INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO

FACULTAD DE INGENIERÍA Y CIENCIAS BÁSICAS

ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN GRUPO
DE INVESTIGACIÓN FICB-PG

MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN PARA LA

ALCALDÍA DE PUERTO ASÍS EN SU FASE DE DIAGNOSTICO Y
PLANIFICACIÓN

PRESENTA:

MAURICIO SIERRA CUBIDES

CÓDIGO 1111070706
JHONY ALBERTO HURTADO CASTRILLON
CÓDIGO 1612010831

ASESOR TEMÁTICO:
WILMAR JAIMES FERNANDEZ MAGISTER

Mayo 2018

1
Tabla de contenido

ÍNDICE DE TABLAS ................................................................................................... 4

Índice de ilustraciones ................................................................................................ 5

RESUMEN .................................................................................................................. 6

ABSTRACT................................................................................................................. 6

PALABRAS CLAVE .................................................................................................... 7

KEY WORDS .............................................................................................................. 7

1. INTRODUCCIÓN ................................................................................................. 8

2. Descripción de la situación de interés ................................................................. 9

3. Planteamiento del problema ................................................................................ 9

4. Objetivos del proyecto ....................................................................................... 11

4.1. Objetivo general .............................................................................................. 11

4.2. Objetivos específicos ...................................................................................... 11

5. Alcance .............................................................................................................. 12

5.1 Plan de trabajo.......................................................................................................... 12

6. Entregables ........................................................................................................ 13

7. Estado del arte ................................................................................................... 13

8. Estrategia metodológica..................................................................................... 14

9. RESULTADOS ................................................................................................... 16

9.1 ESTADO ACTUAL DE LA SEGURIDAD Y PRIVACIDAD DE LA

INFORMACION .............................................................................................................. 16

........................................................................................................................................ 17

10 . Metodología para la definición de activos de información y gestión de

riesgos. ..................................................................................................................... 18

11. Determinación de criticidad de los activos: ..................................................... 22

12. VALORACION RIESGOS ACTIVOS DE INFORMACION .............................. 24

2
13. ANALISIS DE RIESGO INHERENTE ............................................................. 29

14. MAPA DE CALOR .......................................................................................... 33

15. Mapa de riesgo inherente ............................................................................... 36

16. CONTROLES.................................................................................................. 37

17. CONCLUSIONES ........................................................................................... 40

18. Lista de referencias ........................................................................................ 42

19. Anexos ............................................................................................................ 43

3
ÍNDICE DE TABLAS
Tabla 1 Plan de trabajo ......................................................................................................................... 12
Tabla 2 Escala de valoración de controles anexo 1............................................................................... 16
Tabla 3 Tipos de activos de información de la Alcaldía de Puerto Asís. .............................................. 19
Tabla 4 Inventario de activos de información Alcaldía de Puerto Asís general. ................................. 20
Tabla 5 Valoración de activos de información. .................................................................................... 21
Tabla 6 Preguntas para determinar la criticidad del activo. ................................................................. 22
Tabla 7 Criticidad de los activos de información. ................................................................................ 22
Tabla 8 categorización del nivel criticidad para activos información. ................................................ 23
Tabla 9 Activos de información seleccionados. ................................................................................... 23
Tabla 10 Activos de información agrupados de acuerdo con el contenedor. ...................................... 24
Tabla 11 Riesgos y principios de seguridad afectados. ........................................................................ 25
Tabla 12 Amenazas que pueden afectar los activos............................................................................ 26
Tabla 13 Vulnerabilidad asociado a las amenazas de activo................................................................ 28
Tabla 14 Probabilidad de ocurrencia. .................................................................................................. 29
Tabla 15 Valoración del impacto. ......................................................................................................... 30
Tabla 16 Valoración del riesgo. ............................................................................................................ 31
Tabla 17 Valoración de riesgo inherente. ............................................................................................ 32
Tabla 18 Riesgo inherente por tipo de riesgo. ..................................................................................... 33
Tabla 19 Mapa de calor a usar. ............................................................................................................ 35
Tabla 20 Controles y riesgo inherente. ................................................................................................ 39

4
Índice de ilustraciones
Ilustración 1 Etapas previas de implementación .................................................................................. 15
Ilustración 2 Brecha tomado de herramienta de diagnóstico MINTIC ISO 27001: 2013 ANEXO 1....... 18
Ilustración 3 Mapa de riesgo inherente. .............................................................................................. 36

5
RESUMEN

El presente trabajo está orientado hacia una entidad del sector publico la cual es la
Alcaldía de Puerto Asís Putumayo, las entidades públicas deben cumplir
lineamientos establecidos por el gobierno nacional para el caso nuestro estamos
hablando de los lineamientos establecidos por el MINTICS atreves del programa
gobierno en línea. El MINTIC establece un modelo para darle tratamiento a la
seguridad y privacidad de la información dentro de las entidades públicas, en el
desarrollo de este trabajo se usará dicho modelo para su fase de planificación. Para
esto se empezará con las etapas previas a la implementación para conocer el estado
actual de la entidad, identificar el nivel de madurez y el levantamiento de información.
Basados en esta información y en un análisis de riesgos se procederá con la fase
de panificación la cual involucra los siguientes elementos; contexto de la entidad,
liderazgo, planeación y soporte.

ABSTRACT

This work is oriented towards an entity of the public sector which is the Mayor of Puerto Asís
Putumayo, public entities must comply with guidelines established by the national government
for our case we are talking about the guidelines established by the Ministry through the
government program in line. The MINTIC establishes a model to treat the security and privacy
of information within public entities, in the development of this work that model will be used for
its planning phase. This will begin with the stages prior to implementation to know the current
state of the entity, identify the level of maturity and the collection of information. Based on this
information and a risk analysis will proceed with the baking phase which involves the following
elements; context of the entity, leadership, planning and support.

6
PALABRAS CLAVE

Seguridad, privacidad, información, política, gobierno en línea, modelo de seguridad

y privacidad de la información MSPI, riesgos, vulnerabilidades, entidad, MINTIC.

KEY WORDS
Security, privacy, information, policy, online government, MSPI, risks, vulnerabilities,
entity, MINTIC.

7
1. INTRODUCCIÓN

El mundo organizacional tanto del sector público como privado se al continuo cambio
de las nuevas tecnologías, esta trae beneficios para las organizaciones en cuanto
a su forma de operar ya que las TIC son recursos muy importantes para el manejo
de información y que hace que los procesos organizacionales sean cada vez más
sistemáticos y eficientes. Por otra parte de la mano de esta revolución de las TIC
también hay un avance de los piratas informáticos quienes buscan sacar beneficio
de estas nuevas tecnologías para robar nuestra información o entorpecer nuestro
procesos organizacionales, es por tal motivo que debemos estar preparados en los
dos sentidos, avanzar a la vanguardia de los avances TIC y de esta manera ser más
eficientes y competitivos y por el otro lado protegernos por medio de la
implementación de planes y políticas robustas de aseguramiento de la información
que incluyan un mejoramiento y actualización continua.

En este trabajo se realiza la aplicación del modelo de seguridad del ministerio de las
tecnologías de la información y las comunicaciones MINTIC en su fase de
planificación, con la finalidad de cumplir con este componente el cual se encuentra
establecido dentro del programa gobierno en línea que deben implementar las
entidades públicas colombianas.

Para esto se hace una etapa previa a la implementación en la cual se evalúa la

entidad para conocer su estado actual en lo correspondiente a seguridad y privacidad
de la información, para tener un punto de partida basado en un inventario de
información y un análisis de riesgos de información.

8
2. Descripción de la situación de interés

El plan de gobierno en línea direccionada desde el MINTIC busca que las entidades
públicas sean más transparentes en la prestación de sus trámites y servicios y que
los ciudadanos estén más cerca de las entidades publicar y puedan interactuar con
ellas por diferentes canales. La implementación de esta estrategia dentro de las
entidades públicas está establecida en el manual de gobierno en línea. La estrategia
gobierno en línea tiene un componente de seguridad y privacidad de la información el
cual tiene unas fases para su implementación dentro de las entidades las cuales están
establecidas en un modelo. Para el desarrollo de nuestro trabajo aplicaremos el
modelo en su fase de planificación dentro de la alcaldía de Puerto Asís.

Por otro lado, los modelos de implantación de MINTIC tienen un retraso en la

implementación, ya que estos se encuentran aprobados hace mas de 10 años, lo que
por ahora no se obliga su implementación y la adopción del sistema si se deben
adelantar tareas de iniciar a evaluar los activos que hacen parte de la entidad.

Muchas de las entidades gubernamentales no ven la necesidad de acatar dicho

esquema, ya que no se ven representados de manera cuantitativa para la alcaldía,
pero si se refleja en temas de seguridad al momento de protección de activos de
información y su sensibilidad para el tratamiento y los que estas hacen de la imagen
en la gestión pública.

La tarea del levantamiento de la información no se limita de manera física, sino va

más allá de un tema de cultura organizacional, en el evento de adoptar hábitos en el
manejo de la información, acompañado de entrenamiento mensual y seguimiento a
los distintos controles implementados.

Con la entrada en función del decreto 2693 del 2012, donde se promueve la
implementación de los SGSI, se destacan distintas guías que permiten actuar en el
ordenamiento de la participación para las distintas entidades gubernamentales, ya que
para el 2013, se tuvieron en cuenta distintas entidades como promotoras y ejemplo
de implementación de los SGSI, siendo como referencia el sector legislativo y judicial.

3. Planteamiento del problema

9
Dentro de la entidad Alcaldía de Puerto Asís no existen controles para el tratamiento
de la información, esto ha ocasionado fugas de información sensible, perdidas de
información digital y física, fallas en el servidor, los funcionarios no cuentan con ningún
tipo de capacitación para el manejo adecuado de la información.

Se hace necesaria la puesta en marcha de un modelo de seguridad en su fase de

planificación para la entidad, ya que esta no cuenta con políticas definas para
salvaguardar su información y tampoco cuenta con un análisis de riesgos para la
misma viéndose seriamente comprometidos sus objetivos estratégicos
organizacionales.

Un plan de seguridad y privacidad para la información permite establecer políticas,

procesos, procedimientos y establecer controles para el aseguramiento de la
información.

La información es un activo muy importante dentro de la entidad, el cual debemos

proteger y poder mantener la continuidad en la atención a los trámites y servicios que
se prestan a los ciudadanos.

En la entidad Alcaldía de Puerto Asís se vienen presentando problemas de fuga de

información sensible y pérdida de información, esta problemática ocasiona que los
procesos de la entidad se vean afectados puesto que los funcionarios no cuentan con
ningún tipo de orientación para el tratamiento de la información y tampoco se tienen
políticas establecidas para la seguridad de la información.

Es por este motivo que se debe realizar una planificación para la implementación de
un sistema de privacidad y seguridad de la información de acuerdo con las
necesidades de la entidad, el cual me proporcione confidencialidad, integridad,
autenticidad, disponibilidad y trazabilidad y de esta manera poder tener la información
con un tratamiento adecuado y poder reducir al mínimo los riesgos para la información
dentro de la entidad.

Dado el enunciado inicial, la relevancia del manejo de la información dentro de las

alcaldías del país, juega un papel de seguridad e imagen para la gestión pública, por
medio de la segmentación disponibilidad y manejo de la privacidad de datos, se
garantiza la ejecución y actualización de datos para el ejercicio de rendición de
cuentas en las distintas jornadas que dicha entidad desarrolla mensualmente.

Por otro lado al no tener un sistema único referenciado del manejo de información se
hace vulnerable en el manejo de proyectos y ejercicios que emanen la ejecución del
presupuesto gubernamental, al no tener una clasificación que organice la importancia
y cultura organizacional sobre el manejo de datos.

10
4. Objetivos del proyecto

4.1. Objetivo general

Definición de metodología para el plan de seguridad de la información basado en el
modelo de seguridad y privacidad de la información del MINTIC en su fase de
planificación dentro de la alcaldía de Puerto Asís.

4.2. Objetivos específicos

a) Hacer una evaluación de la situación actual dentro de la Alcaldía de Puerto Asís

en cuanto a seguridad y privacidad de la información.
b) Establecer la metodología para el análisis de riesgos para los activos de
información y establecimiento de controles.

11
5. Alcance

Como resultado de este proyecto tendremos un documento con la metodología para

la implementación del modelo de seguridad y privacidad de la información en su
fase de planificación, basados en una evaluación previa con la realización de un
inventario de activos de información y una metodología para el análisis de riesgos
de entidad.

5.1 Plan de trabajo

Tabla 1 Plan de trabajo

12
6. Entregables
• Evaluación de la situación actual de la entidad en seguridad de la
información.
• Metodología para el análisis de riesgos de información.

7. Estado del arte

Encontramos que con el uso y masificación de las tecnologías de la

información y las comunicaciones dentro del sector privado como público se
ha creado la necesidad de proteger la información frente a las diferentes
amenazas tanto físicas como digitales. Es por esto que se han establecido
normas que permiten estructurar políticas de seguridad para la información
dentro de las entidades permitiendo de esta manera reducir a un mínimo la
posibilidad de que una amenaza se materialice.

En la actualidad la mayoría de las entidades territoriales caso específico de

las Alcaldías en municipios de sexta categoría no cuentan con políticas
definidas para seguridad de la información, aunque dentro del programa del
gobierno en línea se establece que se debe elaborar un sistema de seguridad
de la información, son pocas las entidades que le han dado cumplimiento
hasta la fecha, ya sea por falta de asesoría o por desinterés en el tema.

Encontramos casos de alcaldías de ciudades capitales las cuales, si cuentan

con sistemas de gestión para seguridad de la información, es el caso de la
implementación del modelo de seguridad y privacidad de la información de
las entidades distritales en Bogotá. (Alta consejería distrital de TIC, 2016)

Se desarrolló un trabajo de grado para la Alcaldía de Fusagasugá que

consistió en un modelo para la implementación del sistema general de
seguridad informática basados en gestión de riesgo informático. (Repositorio
UNAD, 2016). Tiene relación con el trabajo que queremos realizar, pero en
este caso ellos establecieron un modelo para el establecimiento de políticas
de seguridad de la información y para nuestro caso lo que se va a hacer es
seguir en modelo de seguridad y privacidad de la información que establece
MINTIC en su fase de planificación.

13
 De igual forma se tiene referencias de la implementación de políticas de
seguridad en la información en entidades como:

El banco de la republica también tiene establecidas las políticas generales

de seguridad de la información. (Banco de la república)

Encontramos también el modelo de la política de seguridad de la información

para organismos de la administración pública nacional (Administración
Pública Nacional, 2015)

Secretaria de educación Bogotá, diseña un sistema de gestión de seguridad

(S.G.S) para el área de talento humano para contratación.

Sistema de gestión de seguridad de la información (S.G.S.I.) para el centro

de datos de la personería de Bogotá D.C. bajo las normas NTC-ISO-IEC
27001:2013 y NTC-ISO-IEC 27002:2013, el cual desarrollo como objetivo
contribuir al mejoramiento de la seguridad del centro de datos de la
Personería de Bogotá D.C., cumpliendo con la NTC-ISO-IEC 27001:2013 y
GTC-ISO-IEC 27002:2015.

8. Estrategia metodológica

La estrategia metodológica consiste en realizar una evaluación dentro de la

entidad para la determinación del estado actual de en cuanto a seguridad y
privacidad para la información, para esto disponemos del instrumento de
evaluación del MINTIC, el cual se aplicará en la entidad en compañía del jefe
de sistemas en las dependencias de la Alcaldía de Puerto Asís.

Luego de tener la valoración de la situación actual en seguridad para la

información se procede a realizar la definición de activos de información
mediante una metodología que me permita hacer la valoración de riesgos y
establecer una clasificación para el establecimiento de controles que me
permitan salvaguardar mis activos de información y una posterior
implementación del modelo del MINTIC en trabajos futuros figura 1.

14
 Ilustración 1 Etapas previas de implementación

De este modo tendremos definas las etapas previas a la implementación y una

metodología que me va a permitir desarrollar la fase de planificación de este modelo.

Por otro lado es fundamental la adaptación de dichos modelos ya que permiten

cuidar el activo más importante para la entidad t con esto cuidar su imagen ante el
gobierno departamental ya que el estar atentos al desarrollo e implantación de
dichos procesos hace que la alcaldía se un ente confiable y que cumple la norma
vigente en cuanto al manejo de la información y adelantando a otras en el desarrollo
de mejores prácticas que le permitan tener mejores incentivos ante la gobernación
al ser imagen y mostrar orden y cumplimiento ante las nuevas exigencias del manejo
de información.

Dado el instrumento de evaluación propuesto de MSPI, se hace presente la

formulación y evaluación del estado de madurez del proyecto de evaluación, con el
fin de desarrollar controles técnicos y de administración pública sobre las entidades
gubernamentales, teniendo en cuenta que el ministerio de TICS, ha dejado la ruta
a seguir como los modelos que pueden mejorar el funcionamiento y maximizar el
erario publico impidiendo la comercialización del mismo.

15
9. RESULTADOS

9.1 ESTADO ACTUAL DE LA SEGURIDAD Y PRIVACIDAD DE LA INFORMACION

Para la evaluación del estado actual en seguridad y privacidad de la información se usaron
las herramientas establecida para tal fin por MINTIC y su programa gobierno en línea.

Tabla 2 Escala de valoración de controles anexo 1.

Teniendo en cuenta la valoración de la tabla 2 se realizó el levantamiento de información

del cuyo resultado se encuentra en el anexo 1, permitiendo obtener la evaluación de
efectividad de controles presentados en la tabla 2.

16
Tabla 3 Evaluación de efectividad de controles – tomado de herramienta de diagnóstico MINTIC ISO 27001: 2013 ANEXO
1

De acuerdo al análisis hecho mediante la herramienta de diagnóstico para seguridad y

privacidad de la información en la alcaldía de Puerto Asís encontramos que se tiene un
promedio de 12 sobre 100, teniendo de este modo un nivel de madurez inicial del modelo
de seguridad y privacidad de la información, concluyendo con esto que no se cuenta con
una identificación de activos que permitan una gestión de riesgos de información, respecto
a la seguridad y privacidad por lo tanto los controles no están definidos hacia la preservación
de la confidencialidad, integridad, disponibilidad y privacidad.

17
Ilustración 2 Brecha tomado de herramienta de diagnóstico MINTIC ISO 27001: 2013 ANEXO 1

Basados en estos resultados de diagnóstico nos damos cuenta que la alcaldía de Puerto Asís está en
un nivel crítico en cuanto a de seguridad de la información exponiéndose a todo tipo de
circunstancias a nivel de sus activos de información además de que puede recibir sanciones por
parte de entes de control por no implementar las políticas establecidas por el MINTIC, es de este
modo que de aquí en adelante nuestro trabajo consisten en establecer una metodología de
identificación de activos de información y análisis de riesgo que le permita a la entidad iniciar un
proceso para definir la fase de planificación dentro del modelo de seguridad.

10 . Metodología para la definición de activos de

información y gestión de riesgos.

Dentro de la metodología para la definición de activos de información y gestión de riesgos

encontramos lo siguiente:

• Se identificarán los activos.

• Se hará la descripción de cada activo.
• Se identificarán los contenedores para cada activo.
• Se hará la identificación de los activos de información.
• Se asociarán los activos de acuerdo con cada contenedor.
• Se hará la valoración de los activos.
• Se identificarán los activos más críticos de los procesos.

18
 Tabla 3 Tipos de activos de información de la Alcaldía de Puerto Asís.

Para el caso ejemplo de uso de la metodología definida, se toman los siguientes activos de
información a trabajar:

• Central principal de proceso: Instalación física donde residen los Rack de

comunicación.

• Servidores de aplicación: Servidores que soportan las aplicaciones y sistemas de

información. Encontramos el software contable compuconta con el cual se maneja
en todas las secretarias de la entidad para gestión de proyectos y procesos
contables, además de la liquidación de impuestos.

• Servidores de bases de datos: equipos servidores que soportan motores

pertenecientes a bases de datos. Aquí la información de la ciudadanía, proyectos,
contabilidad, inventarios, información de personal entre otros.
• Plataforma de correo electrónico: Servidor que soporta la plataforma y servicio
de correo electrónico. Toda la información que se comparte entre las dependencias

19
 de la entidad además la que se comparte con otras entidades pasa a través de la
plataforma de correo.

Tabla 4 Inventario de activos de información Alcaldía de Puerto Asís general.

Identificados los activos de información tabla 4, hacemos la valoración de grado de

importancia y además de criticidad en la organización presentado en la tabla 5.

20
Tabla 5 Valoración de activos de información.

21
 11. Determinación de criticidad de los activos:

Tabla 6 Preguntas para determinar la criticidad del activo.

Con el fin de obtener la determinación del nivel de criticidad para el activo se utilizaron los
siguientes criterios de valoración.

Tabla 7 Criticidad de los activos de información.

22
 Tabla 8 categorización del nivel criticidad para activos información.

Trabajamos con los activos de información seleccionados para dar una orientación a la
metodología.

Tabla 9 Activos de información seleccionados.

23
Agrupamos los activos de información de acuerdo con el contenedor.

Tabla 10 Activos de información agrupados de acuerdo con el contenedor.

12. VALORACION RIESGOS ACTIVOS DE INFORMACION

Se continúa con la valoración de riesgos a los cuales se encuentran expuestos los activos
de información identificados para esto se defienden las siguientes actividades dentro de la
metodología:

• Identificar el riesgo.
• Analizar el riesgo residual.
• Construcción de la matriz de riesgo residual.
• Calificación a controles que hay para atenuar los riesgos residuales.
• Demarcación del riesgo residual.
• Construcción de la matriz para el riesgo residual.

24
 Tabla 11 Riesgos y principios de seguridad afectados.

De acuerdo con los riesgos y principios de seguridad afectados tabla 11 se identifican las
amenazas con las cuales se ve comprometido el activos de información tabla 12.

25
 Tabla 12 Amenazas que pueden afectar los activos.

De este modo se establecen las amenazas y vulnerabilidades asociadas a para el activo de

información.

26
27
Tabla 13 Vulnerabilidad asociado a las amenazas de activo.

28
 13. ANALISIS DE RIESGO INHERENTE

Cuando hablamos de riesgo inherente nos enfocamos en el riesgo propio, sin tener en
cuenta sus efectos de dichos controles iniciales, con el fin de tener éxito en la identificación
y reducir el riesgo a niveles controlables, pasando por un proceso de un desarrollo de
actividades continuas que fortalezcan el análisis de sobrepasar las opciones asumibles o
trasladables del negocio.

Es fundamental dentro del proceso mantener una comunicación sencilla y enfocada a una
ejecución manejable, que permita la integración de la cultura organizacional para generar
un compromiso de la alta gerencia.

Partiendo de lo anterior, debemos identificar la probabilidad de que dicho riesgo ocurra con
respecto a la probabilidad, teniendo valores cuantitativos o cualitativos para realizar el
cálculo basados en función del impacto y probabilidades.

La determinación de la probabilidad de que una amenaza afecte los activos seleccionados

se hizo con los criterios de valoración presentados en la tabla 14:

Tabla 14 Probabilidad de ocurrencia.

Se usaron los criterios de valoración de la tabla 14 para obtener la valoración del impacto
tabla 15.

29
Tabla 15 Valoración del impacto.

30
La clasificación del riesgo residual varía de acuerdo a su nivel de riesgo, se empleó la
clasificación de valoración para determinar el tipo de riesgo tabla 16:

Tabla 16 Valoración del riesgo.

31
Como resultado de la valoración del riesgo residual para las amenazas de los activos de
información seleccionados en el ejercicio se pueden observar los resultados en la tabla 17.

Tabla 17 Valoración de riesgo inherente.

32
 Tabla 18 Riesgo inherente por tipo de riesgo.

14. MAPA DE CALOR

Con el se puede analizar de manera gráfica por áreas donde se posicionan los riesgos,
dependiendo de su probabilidad y su impacto. las áreas dentro del mapa de calor
establecen un tipo de riesgo, el cual muestra las acciones que se deben efectuar para
el tratamiento del riesgo.

33
Por medio de este se establecen los activos a tratar, lo que le permite a la mesa directiva
realizar una correcta toma de decisiones y de esta forma implementar la mejor solución
para la alcaldía.

Se detallan los activos que presenten mayores riesgos, con el fin de que estos sean
mitigados o trasladados para con esto generar un resultado positivo en la solución
planteada inicialmente, por otro lado, debemos tener en cuenta que el riego puede bajar
su impacto, pero en ocasiones no desaparece.

Por otro lado, la realizar la clasificación de dichos riesgos se hace más fácil la toma de
decisiones con respecto a la vulnerabilidad de activos, los que permite a la meda
directiva establecer un panorama de tablero de control para realizar un tratamiento
óptimo de los ítems surgidos después del inventario.

Al tener elaborado dicho cuadro, permite una explicación cruzada de prioridades para
la ejecución y balance financiero de priorizar el costo beneficio de los mismos.

34
Tabla 19 Mapa de calor a usar.

35
15. Mapa de riesgo inherente

Ilustración 3 Mapa de riesgo inherente.

36
 16. CONTROLES

ANALISIS DE CONTROLES INHERENTE

Nivel
Tipo de Como opera Probabilida
Riesgo Descripción Descripción Impacto del
Descripción del Control I Control el Control d
del Control II del Control III Riesgo
C1 C2 C3

Establecer desde el directorio activo, Implementar Realizar un

prolíficas de roles que permitan la herramientas entrenamiento
autenticación segmentada para el rastreo de como, Web a todo el
posibles intrusiones sobre la plataforma Security personal sobre
tecnológica de la entidad. Appliance, el uso de USB,
Ataques SSL Secure PC, Laptos, y RIESG
Externos Site, escáner conexiones Probabilida
/internos de seguridad, externas de d / Impacto
Automático MEDIO MEDIO O
(hacking) encriptación, ingeniería MEDIO
entre otras que social que
permitan la permitan la
detección de integración con
intrusiones el SGSI de la
dentro de los entidad
servicios de la
entidad.

37
 C4 C5 C6

Establecer un sistema de control de acceso Realizar la Entrenamiento

físico para el ingreso del visitante al recinto y entrega de al personal de
funcionarios tarjetas de seguridad
registro física
Acceso no fotográfico perimetral para Probabilida Automático RIESG
autorizado d / Impacto
MEDIO MUY BAJO
adhesivas el manejo de /manual O BAJO
situaciones de
ingreso

C8 C9

Establecer Entrenamiento
C7 niveles de mensual al
Interceptación acceso desde personal sobre
no autorizada implementación de un firewall y routers o la política del el manejo de Probabilida RIESG
de appliance que permitan a un servidos de directorio información d / Impacto
Automático MEDIO MUY BAJO
información FTP, una evolución de paquetes en la red. O BAJO
activo. dentro de la
en transito
red.

C10 C11 C12

Realizar una configuración y actualización Definir Actualizar las

de datos del personal activo dentro de la políticas de configuracione
Cambio de entidad acceso a nivel s de Firewalls. RIESG
de Firewalls Probabilida
privilegios sin
d
Automático MEDIO MEDIO O
autorización
MEDIO

38
 C14 C15

C13 Definir Establecer un

procedimientos plan de RIESG
Error de
Realizar una actualización de manuales y de Planes de pruebas para la Probabilida Automático
administrador
entrenamiento IT a los administradores de Contingencias. operabilidad d / Impacto
MEDIO MEDIO O
TI /manual
red del sistema MEDIO

C17 C18

C16 Revisar Entrenamiento

periódicament constante para RIESG
Robo de Mantener un control de inventario de activos e al acceso y detectar el uso Probabilida Automático
información asociado a controles lógicos del sistema. controles de de ingeniería d / Impacto
MEDIO MEDIO O
/manual
dispositivos social dentro MEDIO
conectados a de las
la red instalaciones

Tabla 20 Controles y riesgo inherente.

39
17. CONCLUSIONES

17.1.1 De acuerdo con el diagnóstico realizado dentro de la entidad alcaida de Puerto Asís se
puede pudo evidenciar que tiene muchas falencias en seguridad y privacidad de la
información, las cuales pueden llegar a perjudicar a la entidad en cualquier momento
de no continuar con el desarrollo de la metodología planteada para establecer controles
para todos sus activos de información.

17.1.2 Una buena identificación de activos de información me permite el desarrollo de un plan

de seguridad y privacidad de la información robusto que me proporciona
confidencialidad, integridad, autenticidad, disponibilidad y trazabilidad y de esta
manera poder tener la información con un tratamiento adecuado y poder reducir al
mínimo los riesgos para la dentro de la entidad.

17.1.3 Los planes y políticas de seguridad de la información dentro de una entidad deben estar
en constante revisión y actualización además de que se debe establecer un plan de
socialización para los empleados.

17.1.4 El mantener un buen plan de SGSI se pueden estandarizar procesos y de este modo
tener la mejor toma de decisiones en la alta gobernabilidad.

17.1.5 La seguridad de la información es un instrumento clave para brindar confianza en la

elaboración de procesos gobernativos los cuales acreditan un orden en el
establecimiento publico

17.1.6 EL actuar efectivamente por medio de modelos como es descrito en este documento,
permite reorganizar y garantizar la información de la vía gubernativa.

17.1.7 Anticiparse antes de que hechos lamentables con el manejo de información y recursos
públicos debe ser una misión constante.

17.1.8 Al realizar los procedimientos expuestos en este trabajo, se permite llevar a estándares
congruentes para el manejo de la información.

17.1.9 Al mantener dichos lineamientos se pretende ser modelo para otras alcaldías y
desarrollar las mejores practicas que se vean reflejadas en el trabajo cooperativo para
el manejo de la información.

40
17.1.10 Al implementar el proceso mencionado, las herramientas permiten la integración y
recolección de información para el desarrollo de tareas de actualización y
estandarización de servicios de información.
17.1.11 Basados en el enfoque de riesgo gubernamental, se hace fundamental generar alertas
constantes sobre el incentivas los respectivos planes de mejora y mitigación o traslados
de riesgos asociados a los activos evaluados.

41
 18. Lista de referencias

REFERENCIA. (20 de ENERO de 2010). Obtenido de [Link]

Adminstracion Publica Nacional. (2015). Obtenido de

[Link]

Estrategia gobierno en linea. (2016). Obtenido de

[Link]

Alcaldia de Puerto Asis. (2016). Recuperado el Noviembre de Marzo de 2018, de

[Link]

Alta consejeria distrital de TIC. (2016). Obtenido de h[Link]

Repostorio UNAD. (2016). Obtenido de

[Link]

Banco de la republica. (s.f.). Obtenido de [Link]

seguridad-de-la-informacion

42
19. Anexos

• ANEXO 1: Herramienta de diagnóstico MINTIC ISO 27001: 2013 aplicado a la Alcaldía de

Puerto Asís.

43