1

Diseño de una propuesta de Políticas de Seguridad

de la Información basada en la norma ISO/IEC
27001:2013 para una institución educativa oficial de
Bucaramanga.
Carlos Andrés Cárdenas Díaz - Fredy Daniel Otero Portilla
Universidad De Investigación y Desarrollo - UDI

Santander – Colombia

kana0123@hotmail.com - fdoteroportilla@gmail.com

Resumen—El desarrollo de la monografía Diseño de una
propuesta de políticas de seguridad de la información basada en
la norma ISO/IEC 27001:2013 para una institución educativa
oficial de Bucaramanga, se elaboró por medio de cuatro fases que
permitieron realizar de forma correcta las políticas de seguridad
de la información.
En la primera fase se realizó un levantamiento y valoración de los
activos de la institución educativa.
En la segunda fase se identificaron amenazas y vulnerabilidades
que pudiesen afectar a los activos de información previamente
identificados en la fase anterior.
En la tercera fase se seleccionaron los controles de seguridad
indicando el cumplimiento y realizando recomendaciones para su
implementación
En la cuarta y última fase se diseña una propuesta de políticas de
seguridad de la información con la intención de proteger los
activos y establecer los lineamientos para determinar la conducta
esperada de los miembros de la institución educativa.
Palabras clave—Controles, Integridad, Confidencialidad,
Disponibilidad, Trazabilidad, Autenticidad, Magerit, Políticas de
Seguridad.
I. INTRODUCCIÓN
Para la fase 1 y 2 se tomó como referencia la metodología
MAGERIT V3 (Metodología de Análisis y Gestión De Riesgos
de los Sistemas de Información). Para culminar se realizan
conclusiones y recomendaciones producto de la monografía
realizada.
II. INFORMACIÓN BASICA DEL PROYECTO
A. Planteamiento del Problema
El mundo tecnológico de hoy brinda día a día evolución, miles
de servicios y conexiones infinitas donde las cosas interactúan
entre sí. Gracias a estos avances los riesgos contra la seguridad
de la información aumentan exponencialmente.
La compañía Eset dio a conocer que Colombia fue el país de la
región (América Latina) que más detecciones de malware tipo
ransomware tuvo durante el 2018 [1]. Es preocupante y
alarmante la situación en la que se encuentra inmerso el
territorio nacional, quien no ha sabido afrontar la transición de
los delitos a una nueva era digital.
Un estudio realizado a colegios y universidades de

L a presente monografía diseño de una propuesta de

políticas de seguridad de la información basada en la
norma ISO/IEC 27001:2013 para una institución educativa
oficial de Bucaramanga, se presenta de acuerdo al requisito de
grado para optar al título de Especialista en Seguridad
Informática.
Durante la metodología se muestran fases para dar a cabo el
desarrollo completo de lo planteado, como lo son: fase 1:
inventario y valoración de activos, fase 2: identificación de
amenazas y vulnerabilidades, fase 3: definir controles según
anexo a ISO 27001:2013 y fase 4: diseño de políticas de
seguridad de la información según ISO 27001:2013.
Latinoamérica, revelo que el 67% de esas instituciones han
sido víctimas de ataques cibernéticos [2]. Estos planteles se
hacen más atractivos a los cibercriminales puesto que allí
encuentran información como datos personales de alumnos, de
docentes, finanzas, historial académico y registros médicos,
además si los servidores son vulnerables puede haber un riesgo
claro para los dispositivos electrónicos personales conectados a
la red de la institución. El riesgo al que se exponen los
estudiantes cuando se vulnera su información está relacionado
con sexting, grooming, bulling entre otros. Esto conlleva a
fortalecer y concientizar la importancia de implementar
barreras de seguridad que contribuyan con ambientes digitales
seguros.

Debido a estas cifras y con aras de mitigar los riesgos que
afectan la seguridad de la información, se detecta que la
institución educativa objeto de estudio no cuenta con políticas
de seguridad de la información, elemento imprescindible que
permitirá adoptar y al mismo tiempo adaptar a las necesidades
propias, las mejores prácticas en materia de seguridad en la
institución.
Por consiguiente se puede preguntar ¿si el diseño de unas
políticas de seguridad de la información basadas en la norma
ISO 27001:2013 permitirá proteger los activos y establecer los
lineamientos para determinar la conducta esperada de los
miembros de la institución atreves de funciones y
responsabilidades?
B. Justificación
La dinámica del Cibercrimen y su constante evolución
exponencial, ha propiciado que delincuentes que hasta hace
poco actuaban de manera aislada, sin coordinación, con un
alcance local, en la actualidad constituyan organizaciones
trasnacionales complejas de Cibercrimen.
La diferenciación de roles en las estructuras criminales, el fácil
acceso al mercado ilegal de tecnología para el Cibercrimen, la
dificultad del rastreo de actividades ilícitas en la internet, las
transacciones a través de monedas virtuales, el mercado ilegal
de datos y el crimen como servicio, así como la débil
armonización de la persecución penal internacional, han
facilitado este escenario.
En el mundo, los ataques cibernéticos incrementan con
métodos cada vez más innovadores. En Colombia, las
instituciones de seguridad se están vinculando a la estrategia TI
para aumentar la capacidad del estado y enfrentar las amenazas
informáticas, pues en el momento presenta grandes debilidades,
pese a que existen iniciativas gubernamentales, privadas y de
la sociedad civil que buscan contrarrestar sus efectos, no
hay una coordinación interinstitucional apropiada.
De acuerdo con el Centro Cibernético de la Policía Nacional,
se ha determinado que ciudades capitales como Bogotá, Cali,
Medellín, Barranquilla, Cartagena y Bucaramanga concentran
74% del cibercrimen a nivel nacional, por su alto acceso a
Internet. En lo corrido de 2018 ya se han registrado más de
12.000 denuncias entre las que se destaca, hurto por medios
informáticos y violación de datos personales [3].
Debido a las preocupantes cifras, es estrictamente necesario
que el instituto San José de la Salle objeto de estudio, como
primera estrategia de cara a afrontar esta evolución y los
nuevos escenarios del cibercrimen adopte políticas de
seguridad de la información.
Esta propuesta constara de una serie de procesos donde
implementaremos la metodología MAGERIT (Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información),
la cual permite la identificación de los activos, amenazas,
riesgos, entre otros. Para el diseño de las políticas de seguridad
2
de la información se aplicaran los controles propuestos por la
Norma ISO 27001:2013.
C. Objetivos
1) Objetivo General
Proponer Políticas de Seguridad de la Información para el
Instituto San José De La Salle, basada en la norma ISO/IEC
27001:2013.
2) Objetivo Especifico
1. Clasificar los activos de la información e identificar sus
amenazas y vulnerabilidades basados en la metodología
MAGERIT, del instituto San José de la Salle.
2. Definir los controles acordes para el Instituto San José De
La Salle, de acuerdo al anexo A de la norma ISO 27001:2013 y
formular recomendaciones de Implementación.
3. Diseñar políticas de seguridad de la información para el
Instituto San José De La Salle, basadas en la norma ISO
27001:2013.
III. METODOLOGIA
Para dar cumplimento a los objetivos propuestos el proyecto se
realizara en 4 fases garantizando así que los resultados
obtenidos sean consistentes, válidos y comparables. Se
desarrollara una metodóloga de evaluación de riesgos
cualitativa la cual consiste en asignar a los riesgos valores de
tipo; bajo, medio y alto.
A. Fase 1
Identificar todo el conjunto de activos que están dando soporte
a los procesos y servicios y elaborar un inventario de los
mismos, asignando a cada uno de ellos un responsable.
Asimismo, deben quedar reflejadas las dependencias entre los
activos y los servicios o proceso. Una vez identificados los
activos, se valorarán en cada una de las dimensiones de
confidencialidad, integridad y disponibilidad, de acuerdo con la
importancia que tengan para la institución educativa y
especialmente para la prestación de los servicios identificados.
El valor del activo será uno de los parámetros que
intervendrán en el cálculo de los valores de riesgo: cuanto más
valor tenga el activo para la institución educativa, mayor riesgo
tendrá.
B. Fase 2
Identificación de amenazas y vulnerabilidades
En el proceso de evaluación de riesgos se determinaran las
amenazas y vulnerabilidades que pueden afectar a cada activo
de información previamente identificado. Para ello se utilizara
un catálogo de amenazas en función de la naturaleza de los
activos. En el caso de las amenazas y vulnerabilidades, se
 3

valorara su probabilidad y la degradación que provocan sobre
el activo en cuestión.
Calculo del riesgo
En función de los valores establecidos, se procederá a aplicar
las formulas y funciones establecidas por la metodología
MAGERIT para calcular los valores de riesgo. El cálculo del
riesgo tendrá en cuenta el valor del activo, la degradación que
provocan sobre los mismos, las amenazas cuando estas tienen
lugar y la probabilidad de ocurrencia de las mismas.
Para la institución educativa San José De La Salle es
importante contar con políticas de seguridad de la información
ya que son ellas quienes guiaran el comportamiento personal y
profesional de los empleados y terceros sobre la información
obtenida, generada o procesada por la institución, así mismo
las políticas permitirán que la entidad trabaje bajo las mejores
prácticas de seguridad y cumpla con los requisitos legales.
REFERENCIAS

Tratamiento de los riesgos [1] DINERO, Colombia, el país con más secuestro de datos en América
Obtenidos los niveles de riesgo, hay que decidir si son Latina, según reporte. Ciberseguridad [en línea], 01 de Diciembre 2018.
aceptables o no, según criterios fijados inicialmente. Si no lo Disponible en Internet: ataques-de-ransomware-en-america-
son, los propietarios del riesgo deberán evaluar cómo se van a latina/265958
[2] AGUIRRE, John. El 67% de los colegios en Latinoamérica han sido
tratar esos riesgos.
víctimas de ataques cibernéticos. LA FM [en línea], 28 de Mayo 2018.
Disponible en internet: https://www.lafm.com.co/tecnologia/el-67-de-
los-colegios-en-latinoamerica-han-sido-victimas-de-ataques-ciberneticos
[3] CENTRO CIBERNETICO POLICIAL, Informe Amenazas del
C. Fase 3 Cibercrimen en colombia 2016-2017 [en línea], Marzo 2017.
Seleccionar los controles de seguridad que permitirán Disponible en internet:
implementar las opciones elegidas previamente para el https://caivirtual.policia.gov.co/sites/default/files/informe_amenazas_de
_cibercrimen_en_colombia_2016_-_2017_1.pdf
tratamiento de riesgos, pudiendo diseñarlos según sea
necesario o identificarlos de alguna fuente. Esta selección de
controles será comparada con los que la norma ISO/IEC 27002 CARLOS ANDRES
(Anexo A de ISO/IEC 27001) contiene, para verificar que no CARDENAS DIAZ, nacido en la
se han pasado por alto controles necesarios.
Ciudad de Bucaramanga, el 26
noviembre de 1989, Ingeniero de
Declaración de Aplicabilidad
sistemas de la Universidad de
Elaboración de una declaración de aplicabilidad, que debe
Investigación y Desarrollo UDI en
incluir:
Los controles que han determinado como necesarios en las el año 2014, actualmente
fases anteriores. finalizando la especialización en
La justificación de las inclusiones y exclusiones de los controles Seguridad Informática en la
del Anexo A de la norma. Universidad de Investigación y
Esta declaración de aplicabilidad permitirá verificar que se han Desarrollo UDI en el año 2019.
considerado todos los controles previstos.

D. Fase 4 FREDY DANIEL OTERO

Diseño de una propuesta de Políticas de Seguridad de la PORTILLA, nacido en la
Información basada en la norma ISO/IEC 27001:2013. En esta Ciudad de Bucaramanga, el 10
etapa se pretende consolidar la información de las fases enero de 1990, Ingeniero de
anteriores para crear las políticas de seguridad de la sistemas de la Universidad de
información con la intención de proteger los activos y Investigación y Desarrollo UDI
establecer los lineamientos para determinar la conducta en el año 2014, actualmente
esperada de los miembros de la institución a través de finalizando la especialización en
funciones y responsabilidades frente a pérdidas de Seguridad Informática en la
confidencialidad, integridad y disponibilidad. Universidad de Investigación y
Desarrollo UDI en el año 2019.

IV. CONCLUSIONES
Esta monografía se realizó teniendo como referencia para la
identificación y clasificación de los activos y la identificación de
amenazas y vulnerabilidades la metodología MAGERIT V3 ya
que ofrece ítem estándares y permite homogeneizar los
resultados de los análisis.