo.

Trazabilidad: Propiedad que garantiza que las acciones de una entidad se puede rastrear

únicamente hasta dicha entidad.

 60

Troyano: Aplicación que aparenta tener un uso legítimo pero que tiene funciones ocultas

diseñadas para sobrepasar los sistemas de seguridad.

Usuario: en el presente documento se emplea para referirse a directivos, funcionarios,

contratistas, terceros y otros colaboradores de EXTRA RÁPIDO LOS MOTILONES S.A,

debidamente autorizados para usar equipos, sistemas o aplicativos informáticos disponibles en

la red de la empresa y a quienes se les otorga un nombre de usuario y una clave de acceso.

Valoración de riesgos: Según [ISO/lEC Guía 73:2002]: Proceso completo de análisis y

evaluación de riesgos.

Virus: tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o

conocimiento del usuario.

Vulnerabilidad: Debilidad en la seguridad de la información de una organización que

potencialmente permite que una amenaza afecte a un activo. Según [ISOIlEC 13335-1:2004]:

debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.

6.4 Descripción de las políticas

6.4.1 Política Global de Seguridad de la Información. La información es un activo

fundamental para la prestación de los servicios y la toma de decisiones eficientes en la empresa

EXTRA RÁPIDO LOS MOTILONES S.A., razón por la cual existe un compromiso expreso de
 61

protección de sus propiedades más significativas como parte de una estrategia orientada a la

continuidad del negocio, la administración de riesgos y la consolidación de una cultura de

seguridad.

Se diseña políticas de seguridad de la información como la herramienta que permite identificar

y minimizar los riesgos a los cuales se expone la información de la empresa, ayuda a la reducción

de costos operativos y financieros, establece una cultura de seguridad y garantiza cumplir los

requerimientos legales, contractuales, regulatorios y de negocio vigente.

La aplicación de esta política se extiende para los empleados, contratistas, proveedores y todos

aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento

de la información de EXTRA RÁPIDO LOS MOTILONES S.A., todos deben adoptar los

lineamientos contenidos en el presente documento y en los documentos relacionados con él,

garantizando la confidencialidad, la integridad y asegurar la disponibilidad de la información.

La Política Global de Seguridad de la Información de EXTRA RÁPIDO LOS MOTILONES

S.A., se encuentra soportada por políticas, normas y procedimientos específicos los cuales guiarán

el manejo adecuado de la información. Adicionalmente, se establecerán políticas específicas de

seguridad de la información las cuales se fundamentan en los dominios y objetivos de control del

Anexo A de la norma internacional ISO 27001:2013.

 62

El Comité de Seguridad tendrá la potestad de modificar la Política Global o las Políticas

específicas de Seguridad de la Información de acuerdo con las necesidades de revisión establecidas

periódicamente o a la aplicabilidad de las mismas.

6.4.2 Política No.1: acceso a la información

Acceso a redes y recursos de red

El Área de Sistemas o quien haga sus veces bajo la autorización de Extra Rápido Los Motilones

S.A, como responsable de las redes de datos y los recursos de red de la empresa, debe propender

porque dichas redes sean debidamente protegidas contra accesos no autorizados a través de

mecanismos de control de acceso lógico.

 El responsable de TIC proporcionará los documentos necesarios (formatos, guías, etc.) para

el uso de los sistemas.

 Todo el personal o usuario informático nuevo de la Empresa deberá ser notificado a la oficina

de las TICS para asignarle los derechos correspondientes, equipo, creación de usuario para la red

y anulación o ser declarado inactivo en caso de retiro.

 Todos los empleados y contratistas que laboran para la empresa deben tener acceso sólo a la

información necesaria para el desarrollo de sus actividades. En el caso de personas ajenas a la

 63

empresa, la Gerencia o a quien se delegue, debe autorizar sólo el acceso indispensable de acuerdo

con el trabajo realizado por estas personas, previa justificación.

 Para que un empleado o contratista tenga acceso a los servicios y recursos informáticos

dispuestos por la Empresa, se requiere que el jefe inmediato, coordinador que solicite a la Área

de Sistemas mediante un oficio escrito, la activación de dichos servicios con el perfil requerido

y las restricciones de algunos servicios.

 De acuerdo a la norma ISO/IEC 27001:2005 A.10.1.3: Todos y cada uno de los contratistas

y/o funcionarios, a estos el personal de TICS, les entregará su rol en el sistema, definiendo sus

privilegios. Por lo anterior, no es permitido que de un trabajador a otro se intercambien roles y/o

cuentas para accesos al sistema. El responsable de la Oficina de TICS, tendrá un listado actualizado

para velar por el cumplimiento.

 Cada vez que se recibe una computadora de escritorio o portátil para darle acceso a los

servicios tecnológicos que brinda la empresa a los usuarios, es necesario, requerido y obligatorio,

por parte de la Oficina de Mantenimiento de equipos de cómputo, entregar el equipo con todos los

servicios instalados, configurados y en operación. Esto es, como mínimo instalación, y

configuración de un antivirus, actualización al último programa y versión de la base de datos de

vacunas del antivirus, instalación y configuración del servicio de red inalámbrica, verificación

e instalación de herramienta para comprimir, verificación e instalación de herramienta para

gestionar archivos PDF, verificación e instalación del software como herramientas de trabajo.
 64

 El otorgamiento de acceso a la información está regulado mediante las normas y

procedimientos definidos para tal fin.

 Todos los privilegios para el uso de los sistemas de información de la empresa deben

terminar inmediatamente después de que el trabajador, proveedor y/o contratista cesa de prestar

sus servicios a la misma.

 Para dar acceso a la información se tendrá en cuenta la clasificación de la misma al interior

de la empresa, la cual deberá realizarse de acuerdo con la importancia de la información en la

operación normal de la Empresa.

 Se debe hacer un seguimiento a los accesos realizados por los usuarios a la información de

la Empresa, con el objeto de minimizar el riesgo de pérdida de integridad de la información.

Cuando se presenten eventos que pongan en riesgo la integridad, veracidad y consistencia de la

información se deberán documentar y realizar las acciones tendientes a su solución.

 Los usuarios informáticos de Extra Rápido Los Motilones S.A., deben tratar los mensajes

y los archivos adjuntos como información de propiedad de la Empresa.

 No se deben utilizar cuentas de correo electrónico asignadas a otros usuarios, ni recibir

mensajes en cuentas de otros, si fuera necesario leer el correo de alguien más (mientras se

encuentra por fuera o de vacaciones) el usuario ausente debe re direccionar el correo a otra cuenta
 65

de correo interno, quedando prohibido hacerlo a una dirección de correo electrónico externo a la

Empresa, a menos que cuente con una autorización de la oficina de TICS.

 El correo electrónico institucional es un servicio gratuito y la Empresa no se responsabiliza

por el mal uso que se dé.

 La configuración de enrutadores, switchs, firewalls, sistemas de detección y prevención de

intrusos y otros dispositivos de seguridad de red; debe ser documentada, respaldada por copia de

seguridad y mantenida por la administración de la red de datos o área encargada del proceso.

6.4.3 Política No.2: administración de hardware y software. Todo cambio en el hardware o

software que afecte los recursos informáticos, debe ser requerido por los usuarios responsables de

la información y del proceso y aprobado por los funcionarios del área de sistemas, con el visto

bueno y supervisión del jefe inmediato o a quienes estos formalmente deleguen.

Los Responsables de la administración de los accesos, en el área de Sistemas, tendrán la

facultad de aceptar o rechazar la solicitud. Bajo ninguna circunstancia un cambio de hardware o

software puede ser aprobado, realizado e implantado por la misma persona o área.

Para la administración de cambios en hardware y software se efectuará el procedimiento

correspondiente definido por la Empresa, de acuerdo con el tipo de cambio solicitado en los

recursos tecnológicos.
 66

Cualquier tipo de cambio en el recurso tecnológico debe quedar formalmente documentado

desde su solicitud hasta su implantación. Este mecanismo proveerá herramientas para efectuar

seguimiento y garantizar el cumplimiento de los procedimientos definidos en la Empresa.

Todo cambio a un recurso informático relacionado con modificación de accesos, mantenimiento

de software o modificación de parámetros debe realizarse de tal forma que no ponga en riesgo la

seguridad existente.

6.4.4 Política No.3: seguridad de la información. Los empleados y/o contratistas de Extra

Rápido Los Motilones S.A., responsables de la información que manejan deberán cumplir los

lineamientos generales y especiales dados por la Empresa, por la Ley para protegerla, evitar

pérdidas, accesos no autorizados, exposición y utilización indebida de la misma.

Los empleados y/o contratistas no deben suministrar cualquier información de la Empresa

a ningún ente externo sin las autorizaciones respectivas.

Toda persona que utilice los equipos de cómputo y los servicios informáticos disponibles de la

Empresa, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y

confiabilidad de la información que maneje, especialmente si dicha información está protegida

por reserva legal o ha sido clasificada como confidencial y/o crítica.

Después de que el empleado y/o contratista deja de prestar sus servicios a Extra Rápido Los

Motilones S.A., éste se compromete a entregar toda la información respectiva de su trabajo

 67

realizado al Coordinador o jefe inmediato según sea el caso, y avala el recibido de la información

el paz y salvo del funcionario retirado. Una vez retirado el empleado y/o contratistas deben

comprometerse a no utilizar, comercializar o divulgar los productos o la información generada o

conocida durante la gestión en la entidad, directamente o través de terceros, así mismo, los

funcionarios que detecten el mal uso de la información, está en la obligación de reportar el hecho

al grupo de control interno disciplinario o coordinador, se sugiere uso de formato de

confidencialidad.

Como regla general, la información de políticas, normas y procedimientos de seguridad se

deben revelar únicamente a empleados y entes externos que lo requieran, de acuerdo con su

competencia y actividades a desarrollar según el caso respectivamente.

6.4.5 Política No.4: seguridad de los servicios informáticos. La propiedad intelectual

desarrollada o concebida mientras el empleado y/o contratista se encuentre en sitios de trabajo, es

propiedad exclusiva de la Empresa Extra Rápido Los Motilones S.A. Esta política incluye

patentes, derechos de reproducción, marca registrada y otros derechos de propiedad intelectual

según lo manifestado en memorandos, planes, estrategias, productos, investigaciones pagadas por

la Empresa, y de otros propósitos, programas de computación, códigos fuentes, documentación y

otros materiales.

Los empleados y/o contratistas que hayan recibido aprobación para tener acceso a Internet a

través de las estaciones de trabajo institucionales o computadoras portátiles personales, deberán

 68

aceptar, respetar y aplicar las políticas y prácticas de uso de Internet implantadas por el área de

Sistemas y/o Gerencia.

El sistema de correo electrónico y servicios informáticos prestados por Extra Rápido Los

Motilones S.A., deben ser usados únicamente para el ejercicio de las funciones de competencia de

cada empleado y de las actividades contratadas en el caso de los contratistas.

La entidad se reserva el derecho de acceder y develar todos los mensajes enviados por medio

del sistema de correo electrónico para cualquier propósito. Para este efecto, el empleado y/o

contratista autorizará a la entidad para realizar las revisiones y/o auditorias respectivas

directamente o a través de terceros.

Extra Rápido Los Motilones S.A. prohíbe el servicio de Internet en la red de comunicaciones a

través de otras empresas Prestadoras de Servicio de Internet haciendo uso de dispositivos

inalámbricos diferentes al servicio disponible propio. Con el fin de minimizar el riesgo a la

integridad de la información y la seguridad de los sistemas de información institucionales.

En cualquier momento que un empleado y/o contratista publique un mensaje en un grupo de

discusión de Internet, en un boletín electrónico, o cualquier otro sistema de información público,

este mensaje debe ir acompañado de palabras que indiquen claramente que su contenido no

representa la posición de la entidad. Si los usuarios sospechan que hay infección por un virus,

deben inmediatamente comunicarse con área de Sistemas o la oficina de mantenimiento de

equipos de cómputo, no utilizar la computadora y desconectarla de la red.

 69

6.4.6 Política No.5: seguridad de los sistemas de información. En la Empresa Extra Rápido

Los Motilones S.A, todos los Servicios Tecnológicos deben cumplir como mínimo con lo

siguiente:

Administración de usuarios: Constituye la forma como deben ser utilizadas las claves de

ingreso a los sistemas de información. Se dan los parámetros sobre la longitud mínima de las

contraseñas, la frecuencia con la que los usuarios deben cambiar su contraseña y los períodos de

vigencia de las mismas, entre otras.

Rol de Usuario: Los sistemas operacionales deben tener roles predefinidos o un módulo que

permita definir roles, definiendo las acciones permitidas por cada uno de estos, ya sea en bases de

datos y aplicativos. Deberán permitir la asignación a cada usuario de posibles y diferentes roles.

También deben permitir que un rol de usuario maneje el de la Administración de usuarios.

Logs de Operaciones: Debe mostrar pistas o registros de los sucesos relativos a la operación.

Las Puertas Traseras: Las puertas traseras son entradas no convencionales a los sistemas

operacionales, bases de datos y aplicativos. Es de suma importancia aceptar la existencia de las

mismas en la mayoría de los sistemas operacionales, bases de datos, aplicativos y efectuar las

tareas necesarias para contrarrestar la vulnerabilidad que ellas generan.

El control de acceso a todos los sistemas de computación de la empresa debe realizarse por

medio de códigos de identificación y palabras claves o contraseñas únicas para cada usuario, bien
 70

sea controlado y administrado por un Directorio Activo o una herramienta similar que cumpla con

esta tarea. Las palabras claves o contraseñas de acceso a los sistemas de información, que

designen los funcionarios y/o contratistas son responsabilidad exclusiva de cada uno de ellos y no

deben ser divulgados a ninguna persona.

Los usuarios son responsables de todas las actividades llevadas a cabo con su cuenta

de identificación de usuario y sus claves personales.

Se prohíbe tener identificaciones de usuario genéricas basadas en sus funciones de trabajo. Las

identificaciones de usuario deben únicamente identificar individuos específicos.

6.4.7 Política No.6: seguridad en las redes de comunicación. Las direcciones internas,

topologías, configuraciones e información relacionada con el diseño de los sistemas de

comunicación, seguridad y cómputo de la Empresa, deberán ser considerados y tratados como

información confidencial.

Uso de Correo Electrónico

La Empresa, entendiendo la importancia del correo electrónico como herramienta para facilitar

la comunicación entre empleados y terceras partes, proporcionará un servicio idóneo y seguro para

la ejecución de las actividades que requieran el uso del correo electrónico, respetando siempre los

principios de confidencialidad, integridad, disponibilidad y autenticidad de quienes realizan las

comunicaciones a través de este medio.

 71

La cuenta de correo electrónico asignada es de carácter individual; por consiguiente, ningún

empleado de la empresa o provisto por un tercero, bajo ninguna circunstancia debe utilizar una

cuenta de correo que no sea la suya.

Los mensajes y la información contenida en los correos electrónicos deben ser relacionados con

el desarrollo de las labores y funciones de cada usuario en apoyo al objetivo misional de la

Empresa. El correo institucional no debe ser utilizado para actividades personales.

Los mensajes y la información contenida en los buzones de correo son propiedad de Extra

Rápido Los Motilones S.A., y cada usuario, como responsable de su buzón, debe mantener

solamente los mensajes relacionados con el desarrollo de sus funciones.

El uso de servicios de mensajería instantánea y el acceso a redes sociales estarán autorizados

solo para un grupo reducido de usuarios, teniendo en cuenta sus funciones y para facilitar canales

de comunicación con la ciudadanía.

Los usuarios de correo electrónico institucional tienen prohibido él envió de cadenas de

mensajes de cualquier tipo, ya sea comercial, político, religioso, material audiovisual, contenido

discriminatorio, pornografía y demás condiciones que degraden la condición humana y resulten

ofensivas para los funcionarios de la empresa y el personal provisto por terceras partes.
 72

6.4.8 Política No.7: seguridad para usuarios terceros. Los proveedores, personal externo o

personal que tenga algún tipo de relación con la empresa son considerados como usuarios terceros.

El acceso a terceros será limitado en cuanto a privilegios y tiempo de acceso a los sistemas de

información de la entidad.

Para suministrar permiso de acceso a usuarios externos o terceros, éste deberá presentar ante el

área de Sistemas el documento firmado de aceptación de confidencialidad, previamente

suministrado por la empresa.

Los usuarios considerados terceros deben acatar cada una de las disposiciones de las políticas

y normas de seguridad dispuestas internamente en la Empresa además de las exigidas

puntualmente dentro del contrato.

La conexión entre sistemas internos de la Empresa y otros de terceros debe ser aprobada y

certificada por el área de Sistemas con el fin de no comprometer la seguridad de la información

interna de la entidad.

Los equipos de usuarios terceros que deban estar conectados a la Red, deben cumplir con todas

las normas de seguridad informática vigentes en la empresa.

Como requisito para interconectar la red de la empresa con las de terceros, los sistemas de

comunicación de terceros deben cumplir con los requisitos establecidos por la Empresa. La entidad
 73

se reserva el derecho de monitorear estos sistemas de terceros sin previo aviso para evaluar la

seguridad de los mismos. La entidad se reserva el derecho de cancelar y terminar la conexión a

sistemas de terceros que no cumplan con los requerimientos internos establecidos por Extra Rápido

Los Motilones S.A.

6.4.9 Política No.8: software utilizado. Extra Rápido Los Motilones S.A., a través del área de

sistemas, designará responsables y establecerá procedimientos para controlar la instalación de

software operativo, se cerciorará de contar con el soporte de los proveedores de dicho software y

asegurará la funcionalidad de los sistemas de información que operan sobre la plataforma

tecnológica cuando el software operativo es actualizado.

Todo software que utilice Extra Rápido Los Motilones S.A., será adquirido de acuerdo con las

normas vigentes y siguiendo los procedimientos específicos de la Empresa y/o reglamentos

internos.

Todo el software de manejo de datos que utilice la Empresa dentro de sus sistemas de

información, deberá contar con las técnicas más avanzadas de la industria para garantizar la

integridad de los datos.

El área de sistemas debe asegurarse que el software operativo instalado en la plataforma

tecnológica de la Empresa cuenta con soporte de los proveedores.

 74

Debe existir una cultura tecnológica al interior de la Empresa que garantice el conocimiento

por parte de los empleados y contratistas de las implicaciones que tiene el instalar software ilegal

en las computadoras de la empresa.

El Área de Sistemas debe conceder accesos temporales y controlados a los proveedores para

realizar las actualizaciones sobre el software operativo, así como monitorear dichas

actualizaciones.

Los usuarios o funcionarios que requieran instalación de software deben justificar su uso,

indicando el equipo donde se instalará y el período de tiempo que será usado.

Existirá un inventario de las licencias de software de la Empresa que permita su adecuada

administración y control evitando posibles sanciones por instalación de software no licenciado.

Se considera una falta grave que los usuarios, instalen cualquier tipo de programa en sus

computadores, servidores, estación de trabajo u otros equipos conectados a la red de la empresa

que no esté autorizado por área de Sistemas. También se considera una falta grave el

almacenamiento de información personal, archivos de imágenes, audios (música y demás

relacionados) y documentos de texto en los equipos de Extra Rápido Los Motilones S.A.,

El Área de Sistemas debe validar los riesgos que genera la migración hacia nuevas versiones

del software operativo. Se debe asegurar el correcto funcionamiento de sistemas de información y

 75

herramientas de software que se ejecutan sobre la plataforma tecnológica cuando el software

operativo es actualizado.

6.4.10 Política No.9: actualización de hardware. Cualquier cambio que se requiera realizar

en los equipos de cómputo de Extra Rápido Los Motilones S.A., (cambios de procesador, adición

de memoria, tarjetas, etc.) y la reparación técnica de los equipos, que implique la apertura de los

mismos, únicamente debe realizarlo exclusivamente un funcionario del área de Sistemas.

Los equipos Tecnológicos instalados (PC, servidores, LAN, Router, Antenas, etc.) no deben

moverse o reubicarse sin la inspección previa del área de Sistemas.

Las operaciones de mantenimiento y actualización se hacen de acuerdo a una programación

definida trimestralmente.

6.4.11 Política No.10: copias de respaldo (backup). La información que se tiene en la

infraestructura de tecnología informática de la Empresa deberá ser almacenada y respaldada de

acuerdo con las normas emitidas de tal forma que se garantice su disponibilidad.

Debe existir una definición formal de la estrategia de generación, retención y rotación de las

copias de respaldo o backups.

El almacenamiento de la información deberá realizarse interna y/o externamente a la Empresa,

esto de acuerdo con la importancia de la información para la operación de la empresa.

 76

Los backups de información deberán ser contemplados para suplir cualquier tipo de incidente,

este procedimiento debe ser documentado y utilizado solo por personal autorizado.

La información será clasificada según el criterio del área de archivo y de acuerdo a esta

priorización se harán las atenciones a usuarios, personal administrativo y operativo de la Empresa.

6.4.12 Política No.11: auditoria. Todos los procesos y procedimientos generados en el área de

sistemas, estarán disponibles para revisión, evaluación y seguimiento en forma periódica y serán

susceptibles a modificación, adición o borrado en caso de tener hallazgos críticos, con el fin de

contribuir al mejoramiento continuo del proceso de calidad de Extra Rápido Los Motilones S.A.

6.4.13 Política No.12: seguridad física. Extra Rápido Los Motilones S.A., deberá contar con

los mecanismos de seguridad tales como sistemas de control y sistema de alarmas en las

dependencias que la empresa considere críticas.

En cuanto a los equipos de cómputo, de comunicaciones, medio de almacenamiento y

herramientas que no sean propiedad de la empresa deberá reportar y registrar al momento de la

entrada, en el área de recepción,

Las personas que son visitantes temporales de la empresa deben ser acompañados durante el

tiempo que estén dentro de la misma, este acompañamiento debe hacerlo un empleado autorizado,

asesor o contratista, esto donde se conserva información o en un área y hasta que este mismo

visitante sale del área controlada.

 77

Los particulares en general, entre ellos, los familiares de los empleados, no están autorizados

para utilizar los servicios y recursos informáticos de la Empresa, salvo previa autorización del área

ejecutiva.

El área de Sistemas, el Centro de Comunicaciones y las áreas que la empresa considere críticas,

deben ser lugares de acceso restringido y cualquier persona que ingrese a ellos deberá registrar el

motivo del acceso y estar acompañada permanentemente por el personal que labora cotidianamente

en estos lugares.

Toda persona que se encuentre dentro de la entidad deberá portar su identificación en lugar

visible.

Los equipos de cómputo no deben moverse o reubicarse sin la aprobación previa del personal

encargado de la coordinación de los mismos.

Los empleados se comprometen a NO utilizar a la red regulada de energía (tomas naranjas

de canaleta) para conectar equipos eléctricos diferentes a su equipo de cómputo (CPU, monitor

o Equipo Portátil), como impresoras, plotters, cargadores de celulares, grabadoras,

electrodomésticos, fotocopiadoras, parlantes, secadores de cabello, aires acondicionados,

ventiladores, taladros, cámaras fotográficas, de video y en general cualquier equipo que genere

caídas de energía.
 78

6.4.14 Política No.13: administración de seguridad. Si un empleado detecta una brecha de

seguridad o sospecha en la mala utilización en la Internet, la red corporativa o Intranet, los servicios

y recursos informáticos de cualquier nivel (local o institucional) deberá ser comunicada por él, en

forma inmediata y confidencial al área de Sistemas.

Los empleados y/o contratistas encargados de la administración de los servicios informáticos

son responsables por la implementación, permanencia y administración de los controles sobre

los Recursos Computacionales. La implementación debe ser consistente con las prácticas

establecidas por la división de sistemas.

La gerencia será el encargado de coordinar la divulgación, las políticas, estándares y

procedimientos en materia de seguridad informática. Efectuará el seguimiento al cumplimiento

de las políticas de seguridad y reportará a la Gerencia de la Empresa, los casos de incumplimiento

con copia a las oficinas de control interno.

 79

Conclusiones

Para EXTRA RAPIDO LOS MOTILONES S.A., es evidente la necesidad de analizar las

políticas de seguridad de la información para cubrir virtualmente todo lo que sucede en dicho

campo.

La Empresa comprende la importancia de su aplicabilidad; porque en su entorno existen

proyectos que dependen de manera crítica de un sistema con reglas claramente articuladas. Sin

este tipo de políticas de seguridad de la información, no se pueden garantizar que los sistemas

informáticos sean operados de manera segura.

Se podría definir como seguridad de la información a un estado específico de la misma sin

importar su formato, que nos indica un nivel o un determinado grado de seguridad de información,

por ejemplo, que está libre de peligro, daño o riesgo, o por el contrario que es vulnerable y puede

ser objeto de materialización de una amenaza.

La vulnerabilidad, el riesgo o el daño de la misma es todo aquello que pueda afectar su

funcionamiento directo y la esencia en sí de la información, o en su defecto los resultados que se

obtienen de la consulta, administración o procesamiento de ella. En muchísimos casos la mejor

herramienta de seguridad somos nosotros mismos y nuestro sentido común, ya que se ha podido

comprobar que los descuidos o imprudencias son la principal fuente de las brechas de seguridad,

tanto del punto de vista del usuario personal como de las empresas.
 80

También es evidente que se debe pensar en la forma de castigar dichos abusos en contra de la

seguridad de la información, algo mucho más importante es cómo lograr comprobar dicho abuso

y este sigue siendo el principal inconveniente.

Es necesario que el personal reciba capacitación sobre el tema, para que éste pueda tomar un

papel activo dentro de la empresa de manera que aplique este conocimiento en las diversas

actividades que realiza dentro y fuera de la empresa con el propósito de proteger de una forma

adecuada la información que se le confía, así como la propia.

 81

Bibliografía

COLOMBIA. ICONTEC. Compendio: Sistema de gestión de la seguridad de la información

(SGSI) Norma Técnica Colombiana, 2009.

NORMAS ISO, Iso 27001:2013.

Ministerio de la Tecnología a Información Mintic. Guía para la elaboración de políticas de

seguridad de la información.
 82

Webgrafia

htpp://www.gogle.com.co/search?q=imágenes+de+seguridad+de+la+informacion spv=2tb

iw=1366tbih=623Ettbm=ischEtbo=u

http://yudithdelcastillo.blogspot.com.co/2010/05/webgrafia.html

https://sites.google.com/site/enriqueqginformatica/home/webgrafia-2

https://informaticalegal.wordpress.com/2009/12/13/los-5-pasos-para-protegerse-del-software-

espia/
 83

ANEXOS
 84

Anexo 1. Formato Nro.1 Controles de seguridad Cuentas de usuario

Controles de seguridad Cuentas de usuario

Introducción

Cualquier persona que haga uso de los sistemas de información de la empresa debe contar con
usuario. El usuario al identificarse obtiene acceso al sistema, administración de recursos, niveles
de autorización etc., dicha identificación se realiza por medio de una cuenta o usuario,
generalmente asociados a una contraseña.

Usuario Activo

Los usuarios activos son aquellos que actualmente tienen derecho de acceso a los sistemas de
información de la Empresa.

Usuario Inactivo

Los usuarios inactivos son aquellos que se han desactivado en los sistemas de información y ya no
pueden ingresar al mismo.

Usuario Habilitado

Los usuarios habilitados son aquellos que de acuerdo a su perfil poseen permisos para realizar
operaciones sobre los sistemas de información

Usuario Deshabilitado
 85

Los usuarios deshabilitados son aquellos que temporal o permanentemente no tienen derechos de
acceso para realizar operaciones en los sistemas de información.

Usuario Eliminado

Los usuarios eliminados son aquellos que se borran definitivamente de los sistemas de
información.

Eventos que inactivan un usuario.

•Por retiro definitivo de la Empresa, traslado o cambio de funciones; para el traslado o cambio de
funciones siempre y cuando el usuario no necesite ingresar al sistema de información.
•Por solicitud del Jefe de Área, o la unidad de informática.

Condiciones Generales

Identificar todas las funciones laborales, la especificación del grupo de privilegios, y las
restricciones que debe tener cada cuenta.

Asignar los permisos estrictamente necesarios para que cumpla con sus funciones laborales de
acuerdo a su rol dentro de la Empresa.

Documentar los roles y privilegios de acceso a la información de acuerdo al perfil y funciones del
usuario.

Mantener un registro de las creaciones, modificaciones, eliminación y desactivaciones de las

cuentas de los usuarios.

Por traslado o cambio de funciones cuando los permisos de accesos a los sistemas de información
son distintos a los que ya tenía en el cargo anterior, se deshabilitan los del perfil anterior y se
habilitan los nuevos permiso
 86

Controles por dominio según la 27001 / 2013

A 8.1.3 uso aceptable de los activos

A 9.1.1 Política de control de acceso
A 9.2.3 Gestión de derechos de acceso privilegiado
A 9.2.5 Revisión de los derechos de acceso de usuario
A 9.2.6 Retiro o ajuste de los derechos de acceso
A 9.3.1 Uso de información de autenticación secreta
A 9.4.2 Procedimiento de ingreso seguro
A 9.4.3 Sistemas de gestión de contraseñas
A 12.4.1 Registro de eventos
A 12.4.2 Protección de la información de registro
A 12.4.3 Registros del administrador y del operador
 87

Anexo 2. Formato Nro.2 Requerimientos de respaldos de información

4D Browser

Es el navegador blindado de Bit4id. Basado en el navegador estándar Mozilla Firefox y totalmente

rediseñado para logra una total portabilidad, con cero configuración, con integración del chip
criptográfico y de la firma electrónica y todo con la máxima seguridad.

A2 PCI DSS

PCI Data Security Standard es un estándar de seguridad desarrollado con el objetivo de reducir el
fraude relacionado con tarjetas de crédito e incrementar la seguridad de los datos almacenados en
las mismas. A2SECURE le guía en el proceso de cumplimiento de esta normativa..

Abastor Replicado

Abastor puede trabajar en entornos de backup de dos modos diferentes, el primero como parte de
un entorno de backup ya operativo sobre NDMP o como servidor de backup propio. Su
configuración en este último modo es flexible, ya que permite Virtual Tapes y puede controlar
dispositivos de backup.

Acceso remoto seguro

Mediante el uso de Linux, Software Libre y una plataforma hardware adecuada se implanta un
servidor de redes privadas virtuales (VPN) que permita el acceso seguro a la infraestructura interna
de la empresa desde cualquier punto del mundo..
Soluciones de acceso Remoto SSL, L2TP, IPsec
 88

ACCESS Enterprise

Es un sistema de gestión de dispositivos de seguridad portátiles. El apoyo a la amplia gama de

dispositivos portátiles de seguridad Imation, Enterprise Access es la solución ideal para el control
de dispositivos USB seguros.

ACCESS Enterprise Antivirus Scanner

Previene que el malware se copia en las unidades USB, permitiendo a los usuarios para mantener
la comodidad de almacenamiento portátil, mientras que la protección de los dispositivos, sus datos
y los sistemas que se enfrentan contra el malware.

Acronis

Principal proveedor de soluciones de recuperación de desastres y protección de datos de fácil

gestión e implementación tanto en entornos físicos, virtuales como en el Cloud.

Acronis Backup & Recovery® 11 Server for Linux

Simplifica y automatiza los procesos de copia de seguridad y recuperación de desastres de

servidores Linux, minimizando el tiempo de inactividad y aumentando la productividad de TI.

Acronis Backup & Recovery® 11 Server for Windows

Acronis Backup & Recovery 11 Server for Windows proporciona copias de seguridad basadas en
disco y recuperación de desastres para servidores Windows individuales y está diseñado para
satisfacer las necesidades de las pequeñas empresas, en las que la gestión remota y centralizada no
es necesaria.
 89

Acronis Backup & Recovery® 11 Workstation

Acronis Backup & Recovery 11 Workstation proporciona copias de seguridad basadas en disco y
recuperación de desastres para estaciones de trabajo Windows y está diseñado para satisfacer las
necesidades de las pequeñas empresas, en las que la gestión remota y centralizada no es necesaria.

ActiveRoles Server

ActiveRoles Server ofrece una administración predefinida de cuentas de usuario y de grupo,

seguridad estricta basada en roles, administración de identidad diaria y auditoría e informes
integrados para entornos con base en Windows.

Acunetix Web Vulnerability Scanner

Con Acunetix Web Vulnerability Scanner puede estar seguro que su página web es segura frente
a los ataques web. Chequea automáticamente vulnerabilidades que aparentemente no son
detectadas como tales aportando informes de auditoría de seguridad web.

Acunetix WVS

Verificador de vulnerabilidades en el servidor web, ataques via SQL y scripts. Si Vd. es

distribuidor de informática, puede tener acceso a la ZONA DE DISTRIBUIDORES. Debe
solicitarlo enviando un mail a: comercial@satinfo.es.

Acunetix WVS

Realiza automáticamente auditorías de sus aplicaciones web comprobando vulnerabilidades de

Inyección SQL, Cross site scripting y otras vulnerabilidades que puedan ser explotadas por
hackers.
 90

Adaman

Adaman BSD, es el software que permite realizar con facilidad el borrado seguro e inmediato de
archivos, carpetas y unidades lógicas completas, así como del contenido de la papelera de reciclaje.
Es de uso obligatorio en equipos de la Administración Pública que manejen información
clasificada.

adAS

adAS (Advanced Authentication Server) es un Servidor de Autenticación Avanzado que realiza

funciones de Proveedor de Identidad ofreciendo a su vez un entorno gráfico de configuración.

Además, es multiprotocolo, siendo compatible con PAPI v1, SAML 1.1/Shibboleth 1.3 y SAML
2.0/Shibboleth 2.0.

Adbackup Enterprise

Adbackup Enterprise, la solución de backup para bases de datos y entornos complejos. Con el
backup de varias decenas de miles de puestos y el backup que han realizado algunos clientes de
varias decenas de Tb.
 91

Anexo 3. Formato Nro.3 Acceso Físico

Extra Rápido Los Motilones S.A.

SGSI

FORMATO UNICO DE INVENTARIO DE ACTIVOS DE LA INFORMACIÓN

HOJA No. ___________ DE ______________

Nombre del proceso: _________________________________ REGISTRO DE ENTRADA

Nombre del responsable: _____________________________ AÑO MES DIA N.T.

N.T.= Número de Transferencia

No. De Responsable del Fecha de Ingreso Hora Fecha de Salida

Nombres y apellidos Nombre Empresa Hora Salida Actividad Realizada Firma
Identificación Acompañamiento Ingreso
D M A D M A

Elaborado por: __________________________________ Entregado por: _________________________ Recibido por : _____________________________________________

Cargo: ________________________________________ Cargo: ________________________________ Cargo: ______________________________________________

Firma: __________________________________________ Firma: ________________________________ Firma: ______________________________________________

Lugar __________________ Fecha: __________________ Lugar _____________ Fecha: _____________ Lugar: ____________________
Fecha: __________________

www.ramajudicial.gov.co
 92

Extra Rápido Los Motilones S.A.

Eliminación segura de medios de almacenamiento removibles

Anexo 4 Formato Nro.4 Acta de Entrega, recepción de medios

Eliminación segura de medios de almacenamiento removibles

Introducción.

La Política para la eliminación y destrucción de medios de la Empresa requiere que se realice la

eliminación, destrucción o borrado en de forma segura de cualquier software licenciado y datos
sensibles de medios de almacenamiento y equipos informáticos que se den de baja, se donen, o
trasladen de área. La eliminación segura de información en medios es un mecanismo de control
para prevenir la divulgación de información clasificada como reservada.

Métodos para eliminación segura.

Para la eliminación segura de medios se pueden emplear diversos tipos de mecanismos como:
Sobreescritura segura y sucesiva del medio
Desmagnetización del medio
Destrucción física del medio

Que no es borrado seguro

Utilidades del sistema operacional como FORMAT sólo crean nuevas tablas FAT y ROOT,
dejando todos los datos anteriores sobre el disco intacto y recuperable. Por otra parte, una imagen
de las tablas de FAT y ROOT sustituidos se almacena, de manera que el comando UNFORMAT
se puede utilizar para restaurar ellos. Otras utilidades como FDISK simplemente limpian la tabla
de particiones (ubicado en el primer sector de la unidad) y no se limpia o borrar cualquier otra
cosa. Para un borrador completamente seguro se requiere el uso de una utilidad de la destrucción
de datos que borre los datos mediante la sobrescritura de todas las ubicaciones direccionables en
el disco con datos aleatorios.
 93

Sobreescritura segura y sucesiva del medio

Desmagnetización del medio

En los casos en los que no se puede aplicar la sobreescritura segura y sucesiva del medio, puede
ser necesaria la utilización de equipo especializado de desmagnetizador que esté en capacidad de
borrar mediante campo magnético de alta intensidad cualquier dato incluidas partículas de óxido
y metal de cintas de almacenamiento o cassettes. En dichos casos particulares y muy específicos
se debe solicitar el apoyo técnico de la Unidad de informática de la Empresa para determinar si
amerita la contratación del servicio de desmagnetización de un medio o es preferible su destrucción
física cumpliendo con procedimientos de protección del medio ambiente.

Destrucción física del medio

La destrucción física del medio CD, USB, cinta disco duro u otros soporte de almacenamiento
digital consiste la ruptura, polverización o rayado total de la superficie del medio, ya que este
procedimiento impedirá la posterior utilización del medio solo es recomendable en los casos en
que se confirma que el medio ya no es necesario bajo ninguna circunstancia. La destrucción de
medios y la disposición final de los residuos debe seguir las directrices de la Empresa para la
preservación del medio ambiente.

Recursos

Remover datos sensitivos

http://kb.mit.edu/confluence/display/istcontrib/Removing+Sensitive+Data
Directrices para eliminación segura de medios de almacenamiento
http://csrc.nist.gov/publications/drafts/800-88-rev1/sp800_88_r1_draft.pdf
Software de eliminación segura de medios

Eraser
http://eraser.heidi.ie/
 94

Anexo 5. Formato Nro.5 Bitácora de restauración de respaldos

LISTADO HERRAMIENTAS DE BORRADO SEGURO

Útiles gratuitos para Borrado seguro

Tipo
Complejidad Producto
usuarios

Entidades Black Hole

Media
Usuarios Temas: Borrado seguro , Limpieza de trazas, Privacidad

Entidades Comodo System Cleaner

Media
Usuarios Temas: Borrado seguro , Privacidad ,Limpieza de trazas

Entidades Eraser
Baja
Usuarios Temas: Borrado seguro

Entidades MyGPG
Media
Usuarios Temas: Borrado seguro , Cifrado/Codificado, Firma digital

Redo Backup & Recovery

Usuarios
Media Temas: Recuperación de datos , Copias de seguridad , Borrado
Entidades
seguro , Imagen de disco

Usuarios Sophos Free Encryption

Media
Entidades Temas: Borrado seguro , Cifrado/Codificado

Windows Sysinternals
Entidades Temas: Análisis de ficheros , Análisis de
Media
Usuarios protocolos , Antirootkit , Recuperación de datos , Herramientas
de test , Copias de seguridad , Borrado seguro , Monitorización
 95

Listado de Productos
Listado de Soluciones con cumplimiento legal y normativo
Solución Descripción Empresa
ADAMAN Adaman BSD, es el software que permite realizar con Recovery
facilidad el borrado seguro e inmediato de archivos, Labs
carpetas y unidades lógicas completas, así como del
contenido de la papelera de reciclaje. Es de uso
obligatorio en equipos de la Administración Pública
que manejen información clasificada.
Desmagnetizador Gracias a sus reducidas dimensiones, su intimus
Intimus 8000 funcionamiento silencioso y sus ciclos de 60 segundos, International
el intimus 8000 puede instalarse perfectamente en un Spain, S.L.
escritorio. Rápido, seguro y borrado completo en una
sola pasada Certificados: CESG (UK) | NSM
(Noruega)
Desmagnetizador La intensidad de campo del desmagnetizador intimus intimus
Intimus 9000 junto con el campo magnético que genera garantiza International
que los datos no son recuperables mediante Spain, S.L.
operaciones informáticas o de laboratorio. Borrado
rápido, seguro y en una sola pasada Certificados:
CESG (UK) | NSM (Noruega)
deintimus La Intimus Hammer SES incorpora un comando de intimus
Hammer SES borrado seguro basado en firmware que permite purgar International
completamente todos los datos de las unidades de Spain, S.L.
disco duro. Este dispositivo sencillo y fácil de usar
permite conectar con hasta 30 discos duros.
 96

Anexo 6. Formato Nro. 6 Controles Contraseñas Segura

GESTION CUENTAS DE USUARIOS, CONTRASEÑAS

INFORMACIÓN GENERAL
FECHA: ____ ____ ____
DÍA MES AÑO

PARA SER COMPLETADO POR EL DIRECTOR /JEFE DE ÁREA

NOMBRE DEL FUNCIONARIO: ________________________________________________________________________________

AREA A LA QUE PERTENECE: _______________________________________________________________________________

TIPO DE SOLICITUD: Creación de Modificación Eliminación

cuenta de cuenta de cuenta

(Si la solicitud es de modificación o eliminación complete aquí)

Salida o retiro Cambio de Vacaciones

definitivo cargo

APLICACIONES SOLICITADAS:

________ ________ ________ ________

________ ________ ________ ________

PRIVILEGIOS A ASIGNAR/MODIFICAR/ELIMINAR:
______________________________________________________________________________

______________________________________________________________________________

SERVICIOS SOLICITADOS:

Internet Acceso red Correo Red inalámbrica

electrónico

Acceso remoto Impresoras

SI LA SOLICITUD ES DE CREACIÓN DE CUENTA, ¿ÉSTA ES TEMPORAL?

SI NO Si la respuesta es SI, complete: ___________________________

Fecha caducidad cuenta

SOLICITADO POR:

____________________________________________________ ___________________________________________________
NOMBRE DE RESPOSABLE Teléfono ó Correo Electrónico

PARA SER COMPLETADO POR EL RESPONSABLE DE INFORMÁTICA (para creación de cuenta)

NOMBRE DE USUARIO (ID):

 97

____________________________________________________ ___________________________________________________
NOMBRE PROFESIONAL DE INFORMÁTICA Teléfono ó Correo Electrónico

HOJA DE RUTA (Debe ser diligenciada por cada administrador para cada una de las aplicaciones que se requieran en esta solicitud, y que por lo tanto
la solicitud ya haya sido ejecutada).

NOMBRE
APLICACIÓN REQUERIDA Nro de aprobación
ADMINISTRADOR
 98

PROCEDIMIENTO DE GESTION DE VULNERABILIDADES DE LA

INFRAESTRUCTURA TECNOLOGICA

Anexo 7. Formato Nro. 7 Solicitud instalación Software

1. OBJETIVO

Establecer el método para identificar, analizar, priorizar y remediar las vulnerabilidades tecnológicas presentes en
las diferentes áreas y componentes tecnológicos que soportan los procesos del negocio de Extra Rápido Los
Motilones S.A., minimizando los riesgos a los que está expuesta la información. Así mismo, cumplir con los
requerimientos regulatorios aplicables a la organización.

2. ALCANCE

El alcance de este procedimiento aplica para todos los componentes de infraestructura tecnológica de Extra Rápido
Los Motilones S.A.,. Asimismo, este procedimiento debe ser aplicado por todos los funcionarios y terceros que
tengan acceso a la administración de los activos tecnológicos de la organización.

3. RESPONSABLE
El responsable de proceso, área o sistema de información debe garantizar la adecuada implementación del presente
procedimiento de gestión de cambios
4. DEFINICIONES

 Sistema de información
Cualquier equipo de cómputo o telecomunicaciones, sistema o subsistema interconectado o no conectado
usado para la adquisición, almacenamiento, manipulación, gestión, movimiento, control, despliegue,
conmutación, intercambio, transmisión o recepción de voz, datos, vídeo en formas análogas o digitales así
como el software, firmware o hardware que forme parte del sistema.

 Software
Programa de computador

 Solución de errores conocidos.

Serie de pasos previamente establecidos que permiten resolver un problema en un equipo tecnológico o
un Software

 Activo
Componente físico o lógico relacionado con la información y sus procesos de tratamiento, y que tiene
valor para la empresa. La entidad asigna un valor a cada activo que representa el nivel de importancia que
tiene el activo en el proceso del negocio.

 Vulnerabilidad
 99

Debilidad o defecto en las Tecnologías de Información que hace que la seguridad (en términos de
Confidencialidad, Integridad y Disponibilidad) de un activo sea susceptible de ser comprometida.

 Vulnerabilidades Potenciales
Vulnerabilidades potenciales incluyen todas las vulnerabilidades que no podemos confirmar existir. La
única manera de verificar la existencia de estas vulnerabilidades sería llevar a cabo una exploración
intrusiva en su red, lo que podría resultar en una denegación de servicio. Esto está totalmente en contra de
nuestra política.

 Amenaza
Un agente representa una amenaza para un sistema cuando dicho sistema tiene una vulnerabilidad que un
atacante puede explotar para obtener un beneficio.

 Riesgo
Probable ocurrencia de que un atacante explote un fallo de seguridad en un activo determinado, en base a
las amenazas existentes y al impacto potencial que representaría para el negocio de la compañía.

 Confidencialidad
Garantía de que únicamente accederán a la información los elementos autorizados para ello, y que dichos
elementos no van a convertir esa información en disponible para otras entidades.

 Integridad
Garantía de que la información únicamente puede ser modificada por elementos autorizados asegurando
métodos de proceso exactos y completos.

 Disponibilidad
Garantía de que la información y los activos relacionados deben estar accesibles a elementos autorizados
en tiempo, modo y lugar adecuado.

5. NORMATIVIDAD

Norma Técnica Colombiana NTC ISO/IEC 27001:2013 Anexo A12.1.2 Se deben controlar los cambios en la
organización, en los procesos de negocio, en las instalaciones y en los sistemas de procesamiento de información
que afecten la seguridad de la información.

Manual Políticas seguridad de la información de Extra Rápido Los Motilones S.A.

Se debe dar cumplimiento a la “POLÍTICA GESTIÓN DE VULNERABILIDADES EN LOS COMPONENTE

DE INFRAESTRUCTURA TECNOLÓGICA”

Norma técnica Colombiana NTC ISO/IEC 20000-2 primera edición del 15 de diciembre de 2005 Sistemas de
Gestión de Información y Tecnología, sección 9 gestión de cambios
 100

Anexo 8.Formato Nro. 8 Formato Encuesta Aplicada

ENCUESTA

Objetivo: Conocer cómo la empresa Extra Rápido Los Motilones S.A., conserva, salvaguarda y
protege la información evitando su posible pérdida mediante exposición a amenazas latentes en
el entorno, como acceso, manipulación o deteriorar la información.

1. Tiene conocimientos generales sobre que es una amenaza informática?.

Si ____ No ____

2. Si su respuesta anterior es si, favor responder la siguiente pregunta de lo contrario pasar a

siguiente pregunta.

¿Que amenazas informáticas conoce?

________________________________________________

3. ¿Tiene conocimientos sobre cómo prevenir un ataque informático?

Si ____ No ____

4. Está informado acerca de los procedimientos a realizar si ocurre un ataque informático?.

Si ____ No ____

5. Conoce de quién depende la responsabilidad en la seguridad de la información de la empresa?

________________________________________________

6. Usted a que área de trabajo depende dentro de la empresa?

___ área de tecnología
___ área de seguridad de la información
___ área de control
___ área de nivel ejecutivo

7. Usted usa o ha usado medios de almacenamiento externos tales como UBS, celulares, discos
externos en su sitio de trabajo con fines laborales o personales?
Si ____ No ____
 101

8. Al solicitar cambios de hardware o software que afecte los recursos informáticos, quien o que
área solicita estos requerimientos?

_______________________________________________________
_______________________________________________________

9. Si usted es requerido para entregar algún tipo de información a un tercero. Solicita

autorización?
Si ____ No ____

10. En la red se comparten archivos en los diferentes equipos de la empresa?

Si ____ No ____

Tienen algún tipo de seguridad? Cual ____________________________

11. Tiene acceso directo a internet su puesto de trabajo?
Si ____ No ____

Si la respuesta anterior es afirmativa, responder la siguiente pregunta.

12. Normalmente accede en internet por razones laborales?

Si ____ No ____

Su aporte es importante, si desea agregar alguna observación:

______________________________________________________________________________
______________________________________________________________________________
________________________________________________________________