Documente Academic
Documente Profesional
Documente Cultură
Autor:
Director
Ingeniero de Sistemas
FACULTAD DE INGENIERÍAS
INGENIERÍA DE SISTEMAS
Dedicatoria
Dedico este trabajo de grado, principalmente a Dios, por haberme dado la vida y permitirme el
haber llegado hasta este momento tan importante en mi formación profesional. A mis padres, y
demás familiares por ser el pilar más importante y por demostrarme siempre su cariño y apoyo
por su interés y constancia acá está la recompensa, el cumplir esta meta en mi vida.
Índice
Resumen..........................................................................................................................................9
3
Introducción...................................................................................................................................10
Conclusiones..................................................................................................................................90
Recomendaciones..........................................................................................................................91
Referencias....................................................................................................................................92
Apéndice........................................................................................................................................95
Lista de tablas
Lista de figuras
Lista de Apéndices
Apéndice 1. Encuesta realizada a los empleados de la Alcaldía Municipal de San Calixto Norte
de Santander...................................................................................................................................95
Apéndice 2. Evidencias fotografías...............................................................................................98
8
9
Resumen
usando como herramienta las ISO/IEC 27001:2013, se encuentra dividido en seis capítulos,
siendo el primero la propuesta del mismo, en el segundo se encuentran los marcos históricos,
del trabajo. El cuarto capítulo es el desarrollo de los objetivos, en donde se encuentran los
resultados arrojados por los mismos, siendo el tema principal el diseño del manual de políticas
para la entidad en mención. El quinto y sexto capítulo son las conclusiones y recomendaciones,
respectivamente.
Los resultados obtenidos fueron satisfactorios, ya que se dio cumplimiento a los objetivos
propuestos, aplicando así los conocimientos adquiridos durante el transcurso de la carrera. Allí se
conoció los procesos que se realizan en la Alcaldía del municipio de San Calixto, relacionados
implementación.
10
Introducción
La seguridad en cualquier campo de conocimiento y trabajo resulta ser muy importante, dado
punto fuerte para el desarrollo de las Tecnologías de Información y de las empresas. De esta
manera, para que un sistema de información se defina como seguro, debe cumplir con cuatro
La integridad significa que la información puede ser modificada solo por personal autorizado;
negar su acción sobre la información.[ CITATION Garsf \l 9226 ]. En este sentido, las
seguridad, que se pretende, siendo relevantes tres elementos clave: la información, equipos que
Por lo anterior, el objetivo del trabajo de grado, fue diseñar una herramienta que brinde apoyo
para poder proteger la información de la Alcaldía Municipal de San Calixto, Norte de Santander,
objetivos específicos, los cuales consistieron en: Análisis de los aspectos administrativos de la
Alcaldía municipal de San Calixto, relacionados con la gestión de la información para determinar
si son realizados de forma segura; examinar la información que se obtuvo para identificar los
tomando como base la norma técnica ISO 27001. El mismo queda a consideración de la Alcaldía
Alcaldía Municipal de San Calixto Norte de Santander, Usando Como Herramienta las
ISO/IEC 27001:2013
Una política de seguridad informática es aquella que fija los lineamientos y procedimientos
que deben adoptar las empresas para salvaguardar sus sistemas y la información que estos
contienen. Si bien existen algunos modelos o estructuras para su diseño, estás tienen que ser
elaboradas de forma personalizada para cada empresa y así recoger las características propias
La información es importante para todas las organizaciones y sin ella la empresa dejaría de
seguridad sigue siendo un punto pendiente en las empresas, basta con mirar sus actividades para
darse cuenta que la seguridad es el factor más determinante por el cual fracasan las
entidad para prevenir el peligro de comprometer sus operaciones, las cuales son en una buena
cantidad, ya que incluye lo que tiene que ver con su parte interna (empleados) y la externa
(municipio); además de no analizar las vulnerabilidades a los que está expuesta la información y
que afectan a su funcionamiento normal y el impacto que puede conllevar los incidentes de
seguridad. Así mismo, la ausencia de unas políticas de seguridad informática en dicha Alcaldía,
hace que el acceso a todas sus áreas físicas, lo pueda realizar cualquier personal de la misma y en
13
muchas de las ocasiones, personas particulares; ya que no cuenta con una herramienta que pueda
seguridad que manejan dentro de la misma, teniendo en cuenta que lo que allí aplican son los
conocimientos que se tienen y han sido aprendidos de manera externa, lo cual hace más necesaria
¿Qué beneficios traerá para la Alcaldía del municipio de San Calixto, Norte de Santander, la
1.3 Objetivos
Examinar la información que se obtuvo para identificar los factores de riesgo en la integridad,
1.4 Justificación
interactúan haciendo uso de los servicios informáticos que proporciona la Alcaldía del municipio
el tener en claro el diseño de un plan estratégico de seguridad de la información, permite que esta
normal funcionamiento de las actividades que se realizan en la entidad, dando así una mayor
información para la Alcaldía municipal de San Calixto (Norte de Santander), ya que con la
información, se evaluarán las prácticas de seguridad informática dentro de ella, la cual llegará a
1.5 Delimitaciones
ISO 27001:2013.
15
1.5.2 Operativa. El incumplimiento de los objetivos del presente trabajo, puede darse por
1.5.3 Temporal. Se determina que el proyecto para su realización tenga una duración de ocho
(8) semanas, a partir de la aprobación del mismo, de acuerdo con el cronograma de actividades
1.5.4 Geográfica. Este proyecto se llevará a cabo en las instalaciones de la Alcaldía del
2.1.1 Antecedentes a nivel internacional. Sin dudas uno de los pioneros en el tema fue James
P. Anderson, quien allá por 1980 y a pedido de un ente gubernamental produjo uno de los
primeros escritos relacionados con el tema, Computer Security Threat Monitoring and Surveillance
informática; y es allí donde se sientan también las bases de palabras que hoy suenan como
Acceder a información
Manipular información
software.
exposición accidental.
Ataque: Una formulación especifica o ejecución de un plan para levar a cabo una amenaza.
La definición de Vulnerabilidad fue tan acertada por aquella época que hoy en día se derivan
extensiones donde entre otras cosas se determina que una vulnerabilidad no conocida por nadie
no tiene la entidad de tal ya que es inexplotable hasta tanto sea descubierta. [ CITATION
Mén15 \l 9226 ]
INFORMACIÓN
2014
los objetivos definidos por la estrategia de la entidad, razón por la cual es necesario que el
información definidas por el ICETEX. Para la elaboración del mismo, se toman como base las
leyes y demás regulaciones aplicables, el capítulo décimo segundo del título primero de la
27001:2013 y las recomendaciones del estándar ISO 27002:2013. [ CITATION Ice14 \l 9226 ]
Artesanías de Colombia S.A. consiente de los riesgos actuales decidió adoptar el modelo de
identificar y minimizar los riesgos a que está expuesta la información y los procesos y elementos
asociados a ella. Dado el gran esfuerzo y recursos que demanda el SGSI, la entidad ha venido
adoptando transicionalmente una serie de políticas y medidas que le permitan ir avanzando hasta
alcanzar el nivel de madurez necesario. Por lo anterior, la política y el desarrollo del SGSI serán
revisadas con regularidad como parte del proceso de revisión gerencial, o en la medida que se
sugieran cambios en el desarrollo del negocio, estructura, objetivos o estrategias que involucren
comunicaciones – TICS
Las Políticas de Seguridad de la Información son aplicables para todos los aspectos
administrativos y de control que deben ser cumplidos por los directivos, funcionarios,
contratistas y terceros que presten sus servicios o tengan algún tipo de relación con el
toma de medidas preventivas y correctivas, siendo un punto clave para el logro del objetivo y la
finalidad de dicho manual. Los usuarios tienen la obligación de dar cumplimiento a las presentes
políticas emitidas y aprobadas por la Dirección General. Para ello, se presentó en forma clara y
coherente los elementos que conforman la política de seguridad que deben conocer y cumplir
todos los directivos, funcionarios contratistas y terceros que presten sus servicios o tengan algún
Actualización del sitio web, con el fin de brindar información actualizada a la comunidad.
Publicitar el sitio web Municipal a través de diferentes mecanismos de socialización, para dar
Dinamizar el turismo del municipio, por medio del aprovechamiento del sitio web, como
medio para dar a conocer los diferentes atractivos turísticos, gastronómicos y culturales.
2.1.3.1 Historia del municipio de San Calixto. Los indígenas llamados Boquiní, habitaron el
espacio comprendido en la parte oriental de Ocaña (hoy corresponde a la Playa, San Calixto y
Teorama).
El sometimiento de los Boquiní fue tardío, en relación con otros aborígenes del área, debido a
El primer encomendero del que se tiene noticia, fue Luis García Romany, compartía la
encomienda con Gonzalo Yáñez Caballero. Según título dado por el gobernador Capitán General
En 1645, doña Clara Romany heredó la encomienda por adjudicación que le hiciera el
A finales del siglo XVll, el área fue sometida a permanentes disputas de tierras y a varias
titulaciones de baldíos.
El gran terrateniente del partido de Boquiní fue Buenaventura de León, quien adquirió esta
de Norte de Santander. Limita con los municipios de Teorema y El Tarra por el norte, por el este
con Tibú y Sardinata, y por el sur con Ocaña y Teorama. Uno de sus corregimientos es Cucurina.
Fundado en 1845 por Cayetano Franco Pinzón, erigido como municipio en 1892. El
Generalidades:
Clima: 17 grados C.
Coordenadas geográficas: Longitud al oeste de Greenwich 73º 13', Latitud Norte 8º 25'
Occidente: Teorama.
Rios: El Catatumbo, el Tarra y san Miguel y las quebradas Santa catalina, Cristalina, Grande
existían acciones para evitar amenazas, proteger la vida y las posesiones, allí se usaban métodos
resguardarse.
seguridad para las antiguas generaciones, entre estos tenemos las pirámides egipcias, el palacio
de Sargon, el Dios egipcio Anubis, los Sumaricos, el Código de Hammurabi, entre otros.
Hasta se dice que Julio César utilizaba esquemas de seguridad en época de guerra y en el
gobierno.
La seguridad moderna se originó con la revolución industrial para combatir los delitos y
administración Henry Fayol en 1919 identifica la seguridad como una de las funciones
el robo, fuego, inundación contrarrestar huelgas y traiciones por parte del personal, y de forma
22
amplia todos los disturbios sociales que puedan poner en peligro el progreso e incluso la vida del
negocio."
Las medidas de seguridad a las que se refiere Fayol, sólo se restringían a los exclusivamente
físicos de la instalación, ya que el mayor activo era justamente ese los equipos, ni siquiera el
empleado. Con la aparición de las computadoras, esta mentalidad se mantuvo, porque ¿Quién
sería capaz de entender estos complicados aparatos como para poner en peligro la integridad de
Hoy, la seguridad, desde el punto de vista legislativo, está en manos de los políticos, a quienes
les toca decidir sobre su importancia, los delitos en que se pueden incurrir, y el respectivo
castigo, si correspondiera.
Este proceso ha conseguido importantes logros en las áreas de prevención del crimen,
En cambio, desde el punto de vista técnico, la seguridad está en manos de la dirección de las
milenio.
La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e
implementación del SGSI de una organización es influenciado por las necesidades y objetivos,
En función del tamaño y necesidades se implementa un SGSI con medidas de seguridad más o
23
menos estrictas, que en cualquier caso pueden variar a lo largo del tiempo.
2.4.1 Seguridad informática. Comenta Pérez (2010), que para llegar a una correcta definición
respectivamente:
La definición de seguridad trae consigo una ausencia de amenazas, situación que en el mundo
contemporáneo es muy difícil de sostener, las sociedades actuales son sociedades de riesgo. El
La informática surge en la preocupación del ser humano por encontrar maneras de realizar
operaciones matemáticas de forma cada vez más rápida y fácilmente. Pronto se vio que con
ayuda de aparatos y máquinas las operaciones podían realizarse de forma más eficiente, rápida y
automática.
La definición de seguridad informática proviene entonces de los dos términos antes definidos.
La seguridad informática son técnicas desarrolladas para proteger los equipos informáticos y la
proteger el activo más importante que tiene la empresa que es su información de los riesgos a los
que está expuesta. Para que la información sea considerada confiable para la organización ya que
misma, esta deberá cubrir los tres fundamentos básicos de seguridad para la información que
son:
Integridad. Se define como la capacidad de garantizar que una información o mensaje no han
sido manipulados.
sea dañada o alterada, que esté disponible y en condiciones de ser procesada en cualquier
2.4.2 Riesgos. Los riesgos se pueden definir como aquellas eventualidades que imposibilitan
(ISO) define riesgo tecnológico como “La probabilidad de que una amenaza se materialice,
daños”. A raíz de esta definición podemos concluir que cualquier problema que afecte al total
Luc99 \l 9226 ]
2.4.3 Análisis del riesgo. El primer paso en la Gestión de riesgo es el análisis de riesgo que
tiene como propósito determinar los componentes de un sistema que requieren protección, sus
vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar
su grado de riesgo.
significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes
nuestra misión institucional, tenemos que definir los niveles de clasificación como, por ejemplo:
confidencial, privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona que
Una vez clasificada la información, tenemos que verificar los diferentes flujos existentes de
información internos y externos, para saber quiénes tienen acceso a qué información y datos.
importante, porque ambas cosas influyen directamente en el resultado del análisis de riesgo y las
consecuentes medidas de protección. Porque solo si sabemos quiénes tienen acceso a qué datos y
su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño causado
qué grado es factible combatir los riesgos encontrados. La factibilidad normalmente depende de
la voluntad y posibilidad económica de una institución, sino también del entorno donde nos
ubicamos. Los riesgos que no queremos o podemos combatir se llaman riesgos restantes y no hay
general económicas. El reto en definir las medidas de protección, entonces está en encontrar un
buen equilibrio entre su funcionalidad (cumplir con su objetivo) y el esfuerzo económico que
De igual manera como debemos evitar la escasez de protección, porque nos deja en peligro
que pueda causar daño, el exceso de medidas y procesos de protección, pueden fácilmente
26
paralizar los procesos operativos e impedir el cumplimiento de nuestra misión. El caso extremo
respecto al exceso de medidas sería, cuando las inversiones para ellas, superen el valor del
Entonces el estado que buscamos es, que los esfuerzos económicos que realizamos y los
procesos operativos, para mantener las medidas de protección, son suficientes, ajustados y
Medidas de protección, que basen en los resultados del análisis y de la clasificación de riesgo.
organizativas.
reduciendo así nuestras vulnerabilidades que están expuestas a las amenazas que enfrentamos.
Las medidas normalmente no tienen ningún efecto sobre la Magnitud de Daño, que depende de
los Elementos de Información y del contexto, entorno donde nos ubicamos. Es decir, no se trata y
muy difícilmente se puede cambiar el valor o la importancia que tienen los datos e informaciones
Medio riesgo: Medidas solo mitigan la magnitud de daño, pero no evitan el impacto.
con inversiones de recursos económicos y procesos operativos, es más que obvio, que las
medidas, para evitar un daño, resultarán (mucho) más costosas y complejas, que las que solo
mitigan un daño.
Para que las medias sean exitosas, es esencial que siempre verificamos su factibilidad, es decir
que técnicamente funcionan y cumplen su propósito, que están incorporadas en los procesos
operativos institucionales y que las personas se apropian de estás. Es indispensable que están
respaldadas, aprobadas por aplicadas por la coordinación, porque si no, pierden su credibilidad.
También significa que deben ser diseñadas de tal manera, que no paralizan u obstaculizan los
Otro punto clave es, que las personas que deben aplicar y apropiarse de las medias saben
manera, que las ven como una necesidad institucional y no como otra cortapisa laboral.
Debido a que la implementación de las medidas no es una tarea aislada, única, sino un proceso
institucional, respaldado por normas y reglas que regulan su aplicación, control y las sanciones
2.4.6 Control del riesgo. El propósito del control de riesgo es analizar el funcionamiento, la
deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo institucional,
constantemente registros sobre la ejecución de las actividades, los eventos de ataques y sus
28
En el proceso continuo de la Gestión de riesgo, las conclusiones que salen como resultado del
control de riesgo, nos sirven como fuente de información, cuando se entra otra vez en el proceso
2.4.7 Evaluación de los riesgos. La evaluación de los riesgos es el proceso por el cual se
Por tanto el objetivo general de evaluar los riesgos será identificar las causas de los riesgos
a componentes específicos de sistemas o servicios donde sea factible y cuantificarlos para que la
Gerencia pueda tener información suficiente al respecto y optar por el diseño e implantación de
los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los
2.4.8 Identificar riesgos. En este paso se identifican los factores que introducen una amenaza
los cuestionarios los mismos que están diseñados para guiar al administrador de riesgos para
descubrir amenazas a través de una serie de preguntas y en algunas instancias, este instrumento
identificación de riesgos y una de las más comunes herramientas en el análisis de riesgos son las
listas de chequeo, las cuales son simplemente unas listas de exposiciones a riesgo.
políticas de seguridad que un negocio dado puede necesitar. El administrador de riesgos consulta
2.4.9 Análisis de riesgos. Una vez se hayan identificado los riesgos, el paso siguiente es
analizarlos para determinar su impacto, tomando así las posibles alternativas de solución.
2.4.10 Ponderación de los Factores de riesgo. Ponderar el factor de riesgo es darle un valor
2.4.11 Valoración del riesgo. La valoración del riesgo envuelve la medición del potencial de
Tabla 1
30
Riesgo alto: Todas las exposiciones a pérdida en las cuales la magnitud alcanza la bancarrota.
Riesgo medio: Son exposiciones a pérdidas que no alcanzan la bancarrota, pero requieren una
Riesgo bajo: Exposiciones a pérdidas que no causan un gran impacto financiero. [ CITATION
ERB10 \l 9226 ]
2.4.12 Políticas de seguridad. Una política de seguridad informática es aquella que fija los
lineamientos y procedimientos que deben adoptar las empresas para salvaguardar sus sistemas y
Si bien existen algunos modelos o estructuras para su diseño, estás tienen que ser elaboradas
31
de forma personalizada para cada empresa para así recoger las características propias que tiene la
organización.
Una buena política de seguridad corporativa debe recoger, de forma global, la estrategia para
proteger y mantener la disponibilidad de los sistemas informáticos y de sus recursos, es decir que
Seguridad Física
Seguridad Lógica
Seguridad en redes
Seguridad en el Outsourcing
Planes de Contingencia
2.4.13Elementos de una política de seguridad. Como una política de seguridad debe orientar
las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los
miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
elementos:
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los
niveles de la organización.
alcance de la política.
Explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la
Deberán establecer las expectativas de la organización, tales expectativas deben tener relación
términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su
precisión.
Las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los
2.4.14 Seguridad Física. Según [ CITATION Gar99 \l 9226 ], la seguridad física consiste en
la información.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre
como por la naturaleza del medio físico en que se encuentra ubicado el centro de cómputo.
Otras amenazas como las fallas de energía eléctrica o las fallas de los equipos.
Los recursos que se deben proteger físicamente van desde un simple teclado hasta un respaldo
de toda la información que hay en el sistema, pasando por la propia máquina, igualmente se
deben tener medidas de protección contra las condiciones climáticas y suministros de energía que
organización.
2.4.15 Seguridad de acceso físico. Se refiere a las medidas de seguridad para evitar el acceso
información como fax, copiadoras entre otros, ubicados tanto en el área de sistemas como en las
áreas usuarias.
2.4.16 Organización. Para llevar un buen control de los accesos a la organización no sólo se
empresa.
Guardias de seguridad
Detectores de Metales
Sistemas Biométricos
Protección Electrónica
controlar el acceso de personas ajenas a la organización y del mismo personal que ahí trabaje; la
guardianía debe ser durante las 24 horas del día y deben estar armados para lo cual el personal de
34
seguridad debe poseer un permiso para el manejo de armas otorgado por la autoridad pertinente.
Contratistas: personas ajenas a la empresa, que por razones de servicio deben ingresar a la
misma.
Visitas.
2.4.19 Bitácora de registro de accesos: Las personas ajenas a la organización deberán llenar
este formulario que deberá contener el motivo de la visita, hora de ingreso, etc.
vigilancia debe asentar en una planilla los datos personales de los ocupantes del vehículo, la
guardia por un tercero para lograr el acceso a sectores donde no esté habilitado, como así
también para poder ingresar o salir de la empresa con equipos que no ha sido autorizado su
2.4.21 Área de sistemas. El área de sistemas es considerada como la más sensible a las
amenazas debido a que en ella están ubicados los equipos que contienen toda la información que
permitidos al área de sistemas es implementar como medio de protección los siguientes recursos:
Puerta de combinación
Puerta electrónica
Puertas sensoriales
Registros de entrada
Videocámaras
Puertas dobles
Alarmas
precauciones que se deben tomar en cuenta para la instalación física del área que servirá como
eje central del procesamiento de la información de la empresa evitando de esta manera los
los equipos de computación los cuales deben recibir cuidados especiales para prevenir posibles
fallas ocasionadas por la electricidad, temperatura o falta de mantenimiento del equipo que
puedan provocar interrupciones mientras se estén procesando los datos. [CITATION Gar99 \p
105 \l 9226 ]
La Ley 1273 del 5 de enero de 2009, reconocida en Colombia como la Ley de Delitos
36
Informáticos, tuvo sus propios antecedentes jurídicos, además de las condiciones de contexto
analizadas en el numeral anterior. El primero de ellos se remite veinte años atrás, cuando
mediante el Decreto 1360 de 1989 se reglamenta la inscripción del soporte lógico (software) en
el Registro Nacional de Derecho de Autor, que sirvió como fundamento normativo para resolver
software. A partir de esa fecha, se comenzó a tener asidero jurídico para proteger la producción
informático, las conductas delictivas descritas en los Artículos 51 y 52 del Capítulo IV de la Ley
inscripción del soporte lógico (software) en el Registro Nacional del Derecho de Autor, se
constituyeron en las primeras normas penalmente sancionatorias de las violaciones a los citados
Derechos de Autor. Al mismo tiempo, se tomaron como base para la reforma del año 2000 al
Capítulo Único del Título VII que determina los Delitos contra los Derechos de Autor:
Artículo 270: Violación a los derechos morales de autor. Artículo 271: Defraudación a los
derechos patrimoniales de autor. Artículo 272: Violación a los mecanismos de protección de los
El Código Penal colombiano (Ley 599 de 2000) en su Capítulo séptimo del Libro segundo,
del Título III: Delitos contra la libertad individual y otras garantías, trata sobre la violación a la
receptores. Estos artículos son concordantes con el artículo 357: Daño en obras o elementos de
Una norma posterior relacionada fue la Ley 679 de 2001, que estableció el Estatuto para
(Artículo 10), pues siendo simple prohibición, deja un vacío que quita eficacia a la Ley, cuando
Para subsanar lo anterior, el 21 de julio de 2009, se sancionó la Ley 1336, "por medio de la
cual se adiciona y robustece la Ley 679 de 2001, de lucha contra la explotación, la pornografía y
el turismo sexual, con niños, niñas y adolescentes". En forma específica, en su Capítulo VI,
infantil" con penas de prisión de diez (10) a veinte (20) años y multas de ciento cincuenta (150) a
La Ley 1273 de 2009 complementa el Código Penal y crea un nuevo bien jurídico tutelado a
partir del concepto de la protección de la información y de los datos, con el cual se preserva
integralmente a los sistemas que utilicen las tecnologías de la información y las comunicaciones.
38
El primer capítulo de los dos en que está dividida la Ley, trata de los atentados contra la
A partir de la Ley 1273 de 2009, se tipificaron los delitos informáticos en Colombia en los
siguientes términos: acceso abusivo a un sistema informático (modificado del Código Penal);
datos informáticos; daño informático; uso de software malicioso; hurto por medios informáticos
y semejantes; violación de datos personales; suplantación de sitios web para capturar datos
efectivo para que las entidades públicas y privadas puedan enfrentar los "delitos informáticos",
consecuencia, con las acciones penales que pueden adelantar contra las personas que incurran en
las conductas tipificadas en la norma. Con ella, Colombia se ubica al mismo nivel de los países
Con los desarrollos jurídicos hasta ahora logrados acerca de "la protección de la información
y de los datos y la preservación integral de los sistemas que utilicen las tecnologías de
información y comunicaciones", las organizaciones pueden amparar gran parte de sus sistemas
cultura corporativa, recursos de las TIC y el entorno externo (Davenport, 1999), de manera que,
ISO 27001. La norma ISO 27001 fue publicada en octubre de 2005, esencialmente la
Gestión de Seguridad de la Información. Sí BS7799 era un estándar de larga data, publicado por
primera vez en los años noventa como un código de prácticas. Como este maduró, una segunda
parte surgió para cubrir los sistemas de gestión. Es esto en contra de la cual se concede la
certificación. Hoy en día más de mil certificados están en su lugar, en todo el mundo.
Información (SGSI)". En cuanto a su adopción, esto debería ser una decisión estratégica.
Además, "El diseño y la aplicación de la información del sistema de gestión de seguridad de una
modelo para estructurar los procesos, y reflejen los principios establecidos en las directrices
OECG (ver oecd.org). Sin embargo, la versión más reciente, de 2013, pone más énfasis en la
medición y evaluación de lo bien SGSI de una organización está realizando. Una sección sobre la
40
contratación externa también se añadió con esta versión, y se prestó mayor atención al contexto
Para llevar a cabo el presente proyecto se utilizará el tipo de estudio descriptivo, ya que éstos
utilizan el método de análisis para lograr caracterizar un objeto de estudio o una situación
clasificación, sirve para ordenar, agrupar o sistematizar los objetos propuestos. Además, con la
41
análisis de las ventajas y los beneficios que traerá la propuesta de un manual de políticas de
seguridad informática para la alcaldía del municipio de San Calixto, Norte de Santander.
3.2 Población
La población objeto de estudio que se tendrá en cuenta en el proyecto, será la conformada por
personas.
3.3 Muestra
Se tomará el ciento por ciento (100%) de la población objeto de estudio, teniendo en cuenta
Las fuentes de información son todos aquellos medios de los cuales procede la información,
posteriormente será utilizado para lograr los objetivos esperados. [ CITATION Gal98 \l 9226 ]
Fuentes primarias. Contienen información original, que ha sido publicada por primera vez y
que no ha sido filtrada, interpretada o evaluada por nadie más. Son producto de una investigación
pueden encontrarse en formato tradicional impreso como los libros y las publicaciones seriadas;
o en formatos especiales como las micro formas, los videocasetes y los discos compactos.
especialmente diseñadas para facilitar y maximizar el acceso a las fuentes primarias o a sus
La técnica que se utilizará para recolectar la información necesaria suministrada por los
empleados de la Alcaldía Municipal de San Calixto, N.S., será la encuesta y como instrumento el
fuente primaria.
interpretación de los datos numéricos y el análisis de cada respuesta para la forma cualitativa.
Los gastos en la elaboración del proyecto serán cubiertos por el autor del proyecto.
INGRESOS
segura.
siendo éste la encuesta, de donde se obtuvieron los diferentes conceptos de cada uno de los
empleados que se desempeñan en las diferentes áreas de la Alcaldía Municipal de San Calixto.
De igual manera se revisó la estructura orgánica y observación directa a las instalaciones para
La alcaldía de San Calixto es una entidad pública del orden municipal que propende por el
humana.
Como podemos observar en la estructura orgánica de la alcaldía de San Calixto no cuenta con
un departamento de Sistemas, pero sin los equipos tecnológicos necesarios para realizar sus
funciones, la Alcaldía Municipal de San Calixto, N.S., cuenta con un total de 27 empleados en
La Alcaldía de San Calixto a pesar de no contar un área de sistemas pose una intranet
institucional, en muy mal estado (ver evidencias fotográficas) en la cual realizan los respectivos
procedimientos para enlazar la información en las bases de datos nacionales, como son los
servicios públicos, Sisbén, educación, comunitario, deportes, salud pública y personería; pero
Gracias al Ministerio de las TIC posee una plataforma donde se brinda a todos los ciudadanos
por medio de la página Gobierno en línea de esta localidad, la información que requiera del
transparente y equitativa.
tecnológicos para que se involucren mayormente con la función que se desempeña desde la
Administración Municipal.
Tabla 2
Inventario de hardware
Cantida
d Equipo Marca N° inventario Estado
Inv2016.
30 CPU Hp 0001 regular
Inv2016.
30 Monitores Hp 0002 buenos
Inv2016.
30 Teclados Genius 0003 regular
Inv2016.
30 Mouses Genius 0004 buenos
Inv2016.
15 Impresoras Epson 0005 regular
Inv2016.
1 Router Tp- link 0006 bueno
Planta Inv2016.
1 telefónica Panasonic 0007 bueno
Inv2016.
1 UPS Energex 0008 bueno
cualitativa.
Tabla 3
Conocimiento de responsabilidades y sanciones, frente a la seguridad de la información
33.00%
Si
No
67.00%
A través del análisis de la figura anterior se puede evidenciar que la mayoría de los
48
frente a la seguridad de la información. Tan solo el 33% dice no conocer del mismo.
Tabla 4
Acuerdo de confidencialidad de la información
48.15%
51.85%
Si
No
información dentro de la alcaldía de San Calixto, siendo más confiable para los que la conocen.
El otro 48% restante, no conocen sobre la importancia de la misma, haciendo más riesgoso que
la información.
49
Tabla 5
Se cuenta con mensajería electrónica interna para sus actividades
33.00%
Si
No
67.00%
Uno de los servicios internos que se tienen, es el de mensajería electrónica interna para sus
actividades. Aunque el 33% no conoce del mismo, el 67% dice que sí, Cabe destacar que para
esta mensajería no existe ninguna protección ni seguridad que evite que un tercero pueda acceder
Tabla 6
Controles de ingreso del personal al área
48.15%
51.85%
Si
No
El 52% de los empleados de la Alcaldía Municipal de San Calixto, conocen los controles de
ingreso de personal al área la cual está identificada para poder manipular los computadores y la
Tabla 7
Seguridad en el computador que utiliza
33.00%
Si
No
67.00%
En cuanto a la seguridad que tiene cada computador utilizado dentro de las áreas que hacen
parte de la Alcaldía Municipal de San Calixto, el 67% conocen la seguridad que tiene el
computador que utiliza. El otro 33% dice no contar con ningún tipo de seguridad.
52
Tabla 8
Mantenimiento periódico de hardware y software
Si
No
100.00%
realiza mantenimiento periódico de hardware y software a los equipos que allí se encuentran, en
base a lo anterior se puede concluir que los equipos están expuestos a problemas que pueden
ocasionar que trabajen de manera lenta, provocando riesgos como los virus y la perdida de la
información.
Tabla 9
53
Si
No
100.00%
El 100% de los empleados de la Alcaldía Municipal de San Calixto, afirman que no existen
controles de seguridad como antivirus actualizados etc. que ayuden a evitar cualquier daño o
Tabla 10
54
48.15%
51.85%
Si
No
Aunque no debería serlo, en la Alcaldía Municipal de San Calixto, el 52% de los equipos de
cómputo son utilizados por más de una persona, lo que indica que no existe seguridad en este
sentido, toda vez que para ello cualquier persona puede interferir en la información que se
El otro 48% afirman no ceder su equipo a otra persona, siendo el funcionario el único
Tabla 11
55
Si
No
100.00%
Figura 10. Existencia de manual de procedimientos para la operación de los sistemas de cómputo
en el área.
institución no cuenta con un manual de procedimientos, que indique la función o proceso que se
Tabla 12
Realizan backup’s (Copias de Seguridad de la Información)
56
48.15%
51.85%
Si
No
En lo que tiene que ver con copias de seguridad de la información, en la Alcaldía Municipal
de San Calixto, según el 52% de los encuestados, dicen que cuentan con copias de seguridad de
en sus equipos.
Tabla 13
Medio de almacenamiento
57
48.15%
51.85%
Memori a USB
NS/NR
obtiene backup´s en la información, por lo tanto, El 52% responde que sí se realiza copia de
seguridad, la cual es guardada en memoria USB, solamente, no se cuenta con otro medio para
Tabla 14
Periodicidad
58
48.15%
51.85%
Di a ri a
Mens ual
Las copias de seguridad de las que se habla en la tabla 12, se realiza de manera diaria, dice el
Tabla 15
Procedimiento formal para reportes de incidentes
59
Si
No
100.00%
institución no cuenta con un procedimiento formal para reportar cualquier incidente que se pueda
entre otros.
Lo anterior es preocupante, toda vez que esto genera el facilitamiento por parte de otras
personas para ingresar a realizar cualquier robo de información sin problema, ya que el reporte es
primordial con el fin de poder cuestionar de dónde proviene y así realizar señalamientos.
Tabla 16
Plan de contingencia
60
Si
No
100.00%
Es lamentable y preocupante las cifras que arroja esta encuesta en sus incisos finales, en
donde se nota la falta de seguridad informática en la Alcaldía Municipal de San Calixto, ya que
tampoco se cuenta con un plan de contingencia, según opina el 100% de los encuestados. Todo
esto conlleva a que en el momento que se presente cualquier incidente de seguridad, se pasará
por alto, toda vez que no se tiene un seguimiento para poder verificar de donde proviene el
Tabla 17
Recolección e investigación de evidencias sobre incidente de seguridad de la información
Si 0 0
No 27 100
Total 27 100
Fuente: Autor del proyecto.
Si
No
100.00%
Como las tablas anteriores, el 100% de empleados de la Alcaldía Municipal de San Calixto,
misma situación, teniendo en cuenta que no se tiene un plan de contingencia, que puede ser el
punto de partida para poder recolectar evidencias y proceder a investigar la procedencia del
5.2 Examinar la información que se obtuvo para identificar los factores de riesgo en la
La Alcaldía Municipal de San Calixto, es una institución que, como cualquier otra, se
encuentra expuesta a riesgos en materia de seguridad de la información, toda vez que en ella no
existe la seguridad completa en la misma, por lo que se tuvo en cuenta una serie de riesgos a los
cuales se enfrenta y tomar acciones tendientes a minimizar los posibles efectos negativos de la
Igualmente, esta institución, debe identificar los riesgos a los que se expone en materia de
seguridad de la información, con el fin de buscar soluciones a los mismos y generar información
y de ahí los riesgos que puedan producirse, en la Alcaldía Municipal de San Calixto, Norte de
Santander.
Tabla 18
Escala de probabilidad
El análisis de riesgos de la seguridad informática está enfocado para aplicar en el ente objeto
del estudio un análisis de vulnerabilidades con el fin de interpretar, explicar y asesorar las causas
Cabe destacar que la alcaldía se San Calixto no cuenta con un área de sistemas dentro de la
misma, a pesar de esto a los equipos de cómputo, redes encontradas en las diferentes oficinas se
les aplico los hallazgos y riesgos en la seguridad de la información basados en la tabla 18; a
riesgos y hallazgos de la red y sistemas de la alcaldía del municipio de San Calixto por tener
mucha semejanza.
Tabla 19
Hallazgos y riesgos en la seguridad de la información encontrados en la Alcaldía del Municipio
64
de San Calixto.
Falta de instalación o
Infección o ataque
actualización del Virus x
por virus
software o antivirus
Ataques
Mala configuración o
Software informáticos,
actualización de los x
malicioso publicidad no
sistemas de cortafuego y
deseada
detección de software
malicioso
Configuración
inadecuada a las
políticas del uso de Ataques
internet como recibir informáticos y x
correos no deseados, Acceso a páginas virus
Facebook, pornografía de internet
etc. prohibidas
Continuación tabla 19
VULNERABILIDADE
RECURSO S AMENAZA RIESGO IMPACTO
1 2 3 4 5
65
Continuación tabla 19
S
1 2 3 4 5
Falta de mantenimiento Deterioro de la Perdida de las
COMUNICACIONE del hardware de red conexión comunicaciones x
S cableada
Mal manejo en la Snifing Robo de
transmisión de la información x
información
Fallos en el cifrado de Desencriptación Robo de
la información de seguridad información x
Falta del Extrema Falla de equipos
mantenimiento del suciedad altas de x
hardware temperaturas comunicaciones
Red de datos abierta Escucha de Robo de
paquetes por información x
terceros
Interferencia Comunicación Perdida en la
electromagnética deficiente transición de x
datos
Falta de control de Acceso no Ataques a
acceso autorizado al servidores x
datacenter
Continuación tabla 19
67
VULNERABILIDADE
RECURSO S AMENAZA RIESGO IMPACTO
1 2 3 4 5
SEGURIDAD Falta de sprinklers Incendios Daño de equipos
críticos x
FISICA
Falta de fijación de Terremotos Daño de equipos
equipos críticos x
Falta de piso Falso Inundación Daño de equipos
críticos x
Bajos niveles de Saqueos Daños por
protección física en vandalismo x
áreas perimetrales
Falta de control de Accesos no Perdida de
acceso autorizados información o x
equipos
de la Alcaldía de San Calixto Norte de Santander, donde se definió el riesgo total al que se
La probabilidad se deduce en el área roja (Riesgo alto), son los riesgos que necesitan
por medio de una política que contemple los periodos para realizarlo.
seguridad.
información desde y hacia internet por medio de una política que contemple, los sitios
cerraduras seguras para evitar se abran los gabinetes que guardan los depósitos de red.
Corregir el acoplamiento del banco de baterías a la red de corriente regulada para tener
llevado de formatos y reporte acerca de los incidentes que encierra el uso de bienes
informáticos.
entidad.
Construir e implementar una política de seguridad que contemple el plan para elevar
Las políticas de seguridad informática tienen como objetivo principal, establecer reglas sobre
para la Alcaldía Municipal de San Calixto, Norte de Santander, basado en la norma ISO
INFORMACION
NORTE DE SANTANDER
Versión 1
2017
71
Índice
1. Introducción
2. Objetivo
3. Alcance
4. Definiciones
5. Evaluación de Riesgos
6. Administración de Riesgos
9. Incidente de Seguridad
12. Políticas de seguridad para la alcaldía municipal de San Calixto Norte de Santander.
23. Responsabilidades
25. formatos.
73
1. Introducción
establecer en la Alcaldía de San Calixto Norte de Santander una cultura de calidad operando de
apoyados en políticas y estándares que cubran las necesidades de la Alcaldía de San Calixto en
materia de seguridad.
Cabe destacar que la ISO / IEC 27001: 2013 especifica los requisitos para establecer,
dentro del contexto de la alcaldía. También incluye requisitos para la evaluación y tratamiento de
Calixto Norte de Santander. Los requisitos establecidos en ISO / IEC 27001: 2013 son genéricos
y están destinados a ser aplicables a todas las organizaciones, independientemente del tipo,
2. Objetivo
El objetivo de este manual es estructurar un documento que oriente la gestión de las políticas
3. Alcance
tecnológica y física, donde se cumplen los objetivos sobre el Sistema de Gestión de Seguridad de
cumplimiento para todos los servidores públicos y particulares que accedan a la información de
la administración municipal; el cual deberá tener en cuenta y estar alineado con los Sistemas de
4. Definiciones
Seguridad de la Información
autorización para acceder a la información y a los recursos de la Alcaldía cada vez que sea
necesario.
dar los nombres de usuarios y contraseñas al personal encargado de la Alcaldía para generar la
Auditabilidad: se realiza para dejar constancia de todos los eventos de un sistema queden
asegurarse que las transacciones se realicen sólo una vez, a menos que sea un caso extremo y
especifique lo contrario
No repudio: Evitar que una entidad que haya enviado o recibido información alegue ante
Legalidad: la Alcaldía de San Calixto debe cumplir las leyes, normas, reglamentaciones o
debe ser adecuada para sustentar la toma de decisiones y funciones. Para la correcta
9226 ]
son textos, números, gráficas, etc., ya sea en medio magnético, en papel, en pantallas de
Calixto o por algún tercero que actué en nombre de la Alcaldía, sin tener en cuenta la
5. Evaluación de Riesgos
Calixto.
6. Administración de Riesgos
eliminan n, los riesgos de seguridad que podrían afectar a la información. Esto se realiza de una
donde se representen miembros de todas las áreas de la alcaldía. Para garantizar el apoyo de la
seguridad de la información.
En la Alcaldía de San Calixto debe haber una persona que cumpla las funciones de supervisar
9. Incidente de Seguridad
confiabilidad de la información.
una larga lista de destinatarios que tiene un contacto idéntico para cada persona. Ejemplos
granel enviado por una entidad comercial para promover sus productos, etc. [ CITATION
Pat14 \l 9226 ]
IEC 27001: 2013 son genéricos y están destinados a ser aplicables a todas las organizaciones,
78
12. Políticas de seguridad para la alcaldía municipal de San Calixto Norte de Santander.
La Alcaldía Municipal de San Calixto, define sus políticas de seguridad con fundamentada
por personal estrictamente elegido para garantizar el correcto desarrollo de los lineamientos
responsables asignados en todos los niveles de la organización, para esto se debe contar con un
todos los servidores públicos, contratistas y particulares que tengan acceso a los activos de
información de la alcaldía. Siendo estos responsables de cumplir las políticas y normas que se
dicten en materia de seguridad de la información así, como reportar los incidentes que detecten. [
En la alcaldía de San Calixto es de vital importancia realizar controles para catalogar los
activos donde esta se almacena o procesa, deberán ser inventariados, asignárseles un responsable
Dentro de la Alcaldía de San Calixto es de vital importancia colocar controles para reducir los
riesgos de error humano, como son: robos, fraudes y utilización abusiva de los equipamientos.
de información en la Alcaldía de San Calixto, estas deberán contar con protecciones físicas y
ambientales acordes a los activos que protegen, incluyendo perímetros de seguridad, controles de
acceso físicos, controles especiales en áreas de mayor sensibilidad, seguridad de los equipos,
los equipos que la contienen deben salir de la alcaldía o cuando se deben eliminar o dar de baja,
80
En la alcaldía de San Calixto la información debe ser mantenida en servidores aprobados por
Los Equipos deben ser alimentados por sistemas de potencia eléctrica regulados y estar
Los medios que alojan copias de seguridad deben ser conservados de forma correcta de
acuerdo a las políticas y estándares que para tal efecto elabore y mantenga el Comité de
Toda información que sea de interés para un proceso operativo o de misión crítica debe ser
respaldada por copias de seguridad tomadas de acuerdo a los procedimientos documentados por
Los registros de copias de seguridad deben ser guardados en una base de datos creada para tal
El sistema de correo electrónico institucional de la Alcaldía de San Calixto debe ser usado
Calixtoy a los diferentes niveles de la plataforma tecnológica, tales como la red, sistema
seguridad.
Realizar controles para garantizar que la Política de Seguridad esté incorporadas a los
requerimientos de seguridad del software desde su diseño, ya sea interno o adquirido, que
incluya garantías de validación de usuarios y datos de entrada y salida, así como de los procesos
En caso de suceder ciertos incidentes. Existe una clasificación de los incidentes según el
82
grado en que afecten el normal funcionamiento de la Alcaldía. Controles para gestionar las
incidencias que afectan a la seguridad de la Información. Asegurar que se haga una adecuada
evaluación del impacto en el organismo frente a los eventos de seguridad relevantes, en los
cuales las políticas de seguridad hayan sido desatendidas o traspasadas y realizará planes de
atención de incidentes y mejora de procesos, para aquellos eventos que resulten críticos para la
supervivencia del mismo. Estos planes deben considerar medidas: técnicas, administrativas y de
vínculo con entidades externas, deben probarse y revisarse periódicamente, así como estar
tecnológicos.
La alcaldía de San Calixto debe seguir el cumplimiento de las leyes penales o civiles, de las
los requisitos legales aplicables a la información que se gestiona incluyendo los derechos de
evidencias.
23. Responsabilidades
83
• Materializar las medidas de largo, mediano y corto plazo que permitan el desarrollo efectivo,
siguiente manera:
Creando esta comisión dentro de la alcaldía de San Calixto es más fácil mantener la
25. formatos.
Formatos requeridos para cualquier proceso informático dentro de la Alcaldía de san Calixto
85
Formato de creación de cuenta de usuario para la alcaldía de San Calixto Norte de Santander.
Formato de solicitud de creación de cuenta de usuario para los funcionarios de la alcaldía de San
DE PARA
FECHA CREACION MODIFICACION ELIMINACION
NOMBRE APELLIDOS
CARGO USUARIO
ADMINISTRADO
USUARIO
ROLES: R OPERATIVO
OBSERVACIONES
JEFE SECRETARIA
de Santander.
Conclusiones
que existe la necesidad de centralizar las políticas de seguridad informática, para cubrir
virtualmente toda la información de las empresas, especialmente la información que arrojan las
entidades del estado en este caso la alcaldía de San Calixto de una forma segura.
Se han logrado realizar los objetivos planteados en este trabajo de investigación, haciendo que
que en un futuro con esta información se puedan realizar proyectos que dependan de manera
critica con un sistema articulado, para poder garantizar que los sistemas informáticos sean
municipal de San Calixto, Norte de Santander logrando que sea una herramienta de gran ayuda
para cerrar las brechas de la seguridad desde el punto de vista del usuario personal como de la
empresa.
Recomendaciones
En primer lugar, se recomienda a la Alcaldía de San Calixto, crear un área de sistemas con el
La alcaldía de San Calixto debe dar a sus empleados más vitales confidencialidad, integridad
propio éxito. Usando un enfoque para proteger la información clave mediante el control y la
cumplir con las crecientes demandas y desafíos de amenazas de seguridad. Cumplido con las
normas de seguridad ISO 27001 para que la alcaldía reciba la certificación correspondiente.
91
Referencias
nortedesantander.gov.co/apc-aa-files/36646337336364313563666333356330/pdm-
aprobado-sancionado-2016-2019.pdf
http://ocana-nortedesantander.gov.co/apc-
aafiles/61643230666336653165633566373234/Plan_de_Accion_GEL_si_Oca_a_pdf
http://artesaniasdecolombia.com.co/PortalAC/images/politica-seguridad-informacion-
proteccion-datos-personales.pdf
Obtenido de www.protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Gar, S., & Gene, S. (1999). Seguridad práctica en UNIX e internet. McGraw Hill.
García Garrido Juan Cristóbal. (s.f). Aclaraciones didácticas sobre seguridad Informática.
Obtenido de http://www.eduinnova.es/abril09/Aclaraciones%20didacticas%20sobre
92
%20seguridad%20Informatica.pdf
www.icetex.gov.co/dnnpro5/Portals/0/Documentos/La
%20Institucion/manuales/Manualseguridadinformacion.pdf
http://stadium.unad.edu.co/preview/UNAD.php?
url=/bitstream/10596/11881/1/24167182.pdf
http://grupoaem.wix.com/virusinformatico#seguridad-informatica/c13w7
www.sci.unal.edu.co/scielo.php?script=sci_arttex&pid=S0123-
147220100002000003&Ing=es&nrm=iso
http://www.alcaldiasoacha.gov.co/nuestra-alcaldia/procedimientos-lineamientos-y-
politicas?download=809:seguridad-de-la-informacin
wp.presidencia.gov.co/sitios/dapre/sigepre/manuales/M-TI-01%20Manual%20general
%20Sistema%20de%20Seguridad%20de%20la%20Informacion.pdf
http://stadium.unad.edu.co/preview/UNAD.php?
url=/bitstream/10596/3415/1/88030934.pdf
http://protejete.wordpress.com/gdr_principal/control_riesgo/
www.cucutanuestra.com/temas/geografía/Norte_mapas_datos/san_calixto.htm
Obtenido de
https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_seguridad/
archivos/Politica_para_Seguridad_Informacion_Version_0.0.1.0.pdf
94
Apéndice
95
Dependencia
Cargo
CUESTIONARIO
Sí __ No__
Sí__ No__
Sí __ No__
96
Sí__ No__
Sí __ No__
Sí __ No__
7. ¿La Oficina cuenta con controles contra software malicioso o espía (antivirus,
antispyware, etc.)?
Sí __ No__
8. El equipo de cómputo que actualmente está a su disposición, ¿Es utilizado por otro
funcionario?
Sí__ No__
9. ¿Cuenta con manuales de procedimientos para la operación de cada uno de los sistemas
de cómputo del área?
Sí __ No__ Algunos__
Sí __ No__
CD
Memorias USB
Impresiones
Otras _______________________________
Diariamente
Semanalmente
Mensualmente
97
Bimestralmente
Anualmente
Otras ________________________________
13. ¿Cuenta la oficina con un procedimiento formal para reportes de incidentes (robos de
información, pérdida de datos, accesos no permitidos, etc.)?
Sí __ No__
Sí __ No__
Sí __ No__
estructurado, no se cuenta con Los Armarios, o Rack de comunicaciones lo cual hace más
vulnerable la seguridad tanto física como interna de los sistemas de información. En esta
fotografía se puede apreciar un switch genérico que no proporciona ningún tipo de seguridad, así
también se ve la falta de canaletas para proteger el cableado de cortes, los cables son de una
En esta fotografía podemos apreciar un cable de tipo coaxial el cual está extendido en el techo
En el manejo de la telefonía se cuenta con una caja o planta telefónica de marca Panasonic
616 ubicada en un closet de madera al cual cualquiera tiene acceso, también se aprecia el
En esta foto se pude apreciar el computador conectado a un estabilizador, así como otros
elementos conectados a la misma toma corriente como al estabilizador. Lo cual puede generar
una sobre carga o corto circuito generando así la pérdida total de los datos almacenados en este
Para mejor la calidad en la conexión vía inalámbrica o wi-fi se utilizó un repetidor o router
marca 3BUMEN ubicado sin ningún estándar de seguridad tanto para el equipo, así como de los
En una de las oficinas se encuentra una central tefonica Panasonic TEM 824 la cual es una
planta telefónica analógica con una capacidad máxima de 8 líneas y 24 extensiones para
gestionar las llamadas internas y externas de la alcaldía, la cual es la encargada de manejar las
extensiones de las oficinas de la alcandía se encuentra ubicada en una puerta con sus cables
expuestos sin ninguna protección y cualquier persona en cualquier momento podría tener acceso
a él.
104
Se puede apreciar la Caja de tacos la cual está ubicada a 1.75 mts de altura cualquier persona
q ingrese a las oficinas de la alcaldía tiene acceso a ellos permitiendo así cualquier tipo de acción
para entorpecer cualquier tarea que los servidores públicos estén haciendo por tanto pude haber
Conexión a la electricidad con el cable eléctrico expuesto sin protección esto puede generar
que la protección de caucho del cable se desgaste y en determinado momento generar un corto
Podemos apreciar unas cajas de conexión en mal estado sin ningún tipo de protección estando
expuestos los cables de datos como eléctricos que generar perdida de datos o lentitud en el
tráfico de ellos ya que cualquier persona los puede tropezar y ocasionar un accidente ya que no
en esta foto se pude apreciar un riesgo ya que los cables esta expuestos a cortes rupturas,
corto circuitos, así como también interferencias en el transporte de datos ya que por el mismo
canal o tubo se manejan los cables eléctricos, así como también el cableado de datos.