Asignatura Datos del alumno Fecha

Apellidos: Guerrero Barrera

Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Actividades

Trabajo: Estudio de la norma ISO 27001

INTRODUCCIÓN

El Tribunal de Arauca es una entidad pública perteneciente a la Rama Judicial del

Poder Público, encargado de impartir justicia en el Departamento de Arauca, a través
de la aplicación de la Normativa vigente en materia laboral, civil, penal y
constitucional; esta entidad fue creada en el año 2002 y desde esa fecha ha impartido
justicia en su jurisdicción en los diferentes procesos que les competen conocer.

El activo principal de la entidad, son cada uno de los procesos que están a su cargo, los
cuales se llevan en hojas de papel, así como las decisiones que se toman dentro de la
institución; a su vez, la Corporación adelanta trámites administrativos que se
subdividen en Resoluciones, acuerdos, circulares, oficios, entre otros.

Actualmente la Corporación judicial cuenta con 3 despachos de magistrado, en los

cuales se encuentra el respectivo magistrado titular y un auxiliar judicial, también tiene
una Secretaria General, la cual es dirigida por el Secretario y cuenta con 8
empleados(Contador, Técnico en Sistemas, Oficial mayor, Escribiente, 2 citadores y un
conductor), como se muestra en la siguiente imagen.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Actualmente no existe un control adecuado que asegure la disponibilidad inmediata de

la información y el tratamiento de la información es ineficiente y está expuesto a
perdida de información tanto de la información física como digital, razón por la cual no
existe una correcta protección de los expediente y datos de los clientes de la
administración de justicia para el departamento.

Así mismo vale la pena resaltar, que la única copia de seguridad que se lleva a cabo de
las providencias que son firmadas en físico, se llevan a cabo a final de cada año y
consiste en el escaneo de las decisiones, las cuales se guardan en un computador que
usa uno de los empleados de la empresa, de los demás archivos se guarda el borrador,
pero el original firmado no se tiene digital.

Por lo anterior, el trabajo se enfocará al aseguramiento de los controles adecuados

sobre la confidencialidad, integridad y disponibilidad de la información, a través del
establecimiento de SGSI, basado en la norma ISO 270002:2015, buscando un
tratamiento adecuado a la información, el cual es el activo más importante de la
organización.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Planeación

Título: Plan de Implementación del Sistema de Gestión de Información basado en la

Norma ISO 270001:2015 y 270002:2015.

Descripción del Problema: El Tribunal de Arauca, es una entidad pública que tiene a su
cargo la impartición de justicia en el Departamento de Arauca – Colombia y el cual
tiene a su cargo una gran cantidad de procesos judiciales en las áreas laboral, civil,
familia, penal y constitucional en los que se debe garantizar la seguridad de la
información, la confidencialidad, la integralidad y el acceso efectivo, evitando así
problemas de tipo legal, social y de tiempo de trabajo que se use en acciones
correctivas.

Actualmente en la organización se cuenta con muy poco conocimiento en la parte de

seguridad de información y la única que persona que tiene conocimientos en sistemas y
que tiene como una de sus funciones la realización de copias de seguridad, por la
necesidad se le han asignado funciones administrativas, impidiéndole el ejercicio de sus
funciones.

Por otro lado, la dirección en este caso los magistrados no entienden la importancia de
salvaguardar la información como su activo más importante, sin embargo reconocen
los problemas que pueden ocasionarse por la pérdida de la información.

ALCANCES Y LIMITACIONES

Este SGSI busca analizar la situación actual de los procesos relacionados con la
información que maneja la entidad y establecer las políticas y procedimientos
necesarios para garantizar su seguridad, minimizando el riesgo de que se produzcan
perdidas de información.

Sin embargo el proyecto estará limitado por la disponibilidad de los magistrados y el

tiempo disponible de los empleados de la organización.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Políticas de Seguridad de la organización y norma legal que la fundamenta

Constitución política de Colombia. Artículo 15.

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen
nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen
derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la
recolección, tratamiento y circulación de datos se respetarán la libertad y demás
garantías consagradas en la Constitución. La correspondencia y demás formas de
comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas
mediante orden judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e
intervención del Estado podrá exigirse la presentación de libros de contabilidad y
demás documentos privados, en los términos que señale la ley

Ley 1581 de 2012 Protección de Datos personales,

Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los
demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15
de la Constitución Política; así como el derecho a la información consagrado en el
artículo 20 de la misma.

Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en

la presente ley serán aplicables a los datos personales registrados en cualquier base
de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública
o privada.
La presente ley aplicará al tratamiento de datos personales efectuado en territorio
colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento
no establecido en territorio nacional le sea aplicable la legislación colombiana en
virtud de normas y tratados internacionales

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Artículo 4°. Principios para el Tratamiento de datos personales. En el

desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera
armónica e integral, los siguientes principios:
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los
límites que se derivan de la naturaleza de los datos personales, de las disposiciones de
la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse
por personas autorizadas por el Titular y/o por las personas previstas en la presente
ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en
Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso
sea técnicamente controlable para brindar un conocimiento restringido sólo a los
Titulares o terceros autorizados conforme a la presente ley;

En cumplimiento de su función constitucional de hacer efectivos los derechos,

obligaciones, garantías y libertades para lograr la convivencia social, la convivencia
pacífica y el acceso a la justicia, la rama judicial adoptará todas las medidas que
estén a su alcance para preservar la integridad, la disponibilidad y la
confidencialidad de la información necesaria para el cumplimiento de su
misión, gestionando los riesgos de manera integral con criterios de efectividad,
eficiencia y transparencia en todos sus procesos , y mejorando permanentemente
sus capacidades en materia de seguridad de la información.
En este sentido, se declara como prioritario y de la más alta relevancia la seguridad
de la información en la ejecución permanente de las labores de la Rama judicial,
mediante la protección de los activos de información, la infraestructura crítica y de
soporte, con el fin de garantizar un nivel adecuado de continuidad operativa de
negocio y sus servicios conexos; contribuyendo por tanto al cumplimiento en los
procesos misionales y los objetivos estratégicos organizacionales.
(Fuente: Manual del sistema de gestión de seguridad de la información de
la Rama Judicial)

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

DEFINICIÓN DE CONTROLES

POLÍTICA USO ACEPTABLE DE LOS ACTIVOS

Procedimientos por dominio

Procedimiento Institucional de Gestión de Riesgos
Procedimiento de acción Correctiva y Preventiva
A.5.1.1 Roles y responsabilidades para la seguridad de la información
A.7.1.2. Términos y condiciones del empleo
A.8.1.1 Inventario de Activos
A.8.1.2 Propiedad de los activos
A.8.1.4 Devolución de los activos
A.8.2.1 Clasificación de la información
A.8.2.2 Etiquetado de activos
A.8.2.3 Manejo de activos
Controles por dominio
A.8.1.3 Uso aceptable de los activos
Controles asociados
Política de uso de correo electrónico
Política de respaldo de información
Política de Acceso a componentes de tecnología
Política Administración de estaciones de trabajo
Política de Gestión de Cambios
Política de uso de servicios de acceso a internet
Política de Antivirus
Política de seguridad de proveedores
Política de Gestión de incidentes de seguridad
Política de control de acceso a la información
Política de cuentas de usuario
Política de transferencia de información
Política de seguridad de la información para relaciones con proveedores.
Política Desvinculación Cambios Funciones, Ausencia temporal o Vacaciones

POLÍTICA DE CONTROL DE ACCESO FÍSICO

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Controles por dominio

A.11.1.2 Controles de acceso físico
A.11.1.3 Seguridad de oficinas recintos e instalaciones
A.11.1.4 Protección contra amenazas externas
A.11.2.3 Seguridad del cableado
A.11.2.4 Mantenimiento de equipos
A.11.2.7 Disposición segura o reutilización de equipos
Controles asociados
Política Acceso a componentes de tecnología
Política Administración de estaciones de trabajo
Política de seguridad de proveedores
Política de Escritorio y Pantalla limpia
Política de controles criptográficos
Política Desvinculación Cambios de Funciones, Ausencia temporal o Vacaciones.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA RELACIONES

CON PROVEEDORES

Controles por dominio

A. 7.1.2 Términos y Condiciones del empleo
A. 8.1.4 Devolución de activos
A.15.2.1 Cadena de suministro de tecnología de información y comunicación
A.15.2.1 Seguimiento y revisión de los servicio de los proveedores
Controles asociados
Controles a proveedores

POLÍTICA DE SEGURIDAD PARA PROVEEDORES

Controles por dominio

A 15.1.1 Política de seguridad de la información para relaciones con proveedores
A 15.1.2 Tratamiento de la seguridad de la información dentro de los acuerdos con
proveedores

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

A 15.1.3 Cadena de suministro de tecnología de información y comunicaciones

A 15.2.1 Seguimiento y revisión de los servicios de los proveedores
A 15.2.2 Gestión de cambios en los servicios de los proveedores.
Controles asociados
No aplica

POLÍTICA DE CLAVES

Controles por dominio

A 8.1.3 Uso aceptable de activos
A 9.1.1 Política de control de acceso.
A 9.2.4 Gestión de información de autenticación secreta de usuarios
A 9.3.1 Uso de información de autenticación secreta
A 9.4.3 Sistema de gestión de contraseñas
A 10.1.1Política sobre uso de controles criptográficos
A 10.1.2 Gestión de llaves
Controles asociados
Mecanismos de evaluación de fortaleza de contraseñas

POLÍTICA PARA LA ELIMINACIÓN Y DESTRUCCIÓN DE MEDIOS

Controles por dominio

A.8.3.2 Disposición de los medios
A.8.3.3 Transferencia de medios físicos
Controles asociados
Políticas de tratamientos de datos personales
Controles de eliminación y destrucción de medios

POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA

A 11.1.2 Controles de acceso físico

A 11.1.3 Seguridad de oficinas, recintos e instalaciones
A 11.2.1 Ubicación y protección de equipos
A 11.2.8 Equipos de usuario desatendido

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

A 11.2.9 Política de escritorio limpio y pantalla limpia

POLÍTICA DE GESTIÓN DE CAMBIOS

Controles por dominio

A.12.2 Gestión de cambios
A.12.5.1 Instalación de software en sistemas operativos
A.12.6.2 Restricción sobre la instalación de software
A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la plataforma de
operación
A.14.3.1 Protección de datos de prueba.
Controles asociados
No aplica

POLITICA DE RESPALDO DE INFORMACIÓN

Controles por dominio

A 8.2.1 Clasificación de la información
A 8.3.1Gestión de medios removibles
A 8.3.2 Disposición final de medios
A 8.3.3 Transferencia de medios físicos
A 10.1.1 Política sobre uso de controles criptográficos
A 12.3.1 Respaldo de información

POLÍTICA DE TRANSFERENCIA DE INFORMACIÓN

Controles por dominio

A 13.1.1 Controles de redes
A 13.1.2 Seguridad de los servicios de red
A 13.1.3 Separación de redes
A.13.2.2 Acuerdos sobre transferencia de información
A.13.2.3 Mensajería electrónica
A.13.2.4 Acuerdos de confidencialidad o de no divulgación
Controles asociados

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Controles de Transferencia de información

POLÍTICA DE FORMACIÓN Y TOMA DE CONCIENCIA EN SEGURIDAD DE

LA INFORMACIÓN

Controles por dominio

A.7.2.2 Toma de conciencia educación y formación en la seguridad de la información
A.15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores
Controles asociados
No aplica

POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN

Controles por dominio

A 8.1.3 Uso aceptable de los activos
A 8.2.1 Clasificación de la información
A.9.1.1 Política de control de acceso
A 9.1.2 Acceso a redes y a servicios de red
A 9.2.2 Suministro de acceso de usuarios
A 9.2.3 Gestión de derechos de acceso privilegiado
A 9.2.4 Gestión de información de autenticación secreta de usuarios
A 9.2.5 Revisión de los derechos de acceso de los usuarios
A 9.2.6 Retiro o ajuste de los derechos de acceso
A.9.3.1 Uso de información de autenticación secreta
A 9.4.1 Restricción de acceso a la información
A 9.4.5 Control de acceso a códigos fuente de programas
A 13.2.4 Acuerdos de confidencialidad o de no divulgación
A 15.1.1 Política de seguridad de la información para las relaciones con proveedores
A 18.1.4 Privacidad y protección de información de datos personales
Controles asociados
Procedimiento de administración de usuarios

ACCESO A COMPONENTES DE TECNOLOGÍA DE INFORMACIÓN Y

COMUNICACIONES

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Controles por dominio

A.11.1.1 Perímetro de seguridad física
A.11.1.2 Protección contra amenazas externas y ambientales
A11.2.1 Ubicación y protección de equipos
A11.2.5 Retiro de activos
A11.2.6 Seguridad de equipos y activos fuera de las instalaciones
A11.2.7 Disposición segura o reutilización de equipos
Controles asociados
Procedimiento de reasignación de equipos informáticos
Procedimiento de disposición final de equipos informáticos

POLÍTICA DE DESVINCULACIÓN CAMBIO DE FUNCIONES, AUSENCIA

TEMPORAL O VACACIONES

Controles por dominio

A.9.2.1 Registro y cancelación de usuarios
A.9.2.6 Retiro o ajuste de los derechos de acceso
A.13.2.4 Acuerdos de confidencialidad o no divulgación
Controles asociados
N/A

POLÍTICA DE USO DE CORREO ELECTRÓNICO

Controles por dominio

A 8.1.3 Uso aceptable de los activos
A 8.1.4 Devolución de los activos
A 9.2.2 Suministro de acceso a usuarios
A 9.2.6 Retiro o ajuste de los derechos de acceso
A 9.3.1 Uso de información de autenticación secreta
A 13.2.3 Mensajería electrónica
A 13.2.4 Acuerdos de confidencialidad o de no divulgación

POLÍTICA DE USO DE SERVICIOS DE ACCESO A INTERNET

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Controles por dominio

A.9.2 Acceso a redes y servicios en red
A.13.1.1. Control de las redes
A.13.1.3 Separación en las redes
Controles asociados
A.18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales
Política de Teletrabajo
Política de transferencia de la información
Política de uso de correo electrónico

POLÍTICA DE ANTIVIRUS

Controles por dominio

A 12.2.1 Controles contra códigos maliciosos
Controles asociados
No aplica

POLÍTICA DE CONTROLES CRIPTOGRÁFICOS

Controles por dominio

A.8.3.3 Transferencia de medios físicos
A.10.1.1 Política sobre el uso de controles criptográficos
A.10.1.2 Gestión de llaves
A.18.1.5 Reglamentación de controles criptográficos
Controles asociados
Gestión de llaves

POLÍTICA DE USO DE DISPOSITIVOS MÓVILES

Controles por dominio

A.11.2.5 Retiro de activos
A.11.2.6 Seguridad de los equipos fuera de las instalaciones
A.12.2.1 Controles contra códigos maliciosos

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

Controles asociados
Controles de seguridad para dispositivos móviles

POLÍTICA DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE

SOFTWARE

Controles por dominio

A.14.1 Requisitos de seguridad de los sistemas de información
A.14.2 Seguridad en los procesos de desarrollo y soporte
A.14.3 Datos de prueba
Controles asociados
Controles para el desarrollo y adquisición de software

CUENTAS PARA ACCESO A SISTEMAS DE INFORMACIÓN

Controles por dominio

A 8.1.3 uso aceptable de los activos
A 9.1.1 Política de control de acceso
A 9.2.3 Gestión de derechos de acceso privilegiado
A 9.2.5 Revisión de los derechos de acceso de usuario
A 9.2.6 Retiro o ajuste de los derechos de acceso
A 9.3.1 Uso de información de autenticación secreta
A 9.4.2 Procedimiento de ingreso seguro
A 9.4.3 Sistemas de gestión de contraseñas
A 12.4.1 Registro de eventos
A 12.4.2 Protección de la información de registro
A 12.4.3 Registros del administrador y del operador
Controles asociados
No aplica

POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN

Controles por dominio

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

A 16.1.2 Reporte de eventos de seguridad de la información

A 16.1.3 Reporte de debilidades de seguridad de la información
A 16.1.4 Evaluación de eventos de seguridad de la información y decisiones sobre ellos
A 16.1.5 Respuesta a incidentes de seguridad de la información
A 16.1.6 Aprendizaje obtenido de los incidentes de seguridad de la información
A 16.1.7 Recolección de evidencia.
Controles asociados
No aplica

POLITICA DE TRATAMIENTO DE DATOS PERSONALES

Controles por dominio

A 8.2.1 Clasificación de la información
A 10.1.1 Política sobre el uso de controles criptográficos
A 13.2.2 Acuerdos sobre transferencia de Información
A 13.2.4 Acuerdos de confidencialidad o de no divulgación
A 18.1.4 Privacidad y protección de información de datos personales
Controles asociados
No aplica

POLÍTICA DE CLASIFICACIÓN DE LA INFORMACIÓN

Controles por dominio

A 8.1.1 Inventario de Activos
A 8.1.2 Propiedad de los Activos
A 8.1.3 Uso Aceptable de los Activos
A 13.2.4 Acuerdos de Confidencialidad o de no Divulgación
A 8.2.2 Etiquetado de la Información
A 8.2.3 Manejo de activos
Controles asociados
No aplica

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Guerrero Barrera
Gestión de la
24/09/2018
Seguridad
Nombre: Edwin

POLITICA PARA LA GESTION DE VULNERABILDADES SOBRE LOS

COMPONENTES DE LA INFRAESTRUCTURA TECNOLOGICA

Controles por dominio

A 12.1 Tratamiento correcto de las aplicaciones.
A 12.2 Controles Criptográficos
A 12.4 Seguridad de los archivos de sistemas.
12.5.2. Revisión técnica de los cambios en el sistema operativo
A 12.6.1 Control de las vulnerabilidades técnicas.
A 8.2.3 Manejo de activos
Controles asociados
No aplica

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)