ANÁLISIS DE RIESGOS DEL CIADTI DE LA UNIVERSIDAD DE PAMPLONA

DANILO FLOREZ TUNAROZA

LUZ MARINA AYALA TORRES
DUVAN ESTEBAN URREGO
GLORIA STEFANI ESTRADA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E
INGENIERÍA
MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA
2019
 CONTENIDO

1. INTRODUCCIÓN ........................................................................................................ 6
2. OBJETIVOS .................................................................................................................. 7
2.1 OBJETIVO GENERAL.............................................................................................. 7
2.2 OBJETIVOS ESPECÍFICOS .................................................................................... 7
2.3 APLICABILIDAD....................................................................................................... 7
2.4 ALCANCE Y COBERTURA ...................................................................................... 8
3 ESQUEMA GENERAL ................................................................................................... 9
3.1 PLAN DE RESPALDO............................................................................................ 16
3.2 SISTEMAS DE INFORMACION ............................................................................. 18
3.3 EQUIPOS DE CÓMPUTO ...................................................................................... 19
3.4 SERVICIOS DE CÓMPUTO Y PERSONAL DEL ÁREA DE SISTEMAS ................ 20
3.5 COPIAS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN (BACKUPS) . 20
4. ESCENARIOS DE ACTIVACION DEL PLAN .............................................................. 23
4.1 FASE DE NOTIFICACIÓN Y ACTIVACIÓN ............................................................ 23
4.2 FASE DE REANUDACION ..................................................................................... 25
4.3 FASE DE RECUPERACION .................................................................................. 25
4.4 FASE DE RESTAURACION ................................................................................... 26
4.5 EJECUCION DEL PLAN DE CONTIGENCIA ......................................................... 26
5. PLAN DE CONTINUIDAD DE TI PARA EL SISTEMA DE INFORMACIÓN DEL ........ 36
CIADTI DE LA UNIVERSIDAD DE PAMPLONA ............................................................. 36
5.1 FASE DE RECUPERACION .................................................................................. 36
6. PLAN DE TRATAMIENTO DE RIESGOS
RECOMENDACIONES .................................................................................................... 41
CONCLUSIONES ............................................................................................................ 43
BIBLIOGRAFIA ............................................................................................................... 44

2
 LISTA DE TABLAS

Tabla 1. Inventario de activos .......................................................................................... 10

Tabla 2. Riesgos .............................................................................................................. 14

Tabla 3. Plan de respaldo ................................................................................................ 16

Tabla 4. Sistemas de información .................................................................................... 18

Tabla 5. Requisitos equipos de computo ......................................................................... 19

Tabla 6. Requisitos inventario de personal contratado por la Universidad de Pamplona.. 20

Tabla 7. Copias de seguridad .......................................................................................... 20

Tabla 8. Condiciones para activación Plan de Contingencia ............................................ 24

Tabla 9. Descripción ejecución Plan de Contingencia ...................................................... 27

Tabla 10. Plan de tratamiento de riesgos ......................................................................... 40

3
 LISTA DE GRAFICAS

Ilustración 1. Mapa de riesgos ......................................................................................... 15

Ilustración 2. Plan de contingencia................................................................................... 26

Ilustración 3. Orden Jerarquico ........................................................................................ 36

4
 RESUMEN

El objetivo de este estudio es determinar en una pyme en este caso CIADTI de la

Universidad de Pamplona, identificar los activos, análisis de riesgos y los controles
ISO para la implementación del tratamiento de riesgos que se pueden presentar
en la empresa.

Actualmente las empresas tienden a presentar riesgos o amenazas como

desastres naturales (Terremotos, inundaciones), accidentales (fallas de software o
hardware), intencionales (Ataques cibernéticos) o internos (fraude o mala
manipulación por parte del personal), análisis de riesgos evalúa el impacto y
riesgos que puede presentar un sistema fundamental en el diseño y desarrollo de
los sistemas.
Permitiendo el análisis, descripción y la mejor solución con la implementación de
mecanismo de configuración y monitoreo de las operaciones, con nuevas
herramientas enfocadas a la seguridad de la información.

5
 1. INTRODUCCIÓN

En la actualidad las empresas manejan grandes volúmenes de información digital,

la cual es considerada como uno de los activos más valiosos, por lo que se debe
cuidar con mayor prioridad, es por eso que estas deben tomar, adaptar y aplicar
métodos de estudio para resguardar la información de cualquier percance que les
pueda suceder en el cual se vea afectado este activo.

En el presente documento se llevará a cabo una serie actividades en una PYME

CIADTI de la Universidad de Pamplona donde se identificarán los siguientes
aspectos: Identificación de activos: Realizar el levantamiento de los activos de
información que posee la empresa establecidas por la metodología MAGERIT
para la identificación y valoración de activos. Análisis de riesgos: El análisis de
riesgos se plantea con base en la metodología MAGERIT y los Controles ISO. Se
muestra el plan de tratamiento de riesgos con base en la norma ISO 27001: 2013.

6
 2. OBJETIVOS

2.1 OBJETIVO GENERAL

Determinar el plan de contingencia del CIADTI, que garantice la operación de las

funcionalidades y los servicios informáticos en los procesos administrativos,
financieros, talento humano y demás áreas que manejan el sistema de
información, ante eventos o desastres que afecten su disponibilidad.

2.2 OBJETIVOS ESPECÍFICOS

✓ Maximizar la efectividad de las operaciones de contingencia en las

siguientes fases:
➢ Fase de notificación y Activación: en esta fase se detecta y evalúa el
daño para activar el plan.
➢ Fase de reanudación: se reanudan temporalmente los servicios y
funcionalidades del sistema.
➢ Fase de recuperación: los servicios y funcionalidades del sistema
originales se recuperan del daño que activo el plan.
➢ Fase de restauración: se recuperan las capacidades de
procesamiento en operación normal y se reanudan los servicios y
funcionalidades del sistema original.

✓ Minimizar las pérdidas asociadas a la presencia de un siniestro relacionado

con la gestión de los datos.
✓ Proveer una herramienta de prevención, mitigación, control y respuesta a
posibles contingencias generadas en la ejecución del proyecto.

2.3 APLICABILIDAD

El Plan de Contingencia indica las funciones, operaciones y recursos necesarios

para reanudar y restaurar las funcionalidades y los servicios que presta el Sistema
de Información del CIADTI.

7
2.4 ALCANCE Y COBERTURA

En el presente documento se ajustará de manera adecuada los documentos de

Análisis de Impacto al Negocio, el Plan de Continuidad y el Plan de Contingencia
del CIADTI, el cual estará dirigido a los equipos de cómputo, programas,
documentos y Bases de Datos, independiente de su locación.

Este documento presenta una combinación de la continuidad y la contingencia

para el sistema de información administrativo del CIADTI que aplica para cualquier
fecha de ocurrencia del evento y permita la activación del presente plan de
Contingencia.

En el se hace un análisis de los riesgos y siniestros a los cuales se involucra el

área de Sistemas de Información del CIADTI de UniPamplona Norte de Santander,
para reducir su posibilidad de ocurrencia y los métodos adecuados en caso de la
presencia de cualquiera de estas situaciones.

El alcance del plan de contingencia comprende los componentes básicos y

necesarios y recursos informáticos que conforman los sistemas de información
que maneja la Universidad de Pamplona, que se relacionan a continuación:

Tecnología: Comprende los equipos de cómputo como computadores de

escritorio, portátiles, servidores, cableados, switches, etc. en general, conocidos
como hardware y los programas, archivos, bases de datos, etc. denominados
software para el procesamiento de información.

Instalaciones: Lugares físicos de la Entidad donde se encuentren el hardware y

software.

Datos: En general se consideran datos todos aquellos elementos por medio de los
cuales es posible la generación de información. Encontramos elementos Bases de
Datos y los no estructurados correos electrónicos, pagina web e información en
general.

Personal: Personal encargado del manejo de las diferentes dependencias que

integran la administración municipal que dentro de sus funciones deban
programar, planificar, organizar, administrar y gestionar los sistemas de
información.

8
 3 ESQUEMA GENERAL

Actualmente las organizaciones están expuestas a un nivel elevado de amenazas

aprovechando las vulnerabilidades que presentan a nivel de seguridad en sus
sistemas.

Teniendo en cuenta que la información y procesos son loa activos más

importantes de una organización, la gestión de seguridad que se debe contemplar
en los procedimientos, planificación e implementación de controles de seguridad
basados en análisis de los riesgos permitiendo la medición de estos.

Figura 1. http://www.iso27000.es/sgsi.html

El CIADTI de la Universidad de Pamplona consiste en una solución tecnológica

que permite la gestión de información de las instituciones educativas que aporta
una mejora en los procesos académicos a través de una interfaz web o aplicación
móvil.

Los servicios que ofrece son los siguientes:

➢ Consultoría: ayudar a las organizaciones a un enfoque más optimo, para

mejorar los procesos e implementando soluciones.

➢ Infraestructura tecnológica: manejo de plataformas y telecomunicaciones

9
 ➢ Traslado de servidores: traslado de información, servidor de aplicaciones y
base de datos independientemente el motor que se esté manejando
actualmente.

➢ Migración de datos: Se establece requisitos previos para la ubicación y los

datos que se requieren para brindar calidad e integridad de los datos.

➢ Capacitación técnica: capacitación del sistema de información, base de

datos y la administración del servidor de aplicaciones.

➢ Soporte tecnológico: equipo de trabajo que brinda atención síncrona como

asíncrona para un mejor manejo de los recursos que ofrece CIADTI de la
Universidad de Pamplona.

Activos de la Universidad de Pamplona:

Tabla 1. Inventario de activos

INVENTARIO DE ACTIVOS
TIPO PERSONAL
ID NOMBRE DESCRIPCIÓN
ACTIVO AUTORIZADO
Son ordenadores
Profesionales
físicos que prestan
1 Servidores Hardware Administración de la
servicios
Red
informáticos
Son los Switches Profesionales
2 Switches principales de la Hardware Administración de la
red de datos Red
Son dispositivos
Profesionales
que realizan el
3 Enrutadores Hardware Administración de la
enrutamiento de
Red
datos.
Son dispositivos
que prestan
servicio de firewall, Profesionales
Dispositivos de
4 IPS, ANTISPAM y Hardware Administración de la
Seguridad
todo lo referente a Red
la seguridad de la
red

10
 Son los Profesionales y
Dispositivos dispositivos que técnicos
5 Hardware
Inalámbricos brindan acceso Administración de la
inalámbrico. Red
Canal de internet
principal
contratado con
Telecom el cual
permite la
Canal de Profesionales
navegación a los
6 internet Servicio Administración de la
equipos de la
principal Red
universidad y la
visibilidad del
servicio web desde
afuera de la
Universidad.
Hardware y
Profesionales
Servicio de software que hace
7 Servicio Administración de la
Telefonía la conmutación de
Red
la red voz
Son dispositivos Profesionales
Soluciones de
que prestan Administración de la
8 Almacenamient Hardware
servicio de Red y División de
o
almacenamiento Sistemas
Son los sistemas
Sistemas
con los que Profesionales
Operativos
9 funcionan los Software Administración de la
(Unix , Linux,
servidores Red
Windows)
institucionales
Software que
Servicios Profesionales
presta el servicio
10 Correo Software Administración de la
de correo
Electrónico Red
electrónico
Son las bases de
Profesionales
datos de los sitios
11 Bases de Datos Software Desarrollo y
web administrados
Administración Web
por el crie
Profesionales
Motor de Base MySQL,
12 Software Administración de la
de Datos POSTGRESQL
Red
Servicio de
resolución de
13 Servicio DNS Software Todos
nombre de
dominio

11
 Servicio de
asignación de
Comunidad
14 Servicio DHCP direcciones IP Software
Universitaria
dinámicas en la
LAN
Es un software
Profesionales y
Servicios que presta el
Técnico
15 Gestión y servicio de Software
Administración de la
Monitoreo monitoreo de la
Red
red de datos
Archivos donde se
Profesionales y
encuentra la
Documentación Técnico
16 información Información
Red Administración de la
pertinente de la
Red
red
Información de
Información
seguimiento y
registrada de Desarrollo y
17 documentación Información
actividades y administración web
de actividades y
proyectos
proyectos

Proceso o
Sitios y Sitios y dependencia
aplicaciones aplicaciones web administradora del
18 Software
web desarrolladas y/o sitio o aplicación,
secundarias implementadas Desarrollo y
administración web

Información
archivada
pertinente al
desarrollo de
actividades y
Documentación
19 proyectos de la Información Profesionales web
web
Web. Por ejemplo
definición de
tareas,
compromisos,
actas de reunión.
Códigos fuente Texto que define y
de las constituye la
20 Software Profesionales web
aplicaciones aplicación web y
web su funcionamiento

12
 Profesionales y
estudiantes que
Funcionarios de
trabajan en la
desarrollo y Conocimient Desarrollo y
21 sección de
administración o administración web
Desarrollo y
web
administración
web
Equipos de
cómputo,
telecomunicacione
s, audio y video,
Equipos de Desarrollo y
22 utilizados para Hardware
Streaming administración web
realizar la
transmisión de
eventos en vivo
por internet
Equipos de red
(Routers,
Switches, Routers
Inalambricos) Profesional Cisco -
Equipos de utilizados para Instructores academia
23 Hardware
laboratorios desarrollar las - Estudiantes
prácticas de academia Cisco.
laboratorio en las
clases de la
academia Cisco
Son equipos para
Equipos de
recepción y Coordinador Servicios
24 Videoconferenci Hardware
transmisión de Administrador Salas
a y Sonido
eventos
Sistema de
almacenamiento
Coordinador Servicios
donde se
Software de Administrador Salas
25 encuentra el Información
Salas Monitores(instalacione
software que se
s)
debe instalar en
las salas.

13
Teniendo en cuenta la información brindada se definen los siguientes riesgos que
puede presentar:

Tabla 2. Riesgos

FACTOR DEL PREVENCIÓN Y

TIPO DE RIESGO
RIESGO MITIGACIÓN
RD01: El Fuego: Extintores, aspersores
Destrucción de equipos y Bajo automáticos, detectores de
archivos. humo, pólizas de seguros.
RR02: El robo común: Seguridad Privada, Alarma,
pérdida de equipos y Medio Seguro contra todo riesgo y
archivos. copias de respaldo (BackUp)
RV03: El vandalismo: daño Medio Seguro contra todo riesgo,
a los equipos y archivos copias de respaldo.
RF04: Fallas en los Mantenimiento, equipos de
equipos: daño a los Medio respaldo, garantía y copias de
archivos respaldo.
RE05:.Equivocaciones: Bajo Capacitación, copias de
daño a los archivos. respaldo, políticas de
seguridad.
RA06: Acción de Virus: Medio Actualizaciones del sistema
daño a los equipos y operativos
archivos
RD07: Terremotos: Medio Seguro contra todo riesgo,
destrucción de equipo y copias de respaldo. Las
archivos sedes
Cambio de claves de acceso
RA08:Accesos no mínimo cada seis meses.
autorizados: filtrado no Bajo Política de seguridad para
autorizado de datos acceso a personal
competente.
RR09: Robo de datos: Cambio de claves de acceso
difusión de datos sin el Bajo mínimo cada seis meses,
debido cubrimiento de su custodia de las copias de
costo. respaldo.
RF010: Fraude: Sistemas de información
modificación y/o desvío de Bajo seguros con dos usuarios
la información y fondos de para autorizar transacciones,

14
la institución. procedimiento de control y
registro de transacciones en
tablas de auditoría.
Definición de la políticas de
seguridad
RA011: Ataques Alto Configuración de los
cibernéticos dispositivos correctamente
Monitoreo de los sistemas
Concientizar sobre el manejo
de la información impartiendo
RF012: Fuga de Medio responsabilidad sobre la
información misma
Gestión de políticas de
seguridad.

Ilustración 1. Mapa de riesgos

15
3.1 PLAN DE RESPALDO

Para asegurar que se consideran todas las posibles eventualidades, se relacionan

las actividades que se deben realizar con el objeto de prever, mitigar o eliminar los
riesgos conocidos para el CIADTI.

Tabla 3. Plan de respaldo

N° ACTIVIDAD ELEMENTO RESULTADO

Copias de seguridad de Documentos en Una copia de seguridad en
la información y formatos Word, la nube en línea opcional,
1 documentos de los Excel, PDF, una Copia de seguridad
discos duros de los imágenes, audio y anual obligatoria de todos
computadores CIADTI. correos electrónicos. los documentos.
Responsable: Funcionarios
de cada dependencia.
Copias de seguridad de Aplicaciones WEB e Copia de seguridad semanal
los sistemas de intranet de de los sistema de
información y Bases de información. información activos de la
2 Datos. Aplicaciones y Bases Entidad. Los servicios de
de Datos de los Hosting en Datacenter
procesos y archivos. contratados incluirán el
servicio de backup para las
aplicaciones de la
administración.
Responsable: Secretaria de
TIC
Contar mínimo con un Sistema operativo Contar con mínimo un
kit de instalación para (Windows, Linux, medio de instalación por
restaurar los archivos etc.) Paquetes de cada oficina de la
3 del sistema operativo y ofimática y diseño. administración. Una copia u
aplicaciones de un (Office, Corel) Bases original del instalador en
computador o servidor de datos (Sql, MySql) custodia de sistemas.
en caso de falla o virus. Drivers y utilitarios de
impresoras, redes, Responsable: Secretaria
computadores, etc. TIC
Mantener Aplicaciones instaladas en
descentralizados los Sitio WEB, Base de diferentes localizaciones
4 sistemas de Datos, aplicaciones físicas, computadores o

16
 información de la fuera de línea en servidores. Responsable:
empresa, de acuerdo a seccionales Secretaria TIC
sus necesidades.
Mantener pólizas de Equipos eléctricos Póliza vigente contra todo
seguros vigentes, y/o electrónicos, riesgo de daño y/o pérdida
5 asegurando por el valor móviles, portátiles, física por cualquier causa.
real, contra todo riesgo software y equipos Responsable: Adquisición
los equipos y bienes. de comunicación de bienes y servicios
Mantenimientos, Equipos de Contratos anuales de
revisiones preventivas computación y mantenimiento, garantías
y correctivas de comunicación vigentes y control del
6 equipos de periféricos, sistemas mantenimiento de los
computación y eléctricos UPS, Aire equipos. Responsable:
comunicación, acondicionado, Adquisición de bienes y
extintores, alarmas y Alarmas, Sistemas servicios y/o supervisor
sistemas contra contra incendio, asignado al contrato de
incendio, para Extintores, mantenimiento.
mantenerlos en reglamento del
óptimas condiciones edificio.
Actualizar las claves o Base de Datos, y Mínimo cada seis meses o
7 contraseña de acceso a sistemas de cuando se requiera por el
las aplicaciones y información de la usuario o por reemplazos
bases de datos de la administración. del cargo. Responsable:
administración. Secretaria TIC y
funcionarios que manejan
las diferentes dependencias
Mantener actualizados Sistemas operativos Entrega de una
los sistemas de equipos de actualización cada vez que
8 operativos, antivirus y cómputo, antivirus y salga una nueva versión de
aplicaciones del aplicaciones de la las aplicaciones.
CIADTI. empresa. Configuración de
actualizaciones automáticas
en los sistemas operativos.
Responsable: Secretaria
TIC
Mantener los equipos Equipos de Contrato vigente de
en condiciones computación y mantenimiento preventivo y
9 ambientales óptimas de comunicación. correctivo para los equipos

17
 tal forma que no se de cómputo. Responsable:
deterioren por uso Servicios generales e
inadecuado. inventarios, responsable de
los contratos de
mantenimiento de la
Entidad.
Mantener como Equipos de Reducción del tiempo de
respaldo un inventario computación y respuesta a fallas de
adicional con equipos comunicación de la hardware y sistemas de
de cómputo, repuestos, Entidad. información. Responsable:
10 consumibles, para su Responsable de adquisición
reemplazo inmediato e inventarios de la Entidad
en caso de falla.
Disponibilidad de Concepto n+1: UPS, Evitar la suspensión del
redundancia de Planta eléctrica, servicio a los usuarios
11 recursos para evitar la almacenamiento, teniendo una alternativa
interrupción de la conexiones, líneas, adicional, contratando
prestación del servicio equipos de cómputo servicio de hosting en data-
en los sistemas de adicional y servidores center que garanticen la
información de la con ambiente de disponibilidad. Responsable:
Entidad. prueba. Secretaria TIC

El CIADTI debe tener una relación actualizada de los sistemas de información,

equipos de cómputo, servicios de cómputo y personal del área de sistemas, copias
de seguridad de los sistemas de información con los que cuenta.

3.2 SISTEMAS DE INFORMACION

La relación de los sistemas de información deberá detallar los siguientes criterios

Tabla 4. Sistemas de información

N° INFORMACIÓN DESCRIPCIÓN
1 El nivel de importancia estratégica que tiene el sistema de
Criticidad
información
2 Nombre del Nombre del sistema, denominación y Sigla
Sistema
3 Lenguaje de Lenguaje o Paquete con el que fue creado el Sistema.
desarrollo Programas que lo conforman (tanto programas fuentes

18
 como programas objetos, rutinas, macros, etc.).
4 Procesos y áreas (internas/externas) donde se encuentra
Procesos y Áreas
instalado el sistema y las áreas que los usan.
5 El volumen de los archivos que trabaja el sistema en
Tamaño
megabytes o gigabytes.
6 El volumen de transacciones diarias y mensuales que
Transacciones
maneja el sistema
7 Equipamiento El equipamiento con el cual está funcionando el sistema
8 Equipamiento Equipamiento mínimo necesario para que el sistema
Mínimo pueda seguir funcionando.
9 Actividades de Actividades por realizar para volver a contar con el
Recuperación Sistema de Información (actividades de Restauración).
10 Tiempo estimado en horas o días, para que el CIADTI
Tiempo de
pueda funcionar adecuadamente, sin disponer de la
Recuperación
información del Sistema.

Con la lista anticipada del sistema de información, se procede a realizar la

recuperación de la operatividad de los sistemas de información en los cuales hubo
pérdida causada por el desastre o falla.

3.3 EQUIPOS DE CÓMPUTO

Inventario actualizado de los equipos de manejo de información (computadores,

lectoras de códigos de barras, impresoras, escáneres, etc.), especificando su
contenido (software que usa, principales archivos que contiene), su ubicación.

Tabla 5. Requisitos equipos de computo

N° Información
1 Las Pólizas de Seguros, parte de la protección de los Activos del CIATI
Universidad de Pamplona, deben incluir en casos de siniestros la restitución
de los computadores o equipos siniestrados con actualización tecnológica,
siempre y cuando esté dentro de los montos asegurados.
2 Identificar los computadores de acuerdo a la importancia de su contenido,
para ser priorizados en caso de evacuación. Por ejemplo los servidores y los
computadores con información importante o estratégica.
3 Tener el inventario actualizado de los computadores y equipos del CIADTI
de la Universidad de Pamplona, con las especificaciones de cada uno de
ellos.

19
 4 Los equipos deben estar identificados con una placa que los identifique
como activo del CIADTI de la Universidad de Pamplona y un código de
barras para identificar el responsable y área a la que pertenece.

3.4 SERVICIOS DE CÓMPUTO Y PERSONAL DEL ÁREA DE SISTEMAS

Listado de proveedores contratos por la Universidad de Pamplona, referente a

servicios de cómputo y comunicaciones que requiere la Entidad para su
funcionamiento.

Tabla 6. Requisitos inventario de personal contratado por la Universidad de Pamplona

N° Información
1 Empresa Contratista
2 Contacto técnico: Nombres, dirección, teléfono, celular y ciudad.
3 Objeto Contractual o Funciones del cargo (Servicio de Hosting,
Mantenimiento, Internet, etc.)
4 Vigencia del contrato: Fecha de inicio y fecha de terminación. No aplica para
funcionarios.
5 Tipo de contrato y Cuantía. La cuantía no aplica para funcionarios.
6 Estado del contrato: Vigente o Liquidado.

3.5 COPIAS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

(BACKUPS)

Las copias de seguridad tienen por objeto proveer el respaldo de la información

actualizada de cada sistema de información de acuerdo con los siguientes
criterios:

Tabla 7. Copias de seguridad

N° Actividad Frecuencia Responsable Medidas de control

1 Copias de Período: Anual de Todos los Verificación anual de
seguridad de la todos los funcionarios la aplicación de los
información y documentos del del CIADTI. procedimientos
documentos de los CIADTI. establecidos.
discos duros de los Medio: DVD o CD - Custodia según tabla
computadores del BD de retención

20
 CIADTI (Incluye NOTA: No incluye documental.
archivos de Word, archivos de uso Registro en el libro
Excel, PDF, Power personal. de control de
Point y de edición Backups
gráfica)
2 Copias de Período: Diaria de Funcionarios Requiere instalación
seguridad de los documentos responsables de programa que
información más importante del del realiza una copia de
importante de CIADTI. manejo de seguridad automática
los discos duros de Medio: Memoria información de los archivos
los USB importante modificados
computadores del recientemente a la
CIADTI memoria USB.
Custodia de la
información por el
funcionario
responsable.
No requiere registro
en el libro de control
de Backups.
3 Copias de Período: Semanal Ingeniero de Pruebas y simulacro
seguridad de los Medio: DVD o CD, sistemas del de recuperación
sistemas de BD, FTP Servidor CIADTI anual del sistema de
información y Web información.
bases de datos del Verificación anual de
CIADTI la aplicación de los
procedimientos
establecidos.
Custodia según tabla
de retención
documental.
Registro en el libro
de control de
Backups.
4 Contar mínimo con Período: Semanal Responsable El Secretario TIC
un kit de Medio: DVD o CD - del debe tener en
instalación para BD Área de custodia mínimo un
restaurar Mínimo un medio de Sistemas y medio de instalación
los archivos del instalación por cada Secretarios de cada equipo de

21
 sistema oficina del CIADTI TIC. las oficinas del
operativo y Una copia o el CIADTI.
aplicaciones de original
un computador o de instalación en
servidor en custodia de
caso de falla o sistemas.
virus.

Esta información debe estar actualizada por el área de sistemas en el libro de

control de Backup.

22
 4. ESCENARIOS DE ACTIVACION DEL PLAN

4.1 FASE DE NOTIFICACIÓN Y ACTIVACIÓN

Los materiales que usaron en el desarrollo del proyecto, estos pueden ser
materiales físicos como también software, encuestas, etc. En esta fase se enfoca
en las acciones iniciales para detectar y evaluar el daño causado por el evento,
teniendo en cuenta:

➢ La prioridad de preservar la integridad y solides de la información contenida en

las bases de datos de los diferentes sistemas de información que se
encuentran en el CIADTI antes de proceder a la notificación y activación del
plan.

➢ Toda la información debe ser dirigida al líder de grupo de emergencia y el

técnico operativo encargado del plan de contingencia, o a quien haga sus
veces.

➢ El plan de contingencia debe ser activado por el líder de grupo de emergencia.

➢ Tan pronto como la situación de emergencia es detectada, se debe contactar

con las autoridades correspondientes y tomar los pasos necesarios para
minimizar la pérdida de información.

➢ Servicios de soporte de proveedores: contactar los proveedores

correspondientes al sistema de información que haya presentado la
emergencia.

➢ Hacer uso de las copias de seguridad de los sistemas de información para

trabajar en un equipo alterno.

➢ La comunicación debe especificar el sistema de información que maneja, el

usuario al que se le presentó la falla, los registros afectados (radicaciones,
fechas, documentos, etc.), la descripción de los pasos realizados, y toda
información adicional como pantallazos necesarios para identificar el problema.

El Líder de grupo de emergencia evalúa la emergencia y determina si el plan de

contingencia debe ser activado. El plan de contingencia de los sistemas de
información debe ser activado si una o más de las siguientes condiciones son
verdaderas:

23
Tabla 8. Condiciones para activación Plan de Contingencia

Nivel de servicio
N° Descripción General del Problema
requerido
Incremento de la capacidad en cualquier capa Nivel 3: Hasta 60 días
1
computacional de hardware o software. calendario.
Denegación de servicios por fallas del software Nivel 1 : 30 minutos
que afecten de forma general el sistema que hábiles
impida el acceso a los servicios con impacto Nivel 2 : 4 horas hábiles
2
significativo operacional, entre un 95% al 100% Nivel 3: 10 horas hábiles
de los usuarios. PRIORIDAD DE SOLUCIÓN
ALTA.
Degradación de servicios por fallas sobre las Nivel 1 : 4 horas hábiles
estructuras de datos y software que NO impida Nivel 2 : 8 horas hábiles
el acceso a los servicios con impacto Nivel 3: 2 día hábiles
3
operacional medio-alto, entre un 70% al 94%
de los usuarios. PRIORIDAD DE SOLUCIÓN
MEDIA.
Degradación de rendimiento sobre los servicios Nivel 1 : 2 días hábiles
y problemas de forma que NO se impida el Nivel 2 : 5 días hábiles
4 acceso a los servicios con impacto operacional Nivel 3: 15 días hábiles
bajo, entre el 1% al 69% de los usuarios.
PRIORIDAD DE SOLUCIÓN BAJA.

El tiempo de solución establecido en el anterior cuadro de niveles de servicio,

según la prioridad y niveles de escalamiento, corresponde al tiempo transcurrido
entre la comunicación oficial del problema y la solución del problema en el servidor
de producción.

Si en el proceso de pruebas, los usuarios identifican que el problema persiste, o se

generan nuevos problemas, el tiempo transcurrido se reactiva hasta que
nuevamente se entregue la solución del problema encontrado y así
sucesivamente, hasta obtener una solución definitiva.

24
4.2 FASE DE REANUDACION

Los procedimientos y planes de acción para el caso de una falla, siniestro o

desastre en el sistema de información del CIADTI de la Universidad de Pamplona,
considerando todas las áreas dependencias y usuarios que procesan información.
El líder de la emergencia deberá decidir y publicar lo que debe comunicar a los
empleados, directivos y público en general sobre la emergencia.

El líder de la emergencia notifica a los líderes de procesos que activen los

procedimientos de contingencia necesarios para que operen en emergencia los
servicios afectados.

Inicia la reanudación de los servicios afectados empezando por los más críticos y
terminando por los menos críticos, asegurando que cumplan con el tiempo y la
información requerida por los procesos.

Notificar a los líderes e procesos y a las personas afectadas que los servicios
afectados se encuentran operando en contingencia.

4.3 FASE DE RECUPERACION

El líder de emergencia de los sistemas de información autoriza el inicio de la

recuperación de los servicios e informáticos afectados. Para esto se realizan los
siguientes pasos:

• El líder de emergencia evalúa la situación actual de la emergencia y decide si

es seguro iniciar la Fase de Recuperación.

• El de emergencia notifica a los líderes de proceso que activen los

procedimientos de recuperación necesarios para recuperar el funcionamiento
normal de los servicios afectados en el sitio original.

• Se deben realizar pruebas de los servicios y de los controles de seguridad que

aseguren el apropiado funcionamiento simulando una carga normal.

25
4.4 FASE DE RESTAURACION

El líder de la emergencia debe establecer la fecha y hora de inicio para retornar al

sitio original, previendo el mínimo impacto a los procesos que se encuentran
operando en contingencia, notificando a los líderes de procesos las actividades de
restauración al sitio original.

Se deberán restaurar los servicios menos críticos hasta los servicios críticos,
probando la veracidad de los datos del servicio y su funcionamiento para asegurar
que se encuentran trabajando normalmente en el sitio original.

Procedimientos técnicos

Se notifica a los líderes de procesos y a las personas afectadas que los servicios
se encuentran operando normalmente.

Se hace revisión y seguimiento durante un tiempo prudencial a los servicios

restaurados, en caso de presentarse un evento inesperado.

Se consolida la información del proceso de contingencia y acciones tomadas, y se

presenta al Comité de Sistemas, Informática y de Control Interno.

4.5 EJECUCION DEL PLAN DE CONTIGENCIA

Ilustración 2. Plan de contingencia

26
Tabla 9. Descripción ejecución Plan de Contingencia

Acciones o
Organización
Etapa Descripción Acontecimientos
y desarrollo
que cubrir
El personal El Fuego: Responsable del
encargado de destrucción de equipo secretario
elaborar, e equipos y archivos. TIC, quien será el
implementar, El robo común: encargado de
probar y el pérdida de equipos coordinar el
mantenimiento y archivos. desarrollo de cada
será: El vandalismo: daño una de las etapas
a los equipos y del plan de
Primer Nivel el archivos. contingencia
secretario TIC del Fallas en los
CIADTI equipos: daño a los Los integrantes
Definición del archivos Medio del grupo enviaran
plan general Segundo Nivel: Mantenimiento, reportes al
Jefes de áreas de equipos de secretario tic de
CIADTI respaldo, garantía y los avances de
copias de respaldo. cada actividad
Tercer nivel: Equivocaciones:
Empleados daño a los archivos. Se tendrá la
Profesional y Acción de Virus: autonomía de
técnicos daño a los equipos realizar pruebas
y archivos. antes de cada
Este plan se Terremotos: reporte
desarrollara en destrucción de
las CIADTI equipo y archivos. El secretario TIC
Accesos no será el encargado
El plan de autorizados: filtrado de notificar a los
contingencia no autorizado de jefes de las
debe tener datos. dependencias el
cobertura sobre Robo de datos: desarrollo del
los datos, difusión de datos proyecto,
aplicaciones, sin el debido involucrándolos
instalaciones, cubrimiento de su en el desarrollo y
hardware, costo. elaboración del

27
 software y talento Fraude: mismo
humano modificación y/o
desvío de la El secretario TIC
información y será el encargado
fondos de la del presupuesto
institución. relacionados con
la elaboración,
implementación,
prueba y
mantenimiento del
plan, así como
también de los
imprevistos
Se deberá Identificación de las Cada jefe
obtener toda la aplicaciones críticas dependencia
información como son: deberá diligenciar
relacionada sobre Activos de un formato donde
las información: bases se comunique al
consecuencias de datos, páginas secretario TIC
para el CIADTI de web, archivos, cuales son las
la ocurrencia de contraseñas, respectivas
un siniestro que Hardware. aplicaciones,
ponga en riesgo Servidores para los recursos y el nivel
la continuidad de sistemas de de necesidad de
la empresa. información que se restauración del
manejan, sistema para
Determinación computadores seguir con sus
de las (escritorio y actividades sin
vulnerabilidades portátiles), Routers, afectar los interés
impresoras. del CIADTI y los
Software. Sistemas usuarios
operativos,
aplicaciones,

Identificación de los
recursos de los
cuales depende el
funcionamiento de
las aplicaciones de

28
 forma correcta
Comunicaciones:
Red WIFI, Red
LAN, Internet,
Telefonía IP.
Equipos auxiliares:
Generador
Eléctrico, Sistemas
de alimentación
interrumpida,
Cableado, Equipos
auxiliares,
Refrigerantes.

Periodo máximo de
recuperación se
determinara de
acuerdo a la
necesidad de cada
dependencia
teniendo en cuenta
las aplicaciones
críticas de cada
dependencia, para
tal fin se deberá
diligenciar un
formato para
recolectar esta
información
Se determinaran En esta etapa se Prioridad Alta
las alternativas definen los niveles Corresponde a
más de prioridad y todas aquellas
convenientes criticidad de los herramientas del
para la empresa recursos CIADTI, que en el
para continuar informáticos, caso de no
con las teniendo en cuenta ser adaptadas
actividades luego los factores y oportunamente a
de la ocurrencia criterios las exigencias,
de un siniestro o mencionados generarían graves

29
 eventualidad anteriormente en el problemas que
catastrófica esquema general, pueden llevar
las cuales se inclusive a
pueden hacer de la paralizar las
siguiente manera actividades de la
Selección de empresa
los recursos Recuperación
alternativos manual. Prioridad Media
Acuerdos mutuos. Se le asigna a
Salas vacías. todas aquellas
Salas operativas. herramientas del
CIADTI, que
aunque son
importantes para
el desarrollo
normal de las
actividades
administrativas,
operativas y de
control, cuentan
con
procedimientos
alternativos
preestablecidos.

Prioridad Baja
Se le asigna a
todas aquellas
herramientas del
CIADTI, cuya falta
de adaptación no
representa graves
traumatismos y
sus
modificaciones
pueden aplazarse
para la última
parte del proyecto.

30
 Criticidad A:
(Máxima)
No puede
permanecer
interrumpido(a)
por un período
mayor de 24 a 48
horas

Criticidad B:
(Intermedia)
No puede
permanecer
interrumpida(o)
por un período
mayor a 5 días
hábiles.
Puede sustituirse
parcialmente por
un período, por un
proceso manual.

Criticidad C:
(Mínima)
Puede
permanecer
interrumpida(o)
por un período
entre 15 días y 30
días hábiles.
Puede sustituirse
temporalmente
por un proceso
manual.

PROCESOS
CRÍTICOS
Con base en lo
anterior, se

31
 establecieron los
Procesos Críticos
dela empresa de
Página 18 de 81
Bogotá, descritos
en la siguiente
relación de
recursos
informáticos
señalando la
prioridad y las
acciones a seguir
para cada
problemática en
particular.
Se llevaran una En este plan se
serie de formatos debe seleccionar
diseñados el talento humano
dependiendo de encargado de la
la eventualidad o recuperación, la
siniestro, los Plan de ubicación
Preparación cuales serán contingencia de las estratégica de los
detallada usados en la áreas de servicio sitios de
del plan ocurrencia de los emergencia, el
incidentes. inventario de los
Estos formatos recursos que
debe contener serán usados
información como respaldo,
relacionada con: además de su
acciones a tomar, ubicación, el
actores a listado de los
involucrar, los grupos
recursos a involucrados y su
emplear, localización, las
procedimientos a empresas de
seguir, y debe apoyo que serán
ubicarse en Plan de contactadas, la
lugares contingencia de ubicación de los
estratégicos y servicios soportes de

32
visibles por todo respaldo de la
el personal. información.

Contiene un
registro
documentado de
todos los
procedimientos
para la
recuperación de
los servicios con
las aplicaciones
críticas (Activos
de Información,
Plan de Hardware y
almacenamiento de Software), equipo
información de trabajo de
recuperación
(Secretario TIC,
Jefes de Área),
inventario de
informes,
instalaciones de
emergencia
(ubicación)

Se debe diseñar
una estrategia
para la empresa
sobre la
información de
respaldo, se
recomienda
identificar la
información
importante,
realizar copias de
seguridad de la

33
 información y
documentos
residentes en los
discos duros de
todos los
computadores de
la empresa
Tecnológica del
Valle, Copias de
seguridad de los
sistemas de
información y
Bases de Datos:
aplicaciones Web,
intranet de
información,
Aplicaciones y
Bases de Datos
de los procesos y
archivos.
Se pone en Estas pruebas
prueba el plan de estarán divididas
contingencia que en dos fases:
se diseñó para la
continuidad Pruebas Una prueba
CIADTI, para parcial en la cual
verificar su se escogerá una
Pruebas de funcionalidad y dependencia
mantenimiento realizar las diferente para su
correcciones y/o aplicación la cual
mantenimiento se levara acabo
necesario para cada mes.
continuar con sus
servicios Una prueba total
normalmente sin la cual se aplicará
afectar las el último fin de
actividades de la semana de cada
empresa semestre

34
Mantenimiento
El mantenimiento
se llevara a acabo
de acuerdo a las
necesidades
presentadas,
dependiendo de la
infraestructura
computacional,
políticas de
seguridad y
cambio de
personal, para
realizar las
respectivas
actualizaciones y
restricciones y
cambios de
seguridad.

35
5. PLAN DE CONTINUIDAD DE TI PARA EL SISTEMA DE INFORMACIÓN DEL
CIADTI DE LA UNIVERSIDAD DE PAMPLONA

5.1 FASE DE RECUPERACION

El plan de continuidad tiene como objetivo asegurar que la empresa pueda seguir
prestando sus servicios sin mayores contratiempos en el caso de la ocurrencia de
un desastre.

El orden jerárquico que se propone para las personas responsables de la

activación del Plan de contingencia y de Continuidad es el siguiente

Ilustración 3. Orden Jerárquico

El grupo de emergencias es sugerido para responder ante un evento contingente

que afecte el normal funcionamiento de los S.I. puestos en producción en el
CIADTI de la Universidad de Pamplona. Este equipo establece diferentes
responsabilidades para aplicar el Plan Contingente sistema de información en
conflicto según los escenarios:

36
Grupo de emergencia: conformado por el líder de grupo de emergencia
Secretario TIC y los funcionarios que manipulan el sistema de información son los
encargados de tomar decisiones finales en el evento contingente.
Líder de grupo de emergencia: es el responsable por declarar la contingencia y
mantener continuo contacto con las áreas afectadas por el evento.

Funcionario 1: encargado de describir la emergencia del sistema de información

al líder del grupo.

Funcionario 2: encargado de dar respuesta al tema de ubicar los pasos de

continuidad de las actividades que se realizan en el sistema de información, pero
de manera manual.

Funcionario 3: personal de apoyo de las funciones de llenar formularios

Donde deberán realizar reuniones con el fin de la identificación y ordenamiento de

las amenazas para cada aplicación crítica (Activos de Información, Hardware y
Software) del CIADTI de la Universidad de Pamplona a continuación, se muestra
la lista de amenazas y los procedimientos para la recuperación de los servicios
prestados por cada una de ellas:

Tabla 9. Lista de Amenazas y Procedimientos

ACTIVO DESCRIPCIÓN PROCEDIMIENTO DE
SERVICIO AMENAZAS RECUPERACIÓN
Software Dañino: Hacer uso de las copias de
Vulnerabilidad de seguridad de la información y de
programas, los sistemas de información de
Datos Actualización de activos de la empresa Tecnológica
información programas. del Valle.
Errores de usuario. Hacer efectiva la póliza de seguros
Errores de contra todo riesgo de los equipos y
mantenimiento. bienes de la empresa (Equipos
Fallo Comunicaciones. eléctricos y/o electrónicos, móviles,
Fallo de software. portátiles, software y equipos de
comunicación)

Software Dañino: Las acciones que se deben

Vulnerabilidad de ejecutar en caso de la ocurrencia
Equipos programas, Actualización de un siniestro, son:

37
Informáticos de programas. Hacer efectiva la póliza de seguros
Errores de usuario. contra todo riesgo de los equipos y
Daños por humedad. bienes de la empresa (Equipos
eléctricos y/o electrónicos, móviles,
Errores de
portátiles, software y equipos de
mantenimiento. comunicación)
Fallo Comunicaciones. Ejecutar los contratos de
Fallo de software. mantenimiento para la aplicación
Fuego. de acciones correctivas en los
Robo. equipos de computación y
comunicación, alarmas y sistemas
contra incendio.
Usar un kit de instalación de
sistemas operativos en cada una
de las jefaturas de la empresa, con
el objetivo de instalar todas las
aplicaciones y poner en marcha el
sistema.
Las acciones que se deben
ejecutar en caso de la ocurrencia
de un siniestro son:
Hacer efectiva la póliza de seguros
contra todo riesgo de los equipos y
Errores de usuario. bienes de la empresa (Equipos
Daños por humedad. eléctricos y/o electrónicos, móviles,
Redes de Errores de portátiles, software y equipos de
comunicación mantenimiento. comunicación)
Fallo Comunicaciones. Ejecutar los contratos de
Fuego. mantenimiento para la aplicación
Robo. de acciones correctivas en los
equipos de computación y
comunicación, alarmas y sistemas
contra incendio.
Usar un kit de instalación de
sistemas operativos en cada una
de las jefaturas de la empresa, con
el objetivo de instalar todas las
aplicaciones y poner en marcha el
sistema.

38
 Usar el equipamiento auxiliar:
UPS, Planta eléctrica, conexiones,
líneas, equipos de cómputo y de
comunicaciones, para restablecer
la infraestructura computacional y
el sistema de comunicaciones.

Fuego. Las acciones correctivas que se

Robo. deben ejecutar son:
Equipamiento Daños por humedad. Ejecutar los contratos de
auxiliar Errores de mantenimiento para la aplicación
mantenimiento. de acciones correctivas en el
equipamiento auxiliar (UPS, Planta
eléctrica, conexiones, líneas,
equipos de cómputo y de
comunicaciones)
Las acciones correctivas que se
deben ejecutar son:
Activar el sistema contra incendio.
Usar extintores.
Fuego. Ejecutar los contratos de
Instalaciones Robo. mantenimiento para la aplicación
físicas Daños por humedad. de acciones correctivas en la
Errores de planta física de la empresa para
mantenimiento. recuperar y poner en marcha
Inundaciones. aquellas áreas prioritarias para
retomar el desarrollo de las
actividades.
Hacer efectiva la póliza de seguros
contra todo riesgo por daño y/o
pérdida física por cualquier causa.

39
 6. PLAN DE TRATAMIENTO DE RIESGOS

De acuerdo a la información brindada se procede a describir el plan de riesgos

para la implementación de los controles.

Tabla 10. Plan de tratamiento de riesgos

PLAN DE TRATAMIENTO DE RIESGOS

Control a implementar Riesgos Responsable

Implementación Política de RD01, RF010

confidencialidad Director

RR09
Tratamiento de datos personales Coordinador de área

Política de contraseñas RA08

Administrador de TI

RA08
Protocolo de cifrado Administrador de TI

Seguridad de los equipos RF04, RA06, RA011

Administrador de TI

control de acceso RA08

Administrador de TI
Gestión de la continuidad de RR02, RD07,RV03,
negocio RF010 Administrador de TI

RF04
Desarrollo y mantenimiento de los
sistemas de información Administrador de TI

RE05, RF012, RA011

Gestión de las vulnerabilidades Administrador de TI

40
 RECOMENDACIONES

A continuación, se presentan una serie de recomendaciones que se sugieren para

mejorar la seguridad en los sistemas informáticos del CIADTI de la Universidad de
Pamplona:

Directivas y Personal de la Universidad de Pamplona:

- Los funcionarios y empleados adquieran las responsabilidades y cuidados que
se deben tener al manipular la información confidencial de la Universidad.
- Evitar daños en los equipos y en la información, además evitar que el personal
no autorizado pueda acceder a la información de los usuarios.
- El departamento de sistemas deberá difundir las políticas de seguridad
implementadas por la empresa a todos los empleados en general
- Los empleados deberán tomar conciencia del uso de los recursos informáticos
y su uso se limita al intercambio de información exclusiva de la Universidad.
- Los empleados deberán adquirir el compromiso al momento de ser contratados
de proteger y salvaguardar los activos informáticos ya que es lo más valioso
que posee la Universidad para evitar fugas de información.

Bases de Datos
- Establecer políticas más fuertes en la definición de contraseñas,
- Contar con tareas periódicas de monitoreo de las bases de datos para
identificar usuarios con contratación vencida y/o en desuso.
- Dar buen uso a las bases de datos y no utilizarlas para beneficios personales.
- El departamento de Sistemas deberá estar pendiente de realizar las copias de
seguridad más importante y salvaguardarlas en sitio externo seguro.
- Crear políticas de control de acceso a las bases de datos para evitar el uso
inadecuado de la información.

INFRAESTRUCTURA DE RED
- Difundir las políticas de riesgo tanto al personal Directivo como a los
empleados de las diferentes áreas de la Universidad, para prevenir futuros
desastres que conlleven a la pérdida de información valiosa.
- Realizar cronograma de mantenimiento periódico a los equipos informáticos y
actualización de las hojas de vida.
- Actualización de antivirus y sistemas operativos.
- Establecer políticas para los equipos en desuso para evitar la sustracción de
las partes e información de estos.

41
- Bloqueo de páginas de internet innecesarias en el desarrollo de las actividades
diarias, procurando así que el personal emplee su tiempo más eficientemente.

Utilización del Software

- Los usuarios no podrán instalar programas que no sean debidamente
licenciados por la Universidad.
- Configurar en los equipos la opción de cierre de sesión después de un lapso de
inactividad para prevenir el acceso no autorizado.
- Crear políticas de revisión periódica del funcionamiento del Software para
mejora la vida útil y el rendimiento de estos.
- El Software nuevo antes de ser instalado en los equipos se deberá probar y
evaluar.

- De acuerdo a la investigación realizada basado en la metodología MAGERIT

para el análisis de riesgos que se debe desarrollas en una organización para el
manejo tanto de los procesos como de los sistemas que se utilizan para el
negocio.

- Capacitación del personal que hace parte del proceso del desarrollo es
fundamental para evitar riesgos de eliminación o perdida de datos.

- Determinar el nivel de riesgos y amenazas que se pueden presentar en una

compañía es uno de los primeros pasos para el tratamiento que se debe
implementar en cada una de las actividades.

42
 CONCLUSIONES

➢ Finalizado el análisis de Riesgo del CIADTI de la Universidad de Pamplona

utilizando la metodología MAGERIT se pudo evidenciar la importancia que
tiene para la organización establecer sus vulnerabilidades y encontrar
soluciones aplicables que permitan en tiempo real detener cualquier ataque
previniendo algún siniestro.

➢ A través del desarrollo de la actividad se pudo clasificar los activos de

información y determinar el nivel de riesgo potencial de cada uno de ellos
aplicando una metodología como es el MAGERIT.

➢ La ejecución de esta actividad permitió conocer algunos de los beneficios

que genera un Sistema de Gestión de Seguridad de la Información en una
entidad tan importante como el CIADTI de la Universidad de Pamplona en
Norte de Santander. Además, se pudo conocer el estado actual de los
dominios, objetivos y controles de seguridad mediante el análisis realizado
y el nivel de cumplimiento que se tiene en referencia al Anexo A de la
norma ISO 27001.

➢ Con el fin de mejorar y beneficiar el proceso de seguridad de la información

en el CIADTI de la Universidad de Pamplona se realizaron las
recomendaciones pertinentes en cuanto a la seguridad física, la seguridad
lógica y el proceso de formación del personal encargado del área.

➢ La Universidad debe invertir más recursos económicos en la adquisición de

software, hardware y recurso humano con el fin de reducir el impacto que
pueda llegar a generar un incidente de esta magnitud.

43
 BIBLIOGRAFIA

SOTools Excellence. (07 de 10 de 2016). ISO 27001:2013: Controles de seguridad

de la información de servicios en la nube. Obtenido de http://www.pmg-
ssi.com/2015/12/iso-27001-2013-seguridad-informacion-nube/

Administracion electronica de España. (01 de 07 de 2014). Recuperado el 09 de

10 de 2016, de
https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0a
hUKEwjRkIjV6drPAhXTySYKHWvkAvkQFgglMAE&url=http%3A%2F%2Fadministr
acionelectronica.gob.es%2Fpae_Home%2Fdms%2Fpae_Home%2Fdocumentos%
2FDocumentacion%2FMetodologias-y-guias%2FMageritv3%2

Fisher, P. R. (08 de 10 de 2016). Seguridad en los sistemas Informaticos.

Obtenido de
https://books.google.es/books?hl=es&lr=&id=_Hu6Zu6VLP4C&oi=fnd&pg=PR7&d
q=seguridad+en+los+sistemas+informaticos&ots=zPpF_P3Ab8#v=onepage&q=se
guridad%20en%20los%20sistemas%20informaticos&f=false

Gonzales Barroso, J. (09 de 10 de 2016). Metodología de Análisis y Gestión de

Riesgos de los Sistemas de Información. Obtenido de
https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0a
hUKEwj52t-y-
NrPAhWISiYKHYgCD2wQFggqMAM&url=http%3A%2F%2Fadministracionelectron
ica.gob.es%2Fpae_Home%2Fdms%2Fpae_Home%2Fdocumentos%2FDocument
acion%2FMetodologias-y-guias%2FMageritv3%2

ISO27000. (09 de 10 de 2016). El Portal de ISO 27002 en Español. Obtenido de

http://www.iso27000.es/iso27002.html

Segu-Info Seguridad de la Informacion . (08 de 10 de 2016). Capacitación y

Concientización de Seguridad en Organizaciones - 12/03/2006. Obtenido de
http://www.segu-info.com.ar/articulos/27-capacitacion-concientizacion-seguridad-
awareness.htm

Segu-Info Seguridad de la Informacion . (08 de 10 de 2016). Capacitación y

Concientización de Seguridad en Organizaciones - 12/03/2006. Obtenido de

44
http://www.segu-info.com.ar/articulos/27-capacitacion-concientizacion-seguridad-
awareness.htm

Segu-Info Seguridad de la Información. (08 de 09 de 2016). Capacitación y

Concientización de Seguridad en Organizaciones . Obtenido de http://www.segu-
info.com.ar/boletin/boletin_060312.htm

Universidad Abierta y Adistancia UNAD. (s.f.). Capitulo 3. Analisis de Riesgo.

Recuperado el 07 de 10 de 2016, de
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/capitulo_3__analisis_de_riesgos.html

Universidad de pamplona (2019). Recuperado de

https://fedesoft.org/afiliados/universidad-pamplona-ciadti/

Amutio, M. and Candau, J. (2012). MAGERIT – versión 3.0. Metodología de Análisis y

Gestión de Riesgos de los Sistemas de Información. Libro I - Método.

Es.presidencia.gov.co. (2018). PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD

Y PRIVACIDAD DE LA INFORMACIÓN. Obtenido de:
http://es.presidencia.gov.co/dapre/DocumentosSIGEPRE/D-TI-24-Plan-Tratamiento-
Riesgos-Seguridad-Privacidad-Informacion.pdf.

45