AUDITORIA DE SISTEMAS Y
YESID MENDEZ
2019
AUDITORIA DE SISTEMAS Y
2
Tutor
Ingeniero de Sistemas
2019
3
Tabla de contenido
Pag
Introducción 9
1. El problema 11
1.1 Titulo 11
1.3 Justificación 11
1.4 Objetivos 14
2. Marco referencial 15
2.2.2 Misión 17
2.2.3 Visión 18
2.2.4 Valores 18
4.2.1 Materiales. 31
4.2.2 Institucionales 31
4.2.3 Financieros 32
5. Interpretación de resultados encuesta a empleados empresa extra rápido LOS MOTILONES S.A
33
6.1 Objetivo 44
6.2 Alcance 44
Conclusiones 79
Bibliografía 81
Webgrafia 82
Anexos 83
6
Lista de figuras
Pag
Lista de tablas
Pag
Lista de anexos
Pag
Introducción
La ausencia de políticas y procedimientos en seguridad es uno de los problemas más graves que
Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo
manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva
de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes
obligatorias, mientras que las recomendaciones o directrices son más bien opcionales. De
recomendaciones.
medio físico como el proceso de almacenaje y recuperación conocido también como proceso de
gestión documental, hasta los sistemas de información que tenga la organización o sistemas
externos a los que esté obligada a reportar información, pasando por aspectos tan importantes como
de contingencia o de continuidad del negocio, si existen, claro está, incluyendo además los
deben considerar nuevos paradigmas en estos modelos tecnológicos y tener muy claro que no
existen sistemas cien por ciento seguros, porque el costo de la seguridad total es muy alto (aunque
aplicar, en realidad, con esfuerzo, el conocimiento necesario y el apoyo constante de las directivas
seguridad propias.
Extra Rápido Los Motilones S.A. es una empresa en crecimiento que debe involucrar dentro de
sus procesos buenas prácticas encaminadas a la protección de la información; razón por la cual es
necesario el desarrollo del análisis de riesgo de la seguridad de la información aplicado a cada uno
de los activos.
El análisis de riesgo permite realizar un diagnóstico para conocer las debilidades y fortalezas
y mejoras continuas.
11
1. El problema
1.1 Titulo
S.A.
¿Cómo identificar y tratar los riesgos que afectan la información de la empresa Extra Rápido
Los Motilones S.A., con la finalidad de establecer las Políticas de Seguridad de la Información?
1.3 Justificación
La empresa Extra Rápido Los Motilones S.A., líder en el sector de Transporte de pasajeros,
encomiendas y giros, tiene enormes cantidades de información confidencial sobre sus empleados,
Gran parte de la información institucional, se encuentra en los equipos del personal administrativo,
operativo y en el servidor web de la empresa, también existe información en formato físico. Pero
12
se evidencia que no hay políticas de control que puedan proveer un adecuado tratamiento de este
valioso activo como es la información sensible de Extra Rápido Los Motilones S.A.
El sector del transporte al igual que las diversas actividades económicas de la nación, presentan
un futuro cercano podría ser víctima de delitos informáticos que obstaculicen su normal
Extra Rápido los Motilones S.A. no tiene unas Políticas de Seguridad en la Información que
permita a la gerencia, y/o directivos en determinado momento tomar decisiones relacionadas con
el flujo de esta información. Conscientes de la importancia que tiene para Extra Rápido Los
este sector, y poder tomar medidas correctivas y preventivas, comprender esta dinámica constituye
información para la empresa, con la plena certeza de que va a tener una excelente aceptación y que
los resultados esperados se darán a muy corto plazo. De la excelente aplicación de este diseño de
1.3.1 A nivel de la empresa Extra Rápido Los Motilones S.A. El diseño de las Políticas de
Seguridad de la información, se convierte para la Empresa Extra Rápido Los Motilones S.A., En
una herramienta fundamental puesto que la gerencia y su directiva, como un estilo de dirección,
requiere de información confiable y oportuna que permita la toma de decisiones que garanticen un
rumbo acertado y controlado de las actividades de la empresa, utilizando de forma eficaz sus
ventajas comparativas y posicionamiento del mercado minimizando los riesgos a los que se pueda
1.3.2 A nivel de la carrera Ingeniería de Sistemas. Con la realización del presente trabajo de
Universitaria Remington tiene la oportunidad de cumplir con uno de sus principios como es el de
futuras.
14
1.3.3 A nivel personal. El desarrollo del diseño de las Políticas de Seguridad de la Información,
de Sistemas, colocar en práctica los conocimientos adquiridos, de manera que se aplique integral
y sistemáticamente los conceptos, logrando así una experiencia enriquecedora que facilitará el
1.4 Objetivos
Diseñar las políticas de seguridad informática para la empresa Extra Rápido Los Motilones S.A.
Analizar los riesgos y priorizarlos para el diseño de las políticas de seguridad de la información.
15
2. Marco referencial
constantes cambios en los que se dispone de información continua, confiable y en tiempo, esto es
constituye una ventaja fundamental donde tener información es tener poder donde la información
la empresa es un activo corporativo que tiene valor en sí mismo que debe ser conocida por las
información es accesible sólo a las personas autorizadas proteger la información contra accesos o
consecuencias
Al definir una política de seguridad se debe incluir el marco general y los objetivos de seguridad
2.2.1 Reseña Histórica. Extra Rápido Los Motilones S.A. inició sus servicios en el municipio
de Pamplona (Norte de Santander) el 17 de octubre de 1956, al ver la necesidad que tenían las
personas de contar con un servicio de transporte organizado para trasladarse de una ciudad a otra
y así poder realizar más fácilmente aquellas actividades que requerían dicho desplazamiento.
Tras esta necesidad, varios de sus habitantes que contaban con vehículos aptos para el transporte
por carretera tipo bus, decidieron asociarse y conformar una empresa que reflejara estabilidad para
la ciudadanía y a la vez que para ellos se convirtiera en una fuente de ingresos, el cual la
Bus.
En el año 1966, debido a la acogida que tuvo la prestación de este servicio, se crea una Sociedad
Anónima conformada por 700 socios, constituida mediante Escritura Pública el día 26 de Julio de
1966, con su domicilio principal en la ciudad de San José de Cúcuta, denominándose EXTRA
empezó a cubrir la ruta a Bucaramanga con la aprobación del Instituto Nacional de Transporte.
Actualmente Extra Rápido Los Motilones S.A. cuenta con 182 automóviles, 23 microbuses y
80 buses en el radio de Acción Nacional, 105 automóviles en el radio de acción Urbano (en la
ciudad de San José de Cúcuta) y 50 automóviles en el radio de acción Urbano del municipio de
encomiendas locales. Extra Rápido Los Motilones S.A. tiene el reconocimiento de toda la región
2.2.2 Misión
Extra Rápido Los Motilones S.A. busca los máximos estándares de servicio al cliente interno y
externo, brindando calidad, seguridad y bienestar, mediante la capacitación del talento humano,
cumpliendo así con nuestro objetivo de ser los mejores y de obtener una rentabilidad que garantice
El cumplimiento de esta Misión propicia, a partir de los valores y principios éticos tradicionales
general.
2.2.3 Visión
Queremos que Extra Rápido Los Motilones S.A. sea un modelo de empresa líder en servicios
calidad, seguridad, oportunidad y cubrimiento en los Santanderes y EL RESTO DEL PAIS, con
presencia competitiva a nivel NACIONAL, para lograr así una rentabilidad empresarial y un
ENCOMIENDAS.
2.2.4 Valores
Estos definen aspectos importantes para la organización y deben ser compartidos por todos.
Por lo tanto, constituyen una norma de vida corporativa, el soporte de la cultura organizacional.
19
servicio de transporte.
Solidaridad.
El activo más importante que tiene una empresa es la información y, por lo tanto, deben existir
parámetros claros que permitan su aseguramiento sin dejar de lado la seguridad física aplicada a
Dichos lineamientos o técnicas están dadas por la seguridad lógica y aspectos de la seguridad
La gestión de la seguridad debe ser planteada tanto en la parte lógica como física a través de
Confidencialidad: Los componentes del sistema serán accesibles sólo por aquellos usuarios
autorizados.
Integridad: Los componentes del sistema sólo pueden ser creados y modificados por los
usuarios autorizados.
Disponibilidad: Los usuarios deben tener disponibles todos los componentes del sistema
cuando así lo deseen. De nada sirve la información si se encuentra intacta en el sistema, pero los
Otras características y conceptos que se relacionan con el proyecto y deben ser tenidos en cuenta
Control de acceso a los recursos: Se entiende como la regulación de quién utiliza el sistema
Auditoría: Son los mecanismos para poder determinar qué es lo que está ocurriendo en el
sistema, qué es lo que hace cada uno de los usuarios, los tiempos y fechas de dichas acciones.
21
actuales en materia de seguridad, finalizando con informes que presentan los resultados de la
aplicación metodológica.
Magerit: Es un tipo de metodología que es una guía de referencia para realizar procesos de
análisis de riesgos al igual que provee lineamientos para la gestión de riesgos en sistemas
informáticos y todos los aspectos que giran alrededor de ellos en las organizaciones para lograr
muchas de las metas planteadas al interior de las mismas y buscando cumplir las políticas de buen
gobierno.
El proyecto en mención se basa en esta metodología para poder efectuar el proceso de análisis
de riesgos logrando identificar los activos, las amenazas, determinar tanto los riesgos como los
impactos potenciales y se recomiendan como proceder a elegir las salvaguardas o contra medidas
Papeles de trabajo: Hacen referencia al material de evidencia que el auditor maneja para
recolectar datos o constancia escrita del trabajo que se está realizando, para este caso aplica la
utilización de formatos.
22
expresa un sistema que se encarga de proveer una cantidad de mecanismos y herramientas basados
en la norma ISO 27001 y tiene por objetivo conocer al interior de la institución a los que puede
estar expuesta la información, define como se deben gestionar los riesgos y debe ser un marco de
referencia para la institución el cual debe ser conocido por todo el personal y debe estar sometido
Los anteriores aspectos deben ser tenidos en cuenta al momento de elaborar las políticas y
procedimientos de una organización para evitar pasar por alto aspectos importantes para que así
los usuarios y los sistemas realicen sus procedimientos de la mejor manera posible, de forma
concreta y clara además se debe tener presente los derechos y límites de usuarios y
administradores. Sin embargo, antes de realizar cualquier acción para lograr garantizar estos
servicios, es necesario asegurarnos de que los usuarios conozcan las políticas para no generar un
La seguridad informática esta creada para velar y proteger los activos informáticos, en aras de
informática debe ser administrada según los criterios establecidos por los administradores y
personal capacitado, previendo que usuarios externos y no autorizados puedan acceder a ella sin
autorización. Evitando que corra el riesgo de que la información sea utilizada maliciosamente para
23
obtener ventajas de ella o que sea manipulada, llegando a obtener posteriormente datos erróneos e
incluyendo los backups para que en caso de que se presenten daños o pérdida de datos, producto
de accidentes, atentados o desastres, se pueda subir una copia y evitar catástrofes organizacionales
o suspensión de servicios, que en ocasiones trae como consecuencia altas perdidas económicas.
desempeña la seguridad informática en este punto es velar que el hardware (parte física) tengan un
óptimo funcionamiento y logre evitar problemas relacionados con robo, incendios, desastres
naturales, bloqueos, fallas en el suministro eléctrico, vandalismo, entre otros que lleguen a afectar
Los usuarios: Son las personas que están directamente involucradas con la infraestructura
establecer normas que minimicen los riesgos tanto de información como de su infraestructura,
dentro de dichas normas de debe contemplar, horarios de acceso, restricciones físicas y lógicas,
permisos, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo esto debe
estar regido por estándares y normas que minimicen los riesgos y el impacto en caso de llegar a
presentar un siniestro.
24
Para el caso que estamos estudiando, se basa en los soportes teóricos y prácticos de estándares
normativos, metodologías y buenas practicas que establecen los principios para el uso eficaz,
eficiente y aceptable en las tecnologías de la información, ayudando a los encargados de esa parte,
ISO 27002. Recopilación de buenas prácticas para un SGSI en la compañía la cual contiene
recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una
ISO 27005-2008. Establece las directrices para la gestión del riesgo en la seguridad de la
información. para lo cual previamente se debe tener conocimiento de los conceptos, modelos,
procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002, que es aplicable a
25
todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan
2.4.2 Leyes y Decretos Colombianos. Las leyes, resoluciones y circulares creadas en Colombia
reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas
Ley 962 de 2005. Con esta Ley invita a los organismos, que ejercen funciones públicas a
utilizar medios tecnológicos integrados con el apoyo del ministerio de comunicaciones, para
Ley 1273 de 2009. Por medio de la cual se modifica el Código Penal, se crea un nuevo bien
integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones,
entre otras disposiciones, como penas de prisión de 120 meses y multa de hasta 1500 salarios
Ley 1341 de 2009. La presente ley, determina el marco general para la formulación de las
políticas públicas que regirán el sector de las Tecnologías de la Información y las Comunicaciones,
Ley 1581de 2012. La presente ley tiene por objeto desarrollar el derecho constitucional que
tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías
La empresa Extra Rápido Los Motilones objeto de estudio permite que la investigación sea de
tipo documental, la misma no cuenta con sistemas de control real y eficiente del manejo de la
información.
documentos en los que puedan verificar los procesos relacionados, responsables, quienes manejan
su información.
cualidades, características específicas, dentro de la empresa objeto de estudio, lo cual hace que la
información que se suministra para la elaboración del estudio podrá ser aprovechada y
La población está compuesta por el recurso humano existente en la empresa, se determina como
Población: La investigación está dirigida a la empresa Extra Rápido Los Motilones S.A.;
ubicada en Cúcuta con su domicilio principal está en la Avenida 6 N° 1-39 piso 2, en su personal
Muestra: Considerando que el tamaño del universo objeto de estudio, es reducido se tomará
estudio, igualmente se aplicará en el sitio de trabajo los cuestionarios previamente diseñados y las
La captura de información de las fuentes secundarias (bibliotecas, libros, folletos, etc.) será
3.3.1 Fuentes Primarias. Para asegurar la veracidad de la información requerida se emplea como
manejo de la información.
3.3.2 Fuentes Secundarias. Se observarán, y analizarán los procesos utilizados, los soportes
3.4.1 Análisis Documental. Una vez recibida la información para su estudio, se procede a
organizarla para su posterior codificación en forma descriptiva y lógica, observando sus falencias.
31
desarrollaran las políticas de seguridad para la empresa Extra Rápido Los Motilones S.A.:
área administrativa, área operativa, atención al público en atención a remesas, giros y pasajes,
4.2.2 Institucionales. La empresa provee para el desarrollo de este proyecto en las Políticas de
empresa, autorización para dialogar con personal requerido en el tema, la papelería física donde
4.2.3 Financieros. En cuanto a la parte de los recursos monetarios, de los que se dispone para
ejecutar las decisiones o tareas del proyecto en su financiación; este solo cuenta con los aportes
MOTILONES S.A
encuesta a los empleados de las diferentes sucursales de la empresa Extra Rápido Los Motilones
que tiene el potencial de causar daño a un sistema en forma de robo, destrucción, divulgación,
modificación de datos o negación de servicio, es importante para la empresa Extra Rápido Los
40%
60%
Si No
Se obtiene como resultado que un 60% de los empleados consideran o tienen conocimiento
sobre que es una amenaza informática y el 40% no lo sabe, lo cual coloca a la empresa en un
riesgo elevado por cuanto, no sabría este personal en forma preventiva como accionar.
45%
40%
35%
30%
25%
20%
15%
10%
5%
0%
Ingreso de terceros no autorizados Virus
troyanos, gusanos Hackers
Caballos de Troya Acceder a nuestros correos
No responde
Del 60% que manifiesta tener conocimiento sobre amenaza informática, identifica como
son las personas que no conocen sobre el tema, el 40% restante fue el personal que no responde
Al indagar sobre la cultura que mantienen los empleados sobre prevenir un ataque informático
se establece que un 45% no maneja esta cultura así que algún empleado podría por ejemplo hacer
clic en enlaces que resulten sospechosos, no tener cuidado con lo que se descarga y otras acciones
que afecten la empresa, situación que la empresa deberá tener especial atención ya que es un factor
crítico en la misma. Mientras que un 55% de los empleados es precavido en el tema, lo que da
empresa?
Responsable de la Seguridad de la
Información
4% 4%
92%
Area de Sistemas
Todo el personal de la empresa
cada área
construir, primero, una representación de una determinada realidad con los datos que adquirimos
de ella para poder darla a conocer, disponiendo esa representación al alcance de los demás o
comunicarla. El manejo de la información, es sin duda un factor letal que debe considerar el
El 92% de los participantes cree que el responsable del manejo de la información es el área de
empresa. Las empresas siempre están en constante búsqueda de la privacidad, y por más que se
Se observa que no es clara la responsabilidad para el personal, sobre quien o quienes son los
área de control
46% 23%
área de nivel ejecutivo
área contable
Otros
23%
Las áreas de trabajo que conforman el desarrollo de la encuesta son el 8% área de control,
23% área de nivel ejecutivo, 23% área contable y un 46% de otras áreas de la empresa.
F. ¿Usted usa o ha usado medios de almacenamiento externos tales como USB, celulares,
75%
80%
70%
60%
50%
40% 25%
30%
20%
10%
0%
Si No
El 75% de los empleados usa o ha usado medios de almacenamiento externo como celulares,
USB lo que califica en un riesgo alto la seguridad de la información de la empresa por cuando por
G. ¿Al solicitar cambios de hardware o software que afecte los recursos informáticos, quien
El 7.7% hace esta solicitud a gerencia, el 23% ante subgerente, el 15.4% al área de sistemas, el
38.5% al jefe inmediato, el 15.4% considera que no hay definido la persona específica para este
fin.
40
autorización?
92%
100%
80%
60% Si
No
40%
8%
20%
0%
Si No
EL 92% de los empleados solicita autorización para hacer entrega de información de la empresa
Este es un punto crítico donde se deben establecer claramente los procedimientos a seguir al
momento de entregar información, aunque sea solo un 8% del personal que no lo solicite porque
autorizados.
41
Si
No
100%
8% 8% 8% Antivirús
7%
Bloqueo de carpetas
Con clave de acceso
69% No tiene seguridad
Algunos documentos
El 69% de los equipos no cuenta con medidas de seguridad de ningún tipo, el 8% cuenta con
antivirus, el 8% bloquea carpetas, el 7% restringe con claves de acceso, otros solo seleccionan
algunos documentos para aplicarles seguridad. Es de destacar que todos los equipos de la empresa
cuentan con antivirus, pero el personal entrevistado no lo considero como un tipo de seguridad en
Si
100%
No
Se evidencia que la exposición es máxima ya que el 100% de los equipos cuentan con internet.
Si
100% No
El 100% de los empleados dice que accede a internet por razones laborales.
44
6.1 Objetivo
6.2 Alcance
todos los funcionarios y contratista de la empresa, y a toda la información que se requiera en los
procesos, mediante el uso y/o utilización del recurso informático de la empresa Extra Rápido Los
Motilones S.A.
repetición.
Activo: Según [ISO/lEC 13335-12004]: Cualquier cosa que tiene valor para la organización.
misma que tenga valor para la organización. Es todo activo que contiene información, la cual posee
un valor y es necesaria para realizar los procesos misionales y operativos de Extra Rápido Los
Datos: Son todos aquellos elementos básicos de la información (en cualquier formato) que
Transporte.
Personal: Son todos los empleados de EXTRA RÁPIDO LOS MOTILONES S.A,
contratistas, los clientes, usuarios y en general, todos aquellos que tengan acceso de una manera u
otra a los activos de información de EXTRA RÁPIDO LOS MOTILONES S.A. Ejemplo: Pepito
Pérez.
Servicios: Son tanto los servicios internos, aquellos que una parte de la organización
suministra a otra, como los externos, aquellos que la organización suministra a clientes y usuarios.
Tecnología: Son todos los equipos utilizados para gestionar la información y las
Instalaciones: Son todos los lugares en los que se alojan los sistemas de información.
Equipamiento auxiliar: Son todos aquellos activos que dan soporte a los sistemas de
información y que no se hallan en ninguno de los tipos anteriormente definidos. Ejemplo: Aire
incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que
incluyen evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación del riesgo
utilizando recursos gerenciales. Las estrategias incluyen transferir el riesgo a otra parte, evadir el
riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un
riesgo particular.
(denominado en inglés como issue tracking system, trouble ticket system o incident ticket system)
es un paquete de software que administra y mantiene listas de incidentes, conforme son requeridos
por una institución. Los sistemas de este tipo son comúnmente usados en la central de llamadas de
servicio al cliente de una organización para crear, actualizar y resolver incidentes reportados por
base de conocimiento que contiene información de cada cliente, soluciones a problemas comunes
47
seguimiento de errores (bugtracker) y, en algunas ocasiones, una entidad de software puede tener
ambos, y algunos bugtrackers pueden ser usados como un sistema de seguimiento de incidentes, y
viceversa.
Alcance: Ámbito de la organización que queda sometido al SGSI. Debe incluir la identificación
clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una parte
de la organización.
Análisis de riesgos: Según [ISO/lEC Guía 73:2002): Uso sistemático de la información para
Auditabilidad: Los activos de información deben tener controles que permitan su revisión.
que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una
organización.
Autenticación: Proceso que tiene por objetivo asegurar la identificación de una persona o
sistema.
identidad de un sujeto o recurso, Propiedad que garantiza que la identidad de un sujeto o recurso
es la que declara, Se aplica a entidades tales como usuarios, procesos, sistemas de información.
Database): Es una base de datos que contiene toda la información pertinente acerca de los
relaciones entre esos componentes. Una CMDB ofrece una vista organizada de los datos y una
forma de examinar los datos desde cualquier perspectiva que desee. En este contexto, los
CI puede ser cualquier elemento imaginable de TI, incluyendo software, hardware, documentación
y personal, así como cualquier combinación de ellos. Los procesos de gestión de la configuración
B57799: Estándar británico de seguridad de la información, publicado por primera vez en 1995.
En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para
de ISO 17799 e ISO 27002 Y la parte segunda de ISO 27001. Como tal el estándar, ha sido
disponibilidad y la integridad.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros
los objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y
profundidad y reduce los prejuicios del auditor y su carga de trabajo, Este tipo de listas también se
del SGSI.
50
preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
manera prevista, De otra forma, la confiabilidad se puede definir también como la probabilidad en
que un producto realizará su función prevista sin incidentes por un período de tiempo especificado
Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo
Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de
que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige.
Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto
Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto
Declaración de aplicabilidad: Documento que enumera los controles aplicados por el SGSI
de la norma.
Denegación de servicios: Acción iniciada por una persona u otra causa que incapacite el
operaciones o servicios habituales de una organización durante el tiempo suficiente como para
Directiva: Según [ISO/lEC 13335-1: 2004): una descripción que clarifica qué debería ser hecho
estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
52
de la red que indica una posible brecha en la política de seguridad de la información o fallo de las
salvaguardas, o una situación anterior desconocida que podría ser relevante para la seguridad.
riesgos y el tratamiento de riesgos. Según [ISO/lEC Guía 73:2002]: actividades coordinadas para
diferencia del virus, no precisa alterar los archivos de programas, sino que reside en la memoria y
se duplica a sí mismo. Siempre dañan la red (aunque sea simplemente consumiendo ancho de
banda).
existir de muchas maneras. Puede estar impresa o escrita en papel, puede estar almacenada
electrónicamente, ser transmitida por correo o por medios electrónicos, se la puede mostrar en
muchas veces. Es una técnica que pueden utilizar investigadores privados, criminales, delincuentes
sistemas de información que les permiten realizar algún acto que perjudique o exponga a la persona
documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del SGSI,
que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
una red informática para proteger a los sistemas computacionales de ataques y abusos.
por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio
ISO 19011: "Guidelines for quality and/or environmental management systems auditing". Guía
ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por
información.
información.
Derecho público conforme al cual todo ejercicio del poder público debería estar sometido a la
constitución o al Imperio de la ley). Por esta razón se dice que el principio de legalidad establece
56
información.
No conformidad grave: Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que,
basada en evidencias objetivas, permita dudar seriamente de la adecuación de las medidas para
riesgo inaceptable.
No repudio: Los activos de información deben tener la capacidad para probar que una acción
o un evento han tenido lugar, de modo que tal evento o acción no pueda ser negado posteriormente.
Phishing: Tipo de delito encuadrado dentro del ámbito de las estafas, que se comete mediante
el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial
de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de
Plan de continuidad del negocio (Bussines Continuity Plan): Plan orientado a permitir la
continuación de las principales funciones de la Entidad en el caso de un evento imprevisto que las
ponga en peligro.
Plan de tratamiento de riesgos (Risk treatment plan): Documento de gestión que define las
acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información
contratista y demás colaboradores de EXTRA RÁPIDO LOS MOTILONES S.A, que deben dejar
su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el día.
copia, es una medida técnica diseñada para prevenir la duplicación de información. La protección
de copia es a menudo tema de discusión y se piensa que en ocasiones puede violar los derechos de
copia de los usuarios, por ejemplo, el derecho a hacer copias de seguridad de una videocinta que
escucharla.
58
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar
una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la
Riesgo Residual: Según [ISOIIEC Guía 73:2002] El riesgo que permanece tras el tratamiento
del riesgo.
Segregación de tareas: Separar tareas sensibles entre distintos funcionarios o contratistas para
reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.
consideradas.
Selección de controles: Proceso de elección de los controles que aseguren la reducción de los
20005]: la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece,
alojamiento.
Spamming: Se llama spam, correo basura o sms basura a los mensajes no solicitados,
Sniffers: Programa de captura de las tramas de red. Generalmente se usa para gestionar la red
con una finalidad docente o de control, aunque también puede ser utilizado con fines maliciosos.
Spoofing: Falsificación de la identidad origen en una sesión: la identidad es por una dirección
IP o Mac Address.
Trazabilidad: Propiedad que garantiza que las acciones de una entidad se puede rastrear
Troyano: Aplicación que aparenta tener un uso legítimo pero que tiene funciones ocultas
la red de la empresa y a quienes se les otorga un nombre de usuario y una clave de acceso.
evaluación de riesgos.
Virus: tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o
potencialmente permite que una amenaza afecte a un activo. Según [ISOIlEC 13335-1:2004]:
debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
EXTRA RÁPIDO LOS MOTILONES S.A., razón por la cual existe un compromiso expreso de
61
protección de sus propiedades más significativas como parte de una estrategia orientada a la
seguridad.
y minimizar los riesgos a los cuales se expone la información de la empresa, ayuda a la reducción
de costos operativos y financieros, establece una cultura de seguridad y garantiza cumplir los
La aplicación de esta política se extiende para los empleados, contratistas, proveedores y todos
aquellos que tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento
de la información de EXTRA RÁPIDO LOS MOTILONES S.A., todos deben adoptar los
S.A., se encuentra soportada por políticas, normas y procedimientos específicos los cuales guiarán
seguridad de la información las cuales se fundamentan en los dominios y objetivos de control del
El Área de Sistemas o quien haga sus veces bajo la autorización de Extra Rápido Los Motilones
S.A, como responsable de las redes de datos y los recursos de red de la empresa, debe propender
porque dichas redes sean debidamente protegidas contra accesos no autorizados a través de
El responsable de TIC proporcionará los documentos necesarios (formatos, guías, etc.) para
Todo el personal o usuario informático nuevo de la Empresa deberá ser notificado a la oficina
de las TICS para asignarle los derechos correspondientes, equipo, creación de usuario para la red
Todos los empleados y contratistas que laboran para la empresa deben tener acceso sólo a la
empresa, la Gerencia o a quien se delegue, debe autorizar sólo el acceso indispensable de acuerdo
Para que un empleado o contratista tenga acceso a los servicios y recursos informáticos
dispuestos por la Empresa, se requiere que el jefe inmediato, coordinador que solicite a la Área
de Sistemas mediante un oficio escrito, la activación de dichos servicios con el perfil requerido
De acuerdo a la norma ISO/IEC 27001:2005 A.10.1.3: Todos y cada uno de los contratistas
y/o funcionarios, a estos el personal de TICS, les entregará su rol en el sistema, definiendo sus
privilegios. Por lo anterior, no es permitido que de un trabajador a otro se intercambien roles y/o
cuentas para accesos al sistema. El responsable de la Oficina de TICS, tendrá un listado actualizado
Cada vez que se recibe una computadora de escritorio o portátil para darle acceso a los
servicios tecnológicos que brinda la empresa a los usuarios, es necesario, requerido y obligatorio,
por parte de la Oficina de Mantenimiento de equipos de cómputo, entregar el equipo con todos los
vacunas del antivirus, instalación y configuración del servicio de red inalámbrica, verificación
gestionar archivos PDF, verificación e instalación del software como herramientas de trabajo.
64
Todos los privilegios para el uso de los sistemas de información de la empresa deben
terminar inmediatamente después de que el trabajador, proveedor y/o contratista cesa de prestar
Se debe hacer un seguimiento a los accesos realizados por los usuarios a la información de
Los usuarios informáticos de Extra Rápido Los Motilones S.A., deben tratar los mensajes
mensajes en cuentas de otros, si fuera necesario leer el correo de alguien más (mientras se
encuentra por fuera o de vacaciones) el usuario ausente debe re direccionar el correo a otra cuenta
65
de correo interno, quedando prohibido hacerlo a una dirección de correo electrónico externo a la
intrusos y otros dispositivos de seguridad de red; debe ser documentada, respaldada por copia de
seguridad y mantenida por la administración de la red de datos o área encargada del proceso.
software que afecte los recursos informáticos, debe ser requerido por los usuarios responsables de
la información y del proceso y aprobado por los funcionarios del área de sistemas, con el visto
software puede ser aprobado, realizado e implantado por la misma persona o área.
correspondiente definido por la Empresa, de acuerdo con el tipo de cambio solicitado en los
recursos tecnológicos.
66
desde su solicitud hasta su implantación. Este mecanismo proveerá herramientas para efectuar
de software o modificación de parámetros debe realizarse de tal forma que no ponga en riesgo la
seguridad existente.
6.4.4 Política No.3: seguridad de la información. Los empleados y/o contratistas de Extra
Rápido Los Motilones S.A., responsables de la información que manejan deberán cumplir los
lineamientos generales y especiales dados por la Empresa, por la Ley para protegerla, evitar
Toda persona que utilice los equipos de cómputo y los servicios informáticos disponibles de la
Después de que el empleado y/o contratista deja de prestar sus servicios a Extra Rápido Los
realizado al Coordinador o jefe inmediato según sea el caso, y avala el recibido de la información
el paz y salvo del funcionario retirado. Una vez retirado el empleado y/o contratistas deben
conocida durante la gestión en la entidad, directamente o través de terceros, así mismo, los
funcionarios que detecten el mal uso de la información, está en la obligación de reportar el hecho
confidencialidad.
deben revelar únicamente a empleados y entes externos que lo requieran, de acuerdo con su
propiedad exclusiva de la Empresa Extra Rápido Los Motilones S.A. Esta política incluye
otros materiales.
Los empleados y/o contratistas que hayan recibido aprobación para tener acceso a Internet a
aceptar, respetar y aplicar las políticas y prácticas de uso de Internet implantadas por el área de
El sistema de correo electrónico y servicios informáticos prestados por Extra Rápido Los
Motilones S.A., deben ser usados únicamente para el ejercicio de las funciones de competencia de
La entidad se reserva el derecho de acceder y develar todos los mensajes enviados por medio
del sistema de correo electrónico para cualquier propósito. Para este efecto, el empleado y/o
contratista autorizará a la entidad para realizar las revisiones y/o auditorias respectivas
Extra Rápido Los Motilones S.A. prohíbe el servicio de Internet en la red de comunicaciones a
este mensaje debe ir acompañado de palabras que indiquen claramente que su contenido no
representa la posición de la entidad. Si los usuarios sospechan que hay infección por un virus,
6.4.6 Política No.5: seguridad de los sistemas de información. En la Empresa Extra Rápido
Los Motilones S.A, todos los Servicios Tecnológicos deben cumplir como mínimo con lo
siguiente:
Administración de usuarios: Constituye la forma como deben ser utilizadas las claves de
ingreso a los sistemas de información. Se dan los parámetros sobre la longitud mínima de las
contraseñas, la frecuencia con la que los usuarios deben cambiar su contraseña y los períodos de
Rol de Usuario: Los sistemas operacionales deben tener roles predefinidos o un módulo que
permita definir roles, definiendo las acciones permitidas por cada uno de estos, ya sea en bases de
datos y aplicativos. Deberán permitir la asignación a cada usuario de posibles y diferentes roles.
Logs de Operaciones: Debe mostrar pistas o registros de los sucesos relativos a la operación.
Las Puertas Traseras: Las puertas traseras son entradas no convencionales a los sistemas
mismas en la mayoría de los sistemas operacionales, bases de datos, aplicativos y efectuar las
El control de acceso a todos los sistemas de computación de la empresa debe realizarse por
medio de códigos de identificación y palabras claves o contraseñas únicas para cada usuario, bien
70
sea controlado y administrado por un Directorio Activo o una herramienta similar que cumpla con
esta tarea. Las palabras claves o contraseñas de acceso a los sistemas de información, que
designen los funcionarios y/o contratistas son responsabilidad exclusiva de cada uno de ellos y no
Los usuarios son responsables de todas las actividades llevadas a cabo con su cuenta
Se prohíbe tener identificaciones de usuario genéricas basadas en sus funciones de trabajo. Las
6.4.7 Política No.6: seguridad en las redes de comunicación. Las direcciones internas,
información confidencial.
La Empresa, entendiendo la importancia del correo electrónico como herramienta para facilitar
la comunicación entre empleados y terceras partes, proporcionará un servicio idóneo y seguro para
la ejecución de las actividades que requieran el uso del correo electrónico, respetando siempre los
empleado de la empresa o provisto por un tercero, bajo ninguna circunstancia debe utilizar una
Los mensajes y la información contenida en los correos electrónicos deben ser relacionados con
Los mensajes y la información contenida en los buzones de correo son propiedad de Extra
Rápido Los Motilones S.A., y cada usuario, como responsable de su buzón, debe mantener
solo para un grupo reducido de usuarios, teniendo en cuenta sus funciones y para facilitar canales
mensajes de cualquier tipo, ya sea comercial, político, religioso, material audiovisual, contenido
ofensivas para los funcionarios de la empresa y el personal provisto por terceras partes.
72
6.4.8 Política No.7: seguridad para usuarios terceros. Los proveedores, personal externo o
personal que tenga algún tipo de relación con la empresa son considerados como usuarios terceros.
El acceso a terceros será limitado en cuanto a privilegios y tiempo de acceso a los sistemas de
información de la entidad.
Para suministrar permiso de acceso a usuarios externos o terceros, éste deberá presentar ante el
Los usuarios considerados terceros deben acatar cada una de las disposiciones de las políticas
La conexión entre sistemas internos de la Empresa y otros de terceros debe ser aprobada y
interna de la entidad.
Los equipos de usuarios terceros que deban estar conectados a la Red, deben cumplir con todas
Como requisito para interconectar la red de la empresa con las de terceros, los sistemas de
comunicación de terceros deben cumplir con los requisitos establecidos por la Empresa. La entidad
73
se reserva el derecho de monitorear estos sistemas de terceros sin previo aviso para evaluar la
sistemas de terceros que no cumplan con los requerimientos internos establecidos por Extra Rápido
6.4.9 Política No.8: software utilizado. Extra Rápido Los Motilones S.A., a través del área de
software operativo, se cerciorará de contar con el soporte de los proveedores de dicho software y
Todo software que utilice Extra Rápido Los Motilones S.A., será adquirido de acuerdo con las
internos.
Todo el software de manejo de datos que utilice la Empresa dentro de sus sistemas de
información, deberá contar con las técnicas más avanzadas de la industria para garantizar la
Debe existir una cultura tecnológica al interior de la Empresa que garantice el conocimiento
por parte de los empleados y contratistas de las implicaciones que tiene el instalar software ilegal
El Área de Sistemas debe conceder accesos temporales y controlados a los proveedores para
realizar las actualizaciones sobre el software operativo, así como monitorear dichas
actualizaciones.
Los usuarios o funcionarios que requieran instalación de software deben justificar su uso,
Se considera una falta grave que los usuarios, instalen cualquier tipo de programa en sus
que no esté autorizado por área de Sistemas. También se considera una falta grave el
relacionados) y documentos de texto en los equipos de Extra Rápido Los Motilones S.A.,
El Área de Sistemas debe validar los riesgos que genera la migración hacia nuevas versiones
operativo es actualizado.
6.4.10 Política No.9: actualización de hardware. Cualquier cambio que se requiera realizar
en los equipos de cómputo de Extra Rápido Los Motilones S.A., (cambios de procesador, adición
de memoria, tarjetas, etc.) y la reparación técnica de los equipos, que implique la apertura de los
Los equipos Tecnológicos instalados (PC, servidores, LAN, Router, Antenas, etc.) no deben
definida trimestralmente.
acuerdo con las normas emitidas de tal forma que se garantice su disponibilidad.
Debe existir una definición formal de la estrategia de generación, retención y rotación de las
Los backups de información deberán ser contemplados para suplir cualquier tipo de incidente,
este procedimiento debe ser documentado y utilizado solo por personal autorizado.
La información será clasificada según el criterio del área de archivo y de acuerdo a esta
6.4.12 Política No.11: auditoria. Todos los procesos y procedimientos generados en el área de
sistemas, estarán disponibles para revisión, evaluación y seguimiento en forma periódica y serán
susceptibles a modificación, adición o borrado en caso de tener hallazgos críticos, con el fin de
contribuir al mejoramiento continuo del proceso de calidad de Extra Rápido Los Motilones S.A.
6.4.13 Política No.12: seguridad física. Extra Rápido Los Motilones S.A., deberá contar con
los mecanismos de seguridad tales como sistemas de control y sistema de alarmas en las
Las personas que son visitantes temporales de la empresa deben ser acompañados durante el
tiempo que estén dentro de la misma, este acompañamiento debe hacerlo un empleado autorizado,
asesor o contratista, esto donde se conserva información o en un área y hasta que este mismo
Los particulares en general, entre ellos, los familiares de los empleados, no están autorizados
para utilizar los servicios y recursos informáticos de la Empresa, salvo previa autorización del área
ejecutiva.
El área de Sistemas, el Centro de Comunicaciones y las áreas que la empresa considere críticas,
deben ser lugares de acceso restringido y cualquier persona que ingrese a ellos deberá registrar el
motivo del acceso y estar acompañada permanentemente por el personal que labora cotidianamente
en estos lugares.
Toda persona que se encuentre dentro de la entidad deberá portar su identificación en lugar
visible.
Los equipos de cómputo no deben moverse o reubicarse sin la aprobación previa del personal
de canaleta) para conectar equipos eléctricos diferentes a su equipo de cómputo (CPU, monitor
ventiladores, taladros, cámaras fotográficas, de video y en general cualquier equipo que genere
caídas de energía.
78
seguridad o sospecha en la mala utilización en la Internet, la red corporativa o Intranet, los servicios
y recursos informáticos de cualquier nivel (local o institucional) deberá ser comunicada por él, en
los Recursos Computacionales. La implementación debe ser consistente con las prácticas
Conclusiones
Para EXTRA RAPIDO LOS MOTILONES S.A., es evidente la necesidad de analizar las
políticas de seguridad de la información para cubrir virtualmente todo lo que sucede en dicho
campo.
proyectos que dependen de manera crítica de un sistema con reglas claramente articuladas. Sin
este tipo de políticas de seguridad de la información, no se pueden garantizar que los sistemas
importar su formato, que nos indica un nivel o un determinado grado de seguridad de información,
por ejemplo, que está libre de peligro, daño o riesgo, o por el contrario que es vulnerable y puede
herramienta de seguridad somos nosotros mismos y nuestro sentido común, ya que se ha podido
comprobar que los descuidos o imprudencias son la principal fuente de las brechas de seguridad,
tanto del punto de vista del usuario personal como de las empresas.
80
También es evidente que se debe pensar en la forma de castigar dichos abusos en contra de la
seguridad de la información, algo mucho más importante es cómo lograr comprobar dicho abuso
Es necesario que el personal reciba capacitación sobre el tema, para que éste pueda tomar un
papel activo dentro de la empresa de manera que aplique este conocimiento en las diversas
actividades que realiza dentro y fuera de la empresa con el propósito de proteger de una forma
Bibliografía
seguridad de la información.
82
Webgrafia
htpp://www.gogle.com.co/search?q=imágenes+de+seguridad+de+la+informacion spv=2tb
iw=1366tbih=623Ettbm=ischEtbo=u
http://yudithdelcastillo.blogspot.com.co/2010/05/webgrafia.html
https://sites.google.com/site/enriqueqginformatica/home/webgrafia-2
https://informaticalegal.wordpress.com/2009/12/13/los-5-pasos-para-protegerse-del-software-
espia/
83
ANEXOS
84
Introducción
Cualquier persona que haga uso de los sistemas de información de la empresa debe contar con
usuario. El usuario al identificarse obtiene acceso al sistema, administración de recursos, niveles
de autorización etc., dicha identificación se realiza por medio de una cuenta o usuario,
generalmente asociados a una contraseña.
Usuario Activo
Los usuarios activos son aquellos que actualmente tienen derecho de acceso a los sistemas de
información de la Empresa.
Usuario Inactivo
Los usuarios inactivos son aquellos que se han desactivado en los sistemas de información y ya no
pueden ingresar al mismo.
Usuario Habilitado
Los usuarios habilitados son aquellos que de acuerdo a su perfil poseen permisos para realizar
operaciones sobre los sistemas de información
Usuario Deshabilitado
85
Los usuarios deshabilitados son aquellos que temporal o permanentemente no tienen derechos de
acceso para realizar operaciones en los sistemas de información.
Usuario Eliminado
Los usuarios eliminados son aquellos que se borran definitivamente de los sistemas de
información.
•Por retiro definitivo de la Empresa, traslado o cambio de funciones; para el traslado o cambio de
funciones siempre y cuando el usuario no necesite ingresar al sistema de información.
•Por solicitud del Jefe de Área, o la unidad de informática.
Condiciones Generales
Identificar todas las funciones laborales, la especificación del grupo de privilegios, y las
restricciones que debe tener cada cuenta.
Asignar los permisos estrictamente necesarios para que cumpla con sus funciones laborales de
acuerdo a su rol dentro de la Empresa.
Documentar los roles y privilegios de acceso a la información de acuerdo al perfil y funciones del
usuario.
Por traslado o cambio de funciones cuando los permisos de accesos a los sistemas de información
son distintos a los que ya tenía en el cargo anterior, se deshabilitan los del perfil anterior y se
habilitan los nuevos permiso
86
4D Browser
A2 PCI DSS
PCI Data Security Standard es un estándar de seguridad desarrollado con el objetivo de reducir el
fraude relacionado con tarjetas de crédito e incrementar la seguridad de los datos almacenados en
las mismas. A2SECURE le guía en el proceso de cumplimiento de esta normativa..
Abastor Replicado
Abastor puede trabajar en entornos de backup de dos modos diferentes, el primero como parte de
un entorno de backup ya operativo sobre NDMP o como servidor de backup propio. Su
configuración en este último modo es flexible, ya que permite Virtual Tapes y puede controlar
dispositivos de backup.
Mediante el uso de Linux, Software Libre y una plataforma hardware adecuada se implanta un
servidor de redes privadas virtuales (VPN) que permita el acceso seguro a la infraestructura interna
de la empresa desde cualquier punto del mundo..
Soluciones de acceso Remoto SSL, L2TP, IPsec
88
ACCESS Enterprise
Previene que el malware se copia en las unidades USB, permitiendo a los usuarios para mantener
la comodidad de almacenamiento portátil, mientras que la protección de los dispositivos, sus datos
y los sistemas que se enfrentan contra el malware.
Acronis
Acronis Backup & Recovery 11 Server for Windows proporciona copias de seguridad basadas en
disco y recuperación de desastres para servidores Windows individuales y está diseñado para
satisfacer las necesidades de las pequeñas empresas, en las que la gestión remota y centralizada no
es necesaria.
89
Acronis Backup & Recovery 11 Workstation proporciona copias de seguridad basadas en disco y
recuperación de desastres para estaciones de trabajo Windows y está diseñado para satisfacer las
necesidades de las pequeñas empresas, en las que la gestión remota y centralizada no es necesaria.
ActiveRoles Server
Con Acunetix Web Vulnerability Scanner puede estar seguro que su página web es segura frente
a los ataques web. Chequea automáticamente vulnerabilidades que aparentemente no son
detectadas como tales aportando informes de auditoría de seguridad web.
Acunetix WVS
Acunetix WVS
Adaman
Adaman BSD, es el software que permite realizar con facilidad el borrado seguro e inmediato de
archivos, carpetas y unidades lógicas completas, así como del contenido de la papelera de reciclaje.
Es de uso obligatorio en equipos de la Administración Pública que manejen información
clasificada.
adAS
Además, es multiprotocolo, siendo compatible con PAPI v1, SAML 1.1/Shibboleth 1.3 y SAML
2.0/Shibboleth 2.0.
Adbackup Enterprise
Adbackup Enterprise, la solución de backup para bases de datos y entornos complejos. Con el
backup de varias decenas de miles de puestos y el backup que han realizado algunos clientes de
varias decenas de Tb.
91
SGSI
www.ramajudicial.gov.co
92
Introducción.
Para la eliminación segura de medios se pueden emplear diversos tipos de mecanismos como:
Sobreescritura segura y sucesiva del medio
Desmagnetización del medio
Destrucción física del medio
Utilidades del sistema operacional como FORMAT sólo crean nuevas tablas FAT y ROOT,
dejando todos los datos anteriores sobre el disco intacto y recuperable. Por otra parte, una imagen
de las tablas de FAT y ROOT sustituidos se almacena, de manera que el comando UNFORMAT
se puede utilizar para restaurar ellos. Otras utilidades como FDISK simplemente limpian la tabla
de particiones (ubicado en el primer sector de la unidad) y no se limpia o borrar cualquier otra
cosa. Para un borrador completamente seguro se requiere el uso de una utilidad de la destrucción
de datos que borre los datos mediante la sobrescritura de todas las ubicaciones direccionables en
el disco con datos aleatorios.
93
En los casos en los que no se puede aplicar la sobreescritura segura y sucesiva del medio, puede
ser necesaria la utilización de equipo especializado de desmagnetizador que esté en capacidad de
borrar mediante campo magnético de alta intensidad cualquier dato incluidas partículas de óxido
y metal de cintas de almacenamiento o cassettes. En dichos casos particulares y muy específicos
se debe solicitar el apoyo técnico de la Unidad de informática de la Empresa para determinar si
amerita la contratación del servicio de desmagnetización de un medio o es preferible su destrucción
física cumpliendo con procedimientos de protección del medio ambiente.
La destrucción física del medio CD, USB, cinta disco duro u otros soporte de almacenamiento
digital consiste la ruptura, polverización o rayado total de la superficie del medio, ya que este
procedimiento impedirá la posterior utilización del medio solo es recomendable en los casos en
que se confirma que el medio ya no es necesario bajo ninguna circunstancia. La destrucción de
medios y la disposición final de los residuos debe seguir las directrices de la Empresa para la
preservación del medio ambiente.
Recursos
http://kb.mit.edu/confluence/display/istcontrib/Removing+Sensitive+Data
Directrices para eliminación segura de medios de almacenamiento
http://csrc.nist.gov/publications/drafts/800-88-rev1/sp800_88_r1_draft.pdf
Software de eliminación segura de medios
Eraser
http://eraser.heidi.ie/
94
Tipo
Complejidad Producto
usuarios
Entidades Eraser
Baja
Usuarios Temas: Borrado seguro
Entidades MyGPG
Media
Usuarios Temas: Borrado seguro , Cifrado/Codificado, Firma digital
Windows Sysinternals
Entidades Temas: Análisis de ficheros , Análisis de
Media
Usuarios protocolos , Antirootkit , Recuperación de datos , Herramientas
de test , Copias de seguridad , Borrado seguro , Monitorización
95
Listado de Productos
Listado de Soluciones con cumplimiento legal y normativo
Solución Descripción Empresa
ADAMAN Adaman BSD, es el software que permite realizar con Recovery
facilidad el borrado seguro e inmediato de archivos, Labs
carpetas y unidades lógicas completas, así como del
contenido de la papelera de reciclaje. Es de uso
obligatorio en equipos de la Administración Pública
que manejen información clasificada.
Desmagnetizador Gracias a sus reducidas dimensiones, su intimus
Intimus 8000 funcionamiento silencioso y sus ciclos de 60 segundos, International
el intimus 8000 puede instalarse perfectamente en un Spain, S.L.
escritorio. Rápido, seguro y borrado completo en una
sola pasada Certificados: CESG (UK) | NSM
(Noruega)
Desmagnetizador La intensidad de campo del desmagnetizador intimus intimus
Intimus 9000 junto con el campo magnético que genera garantiza International
que los datos no son recuperables mediante Spain, S.L.
operaciones informáticas o de laboratorio. Borrado
rápido, seguro y en una sola pasada Certificados:
CESG (UK) | NSM (Noruega)
deintimus La Intimus Hammer SES incorpora un comando de intimus
Hammer SES borrado seguro basado en firmware que permite purgar International
completamente todos los datos de las unidades de Spain, S.L.
disco duro. Este dispositivo sencillo y fácil de usar
permite conectar con hasta 30 discos duros.
96
INFORMACIÓN GENERAL
FECHA: ____ ____ ____
DÍA MES AÑO
APLICACIONES SOLICITADAS:
PRIVILEGIOS A ASIGNAR/MODIFICAR/ELIMINAR:
______________________________________________________________________________
______________________________________________________________________________
SERVICIOS SOLICITADOS:
SOLICITADO POR:
____________________________________________________ ___________________________________________________
NOMBRE DE RESPOSABLE Teléfono ó Correo Electrónico
____________________________________________________ ___________________________________________________
NOMBRE PROFESIONAL DE INFORMÁTICA Teléfono ó Correo Electrónico
HOJA DE RUTA (Debe ser diligenciada por cada administrador para cada una de las aplicaciones que se requieran en esta solicitud, y que por lo tanto
la solicitud ya haya sido ejecutada).
NOMBRE
APLICACIÓN REQUERIDA Nro de aprobación
ADMINISTRADOR
98
Establecer el método para identificar, analizar, priorizar y remediar las vulnerabilidades tecnológicas presentes en
las diferentes áreas y componentes tecnológicos que soportan los procesos del negocio de Extra Rápido Los
Motilones S.A., minimizando los riesgos a los que está expuesta la información. Así mismo, cumplir con los
requerimientos regulatorios aplicables a la organización.
2. ALCANCE
El alcance de este procedimiento aplica para todos los componentes de infraestructura tecnológica de Extra Rápido
Los Motilones S.A.,. Asimismo, este procedimiento debe ser aplicado por todos los funcionarios y terceros que
tengan acceso a la administración de los activos tecnológicos de la organización.
3. RESPONSABLE
El responsable de proceso, área o sistema de información debe garantizar la adecuada implementación del presente
procedimiento de gestión de cambios
4. DEFINICIONES
Sistema de información
Cualquier equipo de cómputo o telecomunicaciones, sistema o subsistema interconectado o no conectado
usado para la adquisición, almacenamiento, manipulación, gestión, movimiento, control, despliegue,
conmutación, intercambio, transmisión o recepción de voz, datos, vídeo en formas análogas o digitales así
como el software, firmware o hardware que forme parte del sistema.
Software
Programa de computador
Activo
Componente físico o lógico relacionado con la información y sus procesos de tratamiento, y que tiene
valor para la empresa. La entidad asigna un valor a cada activo que representa el nivel de importancia que
tiene el activo en el proceso del negocio.
Vulnerabilidad
99
Debilidad o defecto en las Tecnologías de Información que hace que la seguridad (en términos de
Confidencialidad, Integridad y Disponibilidad) de un activo sea susceptible de ser comprometida.
Vulnerabilidades Potenciales
Vulnerabilidades potenciales incluyen todas las vulnerabilidades que no podemos confirmar existir. La
única manera de verificar la existencia de estas vulnerabilidades sería llevar a cabo una exploración
intrusiva en su red, lo que podría resultar en una denegación de servicio. Esto está totalmente en contra de
nuestra política.
Amenaza
Un agente representa una amenaza para un sistema cuando dicho sistema tiene una vulnerabilidad que un
atacante puede explotar para obtener un beneficio.
Riesgo
Probable ocurrencia de que un atacante explote un fallo de seguridad en un activo determinado, en base a
las amenazas existentes y al impacto potencial que representaría para el negocio de la compañía.
Confidencialidad
Garantía de que únicamente accederán a la información los elementos autorizados para ello, y que dichos
elementos no van a convertir esa información en disponible para otras entidades.
Integridad
Garantía de que la información únicamente puede ser modificada por elementos autorizados asegurando
métodos de proceso exactos y completos.
Disponibilidad
Garantía de que la información y los activos relacionados deben estar accesibles a elementos autorizados
en tiempo, modo y lugar adecuado.
5. NORMATIVIDAD
Norma Técnica Colombiana NTC ISO/IEC 27001:2013 Anexo A12.1.2 Se deben controlar los cambios en la
organización, en los procesos de negocio, en las instalaciones y en los sistemas de procesamiento de información
que afecten la seguridad de la información.
Norma técnica Colombiana NTC ISO/IEC 20000-2 primera edición del 15 de diciembre de 2005 Sistemas de
Gestión de Información y Tecnología, sección 9 gestión de cambios
100
ENCUESTA
Objetivo: Conocer cómo la empresa Extra Rápido Los Motilones S.A., conserva, salvaguarda y
protege la información evitando su posible pérdida mediante exposición a amenazas latentes en
el entorno, como acceso, manipulación o deteriorar la información.
________________________________________________
________________________________________________
7. Usted usa o ha usado medios de almacenamiento externos tales como UBS, celulares, discos
externos en su sitio de trabajo con fines laborales o personales?
Si ____ No ____
101
8. Al solicitar cambios de hardware o software que afecte los recursos informáticos, quien o que
área solicita estos requerimientos?
_______________________________________________________
_______________________________________________________