17-6-2019

AA1-E5-APLICACIÓN
DE LA NORMA ISO
27002
GESTION Y SEGURIDAD DE BASE DE
DATOS (1881797)

Nelson López Hildalgo

INSTRUCTOR

Alejandra Margarita Chaparro Monroy

APRENDIZ

SERVICIO NACIONAL DE APRENDIZAJE SENA

SOGAMOSO –BOYACA

“CDA SUGAMUXI S.A. es una empresa de Inspección habilitada por el Ministerio de

Transporte y por el RUNT (Registro Único Nacional de Transito), el cual realiza la Revisión
Técnico Mecánica y de Gases obligatoria como control preventivo a vehículos livianos, micro
buses, camperos camionetas y motocicletas, contribuyendo así con la preservación de la seguridad
vial y el medio ambiente, mejorando la calidad de vida de la ciudadanía”.

Plantilla ISO 27002 y plan de mejora en seguridad

 INTRODUCCIÓN

En un entorno empresarial globalizado y competitivo como el existente en la actualidad, las

empresas dependen cada vez más de sus sistemas de información y de la información que
estos administran, pues se ha demostrado que tienen una enorme influencia en la toma de
dediciones estratégicas para aumentar su nivel de competitividad.

El problema de la seguridad de la información se caracteriza por la complejidad y la

interdependencia. La gestión de la seguridad contiene un número importante de factores y
elementos que se interrelacionan entre sí. Las Organizaciones suelen tener una débil
comprensión de la seguridad de la información, tecnologías de seguridad y medidas de
control, y suelen dejar el análisis de riesgos o el desarrollo de las políticas de seguridades
olvidadas.

En el presente trabajo se lleva a cabo el proceso de análisis y diseño de un plan de

mejoramiento de la seguridad de la Información aplicado a la empresa CDA SUGAMUXI
S.A, organización que realiza las inspecciones y certificación de vehículos livianos y
motocicletas en la ciudad de Sogamoso(Boyacá). El objetivo principal de un plan de
mejoramiento de seguridad de la información es proteger la integridad, confidencialidad e
integridad de todos los activos de una organización y este se logra efectuando como
primera medida un minucioso análisis de los riegos a los que se enfrentan los activos de
información para luego, con este insumo implementar los controles necesarios que
protegerán dichos activos.

En la actualidad las empresas afrontan una problemática muy grande debido a que muchas
de ellas no destinan recursos para afrontar la falta de seguridad, ni prevenir los riesgos de
sus activos de información asociados a la misma, lo que en muchas ocasiones genera en la
organización pérdidas tanto económicas como de información. Teniendo en cuenta lo
anterior y buscando no verse afectada por un incidente mayor es que CDA SUGAMUXI
S.A ha decidido dar un paso adelante e iniciar con el proceso de establecer un plan de
mejoramiento de Seguridad de la Información y así garantizar que los que accedan a su
información sean quienes estén autorizados.

Se presenta un plan apoyado en estándares y normas internacionales tales como el estándar

ISO/IEC 27002, que buscan evitar, disminuir y/o prevenir ataques o desastres informáticos,
antes que éstos ocurran. Se iniciará con un proceso de análisis de la situación actual de la
empresa, luego se deberá realizar el inventario de activos y a partir de este llevar a cabo la
definición del análisis de riesgos, para un posterior diseño de políticas, procesos y
procedimientos claros que permitirán determinar y establecer los controles de seguridad
que ayuden a gestionar los riesgos identificados.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 1. FORMULACIÓN DEL PROBLEMA

En la actualidad las organizaciones y sus sistemas de información se deben enfrentar, cada

vez más, con riesgos e inseguridades informáticas provenientes de una amplia variedad de
fuentes, entre las cuales podemos incluir fraudes basados en informática, espionaje,
sabotaje y adicional a esto, daños ocasionados por virus informáticos y ataques de intrusión
o de negación de servicios los cuales son cada día más comunes en una organización.

La Empresa Centro de diagnostico automotriz CDA SUGAMUXI S.A, recibe información

personal tanto de sus clientes como de sus proveedores por múltiples fuentes, por diferentes
medios y a través de múltiples canales (personal, telefónico, empresas de mensajería,
electrónicos, redes de datos, sistemas en línea, entre otros); estos volúmenes de datos e
información constituyen la materia prima para la gestión de la empresa, lo que la convierte
en un activo de gran importancia que debe ser protegida desde su origen hasta su destino
final.

Independiente de la manera como esta información se reciba, se comparta o almacene, debe

tener una adecuada protección, sin embargo la seguridad informática establecida por la
compañía en este momento es limitada, ante lo cual se optó como primera fase llevar a cabo
un análisis minucioso de la situación actual y con base en el resultado, elaborar un plan de
mejoramiento de la Seguridad de la Información para que posteriormente en una segunda
fase sea implementado por parte de los funcionarios responsables de la seguridad de la
información en la empresa CDA SUGAMUXI S.A, involucrando a su personal como parte
activa y creativa del proyecto; lo que se pretende es garantizar que los riesgos que afronta la
empresa en términos de seguridad de la información sean conocidos por la alta gerencia a
fin de determinar si serán asumidos, gestionados y/o minimizados, permitiendo la creación
de un entorno seguro para los datos, la información, las aplicaciones y los sistemas que
sustentan su gestión.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 2. JUSTIFICACIÓN DEL PLAN DE MEJORA

Teniendo en cuenta el creciente aumento de amenazas informáticas que buscan sustraer de

las empresas su información, para con ella llevar a cabo ataques de denegación de servicio
o afectar a la imagen de una organización, ha obligado a las empresas a darle prioridad al
tema de la seguridad de la información ya que tanto la información como los procesos y los
sistemas que hacen uso de la misma, son sus activos más valiosos.

Las organizaciones han entendido que si los mecanismos de protección informática

implementados fallan, es necesario contar con procesos estructurados y personal
especializado que maneje incidentes de seguridad de información y restablezca los temas en
el menor tiempo posible. Es por esto que en la actualidad poder asegurar la
confidencialidad, integridad y disponibilidad de la información más sensible llegan a ser
esenciales para ellas en aras de mantener sus niveles de competitividad, beneficio
económico, conformidad legal e imagen empresarial obligatorios para lograr los objetivos
de la organización, asegurando obtener beneficios económicos.

Los datos e información constituyen la materia prima para la gestión de la empresa CDA
SUGAMUXI S.A y es deber de la organización garantizar la confidencialidad, integridad y
disponibilidad de esta información; la dirección es consciente que la seguridad establecida
por la compañía en este momento es limitada e insuficiente, es por esto que requieren como
una primera etapa, se realice un análisis de la situación actual de la empresa en cuanto a la
seguridad informática, y con base en este diagnóstico se diseñe un Sistema de Seguridad
que permita ofrecer un mejor nivel de servicio en calidad, funcionalidad y facilidad en el
uso de la seguridad, de manera tal que al ser implementado minimice costos a la
organización.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 3. OBJETIVOS

OBJETIVO GENERAL

Realizar el Análisis y Diseño de un plan de mejoramiento de la Seguridad Informática en la

empresa CDA SUGAMUXI S.A, que brinde una adecuada protección en seguridad
informática de la infraestructura tecnológica de la organización, en aras de mejorar la
seguridad de las tecnologías de información y las comunicaciones en la empresa.

OBJETIVOS ESPECÍFICOS

 Realizar el diagnóstico de la situación actual de la seguridad de la información de la

empresa CDA SUGAMUXI S.A.

 Identificar responsables y ubicación de los activos de información.

 Seleccionar los controles de seguridad de información más importantes que

garanticen la confidencialidad, integridad y disponibilidad de la información.

 Sugerir políticas de seguridad que permitan hacer un uso aceptable de los activos de
información.

BENEFICIOS DE REALIZAR EL ANÁLISIS

 Crear conciencia en los responsables de los procesos del negocio, de la existencia de

riesgos y de la necesidad de gestionarlos a tiempo.

 Reducción de riesgo en cuanto a pérdida o robo lógico de la información.

 se garantiza la continuidad del de negocio tras incidentes de gravedad.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 4. IDENTIFICACIÓN DE LA SITUACION ACTUAL

4.1 DESCRIPCIÓN DE LA EMPRESA

Centro de Diagnóstico Automotriz CDA SUGAMUXI S.A, ubicada en la Transversal 7 No

6ª 69 en el barrio Sugamuxi de la ciudad de Sogamoso en el departamento de Boyacá,
dedicada a la revisión tecnicomecánica y certificación de vehículos livianos y motocicletas.

Misión

Contribuir a la protección del medio ambiente y al incremento de la seguridad vial por

medio de la prestación de un servicio de inspección técnico mecánica y de gases que
cumple con los estándares de calidad exigido.

Visión

Posicionarse a nivel local y alcanzar reconocimiento en la provincia y el departamento de

Boyacá como centro de diagnostico automotor, basado en principios de honestidad,
confiabilidad, excelente servicio, con talento humano altamente competente y equipos con
tecnología de punta.

Política de Independencia e imparcialidad

CDA SUGAMUXI S.A. prestará sus servicios sin discriminación alguna a los clientes que
lo requieran, manteniendo siempre la debida independencia e imparcialidad y respetando el
juicio profesional del personal inspector, para ello, la dirección de la empresa, por ningún
motivo permitirá influencia o presión de cualquier índole por parte de clientes y partes
interesadas, en las actividades y resultados arrojados por el proceso de inspección técnico
mecánica y de gases, a la vez que llevara un estricto seguimiento y control del
cumplimiento del código de ética por parte de todo el personal de la organización.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 4.2 FUNCIONES POR DEPENDENCIA:

Gerente: Es quien dirige, controla y supervisa las actividades de la empresa.

Subgerente: Orientar la gestión del equipo comercial, Administrar los recursos para
controlar la generación de ventas con el fin de cumplir con los objetivos establecidos por la
Gerencia, Controlar el adecuado manejo de los activos de la empresa.

Oficina Financiera: Está conformada por el contador y un auxiliar contable. Esta oficina
es la encargada de mantener al día la información contable Financiera de la organización y
nómina

Coordinación Sistemas: Se encarga de la seguridad de la información, oficial de datos,

presentación y elaboración de informes alta gerencia así como mantenimientos equipos de
cómputo.

Auxiliar de sistemas: se encarga de apoyar las actividades del coordinador de sistemas y

cumplir sus funciones en caso de que este falte.

Calidad: maneja el Sistema de Gestión de la calidad

Dirección Técnica 17020: se encarga de dirigir el área Técnica.

4.3 IDENTIFICACIÓN DE ACTIVOS:

4.3.1 ACTIVOS

IDENTIFICACIÓN DE PROCESOS

PROCESOS DESCRIPCIÓN FRECUENCIA RESPONSABLE

(DIARIO/SEMANAL/
MENSUAL)
Recepción Margarita Chaparro
documentos, (Aux. administrativa)
Atención digitalización de Diario
Clientes información, Rossi Reinoso
entrega de (Aux. administrativa)
documentos
Facturación, Alejandra Robles
Contabilidad contabilización, Diario (Contadora)
nómina Viviana Reay
(Aux. contable)

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 Sistema de Ferney Vargas
Calidad Gestión Diario (coordinador de Calidad)
Dirección Coordinación Francisco Ruiz, Ferney
Técnica 17020 Pista, Entrega de Diario Vargas, Edgar Rincón
resultados
Seguridad de la Francisco Ruiz
Coordinación información, Diario (coordinador de sistemas)
Sistemas Informes Margarita Chaparro (Aux
de sistemas)
Asistente Archivo
Administrativo documentos, Karen Lemus
– Archivística control de Diario (Aux. administrativa)
documentos

Lo que se pretende es que todas las cosas que se realizan en una organización queden
perfectamente identificadas. Lo ideal debería ser que fuéramos capaces de identificar las
actividades hasta el mínimo nivel que se pueda, con el fin de que los límites de los procesos
puedan quedar perfectamente definidos.

SISTEMAS QUE SOPORTAN EL PROCESO

NOMBRE DESCRIPCIÓN TIPO DE Nro.DE EQUIPOS

DEL SISTEMA(PC/SERVIDOR) CON LA
SISTEMA APLICACIÓN
Aplicación en
Contabilidad Red para efectos PC Escritorio 2
(Flash contables
Contable)
Aplicación en
Facturación red para proceso PC Escritorio 2
(Flash de facturación
Comercial)
Aplicación para
BD Clientes identificación de PC Escritorio 2
Diarios clientes
Aplicación para
Proceso de proceso de PC Escritorio
RTMYEC revisión en línea Servidor
(TECNI- de inspección Tabletas 9
RTM)
Aplicación para
Monitoreo de validación y Equipo Portátil 2
Inspecciones firma de
FIRMAFUR resultados
(SICOV) RTMYEC

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

Certificación Plataforma para
vehículos certificaciones Equipo Portátil 1
(RUNT)
Monitoreo de Aplicación para
asignación asignar pruebas y
Pruebas validar PC Escritorio 2
AUDIWEB utilización de
(SICOV) PINES
Facturación Aplicación
de Pines facturación PC Escritorio 2
(SIMS) PINES

RECURSOS DE HARDWARE DE LOS PROCESOS

TIPO DE DETALLES DISTRIBUIDOR LOCALIZACIÓN

HARDWARE MODELO
Servidor de Rack Proliant DL 120 DELL Cuarto de equipos
aplicaciones Gen9 (Sistemas)
Servidor de Hp Proliant ML115 HP Cuarto de equipos
archivos (Sistemas)
-HP Prodesk HP Oficina Recepción,
PCS de escritorio -Toshiba Satellite Contabilidad,
Portátiles Dirección Técnica,
Calidad
LINKSYS SE 3024 LINKSYS Cuarto de equipos
Switch (Sistemas)
NEXXT Nebula 300 NEXXT Cuarto de equipos
Router Internet (Sistemas)

5. ACCIONES DE SEGURIDAD INFORMÁTICA A IMPLEMENTAR

Políticas De Seguridad De La Información CDA SUGAMUXI S.A. La Alta Dirección debe

revisar y aprobar las Políticas de Seguridad de la Información de acuerdo con el
procedimiento de “creación de políticas de gestión de seguridad de la información”,
demostrando así su compromiso con la seguridad de la información en CDA SUGAMUXI
S.A. Una vez aprobadas dichas políticas, debe velar por su divulgación, mantenimiento y
cumplimiento al interior y con los terceros que interactúen directamente con la
organización.

La Alta Dirección debe revisar periódicamente la aplicabilidad y vigencia de las siguientes

Políticas específicas de Seguridad de la Información y efectuar los ajustes necesarios sobre
ellas para que sean funcionales y se pueda seguir exigiendo su cumplimiento por parte de

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

todos los empleados y personal suministrado por terceras partes que provean servicios a
CDA SUGAMUXI S.A

POLITICAS DE SEGURIDAD DE LA INFORMACIÓN:

Las políticas de seguridad de la información deben ser revisadas al menos una vez al año y
actualizadas según las necesidades o los cambios en procesos y tecnología que se realicen
en la organización.

ORGANIZACIÓN DE LA SEGURIDAD:

Definir responsabilidades y deberes con respecto a la seguridad de la información, y

asegurar la concientización de empleados y terceros con respecto a la importancia y el
cumplimiento de la normatividad definida.

SEGURIDAD EN EL RECURSO HUMANO:

 La organización debe implementar capacitaciones y divulgaciones en seguridad de la

información, de las políticas y procedimientos del sistema de gestión de seguridad de la
información. Los empleados deben conocer la normatividad relacionada con la
seguridad de la información de CDA SUGAMUXI S.A ya que el desconocimiento de la
misma no los exonerará de los procesos disciplinarios definidos ante violaciones de las
políticas de seguridad.

 La organización debe realizar un proceso de desvinculación de personal donde se

garantice la eliminación de privilegios y eliminación de datos de acceso a los sistemas
de información.

GESTIÓN DE ACTIVOS DE INFORMACIÓN:

 La organización debe identificar los activos de información, sus respectivos

responsables y su ubicación, para luego elaborar un inventario con dicha información.

 El Inventario se debe documentar y actualizar ante cualquier modificación de la

información y los activos asociados con los medios de procesamiento. Este debe ser
revisado con una periodicidad no mayor a un (1) año.

 Es responsabilidad de realizar y mantener actualizado el inventario de activos de

información cada responsable de proceso de CDA SUGAMUXI S.A en compañía del
Líder de Seguridad de la Información.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 La clasificación de la Información se debe tener en cuenta los criterios de la
Información en los cuales se fundamenta la Seguridad de la Información:
Confidencialidad, Integridad y Disponibilidad.

CONTROL DEL ACCESO:

 Los privilegios de acceso a los sistemas de información, infraestructura de red, equipos

de cómputo e información sensible en la organización deben estar autorizados por el
responsable o dueño del proceso al que pertenece el activo de información.

 El proceso de tecnologías de la información y de acuerdo al perfil de cargo define los

niveles de acceso a la red, sistema operativo, sistemas de información y servicios de TI.

 El proceso de Talento Humano deberá mantener los registros donde se autorizó a los
empleados o terceros los accesos a los diferentes sistemas de información de la
organización.

SEGURIDAD FÍSICA Y DEL ENTORNO:

 Mantener Áreas seguras para la gestión, almacenamiento y procesamiento de

información en CDA SUGAMUXI S.A Las áreas deben contar con protecciones físicas
y ambientales acordes con el valor y la necesidad de aseguramiento de los activos que
se protegen, incluyendo la definición de perímetros de seguridad, controles de acceso
físicos, seguridad para protección de los equipos, seguridad en el suministro eléctrico y
cableado, condiciones ambientales adecuadas de operación y sistemas de contención,
detección y extinción de incendios.

 Los privilegios de acceso físico a la Sala de Equipos deben ser eliminados o

modificados oportunamente a la terminación, transferencia o cambio en las labores de
un funcionario o contratista autorizado.

 Las oficinas e instalaciones donde haya atención al público no deben permanecer

abiertas cuando los empleados se levantan de sus puestos de trabajo, así sea por
periodos cortos de tiempo.

SEGURIDAD DE LAS OPERACIONES:

 Deben establecerse medidas de control de acceso al sistema operativo, para garantizar

la autenticación de los empleados.

 Todos los usuarios con acceso a un sistema de información o a la red informática de la

organización dispondrán de una única autorización de acceso compuesta de

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 identificador de usuario y contraseña, serán responsables de las acciones realizadas por
el usuario que ha sido asignado.

 Todo el personal debe bloquear el equipo de cómputo con protector de pantalla que
exija la contraseña de acceso a la sesión ante la ausencia temporal del puesto de trabajo.

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN:

Se debe asegurar que se establezcan y ejecuten procedimientos para identificar, analizar,

valorar y dar un tratamiento adecuado a los incidentes, y que se haga una adecuada
evaluación del impacto en el negocio de los incidentes de seguridad de la información.

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO:

Los planes de continuidad y de recuperación deben probarse y revisarse periódicamente y

mantenerlos actualizados para su mejora continua y garantizar que sean efectivos.

6. POLÍTICAS RECOMENDADAS EN LA ORGANIZACIÓN

Las siguientes son las políticas que se recomienda implementar en la empresa CDA
SUGAMUXI S.A:

ALCANCE

Esta política es de aplicación para todas las áreas que hacen parte de la empresa CDA
SUGAMUXI S.A, a sus recursos, a la totalidad de los procesos internos o externos
vinculados a la empresa a través de contratos o acuerdos con terceros y a todo el personal
de la entidad, cualquiera sea su situación contractual, la dependencia en la cual se encuentre
prestando sus servicios y el nivel de las tareas que desempeñe.

Acuerdos de confidencialidad:

Todos los funcionarios de CDA SUGAMUXI S.A y/o terceros deben aceptar los acuerdos
de confidencialidad, donde cada funcionario individualmente se comprometan a no
divulgar, usar o explotar la información confidencial a la que tengan acceso, respetando los
niveles establecidos para la clasificación de la información; cualquier violación a lo
establecido en este parágrafo será considerado como un “incidente de seguridad”.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

Uso adecuado de los activos:

El acceso a los documentos físicos y digitales estará determinado por la competencia del
área específica y los permisos y niveles de acceso de los funcionarios y/o contratistas, serán
determinadas por los Jefes de Área o Dependencia, quien comunicará a la persona
encargada de la administración de los recursos informáticos el listado con los funcionarios
y sus privilegios con el fin de reducir y evitar el uso no autorizado o modificación sobre los
activos de información de la empresa.

Acceso a Internet:

No se permite:

 El acceso a páginas relacionadas con pornografía, drogas, alcohol y/o cualquier otra
página que vaya en contra de la ética moral, las leyes vigentes o políticas aquí
establecidas.

 El acceso y el uso de servicios interactivos o mensajería instantánea tales como

Facebook, MSN Messenger, Skype, Whatsapp y otros similares, que tengan como
objetivo crear comunidades para intercambiar información, o bien para fines diferentes
a las actividades propias de CDA SUGAMUXI S.A

 El intercambio no autorizado de información de propiedad de CDA SUGAMUXI S.A,

de sus clientes y/o de sus funcionarios, con terceros.

Recursos Tecnológicos:

El uso adecuado de los recursos tecnológicos asignados a funcionarios y/o terceros se

reglamenta bajo los siguientes lineamientos:

 La instalación de cualquier tipo de software o hardware, cambios de configuración del

equipo cómputo de CDA SUGAMUXI S.A, es responsabilidad de la persona encargada
de la administración de los recursos informáticos y por tanto es el único autorizado para
realizar estas labores.

 La sincronización de dispositivos móviles, sobre los que se puedan realizar

intercambios de información con cualquier recurso de la empresa, deberán estar
autorizados de forma explícita por la dependencia respectiva, en conjunto con la
persona encargada de la administración de los recursos informáticos y podrá llevarse a
cabo únicamente en dispositivos provistos por la entidad, para tal fin.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

Control de acceso físico:

 Se debe tener acceso controlado y restringido al cuarto de servidores y de

comunicaciones.

 Se deberán elaborar y mantener las normas, controles y registros de acceso a dicha área.

Protección y ubicación de los equipos:

Los equipos que hacen parte de la infraestructura tecnológica de CDA SUGAMUXI S.A,
así como estaciones de trabajo, deben estar ubicados y protegidos adecuadamente, para lo
cual deben adoptase los controles necesarios con el fin de mantenerlos en un ambiente
seguro y protegido por los menos con: Controles de acceso y seguridad física, Detección de
incendio y sistemas de extinción de conflagraciones, Controles de humedad y temperatura,
Bajo riesgo de inundación, Sistemas eléctricos regulados y respaldados por fuentes de
potencia ininterrumpida (UPS).

Protección contra software malicioso:

 Todos los sistemas informáticos deben ser protegidos por software antivirus con
capacidad de actualización automática.

 El funcionario encargado de la Seguridad de la Información elaborará y mantendrá un

conjunto de políticas, normas, estándares, procedimientos y guías que garanticen la
mitigación de riesgos asociados a amenazas de software malicioso y técnicas de
hacking.

Copias de seguridad:

 CDA SUGAMUXI S.A debe asegurar que la información con cierto nivel de
clasificación, contenida en la plataforma tecnológica de la empresa, sea periódicamente
resguardada mediante mecanismos y controles adecuados que garanticen su
identificación, protección, integridad y disponibilidad.

 Se deberá establecer un plan de restauración de copias de seguridad que serán probados

a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y
retenidas por un periodo de tiempo determinado.

 Los medios magnéticos que contienen la información crítica deberá ser almacenados en
un sitio externo donde se resguardan dichas copias, debe tener los controles de
seguridad adecuados, cumplir con máximas medidas de protección y seguridad física
apropiados.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

Control de acceso lógico:

 Todos los usuarios de equipos de cómputo son responsables de la confidencialidad del

identificador de usuario y el password de su equipo.

 Todos los usuarios deberán autenticarse con los mecanismos de control de acceso
lógico antes de tener acceso a los recursos de la Infraestructura tecnológica de la
empresa.

 El identificador de usuario dentro de la red es único y personalizado, por lo tanto el

usuario es responsable de todas las actividades realizadas con su identificador de
usuario.

Gestión de contraseñas de usuario:

 Es obligación del usuario cambiar la clave por defecto asignada por la persona
encargada de la administración de los recursos informáticos. Cuando un usuario olvide,
bloquee o extravíe su password deberá solicitar a la persona encargada de la
administración de los recursos informáticos para que ella realice la acción que le
permita ingresar un nuevo password, y al momento de recibirlo deberá personalizar uno
nuevo.

 Está prohibido mantener ayudas escritas o impresas referentes al password en lugares

donde personas no autorizadas pueden descubrirlos.

 La revelación del password o contraseña a terceros responsabiliza al usuario que prestó

su password de todas las acciones que se realicen con el mismo.

 La contraseña estará compuesta de caracteres alfanuméricos de mínimo siete (8)

caracteres y máximo 12 (doce) y deberán estar constituidas por combinación de
caracteres alfabéticos, numéricos y especiales.

 No deben estar relacionados con nombre del empleado, fechas de nacimiento, lugar o
cargo o estado dentro del trabajo.

 En el caso que el sistema no lo solicite automáticamente, el usuario debe cambiar su

contraseña como mínimo una vez cada 30 días.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 CONCLUSIONES

 Es claro que la información es el activo más importante de una organización, es por ello
que para una empresa como CDA SUGAMUXI S.A es importante poder contar con un
plan de mejoramiento de Seguridad de la Información enfocado en las necesidades del
negocio y basado en estándares y buenas prácticas como lo es la norma ISO/IEC 27002.

 La falta de políticas, controles y normativas de seguridad pueden ocasionar

consecuencias graves en el cumplimiento de los objetivos organizacionales.

 Para asegurar el éxito del plan de mejoramiento es de vital importancia contar con el
apoyo incondicional de alta Dirección para la aprobación de la documentación
generada, la divulgación y su aplicación por parte de los funcionarios y agentes
externos.

 La implementación de un plan de mejoramiento de la seguridad de la información en la

empresa CDA SUGAMUXI S.A, brindará seguridad efectiva en los sistemas de
información e incrementará la confianza de sus clientes mejorando su imagen ante ellos
generando solidez de la misma.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 7. RECOMENDACION

Realizar capacitaciones y sensibilizaciones a todos los empleados de CDA SUGAMUXI

S.A en seguridad de la Información para mitigar riesgos de ataques de tipo “ingeniería
social”.

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797

 9. BIBLIOGRAFIA

 Sistemas. (2009, 10 febrero). Centro de diagnostico automotriz Sugamuxi. Recuperado

17 junio, 2019, de http://www.cdasugamuxi.com.co

 Alvarado Peñaranda, M. Áreas principales de la norma ISO 27002.

 Alide, revista.(2013)¿Cómo gestionar archivos de información? Recuperado de

http://www.alide.org.pe/fn12_fin_rev1_actviso.asp

ALEJANDRA MARGARITA CHAPARRO MONROY C.C.1.057.596.952 FICHA: 1881797