Proyecto Final Edgar Eduardo Rizo Sanguino.docx

1

DISEÑO DE UN MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PARA LA ALCALDIA MUNICIPAL DE SAN CALIXTO NORTE DE SANTANDER, USANDO COMO HERRAMIENTA LAS ISO/IEC 27001:2013

Autor: EDGAR EDUARDO RIZO SANGUINO

Proyecto de Grado para Optar al Título de Ingeniero de Sistemas

Director ANTON GARCIA BARRETO Ingeniero de Sistemas

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA FACULTAD DE INGENIERÍAS INGENIERÍA DE SISTEMAS Ocaña, Colombia

septiembre de 2017

2

Dedicatoria

Dedico este trabajo de grado, principalmente a Dios, por haberme dado la vida y permitirme el haber llegado hasta este momento tan importante en mi formación profesional. A mis padres, y demás familiares por ser el pilar más importante y por demostrarme siempre su cariño y apoyo incondicional y por siempre estar dispuestos a escucharme y ayudarme en cualquier momento, por su interés y constancia acá está la recompensa, el cumplir esta meta en mi vida.

EDGAR EDUARDO RIZO SANGUINO

Índice Resumen..........................................................................................................................................9

3

Introducción...................................................................................................................................10 Capítulo 1. Diseño de un Manual de Políticas de Seguridad de la Información para la Alcaldía Municipal de San Calixto Norte de Santander, Usando Como Herramienta las ISO/IEC 27001:2013....................................................................................................................................12 1.1 Planteamiento del Problema.................................................................................................12 1.2 Formulación del Problema...................................................................................................13 1.3 Objetivos..............................................................................................................................13 1.3.1 Objetivo general.............................................................................................................13 1.3.2 Objetivos específicos.....................................................................................................13 1.4 Justificación..........................................................................................................................14 1.5 Delimitaciones......................................................................................................................14 1.5.1 Conceptual.....................................................................................................................14 1.5.2 Operativa........................................................................................................................15 1.5.3 Temporal........................................................................................................................15 1.5.4 Geográfica. ....................................................................................................................15 Capítulo 2. Marco Referencial.......................................................................................................16 2.1 Marco Histórico....................................................................................................................16 2.1.1 Antecedentes a nivel internacional.................................................................................16 2.1.2 Antecedentes a nivel nacional........................................................................................17 2.1.3 Antecedentes a nivel local..............................................................................................19 2.1.3.1 Historia del municipio de San Calixto........................................................................19 2.2 Marco Contextual.................................................................................................................20 2.3 Marco Teórico......................................................................................................................21 2.4 Marco Conceptual................................................................................................................23 2.4.1 Seguridad informática....................................................................................................23 2.4.2 Riesgos...........................................................................................................................24 2.4.3 Análisis del riesgo..........................................................................................................24 2.4.4 Clasificación del riesgo..................................................................................................25 2.4.5 Reducción del riesgo......................................................................................................26 2.4.6 Control del riesgo...........................................................................................................27 2.4.7 Evaluación de los riesgos...............................................................................................28 2.4.8 Identificar riesgos...........................................................................................................28 2.4.9 Análisis de riesgos..........................................................................................................29

4

2.4.10 Ponderación de los Factores de riesgo.........................................................................29 2.4.11 Valoración del riesgo....................................................................................................29 2.4.12 Políticas de seguridad...................................................................................................31 2.4.13Elementos de una política de seguridad........................................................................31 2.4.14 Seguridad Física...........................................................................................................32 2.4.15 Seguridad de acceso físico...........................................................................................33 2.4.16 Organización................................................................................................................33 2.4.17 Guardias de seguridad..................................................................................................34 2.4.18 Credenciales de identificación.....................................................................................34 2.4.19 Bitácora de registro de accesos....................................................................................34 2.4.20 Control de Vehículos....................................................................................................34 2.4.21 Área de sistemas...........................................................................................................35 2.4.22 Seguridad en la ubicación y Dimensión del área de sistemas......................................35 2.4.23 Seguridad del equipamiento.........................................................................................35 2.5 Marco Legal.........................................................................................................................36 Capítulo 3. Diseño Metodológico..................................................................................................41 3.1 Tipo de Investigación...........................................................................................................41 3.2 Población..............................................................................................................................41 3.3 Muestra.................................................................................................................................41 3.4 Técnica e Instrumentos de Recolección de la Información..................................................41 3.5 Análisis de la Información....................................................................................................42 Capítulo 4. Administración del proyecto.......................................................................................43 4.1 Recursos humanos................................................................................................................43 4.2 Recursos institucionales.......................................................................................................43 4.3 Recursos financieros.............................................................................................................43 Capítulo 5. Presentación de Resultados.........................................................................................44 5.1 Analizar los aspectos administrativos de la Alcaldía municipal de San Calixto, relacionados con la gestión de la información para determinar si son realizados de forma segura................44 5.2 Examinar la información que se obtuvo para identificar los factores de riesgo en la integridad, confidencialidad y disponibilidad de la información...............................................62 5.3 Como Estructurar el documento del manual de política de seguridad de la información, para la Alcaldía municipal de San Calixto, Norte de Santander.................................................69

5

Conclusiones..................................................................................................................................90 Recomendaciones..........................................................................................................................91 Referencias....................................................................................................................................92 Apéndice........................................................................................................................................95

Lista de tablas

Tabla 1. Valoración del riesgo........................................................................................................30 Tabla 2. inventario de hardware.....................................................................................................46 Tabla 3. Conocimiento de responsabilidades y sanciones, frente a la seguridad de la información. .......................................................................................................................................................47

6

Tabla 4. Acuerdo de confidencialidad de la información..............................................................48 Tabla 5. Se cuenta con mensajería electrónica interna para sus actividades.................................49 Tabla 6. Controles de ingreso del personal al área........................................................................50 Tabla 7. Seguridad en el computador que utiliza...........................................................................51 Tabla 8. Mantenimiento periódico de hardware y software...........................................................52 Tabla 9. Controles contra software malicioso o espía (antivirus, antispyware, etc.).....................53 Tabla 10. El equipo de cómputo es utilizado por dos o más funcionarios.....................................54 Tabla 11. Existencia de manual de procedimientos para la operación de los sistemas de cómputo en el área........................................................................................................................................55 Tabla 12. Realizan backup’s (Copias de Seguridad de la Información)........................................56 Tabla 13. Medio de almacenamiento.............................................................................................57 Tabla 14. Periodicidad...................................................................................................................58 Tabla 15. Procedimiento formal para reportes de incidentes.........................................................59 Tabla 16. Plan de contingencia......................................................................................................60 Tabla 17. Recolección e investigación de evidencias sobre incidente de seguridad de la información....................................................................................................................................61 Tabla 18. Hallazgos y riesgos en la seguridad de la información..................................................63 Tabla 19. Hallazgos y riesgos en la seguridad de la información encontrados en la Alcaldia del Municipio de San Calixto..............................................................................................................64

Lista de figuras

Figura 1. Estructura orgánica de la Acadia de San Calixto...........................................................45 Figura 2. Conocimiento de responsabilidades y sanciones, frente a la seguridad de la información....................................................................................................................................47 Figura 3. Acuerdo de confidencialidad de la información.............................................................48 Figura 4. Se cuenta con mensajería electrónica interna para sus actividades................................49 Figura 5. Controles de ingreso del personal al área.......................................................................50 Figura 6. Seguridad en el computador que utiliza.........................................................................51

7

Figura 7. Mantenimiento periódico de hardware y software.........................................................52 Figura 8. Controles contra software malicioso o espía (antivirus, antispyware, etc.)...................53 Figura 9. El equipo de cómputo es utilizado por dos o más funcionarios.....................................54 Figura 10. Existencia de manual de procedimientos para la operación de los sistemas de cómputo en el área........................................................................................................................................55 Figura 11. Realizan backup’s (Copias de Seguridad de la Información).......................................56 Figura 12. Medio de almacenamiento...........................................................................................57 Figura 13. Periodicidad..................................................................................................................58 Figura 14. Procedimiento formal para reportes de incidentes.......................................................59 Figura 15. Plan de contingencia.....................................................................................................60 Figura 16. . Recolección e investigación de evidencias sobre incidente de seguridad de la información....................................................................................................................................61

Lista de Apéndices

Apéndice 1. Encuesta realizada a los empleados de la Alcaldía Municipal de San Calixto Norte de Santander...................................................................................................................................95 Apéndice 2. Evidencias fotografías...............................................................................................98

8

9

Resumen El trabajo que se muestra a continuación, titulado: Diseño de un manual de políticas de seguridad de la información para la Alcaldía Municipal de San Calixto Norte de Santander, usando como herramienta las ISO/IEC 27001:2013, se encuentra dividido en seis capítulos, siendo el primero la propuesta del mismo, en el segundo se encuentran los marcos históricos, teórico, conceptual y legal. En el tercero se encuentra la metodología utilizada para el desarrollo del trabajo. El cuarto capítulo es el desarrollo de los objetivos, en donde se encuentran los resultados arrojados por los mismos, siendo el tema principal el diseño del manual de políticas para la entidad en mención. El quinto y sexto capítulo son las conclusiones y recomendaciones, respectivamente.

Los resultados obtenidos fueron satisfactorios, ya que se dio cumplimiento a los objetivos propuestos, aplicando así los conocimientos adquiridos durante el transcurso de la carrera. Allí se conoció los procesos que se realizan en la Alcaldía del municipio de San Calixto, relacionados con la gestión de la información; además se examinó la información que se obtuvo, identificando así los factores de riesgo en la misma. Finalmente, se propuso el manual de políticas de seguridad de la información, el cual se diseñó dejándolo a consideración de la entidad para su implementación.

10

Introducción La seguridad en cualquier campo de conocimiento y trabajo resulta ser muy importante, dado que representa confianza y disminuye el grado de incertidumbre. El concepto de seguridad es punto fuerte para el desarrollo de las Tecnologías de Información y de las empresas. De esta manera, para que un sistema de información se defina como seguro, debe cumplir con cuatro características: integridad, confidencialidad, disponibilidad y no repudio.

La integridad significa que la información puede ser modificada solo por personal autorizado; la confidencialidad, se refiere al acceso autorizado; la disponibilidad, implica que se puede acceder a la información cuando se necesite; y no repudio, consiste en que el personal no puede negar su acción sobre la información.[ CITATION Garsf \l 9226 ]. En este sentido, las tecnologías de información requieren de una coordinación y control adecuados para lograr la seguridad, que se pretende, siendo relevantes tres elementos clave: la información, equipos que la soportan y los usuarios.

Por lo anterior, el objetivo del trabajo de grado, fue diseñar una herramienta que brinde apoyo para poder proteger la información de la Alcaldía Municipal de San Calixto, Norte de Santander, de la mejor manera y de acuerdo a su situación actual. Para su realización se desarrollaron unos objetivos específicos, los cuales consistieron en: Análisis de los aspectos administrativos de la Alcaldía municipal de San Calixto, relacionados con la gestión de la información para determinar si son realizados de forma segura; examinar la información que se obtuvo para identificar los factores de riesgo en la integridad, confidencialidad y disponibilidad de la información; y, estructurar el documento del manual de política de seguridad de la información, para la Alcaldía

11

municipal de San Calixto, Norte de Santander. La herramienta correspondiente al manual de políticas de la información, fue desarrollada tomando como base la norma técnica ISO 27001. El mismo queda a consideración de la Alcaldía de San Calixto, quienes lo estudiarán para poder ser implementado en la misma.

12

Capítulo 1. Diseño de un Manual de Políticas de Seguridad de la Información para la Alcaldía Municipal de San Calixto Norte de Santander, Usando Como Herramienta las ISO/IEC 27001:2013

1.1 Planteamiento del Problema Una política de seguridad informática es aquella que fija los lineamientos y procedimientos que deben adoptar las empresas para salvaguardar sus sistemas y la información que estos contienen. Si bien existen algunos modelos o estructuras para su diseño, estás tienen que ser elaboradas de forma personalizada para cada empresa y así recoger las características propias que tiene la organización. [ CITATION Oje10 \l 9226 ] La información es importante para todas las organizaciones y sin ella la empresa dejaría de funcionar, principalmente si se habla de empresas altamente automatizadas por lo que su seguridad sigue siendo un punto pendiente en las empresas, basta con mirar sus actividades para darse cuenta que la seguridad es el factor más determinante por el cual fracasan las organizaciones. Caso como éstos, es el de la Alcaldía municipal de San Calixto, Norte de Santander, la cual no ha tenido en cuenta la importancia de mantener segura la información en la entidad para prevenir el peligro de comprometer sus operaciones, las cuales son en una buena cantidad, ya que incluye lo que tiene que ver con su parte interna (empleados) y la externa (municipio); además de no analizar las vulnerabilidades a los que está expuesta la información y que afectan a su funcionamiento normal y el impacto que puede conllevar los incidentes de seguridad. Así mismo, la ausencia de unas políticas de seguridad informática en dicha Alcaldía, hace que el acceso a todas sus áreas físicas, lo pueda realizar cualquier personal de la misma y en

13

muchas de las ocasiones, personas particulares; ya que no cuenta con una herramienta que pueda controlar su ingreso o políticas de seguridad normadas que prohíba el acceso al departamento y a servidores de datos o información. El personal encargado del área de informática, es de cierta manera empírico en cuanto a la seguridad que manejan dentro de la misma, teniendo en cuenta que lo que allí aplican son los conocimientos que se tienen y han sido aprendidos de manera externa, lo cual hace más necesaria la propuesta de un plan estratégico de políticas de seguridad en la Alcaldía Municipal de San Calixto, Norte de Santander. 1.2 Formulación del Problema ¿Qué beneficios traerá para la Alcaldía del municipio de San Calixto, Norte de Santander, la propuesta de un manual de políticas de seguridad de la información?

1.3 Objetivos 1.3.1 Objetivo general. Diseñar un manual de políticas de seguridad de la información para la Alcaldía municipal de San Calixto, Norte de Santander. 1.3.2 Objetivos específicos. Analizar los aspectos administrativos de la Alcaldía municipal de San Calixto, relacionados con la gestión de la información para determinar si son realizados de forma segura. Examinar la información que se obtuvo para identificar los factores de riesgo en la integridad, confidencialidad y disponibilidad de la información. Estructurar el documento del manual de política de seguridad de la información, para la Alcaldía municipal de San Calixto, Norte de Santander.

14

1.4 Justificación Las políticas y estándares de Seguridad de la Información tienen como objetivo establecer medidas técnicas de organización de las tecnologías de información y de las personas que interactúan haciendo uso de los servicios informáticos que proporciona la Alcaldía del municipio de San Calixto, contribuyendo con la mejora y complimiento de metas institucionales. Además, el tener en claro el diseño de un plan estratégico de seguridad de la información, permite que esta no se pierda, no se altere, esté segura y disponible cuando se le requiera, para el correcto y normal funcionamiento de las actividades que se realizan en la entidad, dando así una mayor credibilidad y confianza a todos los usuarios. Todo esto lleva a la importancia de diseñar un manual de políticas de seguridad de la información para la Alcaldía municipal de San Calixto (Norte de Santander), ya que con la aplicación de la identificación de riesgos en la Alcaldía y una propuesta de seguridad en la información, se evaluarán las prácticas de seguridad informática dentro de ella, la cual llegará a obtener el control total de la información y creará responsabilidad de cada persona que la manipula, creando así conciencia del funcionamiento adecuado de la información de la empresa, permitiendo el control de los datos de ésta, obteniéndose ventajas en cuanto a la implantación de procedimientos, métodos y controles con el objeto de administrar, proteger y salvaguardar uno de los activos más importantes, como es la información. 1.5 Delimitaciones 1.5.1 Conceptual. El presente diagnóstico se fundamentará en conceptos tales como: Seguridad de la información, riesgos, políticas de seguridad de la información, controles, Norma ISO 27001:2013.

15

1.5.2 Operativa. El incumplimiento de los objetivos del presente trabajo, puede darse por factores ajenos al autor; sin embargo, en caso de presentarse inconvenientes, se buscará la asesoría a través del director del trabajo de grado. 1.5.3 Temporal. Se determina que el proyecto para su realización tenga una duración de ocho (8) semanas, a partir de la aprobación del mismo, de acuerdo con el cronograma de actividades que se incorpora al estudio. 1.5.4 Geográfica. Este proyecto se llevará a cabo en las instalaciones de la Alcaldía del municipio de San Calixto, Norte de Santander.

16

Capítulo 2. Marco Referencial 2.1 Marco Histórico 2.1.1 Antecedentes a nivel internacional. Sin dudas uno de los pioneros en el tema fue James P. Anderson, quien allá por 1980 y a pedido de un ente gubernamental produjo uno de los primeros escritos relacionados con el tema,

Computer Security Threat Monitoring and Surveillance

describe ahí la importancia del comportamiento enfocado hacia la seguridad en materia de informática; y es allí donde se sientan también las bases de palabras que hoy suenan como naturales, pero que por aquella época parecían ciencia ficción. En ese documento se encuentran los primeros atisbos de definiciones casi proféticas: Amenaza: la posibilidad de un intento deliberado y no autorizado de: Acceder a información Manipular información Convertir un sistema en no-confiable o inutilizable Riesgo: Exposición accidental e impredecible de información, o violación de la integridad de operaciones debido al malfuncionamiento de hardware o diseño incorrecto o incompleto de software. Vulnerabilidad: una falla conocida o su sospecha tanto en hardware como en el diseño de software, o la operación de un sistema que se expone a la penetración de su información con exposición accidental. Ataque: Una formulación especifica o ejecución de un plan para levar a cabo una amenaza. Penetración: Un ataque exitoso; la habilidad de obtener acceso no-autorizado (indetectable) a archivos y programas o el control de un sistema computarizado."

17

Estas definiciones fueron vistas y planteadas en 1980. La definición de Vulnerabilidad fue tan acertada por aquella época que hoy en día se derivan extensiones donde entre otras cosas se determina que una vulnerabilidad no conocida por nadie no tiene la entidad de tal ya que es inexplotable hasta tanto sea descubierta. [ CITATION Mén15 \l 9226 ] 2.1.2 Antecedentes a nivel nacional. MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior – ICETEX 2014 El Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior – ICETEX identifica la información como un componente indispensable en la conducción y consecución de los objetivos definidos por la estrategia de la entidad, razón por la cual es necesario que el instituto establezca un marco en el cual se asegure que la información es protegida de una manera adecuada independientemente de la forma en la que ésta sea manejada, procesada, transportada o almacenada. Este documento describe las políticas y normas de seguridad de la información definidas por el ICETEX. Para la elaboración del mismo, se toman como base las leyes y demás regulaciones aplicables, el capítulo décimo segundo del título primero de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, la norma ISO 27001:2013 y las recomendaciones del estándar ISO 27002:2013. [ CITATION Ice14 \l 9226 ] Política general de seguridad de la información Artesanías de Colombia 2014 Artesanías de Colombia S.A. consiente de los riesgos actuales decidió adoptar el modelo de gestión de seguridad de la información sugerido por el Ministerio de las Tecnologías de la

18

Información “ESTRATEGIA DE GOBIERNO EN LINEA” el cual permite a la entidad identificar y minimizar los riesgos a que está expuesta la información y los procesos y elementos asociados a ella. Dado el gran esfuerzo y recursos que demanda el SGSI, la entidad ha venido adoptando transicionalmente una serie de políticas y medidas que le permitan ir avanzando hasta alcanzar el nivel de madurez necesario. Por lo anterior, la política y el desarrollo del SGSI serán revisadas con regularidad como parte del proceso de revisión gerencial, o en la medida que se sugieran cambios en el desarrollo del negocio, estructura, objetivos o estrategias que involucren aspectos afines. [ CITATION Art14 \l 9226 ] Manual de la política de seguridad para las tecnologías de la información y las comunicaciones – TICS Presidencia de la República 2014 Las Políticas de Seguridad de la Información son aplicables para todos los aspectos administrativos y de control que deben ser cumplidos por los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan algún tipo de relación con el Departamento Administrativo de la Presidencia de la República - DAPRE, para el adecuado cumplimiento de sus funciones y para conseguir un adecuado nivel de protección de las características de calidad y seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas, siendo un punto clave para el logro del objetivo y la finalidad de dicho manual. Los usuarios tienen la obligación de dar cumplimiento a las presentes políticas emitidas y aprobadas por la Dirección General. Para ello, se presentó en forma clara y coherente los elementos que conforman la política de seguridad que deben conocer y cumplir todos los directivos, funcionarios contratistas y terceros que presten sus servicios o tengan algún tipo de relación con el Departamento Administrativo de la Presidencia de la República.

19

2.1.3 Antecedentes a nivel local. Frente a los compromisos de la implementación de la Estrategia Gobierno en línea la Alcaldía Municipal de Ocaña, teniendo en cuenta: “La metodología para la elaboración de diagnósticos para la implementación de la estrategia de gobierno en línea” (dirección de articulación y gestión) programa gobierno en línea, ha efectuado las siguientes disposiciones previas al acompañamiento y capacitación para el cumplimiento de la fase de información y el avance en la fase de interacción: Actualización del sitio web, con el fin de brindar información actualizada a la comunidad. Publicitar el sitio web Municipal a través de diferentes mecanismos de socialización, para dar a conocer el municipio a nivel Nacional e Internacional. Dinamizar el turismo del municipio, por medio del aprovechamiento del sitio web, como medio para dar a conocer los diferentes atractivos turísticos, gastronómicos y culturales. [ CITATION Alc10 \l 9226 ] 2.1.3.1 Historia del municipio de San Calixto. Los indígenas llamados Boquiní, habitaron el espacio comprendido en la parte oriental de Ocaña (hoy corresponde a la Playa, San Calixto y Teorama). El sometimiento de los Boquiní fue tardío, en relación con otros aborígenes del área, debido a la difícil penetración por la rebeldía indígena y por la poca densidad demográfica. El primer encomendero del que se tiene noticia, fue Luis García Romany, compartía la encomienda con Gonzalo Yáñez Caballero. Según título dado por el gobernador Capitán General de Santa Marta, don Juan Giral Vellón, en 1602. En 1645, doña Clara Romany heredó la encomienda por adjudicación que le hiciera el gobernador Vicente de Villalobos.

20

Los Boquiní, recobraron su autonomía al no ser renovada la encomienda y fueron concentrados como pueblo de San Andrés, aproximadamente en 1725. A finales del siglo XVll, el área fue sometida a permanentes disputas de tierras y a varias titulaciones de baldíos. El gran terrateniente del partido de Boquiní fue Buenaventura de León, quien adquirió esta tierra, en 1774. [ CITATION San131 \l 9226 ] 2.2 Marco Contextual San Calixto es un municipio de Colombia, situado al nordeste del país, en el departamento de Norte de Santander. Limita con los municipios de Teorema y El Tarra por el norte, por el este con Tibú y Sardinata, y por el sur con Ocaña y Teorama. Uno de sus corregimientos es Cucurina. Los indígenas de la tribu Hacaritama fueron sus primeros habitantes. Recibe el nombre de San Calixto en honor al Papa Calixto I. Tiene una temperatura media de 19 °C y dista de la ciudad de Cúcuta 27 km. Fundado en 1845 por Cayetano Franco Pinzón, erigido como municipio en 1892. El municipio cuenta con 12.581 habitantes. Generalidades: Altitud: 1.650 metros sobre el nivel del mar. Extensión: 677 kms2 Clima: 17 grados C. Distancia a Cúcuta: 243 Kms Coordenadas geográficas: Longitud al oeste de Greenwich 73º 13', Límites: Norte: El Tarra, Sur: Ocaña y La Playa de Belén,

Latitud Norte 8º 25'

21

Oriente: Tibú y Hacarí, Occidente: Teorama. División Administrativa: Compuesto por 13 corregimientos y 80 veredas Rios: El Catatumbo, el Tarra y san Miguel y las quebradas Santa catalina, Cristalina, Grande Maravilla y La Cueva. [ CITATION San131 \l 9226 ] 2.3 Marco Teórico Hablar de evolución de seguridad es complejo, desde el inicio de la vida en comunidad, existían acciones para evitar amenazas, proteger la vida y las posesiones, allí se usaban métodos defensivos y se manejaban conceptos de alertar, evitar, detectar, alarmar y reaccionar a los diferentes hechos que podían suceder. La familia, posteriormente diseñó esquemas de protección y se crearon lugares para resguardarse. Algunos descubrimientos arqueológicos denotan con evidencias la importancia de la seguridad para las antiguas generaciones, entre estos tenemos las pirámides egipcias, el palacio de Sargon, el Dios egipcio Anubis, los Sumaricos, el Código de Hammurabi, entre otros. Hasta se dice que Julio César utilizaba esquemas de seguridad en época de guerra y en el gobierno. La seguridad moderna se originó con la revolución industrial para combatir los delitos y movimientos laborales, tan comunes en aquella época. Finalmente, un teórico y pionero de la administración Henry Fayol en 1919 identifica la seguridad como una de las funciones empresariales, luego de la técnica comercial, financiera, contable y directiva. Al definir el objetivo de la seguridad Fayol dice: "salvaguardar propiedades y personas contra el robo, fuego, inundación contrarrestar huelgas y traiciones por parte del personal, y de forma

22

amplia todos los disturbios sociales que puedan poner en peligro el progreso e incluso la vida del negocio." Las medidas de seguridad a las que se refiere Fayol, sólo se restringían a los exclusivamente físicos de la instalación, ya que el mayor activo era justamente ese los equipos, ni siquiera el empleado. Con la aparición de las computadoras, esta mentalidad se mantuvo, porque ¿Quién sería capaz de entender estos complicados aparatos como para poner en peligro la integridad de los datos por ellos utilizados? Hoy, la seguridad, desde el punto de vista legislativo, está en manos de los políticos, a quienes les toca decidir sobre su importancia, los delitos en que se pueden incurrir, y el respectivo castigo, si correspondiera. Este proceso ha conseguido importantes logros en las áreas de prevención del crimen, terrorismo y riesgo más que en el pensamiento general sobre seguridad. En cambio, desde el punto de vista técnico, la seguridad está en manos de la dirección de las organizaciones y, en última instancia, en cada uno de nosotros y en nuestro grado de concientización respecto a la importancia de la información y el conocimiento en este nuevo milenio. La ISO/IEC 27001:2013, es un estándar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización. En función del tamaño y necesidades se implementa un SGSI con medidas de seguridad más o

23

menos estrictas, que en cualquier caso pueden variar a lo largo del tiempo. 2.4 Marco Conceptual 2.4.1 Seguridad informática. Comenta Pérez (2010), que para llegar a una correcta definición de seguridad informática se debe conocer primero los conceptos de informática y seguridad respectivamente: La definición de seguridad trae consigo una ausencia de amenazas, situación que en el mundo contemporáneo es muy difícil de sostener, las sociedades actuales son sociedades de riesgo. El componente riesgo es permanente y da carácter propio de los estados y sociedades nacionales, como tal la seguridad no puede ser entendida como ausencia de amenazas. La informática surge en la preocupación del ser humano por encontrar maneras de realizar operaciones matemáticas de forma cada vez más rápida y fácilmente. Pronto se vio que con ayuda de aparatos y máquinas las operaciones podían realizarse de forma más eficiente, rápida y automática. Según la definición de la Real Academia Española, la palabra informática significa “Conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores”. La definición de seguridad informática proviene entonces de los dos términos antes definidos. La seguridad informática son técnicas desarrolladas para proteger los equipos informáticos y la información de daños accidentales o intencionados. Objetivo de la seguridad informática. La seguridad informática tiene como principal objetivo proteger el activo más importante que tiene la empresa que es su información de los riesgos a los que está expuesta. Para que la información sea considerada confiable para la organización ya que sus estrategias de negocio dependerán del almacenamiento, procesamiento y presentación de la

24

misma, esta deberá cubrir los tres fundamentos básicos de seguridad para la información que son: Confidencialidad. Se define como la capacidad de proporcionar acceso a usuarios autorizados, y negarlo a no autorizados. Integridad. Se define como la capacidad de garantizar que una información o mensaje no han sido manipulados. Disponibilidad. Se define como la capacidad de acceder a información o utilizar un servicio siempre que lo necesitemos. La seguridad informática se preocupa de que la información manejada por un computador no sea dañada o alterada, que esté disponible y en condiciones de ser procesada en cualquier momento y se mantenga confidencial. (p.3) 2.4.2 Riesgos. Los riesgos se pueden definir como aquellas eventualidades que imposibilitan el cumplimiento de un objetivo y según la Organización Internacional por la Normalización (ISO) define riesgo tecnológico como “La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole pérdidas o daños”. A raíz de esta definición podemos concluir que cualquier problema que afecte al total funcionamiento de la empresa es considerado un riesgo o amenaza para la entidad. [ CITATION Luc99 \l 9226 ] 2.4.3 Análisis del riesgo. El primer paso en la Gestión de riesgo es el análisis de riesgo que tiene como propósito determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo. La clasificación de datos tiene el propósito de garantizar la protección de datos (personales) y

25

significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes niveles de autorización de acceso a los datos e informaciones. Considerando el contexto de nuestra misión institucional, tenemos que definir los niveles de clasificación como, por ejemplo: confidencial, privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder a los datos, el grado y mecanismo de autenticación. Una vez clasificada la información, tenemos que verificar los diferentes flujos existentes de información internos y externos, para saber quiénes tienen acceso a qué información y datos. Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante, porque ambas cosas influyen directamente en el resultado del análisis de riesgo y las consecuentes medidas de protección. Porque solo si sabemos quiénes tienen acceso a qué datos y su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño causado por un acceso no autorizado. 2.4.4 Clasificación del riesgo. El objetivo de la clasificación de riesgo es determinar hasta qué grado es factible combatir los riesgos encontrados. La factibilidad normalmente depende de la voluntad y posibilidad económica de una institución, sino también del entorno donde nos ubicamos. Los riesgos que no queremos o podemos combatir se llaman riesgos restantes y no hay otra solución que aceptarlos. Implementar medidas para la reducción de los riesgos significa realizar inversiones, en general económicas. El reto en definir las medidas de protección, entonces está en encontrar un buen equilibrio entre su funcionalidad (cumplir con su objetivo) y el esfuerzo económico que tenemos que hacer para la implementación y el manejo de éstas. De igual manera como debemos evitar la escasez de protección, porque nos deja en peligro que pueda causar daño, el exceso de medidas y procesos de protección, pueden fácilmente

26

paralizar los procesos operativos e impedir el cumplimiento de nuestra misión. El caso extremo respecto al exceso de medidas sería, cuando las inversiones para ellas, superen el valor del recurso que pretenden proteger. Entonces el estado que buscamos es, que los esfuerzos económicos que realizamos y los procesos operativos, para mantener las medidas de protección, son suficientes, ajustados y optimizados, para que respondan exitosamente a las amenazas y debilidades (vulnerabilidades) que enfrentamos. [ CITATION Rop13 \l 9226 ] 2.4.5 Reducción del riesgo. La reducción de riesgo se logra a través de la implementación de Medidas de protección, que basen en los resultados del análisis y de la clasificación de riesgo. Las medidas de protección están divididas en medidas físicas y técnicas, personales y organizativas. En referencia al Análisis de riesgo, el propósito de las medidas de protección, en el ámbito de la Seguridad Informática, solo tienen un efecto sobre los componentes de la Probabilidad de Amenaza, es decir aumentan nuestra capacidad física, técnica, personal y organizativa, reduciendo así nuestras vulnerabilidades que están expuestas a las amenazas que enfrentamos. Las medidas normalmente no tienen ningún efecto sobre la Magnitud de Daño, que depende de los Elementos de Información y del contexto, entorno donde nos ubicamos. Es decir, no se trata y muy difícilmente se puede cambiar el valor o la importancia que tienen los datos e informaciones para nosotros, tampoco vamos a cambiar el contexto, ni el entorno de nuestra misión. La fuerza y el alcance de las medidas de protección, dependen del nivel de riesgo Alto riesgo: Medidas deben evitar el impacto y daño. Medio riesgo: Medidas solo mitigan la magnitud de daño, pero no evitan el impacto. Considerando que las implementaciones de medidas de protección están en directa relación

27

con inversiones de recursos económicos y procesos operativos, es más que obvio, que las medidas, para evitar un daño, resultarán (mucho) más costosas y complejas, que las que solo mitigan un daño. Para que las medias sean exitosas, es esencial que siempre verificamos su factibilidad, es decir que técnicamente funcionan y cumplen su propósito, que están incorporadas en los procesos operativos institucionales y que las personas se apropian de estás. Es indispensable que están respaldadas, aprobadas por aplicadas por la coordinación, porque si no, pierden su credibilidad. También significa que deben ser diseñadas de tal manera, que no paralizan u obstaculizan los procesos operativos porque deben apoyar el cumplimiento de nuestra misión, no impedirlo. Otro punto clave es, que las personas que deben aplicar y apropiarse de las medias saben sobre su existencia, propósito e importancia y son capacitadas adecuadamente en su uso, de tal manera, que las ven como una necesidad institucional y no como otra cortapisa laboral. Debido a que la implementación de las medidas no es una tarea aislada, única, sino un proceso continuo, su manejo y mantenimiento debe estar integrado en el funcionamiento operativo institucional, respaldado por normas y reglas que regulan su aplicación, control y las sanciones en caso de incumplimiento. [CITATION Rop13 \p 2 \l 9226 ] 2.4.6 Control del riesgo. El propósito del control de riesgo es analizar el funcionamiento, la efectividad y el cumplimiento de las medidas de protección, para determinar y ajustar sus deficiencias. Las actividades del proceso, tienen que estar integradas en el plan operativo institucional, donde se define los momentos de las intervenciones y los responsables de ejecución. Medir el cumplimiento y la efectividad de las medidas de protección requiere que levantemos constantemente registros sobre la ejecución de las actividades, los eventos de ataques y sus

28

respectivos resultados. Estos tenemos que analizados frecuentemente. Dependiendo de la gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones institucionales para los funcionarios. En el proceso continuo de la Gestión de riesgo, las conclusiones que salen como resultado del control de riesgo, nos sirven como fuente de información, cuando se entra otra vez en el proceso de la Análisis de riesgo. [CITATION Rop13 \p 5 \l 9226 ] 2.4.7 Evaluación de los riesgos. La evaluación de los riesgos es el proceso por el cual se identifican las vulnerabilidades de la seguridad. Por tanto el objetivo general de evaluar los riesgos será identificar las causas de los riesgos potenciales, en toda la organización, a parte de ella o a los sistemas de información individuales, a componentes específicos de sistemas o servicios donde sea factible y cuantificarlos para que la Gerencia pueda tener información suficiente al respecto y optar por el diseño e implantación de los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los diferentes puntos de análisis. [ CITATION Ech10 \l 9226 ] Los pasos para realizar una valoración de riesgos se detallan a continuación: Identificar los riesgos Análisis de los riesgos 2.4.8 Identificar riesgos. En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático, existen formas de identificarlos como: Cuestionarios de análisis de riesgos: La herramienta clave en la identificación de riesgos son los cuestionarios los mismos que están diseñados para guiar al administrador de riesgos para descubrir amenazas a través de una serie de preguntas y en algunas instancias, este instrumento está diseñado para incluir riesgos asegurables e in-asegurables. El cuestionario de análisis de

29

riesgos está diseñado para servir como un repositorio de la información acumulada de documentos, entrevistas e inspecciones. Su propósito es guiar a la persona que intenta identificar exposiciones a riesgo a través del proceso de la identificación en un modelo lógico y consistente. Listas de chequeo de exposiciones a riesgo: Una segunda ayuda importante en la identificación de riesgos y una de las más comunes herramientas en el análisis de riesgos son las listas de chequeo, las cuales son simplemente unas listas de exposiciones a riesgo. Listas de chequeo de políticas de seguridad: Esta herramienta incluye un catálogo de varias políticas de seguridad que un negocio dado puede necesitar. El administrador de riesgos consulta las políticas recolectadas y aplicadas a la firma. Sistemas expertos: Un sistema experto usado en la administración de riesgos incorpora los aspectos de las herramientas descritas anteriormente en una sola herramienta. La naturaleza integrada del programa permite al usuario generar propósitos escritos y prospectos. 2.4.9 Análisis de riesgos. Una vez se hayan identificado los riesgos, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas de solución. 2.4.10 Ponderación de los Factores de riesgo. Ponderar el factor de riesgo es darle un valor de importancia en términos porcentuales al mismo bajo los criterios de especialistas en el área informática que pueden identificar su impacto en la organización, teniendo en cuenta las posibilidades de que se puedan convertir en realidad. 2.4.11 Valoración del riesgo. La valoración del riesgo envuelve la medición del potencial de las pérdidas y la probabilidad de la pérdida categorizando el orden de las prioridades. [CITATION Ech10 \p 146 \l 9226 ]

Tabla 1

30

Valoración del riesgo

Cuadrante Impacto significante y probabilidad Alta Impacto significante y probabilidad Baja Impacto insignificante y probabilidad Alta Impacto insignificante y probabilidad Baja

Valoración del riesgo Alto Medio-alto

Medio-bajo

Bajo

Fuente: ECHENIQUE GARCÍA, José Antonio. Auditoria en Informática, 2a Edición. Mc Graw Hill. p.148.

Una explicación más clara de la valoración es la siguiente: Riesgo alto: Todas las exposiciones a pérdida en las cuales la magnitud alcanza la bancarrota. Riesgo medio: Son exposiciones a pérdidas que no alcanzan la bancarrota, pero requieren una acción de la organización para continuar las operaciones. Riesgo bajo: Exposiciones a pérdidas que no causan un gran impacto financiero. [ CITATION ERB10 \l 9226 ]

2.4.12 Políticas de seguridad. Una política de seguridad informática es aquella que fija los lineamientos y procedimientos que deben adoptar las empresas para salvaguardar sus sistemas y la información que estos contienen. Si bien existen algunos modelos o estructuras para su diseño, estás tienen que ser elaboradas

31

de forma personalizada para cada empresa para así recoger las características propias que tiene la organización. Una buena política de seguridad corporativa debe recoger, de forma global, la estrategia para proteger y mantener la disponibilidad de los sistemas informáticos y de sus recursos, es decir que estás políticas de seguridad deben abarcar las siguientes áreas. Seguridad Física Seguridad Lógica Seguridad en redes Seguridad en los recursos humanos Seguridad en el Outsourcing Planes de Contingencia 2.4.13Elementos de una política de seguridad. Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos: Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. Definición de violaciones y sanciones por no cumplir con las políticas.

32

Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. Las políticas de seguridad informática, también deben ofrecer: Explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Deberán establecer las expectativas de la organización, tales expectativas deben tener relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Las políticas deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión. Las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc. 2.4.14 Seguridad Física. Según [ CITATION Gar99 \l 9226 ], la seguridad física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención ante amenazas a los recursos e información confidencial que puedan interrumpir el procesamiento de la información. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro de cómputo. Las principales amenazas que se prevén en la seguridad física son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

33

Otras amenazas como las fallas de energía eléctrica o las fallas de los equipos. Los recursos que se deben proteger físicamente van desde un simple teclado hasta un respaldo de toda la información que hay en el sistema, pasando por la propia máquina, igualmente se deben tener medidas de protección contra las condiciones climáticas y suministros de energía que pueden afectar la disponibilidad de los sistemas de información e interrumpir los procesos de la organización. 2.4.15 Seguridad de acceso físico. Se refiere a las medidas de seguridad para evitar el acceso de personas no autorizadas a los dispositivos de hardware y cualquier medio de salida de información como fax, copiadoras entre otros, ubicados tanto en el área de sistemas como en las áreas usuarias. 2.4.16 Organización. Para llevar un buen control de los accesos a la organización no sólo se requiere la capacidad de identificación, sino también negar asociarla a la apertura o cerramiento de puertas, permitir o negar accesos basados en restricciones de tiempo, área o sector de la empresa. Existen varios métodos de control entre ellos están: Guardias de seguridad Detectores de Metales Sistemas Biométricos Seguridad con Animales Protección Electrónica 2.4.17 Guardias de seguridad. La utilización de guardias de seguridad será con el fin de controlar el acceso de personas ajenas a la organización y del mismo personal que ahí trabaje; la guardianía debe ser durante las 24 horas del día y deben estar armados para lo cual el personal de

34

seguridad debe poseer un permiso para el manejo de armas otorgado por la autoridad pertinente. [CITATION Gar99 \p 99 \l 9226 ] Algunas medidas de seguridad podrían ser: 2.4.18 Credenciales de identificación: Cualquier persona que ingrese a la organización deberá llevar una credencial. Estás credenciales pueden clasificarse de la siguiente manera: Normal o definitiva: para el personal permanente de planta. Temporaria: para personal recién ingresado. Contratistas: personas ajenas a la empresa, que por razones de servicio deben ingresar a la misma. Visitas. 2.4.19 Bitácora de registro de accesos: Las personas ajenas a la organización deberán llenar este formulario que deberá contener el motivo de la visita, hora de ingreso, etc. 2.4.20 Control de Vehículos: Para controlar el ingreso y egreso de vehículos, el personal de vigilancia debe asentar en una planilla los datos personales de los ocupantes del vehículo, la marca y patente del mismo, y la hora de ingreso y egreso de la empresa. La utilización de guardias de seguridad también tiene su desventaja que es el soborno del guardia por un tercero para lograr el acceso a sectores donde no esté habilitado, como así también para poder ingresar o salir de la empresa con equipos que no ha sido autorizado su salida. [CITATION Gar99 \p 103 \l 9226 ] 2.4.21 Área de sistemas. El área de sistemas es considerada como la más sensible a las amenazas debido a que en ella están ubicados los equipos que contienen toda la información que es procesada en las áreas usuarias y se le debe brindar un control adecuado y exclusivo.

35

Dentro de la organización lo más óptimo para mantener la seguridad y evitar accesos no permitidos al área de sistemas es implementar como medio de protección los siguientes recursos: Puerta con cerradura Puerta de combinación Puerta electrónica Puertas sensoriales Registros de entrada Videocámaras Escolta controladora para el acceso de visitantes Puertas dobles Alarmas 2.4.22 Seguridad en la ubicación y Dimensión del área de sistemas. Se refiere a las precauciones que se deben tomar en cuenta para la instalación física del área que servirá como eje central del procesamiento de la información de la empresa evitando de esta manera los accesos no permitidos, otras interrupciones y la falta de espacio físico para la adecuada operación del área. 2.4.23 Seguridad del equipamiento. La información vital de la organización es procesada en los equipos de computación los cuales deben recibir cuidados especiales para prevenir posibles fallas ocasionadas por la electricidad, temperatura o falta de mantenimiento del equipo que puedan provocar interrupciones mientras se estén procesando los datos. [CITATION Gar99 \p 105 \l 9226 ] 2.5 Marco Legal La Ley 1273 del 5 de enero de 2009, reconocida en Colombia como la Ley de Delitos

36

Informáticos, tuvo sus propios antecedentes jurídicos, además de las condiciones de contexto analizadas en el numeral anterior. El primero de ellos se remite veinte años atrás, cuando mediante el Decreto 1360 de 1989 se reglamenta la inscripción del soporte lógico (software) en el Registro Nacional de Derecho de Autor, que sirvió como fundamento normativo para resolver aquellas reclamaciones por violación de tales derechos, propios de los desarrolladores de software. A partir de esa fecha, se comenzó a tener asidero jurídico para proteger la producción intelectual de estos nuevos creadores de aplicativos y soluciones informáticas. En este mismo sentido y en el entendido de que el soporte lógico o software es un elemento informático, las conductas delictivas descritas en los Artículos 51 y 52 del Capítulo IV de la Ley 44 de 1993 sobre Derechos de Autor, y el mismo Decreto 1360 de 1989, Reglamentario de la inscripción del soporte lógico (software) en el Registro Nacional del Derecho de Autor, se constituyeron en las primeras normas penalmente sancionatorias de las violaciones a los citados Derechos de Autor. Al mismo tiempo, se tomaron como base para la reforma del año 2000 al Código Penal Colombiano: Capítulo Único del Título VII que determina los Delitos contra los Derechos de Autor: Artículo 270: Violación a los derechos morales de autor. Artículo 271: Defraudación a los derechos patrimoniales de autor. Artículo 272: Violación a los mecanismos de protección de los derechos patrimoniales de autor y otras defraudaciones.

El Código Penal colombiano (Ley 599 de 2000) en su Capítulo séptimo del Libro segundo, del Título III: Delitos contra la libertad individual y otras garantías, trata sobre la violación a la intimidad, reserva e interceptación de comunicaciones: Artículo 192: Violación ilícita de comunicaciones. Artículo 193: Ofrecimiento, venta o

37

compra de instrumento apto para interceptar la comunicación privada entre personas. Artículo 194: Divulgación y empleo de documentos reservados. Artículo 195: Acceso abusivo a un sistema informático. Artículo 196: Violación ilícita de comunicaciones o correspondencia de carácter oficial. Artículo 197: Utilización ilícita de equipos transmisores o receptores. Estos artículos son concordantes con el artículo 357: Daño en obras o elementos de los servicios de comunicaciones, energía y combustibles. Una norma posterior relacionada fue la Ley 679 de 2001, que estableció el Estatuto para prevenir y contrarrestar la explotación, la pornografía y el turismo sexual con niños menores de edad. De igual manera, consagra prohibiciones para los proveedores o servidores, administradores o usuarios de redes globales de información, respecto a alojar imágenes, textos, documentos o archivos audiovisuales que exploten a los menores en actitudes sexuales o pornográficas. Sin embargo, la norma no contiene sanciones penales, sino administrativas (Artículo 10), pues siendo simple prohibición, deja un vacío que quita eficacia a la Ley, cuando se trata de verdaderos delitos informáticos. Para subsanar lo anterior, el 21 de julio de 2009, se sancionó la Ley 1336, "por medio de la cual se adiciona y robustece la Ley 679 de 2001, de lucha contra la explotación, la pornografía y el turismo sexual, con niños, niñas y adolescentes". En forma específica, en su Capítulo VI, sanciona los "Tipos penales de turismo sexual y almacenamiento e intercambio de pornografía infantil" con penas de prisión de diez (10) a veinte (20) años y multas de ciento cincuenta (150) a mil quinientos (1.500) salarios mínimos legales mensuales vigentes (SMLMV). La Ley 1273 de 2009 complementa el Código Penal y crea un nuevo bien jurídico tutelado a partir del concepto de la protección de la información y de los datos, con el cual se preserva integralmente a los sistemas que utilicen las tecnologías de la información y las comunicaciones.

38

El primer capítulo de los dos en que está dividida la Ley, trata de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. El segundo Capítulo se refiere a los atentados informáticos y otras infracciones. A partir de la Ley 1273 de 2009, se tipificaron los delitos informáticos en Colombia en los siguientes términos: acceso abusivo a un sistema informático (modificado del Código Penal); obstaculización ilegítima del sistema informático o red de telecomunicación; interceptación de datos informáticos; daño informático; uso de software malicioso; hurto por medios informáticos y semejantes; violación de datos personales; suplantación de sitios web para capturar datos personales y transferencia no consentida de activos. Este marco jurídico se ha convertido en una importante contribución y un instrumento efectivo para que las entidades públicas y privadas puedan enfrentar los "delitos informáticos", con definiciones de procedimientos y políticas de seguridad de la información; y, en consecuencia, con las acciones penales que pueden adelantar contra las personas que incurran en las conductas tipificadas en la norma. Con ella, Colombia se ubica al mismo nivel de los países miembros de la Comunidad Económica Europea (CEE), los cuales ampliaron al nivel internacional los acuerdos jurídicos relacionados con la protección de la información y los recursos informáticos de los países, mediante el Convenio 'Cibercriminalidad', suscrito en Budapest, Hungría, en 2001 y vigente desde julio de 2004.

Con los desarrollos jurídicos hasta ahora logrados acerca de "la protección de la información y de los datos y la preservación integral de los sistemas que utilicen las tecnologías de información y comunicaciones", las organizaciones pueden amparar gran parte de sus sistemas integrados de información: datos, procesos, políticas, personal, entradas, salidas, estrategias,

39

cultura corporativa, recursos de las TIC y el entorno externo (Davenport, 1999), de manera que, además de contribuir a asegurar las características de calidad de la información, se incorpora la administración y el control, en el concepto de protección integral. ISO 27001. La norma ISO 27001 fue publicada en octubre de 2005, esencialmente la sustitución de la antigua norma BS7799-2. Es la especificación para un SGSI, un Sistema de Gestión de Seguridad de la Información. Sí BS7799 era un estándar de larga data, publicado por primera vez en los años noventa como un código de prácticas. Como este maduró, una segunda parte surgió para cubrir los sistemas de gestión. Es esto en contra de la cual se concede la certificación. Hoy en día más de mil certificados están en su lugar, en todo el mundo. En la publicación, la norma ISO 27001 mejora el contenido de la norma BS7799-2 y armonizada con otros estándares. Un esquema se ha presentado por varios organismos de certificación para la conversión de la certificación BS7799 con la certificación ISO27001. El objetivo de la norma en sí misma es "proporcionar los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI)". En cuanto a su adopción, esto debería ser una decisión estratégica. Además, "El diseño y la aplicación de la información del sistema de gestión de seguridad de una organización están influenciados por las necesidades de la organización y objetivos, requisitos de seguridad, los procesos organizativos utilizados y el tamaño y estructura de la organización."

La versión 2005 de la norma en gran medida empleada del PDCA, Plan-Do-Check-Act modelo para estructurar los procesos, y reflejen los principios establecidos en las directrices OECG (ver oecd.org). Sin embargo, la versión más reciente, de 2013, pone más énfasis en la medición y evaluación de lo bien SGSI de una organización está realizando. Una sección sobre la

40

contratación externa también se añadió con esta versión, y se prestó mayor atención al contexto de la organización de seguridad de la información.[CITATION ISO16 \l 9226 ]

Capítulo 3. Diseño Metodológico 3.1 Tipo de Investigación Para llevar a cabo el presente proyecto se utilizará el tipo de estudio descriptivo, ya que éstos utilizan el método de análisis para lograr caracterizar un objeto de estudio o una situación concreta, señalar sus características y propiedades, combinada con ciertos criterios de clasificación, sirve para ordenar, agrupar o sistematizar los objetos propuestos. Además, con la

41

investigación descriptiva, se buscará determinar hechos y características del problema en estudio mediante la pregunta, descripción y observación de situaciones concretas, facilitando así el análisis de las ventajas y los beneficios que traerá la propuesta de un manual de políticas de seguridad informática para la alcaldía del municipio de San Calixto, Norte de Santander. 3.2 Población La población objeto de estudio que se tendrá en cuenta en el proyecto, será la conformada por los empleados de la Alcaldía Municipal de San Calixto, N.S., la cual en su total es de 27 personas. 3.3 Muestra Se tomará el ciento por ciento (100%) de la población objeto de estudio, teniendo en cuenta que es un número reducido y no ameritan la aplicación de alguna fórmula estadística. 3.4 Técnica e Instrumentos de Recolección de la Información Las fuentes de información son todos aquellos medios de los cuales procede la información, que satisfacen las necesidades de conocimiento de una situación o problema presentado y posteriormente será utilizado para lograr los objetivos esperados. [ CITATION Gal98 \l 9226 ] De acuerdo a su origen se clasifican en: Fuentes primarias. Contienen información original, que ha sido publicada por primera vez y que no ha sido filtrada, interpretada o evaluada por nadie más. Son producto de una investigación o de una actividad eminentemente creativa. Componen la colección básica de una biblioteca, y pueden encontrarse en formato tradicional impreso como los libros y las publicaciones seriadas; o en formatos especiales como las micro formas, los videocasetes y los discos compactos. Fuentes secundarias. Contienen información primaria, sintetizada y reorganizada. Están

42

especialmente diseñadas para facilitar y maximizar el acceso a las fuentes primarias o a sus contenidos. Componen la colección de referencia de la biblioteca y facilitan el control y el acceso a las fuentes primarias. La técnica que se utilizará para recolectar la información necesaria suministrada por los empleados de la Alcaldía Municipal de San Calixto, N.S., será la encuesta y como instrumento el cuestionario que se aplicará a la población objetivo, considerando estos elementos como la fuente primaria. En cuanto a la fuente secundaria que se consultará está la Biblioteca Argemiro Bayona, de la Universidad Francisco de Paula Santander, asesores, especialistas y conocedores del tema. 3.5 Análisis de la Información Los datos obtenidos mediante la aplicación de los instrumentos de recolección de la información, serán analizados cuantitativamente a través de tablas y gráficas, mediante la interpretación de los datos numéricos y el análisis de cada respuesta para la forma cualitativa.

Capítulo 4. Administración del proyecto

4.1 Recursos humanos El presente estudio será realizado por el estudiante: EDGAR EDUARDO RIZO SANGUINO Estudiante de Ingeniería de Sistemas. Dirigido por el Ingeniero de Sistemas ANTON GARCIA BARRETO Profesor catedrático de la UFPSO.

43

4.2 Recursos institucionales Biblioteca Argemiro Bayona Portillo de la Universidad Francisco de Paula Santander Ocaña. Universidad Francisco de Paula Santander, seccional Ocaña. Alcaldía de San Calixto.

4.3 Recursos financieros Los gastos en la elaboración del proyecto serán cubiertos por el autor del proyecto. INGRESOS EDGAR EDUARDO RIZO SANGUINO. $1.000.000 TOTAL, INGRESOS EGRESOS Trasporte Digitación e impresión Papelería y fotocopias Internet Gastos varios TOTAL, EGRESOS SUMAS IGUALES

$ 1.000.000 $ 100.000 $ 300.000 $ 200.000 $ 100.000 $ 300.000 $ 1.000.000 $ 1.000.000

$ 1.000.000

44

Capítulo 5. Presentación de Resultados

5.1 Analizar los aspectos administrativos de la Alcaldía municipal de San Calixto, relacionados con la gestión de la información para determinar si son realizados de forma segura. Para poder realizar el análisis, se desarrolló el instrumento de recolección de información, siendo éste la encuesta, de donde se obtuvieron los diferentes conceptos de cada uno de los empleados que se desempeñan en las diferentes áreas de la Alcaldía Municipal de San Calixto.

De igual manera se revisó la estructura orgánica y observación directa a las instalaciones para poder realizar un inventario del hardware (ver tabla 2) y de software.

La alcaldía de San Calixto es una entidad pública del orden municipal que propende por el desarrollo sostenible y el mejoramiento de la calidad de vida de sus habitantes, generando un ambiente de convivencia pacífica y bienestar social. Sustenta su trabajo en las cualidades humanas de las personas que la integran, en el liderazgo, transparencia, honestidad, en la capacidad laboral de sus empleados y en el compromiso con la comunidad de construir dignidad humana. Como podemos observar en la estructura orgánica de la alcaldía de San Calixto no cuenta con un departamento de Sistemas, pero sin los equipos tecnológicos necesarios para realizar sus funciones, la Alcaldía Municipal de San Calixto, N.S., cuenta con un total de 27 empleados en los que intervienen el Alcalde, el concejo municipal, el concejo territorial de planeación y el

45

gobierno municipal en dicha entidad.[CITATION Alc19 \l 9226 ]

Figura 1. Estructura orgánica de la Acadia de San Calixto Fuente: [CITATION Alc19 \l 9226 ] La Alcaldía de San Calixto a pesar de no contar un área de sistemas pose una intranet institucional, en muy mal estado (ver evidencias fotográficas) en la cual realizan los respectivos procedimientos para enlazar la información en las bases de datos nacionales, como son los procesos de planeación, hacienda, gobierno, cultura, familia, desarrollo social, despacho, servicios públicos, Sisbén, educación, comunitario, deportes, salud pública y personería; pero necesita de una modernización en los sistemas de información de la Alcaldía, como respuesta al proceso de reforma de la administración pública local. Aunque la alcaldía de San Calixto ha realizado cambios mínimos en la información e incorporación de personal técnico no es suficiente para la planificación efectiva para la adquisición de equipos y programas de

46

computación para confrontar el desarrollo y la modernización del municipio. Gracias al Ministerio de las TIC posee una plataforma donde se brinda a todos los ciudadanos por medio de la página Gobierno en línea de esta localidad, la información que requiera del Municipio y propiciarle numerosos servicios mediante los diferentes medios electrónicos, facilitando así la comunicación entre el pueblo y su gobierno local, de forma participativa, transparente y equitativa. Se pretende que los habitantes de la comunidad conozcan y utilicen estos espacios tecnológicos para que se involucren mayormente con la función que se desempeña desde la Administración Municipal. Dentro del Inventario de hardware y software se destacan los siguientes componentes: Tabla 2 Inventario de hardware Cantida d

Equipo

30

CPU

30

Monitores

30

Teclados

30

Mouses

15

Impresoras

1 1

Router Planta telefónica

1

UPS

Fuente: Autor del trabajo de grado

Marca

N° inventario Inv2016. Hp 0001 Inv2016. Hp 0002 Inv2016. Genius 0003 Inv2016. Genius 0004 Inv2016. Epson 0005 Inv2016. Tp- link 0006 Inv2016. Panasonic 0007 Inv2016. Energex 0008

Estado regular buenos regular buenos regular bueno bueno bueno

47

En cuanto al inventario de Software, la alcaldía maneja Software libre en 20 equipos, office con licencia en 10 equipos, paquetes contables con licencia en 4 equipos.

A continuación, se presenta el análisis de la información recolectada a través del instrumento encuesta aplicada a la población seleccionada, se realiza dicho análisis de manera cuantitativa y cualitativa. Tabla 3 Conocimiento de responsabilidades y sanciones, frente a la seguridad de la información Ítem Si No Total Fuente: Autor del proyecto.

Frecuencia 17 10 27

Porcentaje 67 33 100

33.00%

Si No 67.00%

Figura 2. Conocimiento de responsabilidades y sanciones, frente a la seguridad de la información. Fuente: Autor del proyecto. A través del análisis de la figura anterior se puede evidenciar que la mayoría de los

48

encuestados (67%), si tienen conocimiento de las responsabilidades y sanciones que reciben frente a la seguridad de la información. Tan solo el 33% dice no conocer del mismo.

Tabla 4 Acuerdo de confidencialidad de la información Ítem

Frecuencia 14 13 27

Si No Total Fuente: Autor del proyecto.

48.15%

Porcentaje 52 48 100

51.85%

Si No

Figura 3. Acuerdo de confidencialidad de la información. Fuente: Autor del proyecto. El 52% de los encuestados, afirman que, si se cuenta con un acuerdo de confidencialidad de la información dentro de la alcaldía de San Calixto, siendo más confiable para los que la conocen. El otro 48% restante, no conocen sobre la importancia de la misma, haciendo más riesgoso que se infiltre cualquier información ya sea de entrada o salida, por no conocer la confidencialidad de la información.

49

Tabla 5 Se cuenta con mensajería electrónica interna para sus actividades Ítem Si No Total Fuente: Autor del proyecto.

Frecuencia 17 10 27

Porcentaje 67 33 100

33.00%

Si No 67.00%

Figura 4. Se cuenta con mensajería electrónica interna para sus actividades. Fuente: Autor del proyecto. Uno de los servicios internos que se tienen, es el de mensajería electrónica interna para sus actividades. Aunque el 33% no conoce del mismo, el 67% dice que sí, Cabe destacar que para esta mensajería no existe ninguna protección ni seguridad que evite que un tercero pueda acceder a la misma. Según testimonio del encargado de la parte de sistemas de la alcaldía.

50

Tabla 6 Controles de ingreso del personal al área Ítem Si No Total Fuente: Autor del proyecto.

Frecuencia 14 13 27

48.15%

Porcentaje 52 48 100

51.85%

Si No

Figura 5. Controles de ingreso del personal al área Fuente: Autor del proyecto. El 52% de los empleados de la Alcaldía Municipal de San Calixto, conocen los controles de ingreso de personal al área la cual está identificada para poder manipular los computadores y la información. El 48% restante no conocen dichos controles.

51

Tabla 7 Seguridad en el computador que utiliza Ítem Si No Total Fuente: Autor del proyecto.

Frecuencia 17 10 27

Porcentaje 67 33 100

33.00%

Si No 67.00%

Figura 6. Seguridad en el computador que utiliza Fuente: Autor del proyecto. En cuanto a la seguridad que tiene cada computador utilizado dentro de las áreas que hacen parte de la Alcaldía Municipal de San Calixto, el 67% conocen la seguridad que tiene el computador que utiliza. El otro 33% dice no contar con ningún tipo de seguridad.

52

Tabla 8 Mantenimiento periódico de hardware y software Ítem Si No Total Fuente: Autor del proyecto.

Frecuencia 0 27 27

Porcentaje 0 100 100

Si No 100.00%

Figura 7. Mantenimiento periódico de hardware y software Fuente: Autor del proyecto. El 100% de los encuestados dicen que, en la Alcaldía Municipal de San Calixto, no se le realiza mantenimiento periódico de hardware y software a los equipos que allí se encuentran, en base a lo anterior se puede concluir que los equipos están expuestos a problemas que pueden ocasionar que trabajen de manera lenta, provocando riesgos como los virus y la perdida de la información.

Tabla 9

53

Controles contra software malicioso o espía (antivirus, antispyware, etc.) Ítem Si No Total Fuente: Autor del proyecto.

Frecuencia 0 27 27

Porcentaje 0 100 100

Si No

100.00%

Figura 8. Controles contra software malicioso o espía (antivirus, antispyware, etc.) Fuente: Autor del proyecto. El 100% de los empleados de la Alcaldía Municipal de San Calixto, afirman que no existen controles de seguridad como antivirus actualizados etc. que ayuden a evitar cualquier daño o perdida de la información en los equipos de la oficina.

Tabla 10

54

El equipo de cómputo es utilizado por dos o más funcionarios Ítem

Frecuencia 14 13 27

Si No Total Fuente: Autor del proyecto.

48.15%

Porcentaje 52 48 100

51.85%

Si No

Figura 9. El equipo de cómputo es utilizado por dos o más funcionarios Fuente: Autor del proyecto. Aunque no debería serlo, en la Alcaldía Municipal de San Calixto, el 52% de los equipos de cómputo son utilizados por más de una persona, lo que indica que no existe seguridad en este sentido, toda vez que para ello cualquier persona puede interferir en la información que se encuentra en estos equipos. El otro 48% afirman no ceder su equipo a otra persona, siendo el funcionario el único responsable del mismo.

Tabla 11

55

Existencia de manual de procedimientos para la operación de los sistemas de cómputo en el área Ítem Si No Total Fuente: Autor del proyecto.

Frecuencia 0 27 27

Porcentaje 0 100 100

Si No

100.00%

Figura 10. Existencia de manual de procedimientos para la operación de los sistemas de cómputo en el área. Fuente: Autor del proyecto. El total de empleados de la Alcaldía Municipal de San Calixto (100%), dicen que la institución no cuenta con un manual de procedimientos, que indique la función o proceso que se debe llevar a cabio en el área, con respecto a su sistema de cómputo.

Tabla 12 Realizan backup’s (Copias de Seguridad de la Información)

56

Ítem

Frecuencia 14 13 27

Si No Total Fuente: Autor del proyecto.

48.15%

Porcentaje 52 48 100

51.85%

Si No

Figura 11. Realizan backup’s (Copias de Seguridad de la Información) Fuente: Autor del proyecto. En lo que tiene que ver con copias de seguridad de la información, en la Alcaldía Municipal de San Calixto, según el 52% de los encuestados, dicen que cuentan con copias de seguridad de la información. Y el 48% dice no realizar copias de seguridad de la información que se maneja en sus equipos.

Tabla 13 Medio de almacenamiento

57

Ítem CD Memoria USB Impresiones Otra NS/NR Total Fuente: Autor del proyecto.

48.15%

Frecuencia 0 14 0 0 13 27

51.85%

Porcentaje 0 52 0 0 48 100

Memori a USB NS/NR

Figura 12. Medio de almacenamiento Fuente: Autor del proyecto. Como se registró en la tabla anterior, donde la mayoría de encuestados opinó que no se obtiene backup´s en la información, por lo tanto, El 52% responde que sí se realiza copia de seguridad, la cual es guardada en memoria USB, solamente, no se cuenta con otro medio para guardar la información. Y el 48% en esta pregunta se abstiene de contestar, ya que, al no realizar copia de seguridad de la información, ya que no se almacena la misma.

Tabla 14 Periodicidad

58

Ítem Diaria Semanal Mensual Bimestral Anual Otra Total Fuente: Autor del proyecto.

Frecuencia 14 0 13 0 0 0 27

48.15%

51.85%

Porcentaje 52 0 48 0 0 0 100

Di a ri a Mens ual

Figura 13. Periodicidad Fuente: Autor del proyecto. Las copias de seguridad de las que se habla en la tabla 12, se realiza de manera diaria, dice el 52% de encuestados. El otro 48% afirman no hacer copias de seguridad.

Tabla 15 Procedimiento formal para reportes de incidentes

59

Ítem Si No Total Fuente: Autor del proyecto.

Frecuencia 0 27 27

Porcentaje 0 100 100

Si No

100.00%

Figura 14. Procedimiento formal para reportes de incidentes. Fuente: Autor del proyecto. El total de empleados de la Alcaldía Municipal de San Calixto (100%), dicen que la institución no cuenta con un procedimiento formal para reportar cualquier incidente que se pueda presentar en la misma, como el robo de información, pérdida de datos, accesos no permitidos, entre otros. Lo anterior es preocupante, toda vez que esto genera el facilitamiento por parte de otras personas para ingresar a realizar cualquier robo de información sin problema, ya que el reporte es primordial con el fin de poder cuestionar de dónde proviene y así realizar señalamientos.

Tabla 16 Plan de contingencia

60

Ítem Si No Total Fuente: Autor del proyecto.

Frecuencia 0 27 27

Porcentaje 0 100 100

Si No

100.00%

Figura 15. Plan de contingencia Fuente: Autor del proyecto. Es lamentable y preocupante las cifras que arroja esta encuesta en sus incisos finales, en donde se nota la falta de seguridad informática en la Alcaldía Municipal de San Calixto, ya que tampoco se cuenta con un plan de contingencia, según opina el 100% de los encuestados. Todo esto conlleva a que en el momento que se presente cualquier incidente de seguridad, se pasará por alto, toda vez que no se tiene un seguimiento para poder verificar de donde proviene el problema y la manera de solucionarlo.

Tabla 17 Recolección e investigación de evidencias sobre incidente de seguridad de la información Ítem

Frecuencia

Porcentaje

61

Si No Total Fuente: Autor del proyecto.

0 27 27

0 100 100

Si No

100.00%

Figura 16. Recolección e investigación de evidencias sobre incidente de seguridad de la información Fuente: Autor del proyecto. Como las tablas anteriores, el 100% de empleados de la Alcaldía Municipal de San Calixto, dice que no se realiza investigación y tampoco recolección de evidencias sobre el incidente de seguridad de la información, lo cual está representado en la tabla 14, en donde se comenta la misma situación, teniendo en cuenta que no se tiene un plan de contingencia, que puede ser el punto de partida para poder recolectar evidencias y proceder a investigar la procedencia del incidente de seguridad de información que se presente en la Institución.

5.2 Examinar la información que se obtuvo para identificar los factores de riesgo en la integridad, confidencialidad y disponibilidad de la información.

62

La Alcaldía Municipal de San Calixto, es una institución que, como cualquier otra, se encuentra expuesta a riesgos en materia de seguridad de la información, toda vez que en ella no existe la seguridad completa en la misma, por lo que se tuvo en cuenta una serie de riesgos a los cuales se enfrenta y tomar acciones tendientes a minimizar los posibles efectos negativos de la materialización de dichos riesgos. Igualmente, esta institución, debe identificar los riesgos a los que se expone en materia de seguridad de la información, con el fin de buscar soluciones a los mismos y generar información de utilidad para la toma de decisiones en materia de controles de seguridad. Por consiguiente, a continuación, mediante un cuadro, se relacionan los hallazgos encontrados y de ahí los riesgos que puedan producirse, en la Alcaldía Municipal de San Calixto, Norte de Santander.

Tabla 18 Escala de probabilidad

CATEGORIA

VALOR

DESCRIPCIÓN

63

INMINENTE

5

FRECUENTE

4

OCASIONAL

3

REMOTO

2

El riesgo está altamente motivado y es suficientemente capaz de llevarse a cabo y por tanto la materialización de la ocurrencia se da diariamente. la materialización del riesgo ocurre una vez a la semana la materialización del riesgo ocurre una vez al mes la materialización del riesgo ocurre una vez al año

el riesgo no posee la suficiente motivación y capacidad o nunca se ha IMPROBABLE 1 materializado, pero no se descarta su ocurrencia. Fuente: ECHENIQUE GARCÍA, José Antonio. Auditoria en Informática, 2a Edición. Mc Graw Hill. p.148. El análisis de riesgos de la seguridad informática está enfocado para aplicar en el ente objeto del estudio un análisis de vulnerabilidades con el fin de interpretar, explicar y asesorar las causas que generan el problema y la necesidad de implementar controles en la red y sistemas de la Alcaldía municipal de San Calixto Norte de Santander. [ CITATION Ram15 \l 9226 ] Cabe destacar que la alcaldía se San Calixto no cuenta con un área de sistemas dentro de la misma, a pesar de esto a los equipos de cómputo, redes encontradas en las diferentes oficinas se les aplico los hallazgos y riesgos en la seguridad de la información basados en la tabla 18; a continuación, se realizó la tabla 19 tomando como referencia la tabla de hallazgos y riesgos de seguridad informática de la alcaldía de Pamplona presentado por la UNAD y se adaptó a los riesgos y hallazgos de la red y sistemas de la alcaldía del municipio de San Calixto por tener mucha semejanza.

Tabla 19 Hallazgos y riesgos en la seguridad de la información encontrados en la Alcaldía del Municipio

64

de San Calixto. RECURSO

VULNERABILIDADES

AMENAZA

SOFTWARE

Falta de seguridad en el sistema

Ataque a aplicaciones

Acceso a la información

x

Mal manejo de las políticas de Backup

No tener discos extraíbles y usb

Perdida de información Sanciones, demandas, perdida del puesto

x

Instalación de Usuarios con privilegios software sin inadecuados permiso Falta de instalación o actualización del software o antivirus

Mala configuración o actualización de los sistemas de cortafuego y detección de software malicioso Configuración inadecuada a las políticas del uso de internet como recibir correos no deseados, Facebook, pornografía etc.

RIESGO

IMPACTO 1 2 3 4 5

x

Virus

Infección o ataque por virus

x

Software malicioso

Ataques informáticos, publicidad no deseada

x

Ataques informáticos y Acceso a páginas virus de internet prohibidas

x

Fuente: (Ramírez Montañez Jorge E, 2015)

Continuación tabla 19

RECURSO

VULNERABILIDADE S

AMENAZA

RIESGO

IMPACTO 1 2 3 4 5

65

HARDWARE

Falta de seguridad física Acceso a e infraestructura personas no autorizadas

Robo de equipos

Falla de equipos de refrigeración

Altas temperaturas

Daños de equipos críticos

Mal uso de los recursos por parte de los operadores del sistema

Deterioro prematuro del hardware

Daño en periferia

Escaso mantenimiento y Extrema equipos de mala calidad suciedad, altas temperaturas

Daños de equipos críticos

x

No existe un sistema de respaldo de energía contra fallos

Daños de equipos críticos

x

Fallas electicas

x

x x

Fuente: (Ramírez Montañez Jorge E, 2015)

Continuación tabla 19

RECURSO

VULNERABILIDADE

AMENAZA

RIESGO

IMPACTO

66

S 1 2 Falta de mantenimiento Deterioro de la COMUNICACIONE del hardware de red conexión S cableada

Perdida de las comunicaciones

4

x

Mal manejo en la transmisión de la información

Snifing

Fallos en el cifrado de la información

Desencriptación Robo de de seguridad información

x

Falta del mantenimiento del hardware

Extrema suciedad altas temperaturas

Falla de equipos de comunicaciones

x

Red de datos abierta

Escucha de paquetes por terceros

Robo de información

Interferencia electromagnética

Comunicación deficiente

Perdida en la transición de datos

Falta de control de acceso

Acceso no autorizado al datacenter

Ataques a servidores

Fuente: (Ramírez Montañez Jorge E, 2015)

Continuación tabla 19

Robo de información

3

x

x

x

x

5

67

RECURSO SEGURIDAD FISICA

VULNERABILIDADE S

AMENAZA

RIESGO

Falta de sprinklers

Incendios

Daño de equipos críticos

Falta de fijación de equipos

Terremotos

Daño de equipos críticos

Falta de piso Falso

Inundación

Daño de equipos críticos

Bajos niveles de protección física en áreas perimetrales

Saqueos

Daños por vandalismo

Falta de control de acceso

Accesos no autorizados

IMPACTO 1 2 3 4 5 x x x

Perdida de información o equipos

x

x

Fuente: (Ramírez Montañez Jorge E, 2015)

En la tabla 19 se muestra el panorama del análisis de riesgos en la seguridad de la información de la Alcaldía de San Calixto Norte de Santander, donde se definió el riesgo total al que se encuentran expuestos los recursos informáticos de la entidad. La probabilidad se deduce en el área roja (Riesgo alto), son los riesgos que necesitan Mitigación y atención, mediante planes de mejoras; según lo analizado se obtuvo lo siguiente para la Alcaldía de San Calixto: 

Se hace necesario Instalar un servidor para almacenamiento del backup, establecido por medio de una política que contemple los periodos para realizarlo.



Implementar un proceso de cifrado de contraseñas utilizando herramientas de encriptación, almacenadas en un servidor protegido por medio de una política de seguridad.



Se hace necesario Instalar un servidor proxy con el objetivo de filtrar el tráfico de

68

información desde y hacia internet por medio de una política que contemple, los sitios Web restringidos y el filtrado de paquetes entrantes y salientes de la red. 

Utilización de un sistema de vigilancia, monitoreado con cámaras de seguridad. Usar cerraduras seguras para evitar se abran los gabinetes que guardan los depósitos de red.



Construcción y adecuación del cuarto de comunicaciones por medio de una política que contemple las normas para la instalación y ubicación y operación de equipos de procesamiento de información, comunicación, energía.



Corregir el acoplamiento del banco de baterías a la red de corriente regulada para tener disponibilidad de la UPS en caso de desconexión de la red comercial. Establecimiento de políticas de seguridad sobre el uso y conexión de equipos a la red eléctrica.



Sensibilizar a todos los funcionarios y colaboradores sobre planes de documentación y llevado de formatos y reporte acerca de los incidentes que encierra el uso de bienes informáticos.



Construir e implementar una política de seguridad que contemple el proceso de autorización de ingreso y manipulación de bienes informáticos instalados en la entidad.



Construir e implementar una política de seguridad que contemple el plan para elevar los equipos instalados en el piso.



Con los anteriores ítems se busca sensibilizar y contribuir al saneamiento de las

vulnerabilidades que están generando riesgo al óptimo funcionamiento y tratamiento de la información, asesorando sobre controles que disminuyan la probabilidad de los riesgos en la Alcaldía del municipio de San Calixto Norte de Santander. 5.3 Como Estructurar el documento del manual de política de seguridad de la

69

información, para la Alcaldía municipal de San Calixto, Norte de Santander.

Las políticas de seguridad informática tienen como objetivo principal, establecer reglas sobre el uso de los sistemas informáticos y de comunicaciones. Por ello, en el apéndice B, se propone un manual de políticas de seguridad de la información, mediante la estructura de un documento, para la Alcaldía Municipal de San Calixto, Norte de Santander, basado en la norma ISO 27001/2013, con la cual se pretende proteger los recursos de información de la misma y la tecnología utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. La ISO 27001, es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

70

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACION

ALCALDÍA MUNICIPAL DE SAN CALIXTO NORTE DE SANTANDER Versión 1 2017

71

Índice 1.

Introducción

2.

Objetivo

3.

Alcance

4.

Definiciones

5.

Evaluación de Riesgos

6. Administración de Riesgos 7. Comité de Seguridad de la Información 8. Responsable de Seguridad Informática 9. Incidente de Seguridad 10. Correo electrónico masivo 11. ISO / IEC 27001: 2013 12. Políticas de seguridad para la alcaldía municipal de San Calixto Norte de Santander. 13. Política de seguridad. 14. Organización de la Seguridad 15. Gestión de Activos. 16. Seguridad de los Recursos Humanos. 17. Seguridad Física. 18. Gestión de las Telecomunicaciones y Operaciones. 19. Control de Acceso a los Datos. 20. Adquisición, Desarrollo y Mantenimiento de Software. 21. Gestión de Incidentes. 22. Cumplimiento y Normatividad Legal.

72

23. Responsabilidades 24. Organización para la seguridad de la información. 25. formatos.

73

1. Introducción

Las políticas y estándares de seguridad informática y la Norma ISO/IEC 27001:2013 se busca establecer en la Alcaldía de San Calixto Norte de Santander una cultura de calidad operando de una forma confiable. La seguridad informática es un proceso donde se deben evaluar y administrar los riesgos apoyados en políticas y estándares que cubran las necesidades de la Alcaldía de San Calixto en materia de seguridad. Cabe destacar que la ISO / IEC 27001: 2013 especifica los requisitos para establecer, implementar, mantener y mejorar los sistemas de gestión de la seguridad de la información dentro del contexto de la alcaldía. También incluye requisitos para la evaluación y tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la Alcaldía de San Calixto Norte de Santander. Los requisitos establecidos en ISO / IEC 27001: 2013 son genéricos y están destinados a ser aplicables a todas las organizaciones, independientemente del tipo, tamaño o naturaleza, para mitigar el riesgo de corrupción, la Aplicación política de administración de la información de la Alcaldía de San Calixto, aplicando las siguientes acciones: Adoptar Política de seguridad de la información. Conformar Comité de Seguridad de la Información. Desarrollar controles de la Política de Seguridad de la Información

74

2.

Objetivo

El objetivo de este manual es estructurar un documento que oriente la gestión de las políticas de seguridad de la información para la Alcaldía municipal de San Calixto, Norte de Santander. 3. Alcance Las políticas de seguridad son reglas de ámbito general, independientemente de la parte tecnológica y física, donde se cumplen los objetivos sobre el Sistema de Gestión de Seguridad de la Información. Estas políticas de Seguridad de la Información se plantean según las disposiciones legales vigentes, para gestionar adecuadamente la seguridad de la información definidos por la Alcaldía de San Calixto y el personal encargado sobre la Seguridad de la Información, de la misma, con el fin de lograr un adecuado nivel de confidencialidad, integridad, disponibilidad y fácil auditoría de los accesos a la información. Siendo de obligatorio cumplimiento para todos los servidores públicos y particulares que accedan a la información de la administración municipal; el cual deberá tener en cuenta y estar alineado con los Sistemas de Control Interno, Gestión Ambiental, Gestión de Calidad, y Desarrollo Administrativo de la Alcaldía de San Calixto Norte de Santander.

4. Definiciones Seguridad de la Información Confidencialidad: se garantiza que la información suministrada por la alcaldía de San Calixto la manejen solamente el personal autorizado.[ CITATION Mal16 \l 9226 ] Integridad: Totalidad en el cuidado de la información y los métodos de procesamiento de la información dados por la Alcaldía de San Calixto. Disponibilidad: la Alcaldía de San Calixto debe garantizar a los usuarios encargados la

75

autorización para acceder a la información y a los recursos de la Alcaldía cada vez que sea necesario. Autenticidad: el encargado de sistemas de la Alcaldía de San Calixto debe asegurarse de dar los nombres de usuarios y contraseñas al personal encargado de la Alcaldía para generar la validez de la información en tiempo, forma y distribución, para evitar suplantación de identidades. [ CITATION Mal16 \l 9226 ] Auditabilidad: se realiza para dejar constancia de todos los eventos de un sistema queden registrados para su control posterior. Protección a la duplicación: el encargado de sistemas de la alcaldía de San Calixto debe asegurarse que las transacciones se realicen sólo una vez, a menos que sea un caso extremo y especifique lo contrario No repudio: Evitar que una entidad que haya enviado o recibido información alegue ante terceros que no envió o recibió información de la Alcaldía de San Calixto. Legalidad: la Alcaldía de San Calixto debe cumplir las leyes, normas, reglamentaciones o disposiciones a las que está sujeto cada municipio. Confiabilidad de la Información: la información generada por la Alcaldía de San Calixto debe ser adecuada para sustentar la toma de decisiones y funciones. Para la correcta interpretación de las presente Políticas de seguridad de la Alcaldía. [ CITATION Mal16 \l 9226 ] Información: Es toda comunicación o conocimiento de datos, en cualquier forma, como son textos, números, gráficas, etc., ya sea en medio magnético, en papel, en pantallas de computadoras, audiovisual u otro, relevante de la Alcaldía de San Calixto. Sistema de Información: información organizada para su recopilación, organización Se

76

de la información de la Alcaldía de San Calixto de forma automatizada como manual. Tecnología de la Información: es el hardware y software operados por La Alcaldía de San Calixto o por algún tercero que actué en nombre de la Alcaldía, sin tener en cuenta la tecnología utilizada, ya se trate de procesamiento de datos, utilidad de las telecomunicaciones etc. [ CITATION Mal16 \l 9226 ]

5. Evaluación de Riesgos La evaluación de riesgos es la evaluación de las amenazas y vulnerabilidades de la información y a las instalaciones donde se procesa la misma, dentro de la Alcaldía de San Calixto.

6. Administración de Riesgos El proceso de administración de riesgos es donde se identifican, controlan y se minimizan o eliminan n, los riesgos de seguridad que podrían afectar a la información. Esto se realiza de una manera cíclica y periódica.

7. Comité de Seguridad de la Información Debe haber dentro de la alcaldía de San Calixto un Comité de Seguridad de la Información, donde se representen miembros de todas las áreas de la alcaldía. Para garantizar el apoyo de la seguridad de la información.

8. Responsable de Seguridad Informática

77

En la Alcaldía de San Calixto debe haber una persona que cumpla las funciones de supervisar dicha política de seguridad y su cumplimiento para asesorar en materia de seguridad la información a los integrantes de cada área de la Alcaldía. Preferiblemente personal profesional con experiencia en seguridad informática adscrito a la Secretaría General.

9. Incidente de Seguridad Los incidentes de seguridad son un evento adverso en un sistema de computadoras, o red de computadoras, que compromete la confidencialidad, integridad o disponibilidad, la legalidad y confiabilidad de la información.

10. Correo electrónico masivo El correo electrónico masivo se refiere a cualquier mensaje de correo electrónico enviado a una larga lista de destinatarios que tiene un contacto idéntico para cada persona. Ejemplos boletines de noticias, listas de discusión y actualizaciones de la Alcaldía. Correo electrónico a granel enviado por una entidad comercial para promover sus productos, etc. [ CITATION Pat14 \l 9226 ]

11. ISO / IEC 27001: 2013 Especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información dentro del contexto de la organización. También incluye requisitos para la evaluación y tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la organización. Los requisitos establecidos en ISO / IEC 27001: 2013 son genéricos y están destinados a ser aplicables a todas las organizaciones,

78

independientemente del tipo, tamaño o naturaleza. [ CITATION Pat14 \l 9226 ]

12. Políticas de seguridad para la alcaldía municipal de San Calixto Norte de Santander. La Alcaldía Municipal de San Calixto, define sus políticas de seguridad con fundamentada bajo la norma en ISO / IEC 27001: 2013. [ CITATION Pat14 \l 9226 ]

13. Política de seguridad. Realizar controles para proporcionar mejorar la Seguridad de la Información de la Alcaldía por personal estrictamente elegido para garantizar el correcto desarrollo de los lineamientos planteados en cada política propuesta por cada departamento de la alcaldía.

14. Organización de la Seguridad Asignar controles para la gestión de la seguridad de la alcaldía de San Calixto, garantizando responsables asignados en todos los niveles de la organización, para esto se debe contar con un comité de seguridad de la información con personal capacitado desde la secretaria General, y todos los servidores públicos, contratistas y particulares que tengan acceso a los activos de información de la alcaldía. Siendo estos responsables de cumplir las políticas y normas que se dicten en materia de seguridad de la información así, como reportar los incidentes que detecten. [ CITATION Pat14 \l 9226 ]

15. Gestión de Activos.

79

En la alcaldía de San Calixto es de vital importancia realizar controles para catalogar los activos y protegerlos eficazmente. Toda la información sensible de la Alcaldía,así como los activos donde esta se almacena o procesa, deberán ser inventariados, asignárseles un responsable y clasificarlos de acuerdo con los requerimientos en materia de seguridad de la información y los criterios que dicte el Comité de Seguridad de la Información.

16. Seguridad de los Recursos Humanos. Dentro de la Alcaldía de San Calixto es de vital importancia colocar controles para reducir los riesgos de error humano, como son: robos, fraudes y utilización abusiva de los equipamientos. Para verificar la idoneidad e identidad, ética profesional y conducta de sus empleados, estableciendo responsabilidades de los servidores públicos y contratistas, por la Seguridad de la Información. [ CITATION Pat14 \l 9226 ]

17. Seguridad Física. Deberán establecerse áreas seguras para la gestión e Impedir la violación, deterioro y la perturbación de las instalaciones y los datos de la información., almacenamiento y procesamiento de información en la Alcaldía de San Calixto, estas deberán contar con protecciones físicas y ambientales acordes a los activos que protegen, incluyendo perímetros de seguridad, controles de acceso físicos, controles especiales en áreas de mayor sensibilidad, seguridad de los equipos, seguridad en el suministro eléctrico y cableado, condiciones ambientales de operación y sistemas de contención, detección y extinción de incendios adecuados que preserven el medio ambiente. Esta seguridad debe mantenerse en los momentos de mantenimiento, cuando la información o los equipos que la contienen deben salir de la alcaldía o cuando se deben eliminar o dar de baja,

80

algunos archivos. [ CITATION Pat14 \l 9226 ]

En la alcaldía de San Calixto la información debe ser mantenida en servidores aprobados por La Secretaría General a través de la Oficina de Sistemas. No se permite el alojamiento de información institucional en servidores externos. Los Equipos deben ser alimentados por sistemas de potencia eléctrica regulados y estar protegidos por UPS.

Los medios que alojan copias de seguridad deben ser conservados de forma correcta de acuerdo a las políticas y estándares que para tal efecto elabore y mantenga el Comité de Seguridad en la Información.[ CITATION Unisf \l 9226 ]

18. Gestión de las Telecomunicaciones y Operaciones. Controles para garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información. Debe garantizarse una adecuada planificación y aprobación de los sistemas de información que consideren o provean las necesidades de capacidad futura. Deben considerarse protecciones contra software malicioso y un adecuado mantenimiento y administración de la red, así como un adecuado cuidado de los medios de almacenamiento y seguridad en el intercambio de información de la Alcaldía de San Calixto. Toda información que sea de interés para un proceso operativo o de misión crítica debe ser respaldada por copias de seguridad tomadas de acuerdo a los procedimientos documentados por el Comité de Seguridad de la Información de la alcaldía. Se debe garantizar la ejecución de las copias de seguridad automatizando el procedimiento

81

por medio de herramientas software de acuerdo a los procedimientos documentados por el Comité de Seguridad de la Información. Los registros de copias de seguridad deben ser guardados en una base de datos creada para tal fin. [ CITATION Unisf \l 9226 ] El sistema de correo electrónico institucional de la Alcaldía de San Calixto debe ser usado únicamente para propósitos laborales.

19. Control de Acceso a los Datos. Debe establecerse medidas de control de acceso a las dependencias de la Alcaldía de San Calixtoy a los diferentes niveles de la plataforma tecnológica, tales como la red, sistema operativo y aplicaciones; así como a la información física que tenga un componente de seguridad.

20. Adquisición, Desarrollo y Mantenimiento de Software. Realizar controles para garantizar que la Política de Seguridad esté incorporadas a los sistemas de información. Asegurar que se haga un adecuado análisis e implementación de los requerimientos de seguridad del software desde su diseño, ya sea interno o adquirido, que incluya garantías de validación de usuarios y datos de entrada y salida, así como de los procesos mismos, de acuerdo con la clasificación de los activos a gestionar en la herramienta.

21. Gestión de Incidentes. En caso de suceder ciertos incidentes. Existe una clasificación de los incidentes según el

82

grado en que afecten el normal funcionamiento de la Alcaldía. Controles para gestionar las incidencias que afectan a la seguridad de la Información. Asegurar que se haga una adecuada evaluación del impacto en el organismo frente a los eventos de seguridad relevantes, en los cuales las políticas de seguridad hayan sido desatendidas o traspasadas y realizará planes de atención de incidentes y mejora de procesos, para aquellos eventos que resulten críticos para la supervivencia del mismo. Estos planes deben considerar medidas: técnicas, administrativas y de vínculo con entidades externas, deben probarse y revisarse periódicamente, así como estar articulados en todo el organismo con los diferentes tipos de recursos tecnológicos y no tecnológicos.

22. Cumplimiento y Normatividad Legal. La alcaldía de San Calixto debe seguir el cumplimiento de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y de las exigencias de seguridad. Garantizar que la gestión de la seguridad dé cumplimiento adecuado a la legislación vigente para lo cual analizará los requisitos legales aplicables a la información que se gestiona incluyendo los derechos de propiedad intelectual, los tiempos de retención de registros, privacidad de la información, uso inadecuado de recursos de procesamiento de información, uso de criptografía y recolección de evidencias.

23. Responsabilidades

83

La Alcaldía de San Calixto debe crear un Comité de Seguridad de la Información para: • Garantizar la existencia de una dirección y apoyo gerencial que soporte la administración y el desarrollo de iniciativas sobre seguridad de la información, a través de compromisos y uso adecuado de los recursos en el organismo. [ CITATION Pat14 \l 9226 ] • Formular y mantener una política de seguridad de la información que aplique a toda la organización conforme con lo dispuesto por la Alcaldía.

Debe crear también un Grupo de Apoyo a la Seguridad para: • Desarrollar, mantener y administrar operativa y técnicamente la seguridad de la información conforme con las políticas de seguridad adoptadas por la Alcaldía. • Materializar las medidas de largo, mediano y corto plazo que permitan el desarrollo efectivo, estratégico y armónico de las políticas planteadas. [ CITATION Pat14 \l 9226 ]

24. Organización para la seguridad de la información. La Alcaldía de San Calixto debe garantizar el apoyo al proceso de establecimientos, implementación, operación, seguimiento, revisión, mantenimiento y mejora del Sistema de Gestión de la Seguridad de la Información, para la protección de la información de la alcaldía, creando una comisión de Seguridad de la Información cuya composición conformada de la siguiente manera: Líder de Seguridad Informática del Municipio. Asesor de Despacho del Alcalde Municipal, Secretario (a) General, Oficina Jurídica o su delegado

84

Secretario(a) de Planeación y Ordenamiento Territorial, Un Representante del Área de Archivo Creando esta comisión dentro de la alcaldía de San Calixto es más fácil mantener la información de la misma más protegida sin que caiga a manos de terceros.

25. formatos. Formatos requeridos para cualquier proceso informático dentro de la Alcaldía de san Calixto

85

Formato de creación de cuenta de usuario para la alcaldía de San Calixto Norte de Santander.

NOMBRE Y APELLIDO DEL No USUARIO

FORMATO CREACION DE CUENTA DE USUARIO CREACION MODIFICACION ELIMINACION ID DE DEPENDENCIA USUARIO CONSECUTIVO OBSERVACIONES

Fuente: Autor del proyecto

Formato de solicitud de creación de cuenta de usuario para los funcionarios de la alcaldía de San Calixto Norte de Santander.

86

FORMATO DE SOLICITUD CREACION DE CUENTA DE USUARIO DE FECHA NOMBRE CARGO

PARA CREACION

MODIFICACION

ADMINISTRADO R

ROLES:

ELIMINACION

APELLIDOS USUARIO USUARIO OPERATIVO

OBSERVACIONES

JEFE

SECRETARIA

Fuente: Autor del proyecto

Formato de seguimiento a las políticas de seguridad informática para los funcionarios de la Alcaldía de San Calixto Norte de Santander.

SEGUIMIENTO A LAS POLITICAS DE SEGURIDAD INFORMATICA NOMBRE Y APELLIDOS

CARGO

BACKUPS

FECHA

FIRMA

FECHA

OBSERVACIONES

87

Fuente: Autor del proyecto

Formato de solicitud de adquisición, reparación, actualización, mantenimiento o cambio de materiales y equipos de la alcaldía de San Calixto Norte de Santander.

FORMATO DE SOLICITUD DE ADQUISICIÓN, REPARACIÓN, ACTUALIZACIÓN, MANTENIMIENTO O CAMBIO DE MATERIALES Y EQUIPOS NOMBRE Y APELLIDOS

CARGO

FECHA

ADQUISICION

REPARACION

ACTUALIZACION

MANTENIMIENTO

CAMBIO

88

Fuente: Autor del proyecto

Formato de respaldo de información en medios magnéticos de la alcaldía de San Calixto Norte de Santander.

FORMATO DE RESPALDO DE INFORMACION EN MEDIOS MAGNETICOS

NOMBRE Y APELLIDOS

CARGO

Fuente: Autor del proyecto

FECHA

TIPO DE INFORMACION A ALMACENAR

TIPO DE MEDIO MAGNETIC OBSERVACIONE O S

89

Conclusiones

Al realizar este trabajo de investigación, se ha podido comprobar como ingeniero de sistemas que existe la necesidad de centralizar las políticas de seguridad informática, para cubrir virtualmente toda la información de las empresas, especialmente la información que arrojan las entidades del estado en este caso la alcaldía de San Calixto de una forma segura.

Se han logrado realizar los objetivos planteados en este trabajo de investigación, haciendo que la alcaldía de San Calixto, empiece a entender la importancia de la seguridad informática, para que en un futuro con esta información se puedan realizar proyectos que dependan de manera critica con un sistema articulado, para poder garantizar que los sistemas informáticos sean operados de una manera segura.

Se analizaron y examinaron, los aspectos administrativos de la Alcaldía municipal de San Calixto, relacionados con la gestión de la información, determinando de una manera segura la información que se obtuvo para identificar los factores de riesgo en la integridad, confidencialidad y disponibilidad de la información de la alcaldía.

90

Se logro Estructurar el manual de políticas de seguridad de la información, para la Alcaldía municipal de San Calixto, Norte de Santander logrando que sea una herramienta de gran ayuda para cerrar las brechas de la seguridad desde el punto de vista del usuario personal como de la empresa.

Recomendaciones

En primer lugar, se recomienda a la Alcaldía de San Calixto, crear un área de sistemas con el fin de mejorar continuamente las políticas de seguridad de la información de esta entidad.

La alcaldía de San Calixto debe dar a sus empleados más vitales confidencialidad, integridad y disponibilidad de la información para las operaciones realizadas dentro de la alcaldía para su propio éxito. Usando un enfoque para proteger la información clave mediante el control y la mejora constantes de las aplicaciones, sistemas y procesos de la alcaldía con el objetivo de cumplir con las crecientes demandas y desafíos de amenazas de seguridad. Cumplido con las normas de seguridad ISO 27001 para que la alcaldía reciba la certificación correspondiente.

91

Referencias

Alcaldia de San Calixto. (2016). PLAN DE DESARROLLO. Obtenido de http://sancalixtonortedesantander.gov.co/apc-aa-files/36646337336364313563666333356330/pdmaprobado-sancionado-2016-2019.pdf Alcaldía Municipal de Ocaña. (2010). Plan de acción municipio de Ocaña. Obtenido de http://ocana-nortedesantander.gov.co/apcaafiles/61643230666336653165633566373234/Plan_de_Accion_GEL_si_Oca_a_pdf Artesanías de Colombia. (2014). Política general de seguridad de la información. Obtenido de http://artesaniasdecolombia.com.co/PortalAC/images/politica-seguridad-informacionproteccion-datos-personales.pdf Echenique, J. A. (2010). Auditoria en Informática. Mexico: McGraw Hill. ERB, M. (2010). Gestión de riesgo en la seguridad informática, amenazas y vulnerabilidades. Obtenido de www.protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/ Galindo, J. (1998). Metodología de la investigación. Gar, S., & Gene, S. (1999). Seguridad práctica en UNIX e internet. McGraw Hill. García Garrido Juan Cristóbal. (s.f). Aclaraciones didácticas sobre seguridad Informática. Obtenido

de

http://www.eduinnova.es/abril09/Aclaraciones%20didacticas%20sobre

92

%20seguridad%20Informatica.pdf Icetex. (2014). Manual de políticas de seguridad de la información. Obtenido de www.icetex.gov.co/dnnpro5/Portals/0/Documentos/La %20Institucion/manuales/Manualseguridadinformacion.pdf ISO. (s.f.). 27001. Recuperado el 29 de Marzo de 2016, de http://www.27000.org/iso-27001.htm Lucena, M. J. (1999). Criptografía y seguridad en computadoras. Universidad de Jaen. Malagón Saenz Nohora&Figueroa Perez Omayra. (2016). PROPUESTA DE POLÍTICAS DE SEGURIDAD

DE

LA

INFORMACIÓN.

Obtenido

de

http://stadium.unad.edu.co/preview/UNAD.php? url=/bitstream/10596/11881/1/24167182.pdf Méndez,

A.

S.

(2015).

Seguridad

de

la

información.

Obtenido

de

http://grupoaem.wix.com/virusinformatico#seguridad-informatica/c13w7 Ojeda, J. E. (2010). Delitos informáticos y entorno juridico vigente en Colombia. Obtenido de www.sci.unal.edu.co/scielo.php?script=sci_arttex&pid=S0123147220100002000003&Ing=es&nrm=iso Patiño León Nancy. (2014). POLITICA DE SEGURIDAD DE LA INFORMACIÓN. Obtenido de http://www.alcaldiasoacha.gov.co/nuestra-alcaldia/procedimientos-lineamientos-ypoliticas?download=809:seguridad-de-la-informacin Presidencia de la República. (2014). Manual de política de seguridad para las tecnologías de la información

y

las

comunicaciones

-

TICS.

Obtenido

de

wp.presidencia.gov.co/sitios/dapre/sigepre/manuales/M-TI-01%20Manual%20general %20Sistema%20de%20Seguridad%20de%20la%20Informacion.pdf Ramirez Montañez Jorge E. (2015). ANÁLISIS, EVALUACIÓN DE RIESGOS . Obtenido de

93

http://stadium.unad.edu.co/preview/UNAD.php? url=/bitstream/10596/3415/1/88030934.pdf Ropero, A. (2013). Gestión de riesgo en la seguridad informática. Obtenido de http://protejete.wordpress.com/gdr_principal/control_riesgo/ San

Calixto.

(2013).

Antecedentes

históricos

de

San

Calixto.

Obtenido

de

www.cucutanuestra.com/temas/geografía/Norte_mapas_datos/san_calixto.htm Universidad Distrital Fancisco Jose de Caldas,. (s.f). Política de Seguridad de la Información. Obtenido

de

https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_seguridad/ archivos/Politica_para_Seguridad_Informacion_Version_0.0.1.0.pdf

94

Apéndice

95

Apéndice 1. Encuesta realizada a los empleados de la Alcaldía Municipal de San Calixto Norte de Santander

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA PLAN DE ESTUDIOS DE INGENIERÍAS INGENIERÍA DE SISTEMAS Objetivo: Conocer la Seguridad en la Información de la Alcaldía Municipal de San Calixto, Norte de Santander. (Marque con una X su repuesta) Dependencia Cargo CUESTIONARIO 1. ¿Tiene usted conocimiento de sus responsabilidades y sanciones, frente a la seguridad de la información? Sí __ No__ 2. ¿Cuentan con un acuerdo de confidencialidad de la información? Sí__ No__ 3. ¿Cuenta con mensajería electrónica interna para sus actividades? Sí __ No__

96

4. ¿Su área cuenta con controles de ingreso del personal? Sí__ No__ 5. ¿El equipo de cómputo a su disposición, cuenta con seguridad en el sistema? Sí __ No__ 6. ¿Se realiza mantenimiento periódico de hardware y software? Sí __ No__ 7. ¿La Oficina cuenta con controles contra software malicioso o espía (antivirus, antispyware, etc.)? Sí __ No__ 8. El equipo de cómputo que actualmente está a su disposición, ¿Es utilizado por otro funcionario? Sí__ No__ 9. ¿Cuenta con manuales de procedimientos para la operación de cada uno de los sistemas de cómputo del área? Sí __ No__ Algunos__ 10. ¿Realizan backup’s (Copias de Seguridad de la Información)? Sí __ No__ 11. ¿En qué medio se almacenan? CD Memorias USB Impresiones Otras _______________________________ 12. ¿Con que periodicidad se realizan? Diariamente Semanalmente Mensualmente

97

Bimestralmente Anualmente Otras ________________________________ 13. ¿Cuenta la oficina con un procedimiento formal para reportes de incidentes (robos de información, pérdida de datos, accesos no permitidos, etc.)? Sí __ No__ 14. ¿Al presentarse un incidente de seguridad, se cuenta con un plan de contingencia? Sí __ No__ 15. ¿Se investiga y recolectan evidencias sobre el incidente de seguridad de la información? Sí __ No__ ¡GRACIAS POR SU COLABORACIÓN!!!

98

Apéndice 2. Evidencias fotografías

en la alcaldía del municipio de San Calixto se puede apreciar la ausencia de un cableado estructurado, no se cuenta con Los Armarios, o Rack de comunicaciones lo cual hace más vulnerable la seguridad tanto física como interna de los sistemas de información. En esta fotografía se puede apreciar un switch genérico que no proporciona ningún tipo de seguridad, así también se ve la falta de canaletas para proteger el cableado de cortes, los cables son de una categoría obsoleta de 5 y 5e lo cual no permite utilizar todo el ancho de banda.

99

En esta fotografía podemos apreciar un cable de tipo coaxial el cual está extendido en el techo sin ningún tipo de protección y expuesto a cualquier tipo de interferencia eléctrica.

100

En el manejo de la telefonía se cuenta con una caja o planta telefónica de marca Panasonic 616 ubicada en un closet de madera al cual cualquiera tiene acceso, también se aprecia el cableado telefónico extendido en el piso sin ningún tipo de canaleta de protección.

101

En esta foto se pude apreciar el computador conectado a un estabilizador, así como otros elementos conectados a la misma toma corriente como al estabilizador. Lo cual puede generar una sobre carga o corto circuito generando así la pérdida total de los datos almacenados en este equipo y la pérdida del mismo.

102

Para mejor la calidad en la conexión vía inalámbrica o wi-fi se utilizó un repetidor o router marca 3BUMEN ubicado sin ningún estándar de seguridad tanto para el equipo, así como de los datos. No cuenta con canaletas de protección y está ubicado en un lugar no recomendable.

103

En una de las oficinas se encuentra una central tefonica Panasonic TEM 824 la cual es una planta telefónica analógica con una capacidad máxima de 8 líneas y 24 extensiones para gestionar las llamadas internas y externas de la alcaldía, la cual es la encargada de manejar las extensiones de las oficinas de la alcandía se encuentra ubicada en una puerta con sus cables expuestos sin ninguna protección y cualquier persona en cualquier momento podría tener acceso a él.

104

Se puede apreciar la Caja de tacos la cual está ubicada a 1.75 mts de altura cualquier persona q ingrese a las oficinas de la alcaldía tiene acceso a ellos permitiendo así cualquier tipo de acción para entorpecer cualquier tarea que los servidores públicos estén haciendo por tanto pude haber una pérdida de datos o daños en los sistemas que allí existen.

105

Conexión a la electricidad con el cable eléctrico expuesto sin protección esto puede generar que la protección de caucho del cable se desgaste y en determinado momento generar un corto circuito o un accidente al funcionario que labora aquí.

Podemos apreciar unas cajas de conexión en mal estado sin ningún tipo de protección estando expuestos los cables de datos como eléctricos que generar perdida de datos o lentitud en el tráfico de ellos ya que cualquier persona los puede tropezar y ocasionar un accidente ya que no se encuentran instalados correctamente ni con sus respectivas canaletas de protección.

106

en esta foto se pude apreciar un riesgo ya que los cables esta expuestos a cortes rupturas, corto circuitos, así como también interferencias en el transporte de datos ya que por el mismo canal o tubo se manejan los cables eléctricos, así como también el cableado de datos.