AUDITORIA BASADA EN EL ANALISIS DE RIESOS DE TI

PRESENTADO POR:
MARTHA ROJAS SAAVEDRA
MAURICIO CARRILLO MORENO
MARCOS UMOA SANCHEZ

PRESENTADO A:
ING. YANNY CASTAO GARCIA

UNIVERSIDAD COOPERATIVA DE COLOMBIA

SEDE ARAUCA
2014

INTRODUCCION
La tecnologa estn inmersa en la gestin de las organizaciones, se han
constituidos como una herramienta de suma importancia para las entidades
puesto que se apoyan en estos sistemas para la toma de decisiones generando un
alto grado de dependencia. Debido a la importancia que tienen en el
funcionamiento de una organizacin, existe la auditora informtica.
La complejidad de las auditorias que debe manejar las organizaciones pblicas o
privadas, en relacin del uso de las tecnologas y los sistemas de informacin
como apoyo de sus propsitos es evidente la dependencia de estos recursos, la
cual requieren contar con un seguimiento y evaluacin constante de los sistemas
automticos de procesamiento de la informacin.
La naturaleza especializada de la auditoria de los sistemas de informacin y las
habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el
desarrollo y la promulgacin de Normas Generales para la auditoria de los
Sistemas de Informacin.
Para hacer una adecuada planeacin de la auditoria en informtica, hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin
y equipo.
Se plantea una metodologa, tcnica y herramientas de auditoria, en el cual se
describe el proceso de auditora, sus fases y procedimientos. Tambin de acuerdo
con la metodologa para llevar acabo los procesos de control interno y anlisis de
riesgo, se muestra como construir un plan de contingencia y finalmente presentar
tcnicas especficas que apoya la auditoria.
Es un hecho incuestionable que la gran mayora de los procesos de las empresas
son soportados, automatizados y gestionados por sistemas informticos, as como
los sistemas de informacin apoyan la actividad gerencial y la toma de decisiones;
incluso muchas veces, es la propia informacin y el acceso a la misma, el
producto o servicio que se intercambia como principal objeto del negocio.
Es importante la seguridad de la informacin de todas las organizaciones en las
empresas, entonces lograr una planeacin de auditoria que conduzca a una
solucin eficaz y eficiente, desde el punto de vista tcnico, que contenga los

niveles de seguridad requeridos y brinde la confianza necesaria a las empresas, y

a los usuarios.

AUDITORIA BASADA EN EL ANALISIS DE RIESOS DE TI

CAJA DE COMPESANCIN FAMILIAR DE ARAUCA COMFIAR

ESTUDIO PRELIMINAR
Anlisis de la Estructura Organizacional

Nombre de la Organizacin: CAJA DE COMPENSACION FAMILIAR DE

ARAUCA pudindose tambin distinguir por su sigla COMFIAR.
Naturaleza: La caja de compensacin familiar de Arauca COMFIAR, es una
corporacin autnoma de derecho privado, sin nimo de lucro, con patrimonio y
personera jurdica propios, de las contempladas en el libro 1 titulo 36 del Cdigo
Civil Colombiano, regida por estatutos y por las disposiciones legales
contempladas en la Ley 21 de 1982, su Decreto Reglamentario 341 de 1988, la
Ley 789 de 2002, y las dems normas que les adicionen, contemplen y
reglamenten.
rea a Analizar: El proceso de auditoria se desarrollar al rea de TI, la cual se
encuentra situada en la oficina principal localizada en el rea administrativa de la
situada en la Calle 22 # 16-51, especificando que el proceso de anlisis se
encuentra enfocado en el rea de TI, el cual es transversal para todos los
proceso.

Estructura Organizacional

Ilustracin 1. Estructura Organizacional. Fuente; (Caja de Compensacin Familiar de

Arauca "COMFIAR", 2013)

Principios Misionales de la Empresa

OBJETO: El objeto de la Corporacin es promover la solidaridad social

entre Empleadores y Trabajadores, atendiendo la integracin de la familia
como ncleo bsico de la sociedad. Para el efecto cumplir funciones de
seguridad social, efectuar
inversiones, ejecutar obras, suscribir
convenios y prestar servicios sociales, desarrollando proyectos orientados
a satisfacer necesidades de sus afiliados.
MISIN. Somos una Corporacin araucana comprometida, que presta
servicios integrales de calidad para el bienestar social de nuestros afiliados,
familias y comunidad en general.

VISIN. En el ao 2018, Comfiar ser una corporacin lder e innovadora,

desarrollando estrategias sostenibles para la prestacin de servicios y
programas sociales con calidad dirigida a nuestros afiliados y comunidad
en general.
1. Procesos Crticos Soportados por TI
Anlisis Preliminar del rea de TI
Actualmente el rea de TI se ha convertido en esta organizacin como el
eje principal de la organizacin en donde se enlazan n todas las
dependencias, en relacin a que los diversos procesos existen deben ser
soportados por las herramientas de TIC, es por esta razn que esta
dependencia es una de las ms importante en relacin al concepto del
desarrollo y formulacin de estrategias que vayan de la mano con los
conceptos de gobernabilidad en TI. Como lo menciona (Ramrez, 2010) se
puede considerar que es el sistema por el cual se dirigen y controlan las
decisiones con respecto a las TI buscando alinear las decisiones de TI con
los objetivos presentes y futuros de la organizacin, equilibrando riesgos y
oportunidades.
A continuacin se plantea en la tabla 1, la relacin de los procesos crticos
de la empresa.
PROCESO

ACTIVIDAD

RECURSOS DE TI

OBSERVACIONES

FINANCIEROS Y
ADMINISTRATIVOS

suministro de la
Informacin de las
dependencia

Todos los recursos de la red de

datos, a travs de una
estructura jerarqua de redes
de datos. (Cableado,
Servidores, Cuartos de
Telecomunicaciones)

A travs del rea de TI de

circular toda la informacin de
las diversas dependencias de
entra/sale de la organizacin.

FINANCIEROS

Transmisin de la
Informacin a Servidores
de Base de Datos (BD) e
interactividad de la misma
con los entes de control
existentes

Servidores de BD, recursos

pertenecientes a la Red de
Datos

Este proceso es un punto crtico

debido a la demora en este
proceso genera sanciones y
multas

SERVICIOS

COMUNICACIN

Atencin en los diversos

servicios prestados por la
organizacin, con los
Sistemas de Informacin,
al igual que con los entes
de control, usuarios entre
otros.
Comunicacin desde y
hacia cada una de las

Servidores de BD, recursos

pertenecientes a la Red de
Datos
Diversos servidores
encargados de estas funciones

Este proceso es un punto crtico

debido a la demora en este
proceso genera sanciones y
multas. Al igual que el malestar
que pueda generar en los
usuarios la prestacin de
servicios.
La falta de una adecuada
comunicacin puede generar

dependencias o reas de
(Proxy, Correo, Telefona
que los dems procesos se
trabajo (Correo, telefona
Digital entre otros)
detengan, debido a la falta de
IP, navegabilidad web,
coordinacin de las
etc.)
dependencias.
Tabla 1. Identificacin de los procesos crticos de la organizacin

Identificacin de los Actores en los Procesos:

Como lo mencionamos anteriormente el rea de TI es transversal a todas
las dependencias y las diversas sedes con las que cuenta la organizacin,
es por esto que los actores se encuentran identificados de la siguiente
manera;
El director administrativo que informa a sus superiores y a las dems
dependencias sobre los procesos relacionados con TI, al igual que la
aprobacin de presupuestos que satisfagan el plan de trabajo
establecido por TI.
Los directores de cada una de las divisiones que entienden cada uno
de los procesos que se desarrollan en sus reas y facilitan el
proceso de capacitacin, anlisis y solucin de las estrategias
establecidas por TI.
Cada uno de los directores de procesos que conforman la
organizacin y que interactan directamente con las aplicaciones, al
igual que las herramientas de TIC.

a. Caracterizacin de Activos: Inventario y Recursos TI

Proceso de caracterizacin arrojo la siguiente informacin.
ITEM

CANTIDAD

CARACTERISTICA

42

Equipos de Computo

11

Impresoras Digitales

42

Telfonos IP

4
5

1
1

Scanner
Rack de Telecomunicaciones
Switch de Comunicaciones de
diversas referencias y marcas

Servidores

Access Point

OBSERVACIN
Establecidos en las diversas reas de trabajo en
las dependencias
Establecidos en las diversas reas de trabajo en
las dependencias
Establecidos en las diversas reas de trabajo en
las dependencias
Instalado en solo un dependencia
Establecido en el cuarto de telecomunicaciones
Establecido en el cuarto de telecomunicaciones
Servidores con varios procesos BD, Proxy y
VOIP
Utilizados para los puntos donde se encuentran
varios equipos (zonas abiertas, etc.)

Tabla 2. Identificacin del Inventario de Recursos.

b. Plan de Contingencia:
El plan de contingencia existente en la organizacin se encuentra obsoleto,
dado que la ltima versin actualizada, se desarroll en el ao 2012, debido
a esta razn lo estn reestructurndolo en relacin a los nuevos estndares
y requisito existentes. De la misma forma la organizacin se encuentra
desarrollando todos los pasos para poderse certificar en calidad.

ANLISIS DE RIESGOS

En este inciso se establecen los formatos a travs de los cuales podemos entrar
desarrollar todos los elementos que faciliten el proceso de ejecucin en relacin a
las 4 fases para el desarrollo de una auditora que plantea (Alarcn & Universidad
Cooperativa de Colombia, 2014), es por eso distinguir dos conceptos principales.
Que son:
Amenaza: Persona o cosa vista como posible fuente e peligro o catstrofe
(Piattini & Del Peso, 2001). Dentro de las cuales se pueden encontrar por
Criminalidad (comn y poltica), Sucesos de origen fsico, Negligencia y decisiones
institucionales. Las cuales pueden ser: de factor humano, de hardware, de redes
de datos, de Software, desastres naturales.
Vulnerabilidad: Situacin creada por la falta de uno o varios controles, a travs
de los cuales se hace realidad una amenaza que afecte el entorno de TI. (Piattini
& Del Peso, 2001). Igualmente estas pueden ser por ambientales o fsicas,
econmicas, socio-educativas, institucionales o polticas. En las cuales podemos
mencionar las fsicas, naturales, hardware, software, redes, factor humano.

Todos los formatos se encuentran desarrollados para cumplir con los 11 dominios,
39 objetivos de control y los 133 controles establecidos por el estndar ISO/IEC
27002:2005. A continuacin se plantea un esquema general del formato a utilizar.

NORMA
5
5,1

SECCION
POLITICAS DE SEGURIDAD

PUNTOS A EVALUAR

Directrices de la Direccin en seguridad de la informacin

1. Existen polticas de seguridad?

5.1.1

Conjunto de polticas para la

seguridad de la informacin

2. Son todas las polticas aprobadas por

la administracin?
3. Las polticas son comunicadas
adecuadamente a los empleados?

5.1.2

Revisin de las polticas para la

seguridad de la informacin

1. Estn las polticas de seguridad sujetas

a revisin?
2. Regularmente se hacan revisiones?
3. Se hacan revisiones cuando la
circunstancia lo ameritaba?

6
6,1

6.1.1

6.1.2

6.1.3

ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION

Organizacin Interna
Asignacin de responsabilidades
para la seguridad de la
informacin

Si la administracin demuestra el apoyo

activo a las medidas de seguridad dentro
de la empresa?

Segregacin de tareas

Con el fin de reducir las oportunidades

de modificacin no autorizada o mal uso
de informacin o servicios, Las funciones
y responsabilidades estn separados?

Contacto con las autoridades

1. Existe algn documento de

procedimiento para llamar a las
autoridades (eje: la polica, etc.)?
2. Existe un proceso que detalle cmo,
cundo y porque se requiere el contacto
con las autoridades?
Dentro de la empresa hay personas que
pertenecen a grupos o membrecas de
inters relevantes?

6.1.4

Contacto con grupos de inters

especial

6.1.5

Todos los proyectos pasan por algn tipo

Seguridad de la informacin en la
de evaluacin de seguridad de la
gestin de proyectos
informacin?

6,2
6.2.1

Dispositivos para movilidad y teletrabajo.

Poltica de uso de dispositivos
para movilidad.

1. Existe una poltica del uso de

dispositivos mviles?

SI NO

OBSERVACIONES

2. Existe una poltica adicional de riesgo

por el uso de puntos de acceso
inalmbricos abiertos (WiFi)
Tabla 3. Tabla de evaluacin de Amenazas y Vulnerabilidades.
Fuente: https://iso27002.wiki.zoho.com/ISO-27002.html

VALORACIN DE RIESGOS
Valoracin del Impacto y del Riesgo

Para el desarrollo de la valoracin de los riesgos se tom la anterior informacin y

se evalu preliminarmente algunos elementos que se establecen en ella, dando
como resultado el desarrollo de una matriz de riesgo, un ejemplo claro de este tipo
de matiz se puede apreciar en la ilustracin 2.

Ilustracin 2. Matriz de Riesgos. Fuente: (Leonardo, 2010)

AMENAZA
Dispositivos extrables
ingresados por los
funcionarios.
(3)
Conexiones de red externas a
las reas de trabajo.
(3)
La informacin que se maneja
en las pginas web no se
encriptado.
(4)
Perdida de la informacin
producto de infeccin por
virus informticos.
(4)

VULNERABILIDAD

RIESGO

NIVEL

MEDIO

MEDIO

No hay seguridad a la hora de enviar la

informacin en el internet.
(4)

16

ALTO

No hay actualizacin constante de los

antivirus.
(3)

12

ALTO

No hay un control de ingreso de estos

dispositivos.
(3)
No tienen control en los puntos de
conexiones.
(3)

Se crea un solo usuario con

una nica contrasea.
(2)

Las contraseas creadas para los

usuarios no son cambiadas
peridicamente.
(3)
Se generan prdidas de trabajo dados
en tiempo de trabajo es igual a perdida
de costo laboral.
(3)

BAJO

12

ALTO

No hay control de la informacin lgica

interna la cual puede ser modificada,
copiada, o hurtada.
(4)

12

ALTO

Todos los funcionarios tienen el mismo

acceso al disco virtual en la red. (4)

16

ALTA

Los dispositivos moviles de cualquier

persona acceden a esta red.
(4)

12

ALTA

Se presenta perdidas de todos los

procesos en relacin a la informacin
(4)

12

ALTA

Presenta insatisfaccin por desconocer

procesos sencillos de seguridad.
(3)

MEDIO

Incendio (3)

fenmeno fsico de origen natural de

posible ocurrencia (3)

MEDIO

Terremoto (3)

fenmeno fsico de origen natural de

posible ocurrencia (4)

12

ALTO

Tormenta Elctrica (4)

fenmeno fsico de origen natural de

posible ocurrencia (3)

12

ALTO

Inundacin (3)

fenmeno fsico de origen natural de

posible ocurrencia (2)

BAJO

Lluvias Torrenciales (3)

fenmeno fsico de origen natural de

posible ocurrencia (2)

BAJO

Los backups que se realizan

no tienen un lugar especficos
de almacenamiento. (4)
La informacin lgica que se
maneja internamente dentro
no se le aplica ningn
protocolo de seguridad.
(3)
Manejo inadecuado de las
bases de datos en el ingreso
a la red.
(4)
Hay una red wifi a la cual
tienen acceso los funcionarios
de la entidad
(3)
No hay plan de apoyo
alternativo en caso de
emergencia.
(3)
Los usuarios no son
capacitados peridicamente
para identificar amenazas
lgicas bsicas.
(3)

Tabla 4. Matriz de Riesgos y Vulnerabilidades

Definicin de Controles

AMENAZA
Dispositivos extrables ingresados por
los funcionarios.
Conexiones de red externas a las reas
de trabajo.
La informacin que se maneja en las
pginas web no se encriptado.
Perdida de la informacin producto de
infeccin por virus
Se crea un solo usuario con una nica
contrasea.
Los backups que se realizan no tienen
un lugar especficos de almacenamiento.
La informacin lgica que se maneja
internamente dentro no se le aplica
ningn protocolo de seguridad.
Manejo inadecuado de las bases de
datos en el ingreso a la red.
Hay una red wifi a la cual tienen acceso
los funcionarios de la entidad
No hay plan de apoyo alternativo en
caso de emergencia.
Los usuarios no son capacitados
peridicamente para identificar
amenazas lgicas bsicas.

CONTROL A IMPLEMENTAR
Establecer una poltica de control para el uso de
dispositivos extrables, apoyado del antivirus.
Creacin de Vlans para evitar el robo y acceso a la
informacin.
Implementacin de una poltica institucional donde se
obligue a todos los funcionarios encriptar la
informacin, y que lo realicen de forma fcil y
altamente segura.
Obtencin de un antivirus que cumpla con las
exigencias que cada da surgen en la empresa y que
sea de fcil uso y altamente actualizado.
Crear un dominio de usuarios donde se le obligue el
cambio peridico mnimo cada 3 meses.
Implementar un servidor de copias de seguridad, con
grado alto de seguridad.
Disear un protocolo de manejo de informacin que
no sea de fcil acceso a funcionarios y extraos.
Definir roles de acceso al disco virtual en la red.
Creacin de Vlans para evitar el mal uso de la red.
Creacin e implementacin de plan de emergencias
Implementacin de jornadas de capacitacin a los
usuarios (funcionarios), para que ellos aprendan a
identificar con facilidad las amenazas.

DEFINICIN DEL ALCANCE Y OBJETIVOS DE LA AUDITORIA

ALCANCE
La implementacin de esta auditoria en el rea de TI, tiene un valor relevante en la
gestin de la seguridad de la informacin de la organizacin COMFIAR, debido a
que se ha desarrollado un acercamiento con la organizacin en la cual se le
plantearon los beneficios que ofrecen el planteamiento de esta actividad para el
proceso de calidad de la organizacin y las ventajas que le pueden ofrecer para el
rea de TI.
Igualmente, este proceso permitir encontrar las falencias en la seguridad de la
informacin con lo que se propone aplicar nuevos procedimientos y correctivos que
disminuyan la fragilidad de las TIC y as evitar la divulgacin y manipulacin no
autorizada de la informacin.

OBJETIVOS DE LA AUDITORA
Planteamiento de un proceso de Auditoria al rea de TI en la Caja de
Compensacin Familiar de Arauca COMFIAR, a travs de la aplicacin de la
metodologa MAGERIT.

OBJETIVOS ESPECIFICOS

Conocer la situacin actual de la caja de compensacin familiar de Arauca

en relacin al manejo de la informacin, evaluando su nivel actual.
Identificar y valorar los activos de informacin asociados a los procesos de
negocios establecidos como alcance del SGSI.
Identificar, analizar y evaluar los riesgos a los que estn expuestos los
activos de mayor valor para la entidad.
Realizar anlisis de los documentos y polticas establecidas en la entidad.
Aplicar los controles adecuados para gestionar y tratar los riesgos
identificados.

Elaborar informes de los resultados del anlisis de acuerdo a la norma

establecida.
Generacin de las estrategias de acompaamiento de los diversos
procesos en relacin a las mejoras a desarrollar.

METODOLOGIA DE LA AUDITORIA

ISACA. Asociacin de Auditora y Control de Sistemas de Informacin, cuya

misin es la de mejorar el reconocimiento de la profesin de auditora y control de
las TI mediante la elaboracin de estndares y prcticas, as como capacitacin y
certificacin de sus miembros a travs de la fundacin (Information Systems Audit
and Control Association). Ayuda que las organizaciones puedan asegurar que
construyen proyectos de tecnologa de informacin que cubren de manera
adecuada las necesidades del cliente, en forma eficiente y oportuna, y dentro del
presupuesto contemplado.
Otra metodologa propuesta es la Metodologa de Anlisis y Gestin de Riesgos
de los Sistemas de Informacin (MAGERIT), promovida por el Consejo Superior
de Administracin Electrnica (CSAE), adscrito al Ministerio de Hacienda y
Administraciones Pblicas de Espaa. Dicha metodologa surge como respuesta a
la necesidad de gestionar los riesgos asociados con el uso de TI y de los SI, en
especial en el tema de seguridad. De manera general, se proponen tres
documentos orientados a: el mtodo, el catlogo de elementos y la gua de
tcnicas

JUSTIFICACIN

La informacin es un valioso activo del que depende el buen funcionamiento de

una organizacin. Mantener su integridad, confidencialidad y disponibilidad es
esencial para alcanzar los objetivos de la organizacin. (INTECO, 2014)
En el caso particular de la caja de compensacin familiar de Arauca COMFIAR
existen falencias en procedimientos, planes de gestin de riesgos, cultura
organizacional del riesgo, con las cuales se definan controles y acciones a tomar
para llegar a un nivel de riesgo de seguridad de la informacin aceptable para la
empresa.
Una de las razones ms importantes para implementar un proceso de auditoria es
la de atenuar los riesgos propios de los activos de informacin de la empresa. Una
acertada identificacin de tales activos, su definicin correcta del alcance y unas
polticas de seguridad claras y completas, son determinantes para la correcta
implantacin de estrategias de mejoras.
El conjunto de acciones que realiza el personal especializado en las reas de
auditora y de informtica para el aseguramiento continuo de que todos los
recursos de informtica operen en un ambiente de seguridad y control eficiente,
con la finalidad de proporcionar alta direccin.

FORMATOS DESARROLLADOS A APLICAR

Una de la forma de establecer un proceso de auditoria es a travs del desarrollo

de la una investigacin cuantitativa, que permita medir de una manera precisa las
condiciones con las cuales se encuentran los activos y elementos a evaluar.
Teniendo en cuenta esta premisa a continuacin se plantea el siguiente formato
que facilitara el desarrollo de este proceso de anlisis en el rea de TI y en
relacin a los procesos que maneja esta rea.

FORMATO DE ANLISIS DE LA SEGURIDAD DE LA INFORMACIN

1. POLITICA DE SEGURIDAD
La empresa o entidad cuenta con polticas de seguridad de la informacin?
SI
NO
N/A
La empresa o entidad tiene sistemas de respaldo de informacin por cualquier efecto de
SI
NO
N/A
fallas significativas o desastres?
La empresa o entidad tiene sistemas de seguridad para prevenir la extracion de la informacion no autorizada?
2. REVISION DE LA POLITICA DE SEGURIDAD DE LA INFORMACION
Existe un proceso para mantener las licencias actualizadas?
Existe un proceso para adquirir nuevas licencias?
Cuenta con polticas de seguridad de los equipos respecto al uso de alimentos, lquidos o
cualquier tipo de sustancia que dae los equipos?
3. COORDINACION DE LA SEGURIDAD DE LA INFORMACION.
Se promueve de forma efectiva la educacin, capacitacin y conocimiento de la seguridad
de la informacin a travs de toda la organizacin?
Se evala la idoneidad y se coordina la implementacin de los controles de la seguridad de
la informacin?

SI
SI
SI

NO
NO
NO

N/A
N/A
N/A

SI

NO

N/A

SI

NO

N/A

SI
SI
SI
SI
SI

NO
NO
NO
NO
NO

N/A
N/P
N/A
N/P
N/A

SI
SI

NO
NO

N/A
N/A

4. RESPONSABILIDAD SOBRE LOS ACTIVOS

La entidad o empresa tiene inventariado los activos de informacin?
La entidad o empresa tiene inventariado los activos de software?
La entidad o empresa tiene inventariado los activos fsicos?
La entidad o empresa tiene inventariada las instalaciones?
La entidad o empresa ha identificado, documentado o implementado reglas para el uso
aceptable de la informacin tales como correos, dispositivos mviles, herramientas y
equipamientos de publicacin de contenidos etc?
5. REQUERIMIENTOS DE CONTROL DE ACCESO
Tienen segregacin de roles de acceso?
Hacen eliminacin de derechos de Acceso?

IDENTIFICACIN DE LOS PROCEDIMIENTOS

El planteamiento de los procedimientos a travs de los cuales se establecer el
desarrollo del proceso de auditoria en el rea de TI, los cuales se encuentran
relacionados con las 4 fases que establece ISACA, al igual que la metodologa
PDCA establecida por el estndar ISO/IEC 27000.
Entrevista aplicacin del Check List desarrollado.
Observacin
Para ello el equipo de trabajo manejo una lista de Verificacin con las
caractersticas con la que debera contar la institucin para poder cumplir la
ISO/IEC 27002:2005.
Actividades a Realizar

Realizar una visita a la empresa para revisar su infraestructura. Revisin

mediante la observacin del auditor.
Realizar una entrevista para iniciar el desarrollo de la Auditoria.
Evaluar la infraestructura de la seguridad empresarial
Realizacin de listas de verificacin para evaluar el desempeo de la
empresa en seguridad de la informacin.
Realizar las debidas recomendaciones para realizar el mejoramiento de
la seguridad de la compaa

CRONOGRAMA
A continuacin se muestre el cronograma de actividades establecidas en el rea
de TI, de la caja de compensacin familiar de Arauca COMFIAR.

Tiempo
Actividad

Mes 1

Mes 2

Mes 3

Mes 4

S1 S2 S3 S4 S1 S2 S3 S4 S1 S2 S3 S4 S1 S2 S3

Caracterizacin del sistema de gestin de seguridad de la

informacin actual
Identificar y valorar los activos de informacin de la entidad.

Identificar, analizar y evaluar los riesgos a los que estn expuestos

los activos.
Diagnstico de los documentos y polticas establecidas en la
entidad.
Implementar los controles adecuados para gestionar y tratar los
riesgos identificados. (CHECKLIST)

Declaracin de la aplicabilidad del anlisis al SGSI.

Elaborar del documento y socializacin de los resultados del anlisis

de acuerdo a la norma establecida.
TABLA 1. CRONOGRAMA DE ACTIVIDADES A DESARROLLAR. FUENTE: ELABORADO POR LOS AUTORES

S4

DIAGRAMAN GANT DE LAS ACTIVIDADES

BIOGRAFIA
Aglone3. (S.F.). iso27002.es - El Anexo de ISO 27001 en espaol. Obtenido de
https://iso27002.wiki.zoho.com/ISO-27002.html
Alarcn, C. A., & Universidad Cooperativa de Colombia. (2014). Auditora de TI. Bucaramanga:
Universidad Cooperativa de Colombia - Bucaramanga.
Barney, J. (1991). Resource based theory and international growth strategies.
Caja de Compensacin Familiar de Arauca "COMFIAR". (12 de 10 de 2013). Caja de Compensacin
Familiar de Arauca. Recuperado el 1 de 10 de 2014, de Estructura Organizacional:
http://www.comfiar.com.co/userfiles/files/organigrama%281%29.jpg
Caja de Compensacin Familiar de arauca. (2011). COMFIAR. Obtenido de
http://www.comfiar.com.co/sitio/
INTECO. (10 de 09 de 2014). Implantacion de un SGSI en la empresa. Obtenido de
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf
ISO. (10 de 09 de 2014). ISO 27000. Obtenido de http://www.iso27000.es/sgsi.html
Leonardo, C. (12 de 05 de 2010). Seguridad de la Informacin en Colombia. Recuperado el 01 de 10
de 2014, de http://seguridadinformacioncolombia.blogspot.com/2010/05/gestion-deriesgos.html
Piattini, & Del Peso, E. (2001). Auditora Informtica. Un enfoque practico. Madrid: AlfaOmega y
Ra-Ma.
Ramrez, S. (2010). Anlisis y Estudio sobre el gobierno y gestin de los servicios de TI en el
mercado espaol. Legans.

Aglone3. (S.F.). iso27002.es - El Anexo de ISO 27001 en espaol. Obtenido de

https://iso27002.wiki.zoho.com/ISO-27002.html
Alarcn, C. A., & Universidad Cooperativa de Colombia. (2014). Auditora de TI. Bucaramanga:
Universidad Cooperativa de Colombia - Bucaramanga.
Barney, J. (1991). Resource based theory and international growth strategies.
Caja de Compensacin Familiar de Arauca "COMFIAR". (12 de 10 de 2013). Caja de Compensacin
Familiar de Arauca. Recuperado el 1 de 10 de 2014, de Estructura Organizacional:
http://www.comfiar.com.co/userfiles/files/organigrama%281%29.jpg

Caja de Compensacin Familiar de arauca. (2011). COMFIAR. Obtenido de

http://www.comfiar.com.co/sitio/
INTECO. (10 de 09 de 2014). Implantacion de un SGSI en la empresa. Obtenido de
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf
ISO. (10 de 09 de 2014). ISO 27000. Obtenido de http://www.iso27000.es/sgsi.html
Leonardo, C. (12 de 05 de 2010). Seguridad de la Informacin en Colombia. Recuperado el 01 de 10
de 2014, de http://seguridadinformacioncolombia.blogspot.com/2010/05/gestion-deriesgos.html
Piattini, & Del Peso, E. (2001). Auditora Informtica. Un enfoque practico. Madrid: AlfaOmega y
Ra-Ma.
Ramrez, S. (2010). Anlisis y Estudio sobre el gobierno y gestin de los servicios de TI en el
mercado espaol. Legans.