AlmeidaDelgadoAlvaroEduardo2O22

Vista previa del material en texto

1 
 
 
 
 
 
DISEÑO DE UN PLAN DE SEGURIDAD INFORMATICA PARA MIPYMES 
 
 
 
ENSAYO PRESENTADO POR: 
ALVARO ALMEIDA 
 
 
 
 
 
FACULTAD DE RELACIONES INTERNACIONALES, ESTRATEGIA Y SEGURIDAD 
PROGRAMA DE ESPECIALIZACIÓN EN ADMINISTRACIÓN DE LA SEGURIDAD 
CARTAGENA 
2022 
2 
 
RESUMEN 
El presente ensayo busca sensibilizar a las directivas de las pequeñas empresas (MiPymes) de los 
riesgos a los cuales se ven expuestos cuando ofrecen su portafolio de servicios en el 
ciberespacio, también, pretende mostrar las principales modalidades delictivas y ciber ataques en 
los últimos años en Colombia, así como, las ciudades más vulneradas con infracciones definidas 
en la ley 1273 de 2009. De igual manera, su finalidad es orientar a este tipo de organizaciones a 
incluir en sus objetivos de direccionamiento estratégico un plan básico de seguridad para 
protección de la información, teniendo como guía la norma técnica ISO 27001 de 2013; 
iniciando con el diligenciamiento de un cuestionario de seguridad, para luego con ese 
diagnóstico continuar con una serie de requerimientos y recomendaciones, que al ser 
implementados contribuirían con la consolidación del sistema de seguridad para la protección de 
la información de cada empresa MiPymes. 
 
 ABSTRAC 
This essay seeks to sensitize the directives of small businesses (MiPymes) of the risks to which 
they are exposed when they offer their portfolio of services in cyberspace, also, it intends to 
show the main criminal modalities and cyber attacks in recent years in Colombia, as well as the 
most vulnerable cities with infractions defined in Law 1273 of 2009. Likewise, its purpose is to 
guide this type of organization to include a basic security plan for information protection in its 
strategic management objectives, having as a guide the technical standard ISO 27001 of 2013; 
starting with the completion of a security questionnaire, and then with that diagnosis continue 
with a series of requirements and recommendations, which, when implemented, would contribute 
3 
 
to the consolidation of the security system for the protection of the information of each MiPymes 
company. 
INTRODUCCION 
Las diferentes empresas en Colombia vienen enfrentando grandes cambios tecnológicos 
los cuales tienen influencias globales tales como: el comercio digital, la banca en línea, y estar 
disponibles en el ciberespacio ofreciendo su portafolio comercial y de servicios a nivel mundial 
las 24 horas, 7 días a la semana. Es por esto, que las MiPymes nacionales para mantenerse en el 
mercado, recurren a utilizar cualquier tipo de tecnologías sin tener en cuenta que la información 
de su organización está en riesgo y, por lo tanto, adoptar medidas de protección para este activo 
intangible, minimizaría el riesgo de suspensión de operaciones o el sometimiento a pagos de 
dinero a cambio de liberar la información secuestrada por los ciberdelincuentes. 
En los últimos años, han sido reportados percances de seguridad que han impactado 
negativamente a empresas de todo nivel; según Morales, D. (2021), acorde con los datos de 
Fortinet, en nuestro país Colombia, se evidenció un aumento de estos en un trescientos por 
ciento, de modo que, para Juan Puentes, gerente de Fortinet, en la actualidad se hace necesario 
que las empresas aumenten sus presupuestos para la puesta en marcha de un Sistema de Gestión 
de Seguridad Informática (SGSI). 
 La Policía Nacional de Colombia (2020), en su balance de cibercrimen al año 2020, 
destaca modalidades tales como: la intrusión, defraudación, espionaje y sabotaje informático, los 
cuales incrementaron sus porcentajes de manera importante a nivel nacional, y resalta también, 
que las ciudades con mayores índices fueron Bogotá, Medellín, Cali, Barranquilla, Bucaramanga 
4 
 
y Cartagena, como se muestra en la figura 1. Ciberdelitos y ciudades más atacadas año 2019-
2020. 
Figura1. 
Ciberdelitos y ciudades más atacadas año 2019-2020 
 
Fuente: Policía Nacional de Colombia (2020). 
 
Siguiendo a Martínez, J. (2019), el sistema de gestión de seguridad de la información 
(SGSI), permite a las organizaciones instaurar las políticas, los diferentes procedimientos y 
controles, con el fin de tener el riesgo en constante vigilancia. No obstante, el problema radica en 
que, en la alta dirección de las organizaciones empresariales, en especial de las MiPymes, se 
tiene la concepción de que la seguridad de la información es un gasto más y, es por esto que las 
empresas se limitan a ejecutar solo los controles físicos de seguridad, lo cual genera una ficticia 
5 
 
percepción de protección, dejando a un lado a los empleados y al cumplimiento normativo, 
siendo estos últimos, dos mecanismos que contribuyen directamente a la protección de la 
información dentro de las empresas. 
La delincuencia dentro del ciberespacio y el impacto negativo causado por sus 
actividades, han venido afectando a las organizaciones de todo nivel, por consiguiente, el 
gobierno nacional ha optado por iniciar la adopción de prácticas benévolas en este campo, con el 
fin de estar preparado para afrontar los distintos medios utilizados por los ciberdelincuentes para 
vulnerar las empresas. Con la expedición del documento Conpes 3854 de fecha 11 de abril de 
2016, se hace referencia a las políticas públicas establecidas en ciberseguridad de Colombia, y 
uno de sus objetivos, es brindar la base para el diseño de estrategias que tengan como propósito 
prevenir y combatir los riesgos dentro del ciberespacio. 
El diseñar un plan de seguridad informático utilizando un (SGSI), es una alternativa que 
las organizaciones colombianas (MiPymes), deberían adoptar con el objetivo de disminuir las 
prácticas no adecuadas de los usuarios con los sistemas de la información, las redes, las bases de 
datos, las transacciones comerciales y los dispositivos móviles. 
Problemáticas de MiPymes en la protección de la información 
La Policía nacional de Colombia (2020) y su centro cibernético policial en su reporte 
“Tendencias del cibercrimen en Colombia 2019- 2020”, destacan que para los cibercriminales su 
principal motivación es la económica, y que el delito con mayor denuncias es el hurto a través de 
medios informáticos que en cifras suma 31058 casos, seguido de robo de identidad (la violación 
de datos personales y empresariales), con 8037 casos, en tercer lugar se encuentra el acceso 
abusivo a sistema informático con 7994 casos y la transferencia no consentida de activos con 
6 
 
3425 casos se encuentra en el cuarto lugar, como se observa en la siguiente grafica 2 tendencias 
de Cibercrimen en Colombia (2020). 
Figura 2 
Tendencias de Cibercrimen en Colombia (2020). 
 
Fuente: Policía Nacional de Colombia (2020). 
 
Ahora, bien, en estudios realizados por compañías especializadas como Kaspersky Lab 
(2013), que en su informe titulado “¿Quién le espía? Ninguna empresa está a salvo del ciber 
espionaje”, afirma que no existe ninguna empresa que está libre de experimentar ciberataques, 
siendo las de mayor riesgo las MiPymes, al ser organizaciones altamente vulnerables por su falta 
de recursos y muy poca sensibilización en estos temas. 
Los percances de seguridad en las MiPymes se concentran en el uso no apropiado de la 
infraestructura tecnológica, y es así, como algunas de estas prácticas no adecuadas, se mencionan 
a continuación: 
31058
8037 7994
3425
0
10000
20000
30000
40000
Hurto por Medios
Informáticos
Robo de Identidad Acceso Abusivo a Sistema
Informáticos
Transferencia NO
Consentida de Activos
TENDENCIAS DE CIBERCRIMEN 
EN COLOMBIA 2020
7 
 
a) Uso de software no licenciado. 
b) Infección de malware por la utilización de unidades externas de almacenamiento 
USB 
c) Utilización de redes de intercambio de archivos (P2P). 
d) Falta de normatividad para la correcta utilizacióndel correo electrónico de la 
organización empresarial, para la restricción de envío y recibo de correos personales o para la 
suscripción en las redes sociales. 
e) Remisión de información confidencial por medio del correo electrónico. 
f) Hurto o extravió de información confidencial de la empresa. 
g) Empleo de teléfonos o computadoras personales dentro de la organización. 
h) Ausencia de políticas corporativas de control de navegación en la internet. 
i) Brindar servicios de redes wifi sin las medidas básicas de protección. 
j) Utilización de claves de acceso poco robustas. 
 
De igual manera, casas de software especializadas en seguridad como lo es Kaspersky, en 
su portal corporativo, enuncia que las organizaciones focalizan sus esfuerzos para reducir los 
percances de seguridad y como resultado de su operación e interacción con la web, los clasifican 
de la siguiente manera como lo evidencia la figura 3: 
 
 
 
 
8 
 
 
 
Figura 3 
Incidentes de seguridad como resultado de la operación e interacción con la web 
Fuente: Elaboración propia con base en Karpersky. (s.f). & Malwarebytes. (2019). 
 
Así mismo, Eugene Howard Spafford – Experto en Seguridad informática, manifiesta que 
no es posible lograr un sistema completamente seguro, pues “el único sistema seguro, es aquel 
que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada 
rodeada por guardias armados y, aun así, tengo mis dudas”. (Spafford, E, 2008) 
9 
 
La importancia de implementar un plan de seguridad informática. 
Las diferentes empresas a nivel nacional se están transformando y adecuando sus 
procesos organizacionales aprovechando la llegada de tecnología y procesos colaborativos 
actualizados disponibles en la web, así como, la adopción de nuevos modelos de negocios que 
permiten de manera virtual la globalización comercial de los productos y servicios. 
Las tecnologías de punta para las diferentes organizaciones a nivel nacional están 
centradas en la información, los datos, la conectividad y movilidad, adoptar estas tendencias 
facilitara y acelerara el ingreso de las pymes al e-commerce, manteniendo su competitividad y 
ampliando sus líneas de comercialización y mercadeo. 
La adopción de estas tecnologías web por las diferentes organizaciones, deben 
contemplar programas de seguridad con el objetivo de disminuir los diferentes riesgos y 
vulneraciones que conlleva mantener la información expuesta en el ciberespacio. 
En un plan de seguridad informático, se destacan tres áreas que son necesarias proteger: 
el perímetro, que por vulnerable que sea, sigue prevaleciendo; los puestos de trabajo, lugares 
críticos por dónde hoy entra la mayor parte de los ataques; y, por último, y no menos importante 
los datos, qué son la clave para cualquier negocio”, comenta Borja Pérez, Country Manager 
Stormshield Iberia. (Interempresas, 2020). 
Es así, como Gundín, S (2020), en su artículo “Ciberseguridad para empresas guía 
imprescindible”, manifiesta que son muchas las empresas que diariamente comprometen su 
seguridad en la nube no solo por la falta de recursos técnicos y tecnológicos, sino como 
consecuencia de las actividades diarias realizadas por los colaboradores. Además, la falta de un 
plan de seguridad informático, sumado a la mínima preparación del personal en relación con la 
10 
 
seguridad de la información para empresas, es un factor de riesgo y debilidad, que incluso puede 
convertirse en una vulneración o una amenaza, ante la posibilidad de sufrir un ciberataque. 
Según Mora, L. (2019) en su artículo “iso20000 guía completa de aplicación”, en los 
últimos años la seguridad de la tecnología de la información, ha sido una de las angustias más 
relevantes de las empresas. La información es hoy por hoy, uno de los activos más importantes y 
de alta criticidad, a tal punto, que de no tenerla o de intentar trabajar con información no 
confiable, las organizaciones pueden colapsar y no desarrollar su actividad. 
El mismo autor manifiesta que la facilidad con que los funcionarios puede tener ingreso a 
las redes y administrar la información en cualquier momento y desde cualquier parte del mundo 
a través de la Internet, facilitan la propagación de virus de toda clase (gusanos, troyanos), 
además, los accesos no autorizados son cada vez más frecuentes (hackear la red); es por ello que, 
la apropiada gestión de la seguridad de la información se ha convertido en el principal objetivo 
estratégico de toda compañía que adopte tecnologías de punta. (Mora, L., 2019) 
Actualmente, se presentan incidentes de seguridad de la información que circula tanto 
dentro como fuera de la organización, de modo que, el no tener procedimientos, medidas y/o 
controles previamente estipulados para la manipulación de los datos, incrementa el riesgo de 
perder registros en los servidores, portátiles y móviles, exponiéndose gravemente la integridad y 
confidencialidad de la información almacenada en los datacenters de la empresa. A nivel de 
software, la ausencia de una persona o un responsable que garantice el soporte y cumplimientos 
de los diferentes planes, procesos y procedimientos informáticos y de mantenimiento de equipos, 
conlleva con el pasar del tiempo, un impacto tecnológico negativo en la administración del área y 
también, de la vida útil del hardware y software de la compañía. 
11 
 
MiPymes y la Seguridad en la Gestión de información en la Nube, Facturacion Electrónica 
y Nómina Electrónica. 
De acuerdo con Isotools excelence (2018) “la ciberseguridad es el conjunto de políticas, 
directrices, métodos, herramientas, y tecnologías utilizadas para proteger la información de una 
empresa que se procesa, almacena y transporta por sistemas interconectados”. 
Entre los activos de información encontramos los datos y el conocimiento que son de 
gran valía para una empresa, necesarios para la toma de decisiones y control financiero, 
productivo de la organización. 
El portal www.pmg-ssi.com, blog especializado en la seguridad de la información y 
ciberseguridad en su artículo “¿Qué relación existe entre la facturación electrónica y la 
ciberseguridad?” , especifica que migrar todo el proceso de facturación a la web y empezar a 
tramitar documentos digitales es un objetivo que se ha venido implementando en muchas de las 
empresas en el territorio nacional, conociendo de antemano que existen riesgos de violación de la 
privacidad, integridad, confiabilidad de la información al trabajar en un medio digital fuera del 
perímetro de la organización. Por lo tanto, es muy importante que, a pesar de los riesgos que 
pueden existir en internet, se cuenten con mecanismos de seguridad que minimicen estas 
inseguridades y certifiquen la privacidad de la información. 
El mismo artículo, menciona que la seguridad de la información que se reconoce en las 
facturas electrónicas se autentica por tres distintos instrumentos que se encuentran integrados 
como componentes esenciales de su estructura: el código CUFE, el formato XML y la firma 
electrónica, siendo procesos que de forma particular aseguran diversas dialécticas pero que de 
12 
 
manera grupal protegen los datos durante el procedimiento de enviar y decepcionar la 
información electrónica, instrumentos que definimos a continuación en la figura 4: 
Figura 4 
Tres distintos instrumentos que aseguran la seguridad de la información en las facturas 
electrónicas 
 Fuente: Elaboración propia con base en Siigo (2019). 
Empresas proveedoras de software contable como SIIGO en su blog oficial y en uno de 
sus artículos “La facturación electrónica y ciberseguridad”, establece que, al momento de 
creación de factura electrónica en el sistema escogido, este ha de realizar la codificación de los 
13 
 
datos y convertirlos en un archivo XML; posteriormente,al recepcionarlo la DIAN, esta debe 
decodificarlo mediante el empleo de un código específico, seguidamente ha de timbrarlo y 
sellarlo. Luego, se verifica la inscripción en los respectivos registros de la persona o empresa que 
envía la factura y antes de realizar el reenvío, el mismo sistema comprueba que la factura 
electrónica acate los requisitos técnicos requeridos por la autoridad. 
La automatización de una empresa trae múltiples beneficios, proporciona exactitud, en 
cuanto a liquidación de nómina facilita el ahorro de tiempo y recursos humanos, al mismo 
tiempo incentiva a gran escala la producción. Camilo Mejía Landucci, Country Manager de Buk 
Colombia, agrega que existen en el mercado diversas plataformas que ofrecen soluciones 100% 
en la nube, las cuales ayudan a simplificar la gestión de información, a automatizar y a optimizar 
procesos inherentes a la administración remota de registros, además de proporcionar facilidad de 
acceso y disponibilidad de recursos actualizados con las nuevas modificaciones en materia legal 
y en materia fiscal respecto a los pagos de nómina, las facturas y los reportes todos los días del 
año; lo cual, reduce el riesgo que las empresas pierdan dinero, por la imposición de sanciones 
económicas o multas por incumplimientos en los diferentes registros de ley por parte de las 
instituciones gubernamentales. 
Un Sistema de Gestión de Seguridad de la Información (SGSI). NTC: ISO 27000 
Para lograr instaurar un sistema de gestión (SGSI), requiere de la elaboración de un plan, 
diseño, implementación, puesta en marcha y mantenimiento de una serie de procedimientos que 
faciliten su ejecución de manera eficiente, para preservar la integridad, confidencialidad y 
disponibilidad de los datos. NTC-ISO/IEC 27001 (2016). 
14 
 
Los principales estándares de gestión de la seguridad, han integrado dentro de los 
procesos, el análisis y la gestión del riesgo como lo dispone la ISO/IEC27005, al igual que lo 
expuesto en la norma ISO/IEC27001 e ISO/IEC27002. Las metodologías ITIL y COBIT, hacen 
referencia al control de los proyectos de tecnología, los flujos de información y los riesgos que 
involucran la carencia de controles idóneos y las prácticas benévolas en la administración de la 
seguridad de la información. 
Las normas ISO, (International Standard Organization), se definen como aquellas normas 
y estándares internacionales elaboradas para ser empleadas en el desarrollo de distintos 
productos y servicios, los cuales resultan de necesaria aplicación por parte de las organizaciones, 
para poder lograr la optimización de su eficiencia y su rentabilidad económica. ISO, además, 
cuenta con un compendio especial para las tecnologías de la información (TI), acorde con la 
norma internacional ISO 20000, catalogada como una de las primeras normativas con estándares 
internacionales desarrolladas para este sector, que agrupa procesos con enfoque de 
administración eficiente de servicios de Tecnología de la Información (TI) para clientes internos 
y externos. (NTC-ISO/IEC 27001;2016). 
La seguridad informática no puede ser garantizada a ninguna empresa u organización al 
cien por ciento, sin embargo, existen alternativas como la NTC- ISO/IEC 27001 de 2013 que es 
la Norma Técnica Colombiana para la estandarización de las políticas que buscan la 
minimización de riesgos y que además permite el aseguramiento, la confidencialidad e integridad 
de los datos y de la información, así como de los sistemas que la procesan. (Ortigoza A. Rojas, 
E. Torres J., 2019). 
Algunos aspectos positivos de diseñar planes de seguridad informática de la mano de la 
metodología de un sistema NTC- ISO/IEC 27001:2013 son: 
15 
 
• Es adecuada para MiPymes, orientado en procesos organizativos y procedimentales con 
metas específicas de mejorar métodos de producción y distribución. 
• Reducción de costos como resultado del uso racional de materias primas, beneficiando 
positivamente los procesos de calidad en corto tiempo. 
• Favorece la asimilación de procesos ante los avances tecnológicos que la organización 
requiera adoptar. 
• Demanda una gestión de cambio organizativo, requiere inversión de tiempo y dinero. 
Como lo manifiesta Martínez, J. (2019), la puesta en marcha de un SGSI garantiza la 
eficiencia en el acceso a la información e impulsa la confidencialidad, la integridad y la 
disponibilidad de la misma. El mismo autor, asegura que el ciclo PHVA cumple con el modelo 
de gestión dirigido al riesgo planteado por la NTC ISO 27001 de 2013, como se muestra en la 
Figura 4 “prácticas necesarias para instaurar un SGSI en pymes basadas en el ciclo PHVA”: 
Figura 5 
Practicas necesarias para instaurar un SGSI en pymes basadas en el ciclo PHVA 
 
Fuente: Martínez, J. (2019). 
16 
 
 
Por lo anteriormente expuesto, y para establecer un plan de seguridad informático, es 
necesario conocer, identificar las políticas, procedimientos, amenazas y vulnerabilidades del 
sistema de información que utilizan las diferentes MiPymes para el desarrollo de sus actividades; 
para esta etapa inicial, es necesario que las empresas realicen el diligenciamiento propuesto del 
siguiente cuestionario básico de seguridad de la información, de modo que la empresa misma 
cuando lo haya terminado, pueda evaluar y determinar cuál es su estado de seguridad y como se 
está administrando. 
Figura 6 
Etapas de desarrollo plan de seguridad de la información 
 
Fuente: Elaboración propia. 
 
• La revisión del estado actual de la compañía. Hace referencia al análisis de las 
principales vulnerabilidades, los riesgos, así como de las políticas, los distintos procesos 
y procedimientos de la organización ante posibles percances de seguridad de la 
información. 
Revisión del estado 
actual de la compañia
Creacion de Planes 
de accion
Creación de nuevas 
politicas, procesos y 
procedimientos
Implementacion de 
estas politicas al 
interior de la 
compañia
Programa de difusion 
y sensibilizaicion a 
todos los 
funcionarios
Seguimiento y 
Análisis de resultados Ajustes
Conclusiones y 
Recomendaciones 
17 
 
• Creación de nuevas políticas procesos y procedimientos. Se da como resultado del 
análisis del estado de la organización y para ello, se requiere la actualización de sus 
directrices, metodologías y operaciones. 
• Implementar las políticas al interior de la organización. Con el objetivo de minimizar 
los riesgos a los que está propenso el sistema de información de la organización. 
• Difusión y sensibilización a los funcionarios. Implementar programas de capacitación 
en temas de ciberseguridad y de prácticas benévolas para el manejo de la información de 
la compañía. 
• Seguimiento y análisis de resultados. Actividades necesarias para mantener activo y en 
constante mejoramiento el sistema de gestión de la seguridad de la información. 
Cuestionario Básico de Seguridad de la Información. 
 Esta serie de preguntas que se extractaron del manual de políticas de seguridad de la 
información, del Ministerio de Educación Nacional de Colombia, son la base para definir el 
estado en el que una empresa se encuentra para abordar el tema de seguridad o para iniciar el 
proceso de adopción de buenas prácticas y, en un futuro implementar el SGSI. 
1. ¿Existe un compromiso de la Gerencia para apoyar programas de seguridad 
informática? 
2. ¿En la estructura organizacional existe un cargo, roles y responsabilidades para el 
manejo de la seguridad informática? 
3. ¿Tiene la empresa claramente definida una política para el tratamiento de las 
tecnologías de la información? 
4. ¿Se conocen los riesgos tecnológicos a los que está expuesta la empresa? 
18 
 
5. ¿Se tiene definidas cuáles son las amenazas más frecuentes al interactuar en el 
ciberespacio? 
6. ¿Existe presupuesto destinado a la seguridad de la información? 
7. ¿Cuenta la organización con un sistema de Gestión de Seguridad de la InformaciónSGSI? 
8. ¿La información disponible en la organización está clasificada según su importancia? 
(confidencial, privada, publica) 
9. ¿La accesibilidad a la información de la organización tiene controles de lectura, 
escritura, modificación o borrado? 
10. ¿Cuenta la organización con controles de acceso físico en áreas de alta criticidad? 
11. ¿Se cuenta con un plan de capacitación dirigido a los empleados en temas de 
Ciberseguridad? 
12. ¿Los usuarios pueden identificar un incidente de seguridad informática? 
13. ¿Existen procedimientos para (trabajar desde casa), home office? 
14. ¿Para realizar transacciones bancarias de la organización, los funcionarios conocen 
las medidas de seguridad necesarias para realizar esa actividad? 
15. ¿Controla el acceso remoto a los servidores y aplicaciones de la compañía? 
16. ¿Utiliza redes inalámbricas (wi-fi), para la gestión de información en sus servidores? 
17. ¿Existe una política para el uso de celulares corporativos? 
18. ¿La accesibilidad remota a la información de la empresa está controlada? 
19. ¿Está permitido utilizar estos dispositivos corporativos para uso personal? 
20. ¿Existe un procedimiento a seguir en caso de robo o pérdida de un dispositivo móvil 
corporativo? 
19 
 
21. ¿Los equipos de cómputo son propios o alquilados? 
22. ¿Se cuenta con un sistema de respaldo eléctrico? 
23. ¿Cuenta la compañía con software legal? 
24. ¿Utiliza herramientas informáticas, antivirus, backups que permiten mantener segura 
la información sensible de la empresa? 
25. ¿Existe un plan de mantenimiento para prevenir y corregir el hardware y el software? 
Plan de Seguridad Informática 
Las pequeñas empresas ante los inminentes riesgos que implica hacer presencia en la 
internet necesitan tener una guía que les permita a sus funcionarios conocer las prácticas 
benévolas sobre seguridad de la información y ciberseguridad, apoyándose y haciendo referencia 
a las recomendaciones que ofrecen sistemas de gestión como la NTC ISO/ EC 27001 de 2013. 
El siguiente plan de seguridad de la información, es un primer peldaño para dar comienzo 
a un proceso de certificación en este sistema, las políticas procesos, procedimientos y controles 
establecidos deben implementarse para facilitar la creación de un sistema de gestión en seguridad 
de la información (SGSI), a continuación, se muestran los principales requerimientos que, al 
cumplirlos, fortalecerán a la organización en este campo. 
Plan básico de seguridad de la información para MiPymes 
1. Políticas para la seguridad de la información: Son requeridas y aplicables 
transversalmente a la organización. 
2. Organización interna: Es requerida la creación de un organigrama que permita 
identificar con claridad las áreas y cargos responsables del SGSI 
20 
 
3. Los roles y las responsabilidades para la seguridad de información: Es necesario 
establecer en el cargo las funciones y alcance ante el SGSI 
4. Gestión para dispositivos móviles: Política requerida para definir los alcances que 
tiene esta herramienta en el cumplimiento de las diferentes funciones de los usuarios. 
5. Directrices para realizar Teletrabajo (home office): Son necesarias, porque se 
requiere establecer las mejores prácticas en el ejercicio de conexión remota a 
servidores y gestión de información. 
6. La toma de conciencia, la educación y la formación en la seguridad de la 
información: Es fundamental que los usuarios conozcan los diferentes riesgos a los 
que están expuestos si utilizan dispositivos móviles o trabajan de manera remota 
(home office). 
7. Clasificación de la información: Es una actividad complementaria que facilitaría el 
control e identificación en el plan de seguridad propuesto. 
8. Administración de medios removibles: Establecer procedimientos para controlar el 
uso de estos medios de almacenamiento, son requeridos en este plan por que se 
disminuye el riesgo de contaminación por virus. 
9. Transferencia de medios físicos: Implementar un procedimiento que oriente al 
usuario en la gestión de información, su traslado, copias, borrado, son requeridas en 
este plan. 
10. Gestión en el control de acceso: Política requerida, garantiza que todos los 
usuarios en el sistema están identificados y tienen asignados los permisos respectivos. 
21 
 
11. Administración de los servicios de red: Requerido, es transversal a la organización 
donde cada usuario, tendrá niveles de acceso a los diferentes servicios ofrecidos en la 
red corporativa 
12. Registro y cancelación del registro de usuarios: Este procedimiento es de mucha 
importancia en el plan, debido a el grado de criticidad que representa, facilita conocer 
que usuarios está activo o inactivo en los diferentes sistemas de la compañía. 
13. Responsabilidades de los usuarios: Política requerida para que en los contratos 
laborales existan cláusulas de manejo de información, confidencialidad, ética 
empresarial 
14. Control de acceso a sistemas y aplicaciones: Políticas requeridas en el plan por la 
necesidad de organizar los usuarios en la gestión de información en los servidores. 
15. Restricción de acceso a la información: Política requerida para garantizar que los 
diferentes usuarios utilicen los diferentes servicios según su perfil de cargo. 
16. Procedimiento de ingreso seguro: Recomendado como medida adicional de 
seguridad en este plan. 
17. Sistema de gestión de contraseñas: Requerido como política transversal a la 
compañía donde cada usuario debe ingresar a los diferentes sistemas con claves alfa 
numéricas. 
18. Gestión de claves: Procedimiento necesario donde la organización define tipo de 
clave, tamaño, vigencia por cada sistema disponible en la empresa. 
19. Seguridad física perimetral: Recomendado, es importante implementar medidas de 
protección física a los alrededores de la organización minimizando el riesgo de 
accesos no autorizados. 
22 
 
20. Controles físicos de ingreso a las instalaciones: Recomendado, la organización 
debe conocer en cualquier momento las personas que están en la compañía, si son 
visitantes, contratistas o empleados. 
21. Ubicación y protección de los equipos: Requerido, disponer de planos de diseño 
estructural facilita instaurar medidas de protección según el grado de criticidad del 
cargo. 
22. Seguridad del cableado: Requerido el procedimiento que facilite identificar los 
diferentes puntos de red, y la identificación de los mismos en el centro de cableado. 
23. Mantenimiento de equipos: Requerido, fundamental la creación de un plan de 
mantener, prevenir y corregir los diferentes equipos de la organización. 
24. Retirada de activos: Requerido, para el área de tecnología es de vital importancia 
conocer la cantidad de equipos que salieron de la organización y la disposición final 
de los mismos. 
25. Eliminación segura o reutilización de equipos: Requerido establecer 
procedimientos de borrado seguro de equipos portátiles y celulares. 
26. Política de seguridad para equipos en estado inactivo: Requerido, establecer 
procedimientos para controlar los portátiles cuando están inactivos. 
27. Protección contra códigos maliciosos: Requerida, establecer una política para que 
todo equipo de cómputo tenga instalado un antivirus licenciado y actualizado. 
28. Copias de respaldo: Requerida. Crear políticas y procedimientos para garantizar 
que la organización disponga de copias actualizadas de información del negocio en un 
lugar seguro. 
23 
 
29. Registro de eventos: Recomendado. Llevar una bitácora en donde se registren los 
diferentes incidentes que se presenten a nivel informático en la organización, facilita 
la definición de los diferentes planes de acción a que dé lugar. 
30. Instalación de software en sistemas operativos: Requerido. Crear políticas de 
restricción de instalación de programas no licenciados en los equipos de cómputo, 
ayuda a disminuir el riesgo de contaminaciónpor virus informáticos, e intrusiones no 
deseadas. 
31. Gestión de seguridad de redes: Recomendado. Conocer los tipos de dispositivos 
de concentración (switches), sus características, inventario e identificar cada punto de 
entrada de conexión facilita el control de ubicación física de computadores 
conectados. 
32. Administración de redes: Recomendado. Utilizar equipos de última tecnología 
que permitan administrar conexiones a través de la creación de reglas que permitan 
controlar la entrada y salida de información facilita la aplicación de medidas de 
seguridad informática en este campo. 
33. Seguridad de los servicios de red: Requerido. Establecer políticas de restrictivas 
para el uso de los diferentes servicios que proporciona una red corporativa, disminuye 
el riesgo de intrusión no deseada. Controles y monitoreo en el envío o recibo de 
información (correo, FTP- file transfer protocol-, VPN -virtual private network-), de 
streaming de audio y video, entre otros servicios. 
34. Separación en las redes: Recomendado. La segmentación de red (VLANS -redes 
de área local virtual-), es una técnica que permite, crear redes dentro de una red 
corporativa, a través de la administración de los puntos de conexión de los equipos 
24 
 
concentradores (switches), de la red principal medida con la cual, dificulta a los 
intrusos ubicar con exactitud las fuentes de información resguardadas en servidores. 
35. Transferencia de información: Requerida. Implementar políticas sobre él envió y 
recibo de paquetes de información via correo (email adjunto) o por transferencia 
(FTP), disminuyen el riesgo de intrusión de códigos maliciosos como son los 
“troyanos”. 
36. Mensajería electrónica: Requerida. Definir políticas acerca del uso de estas 
herramientas de comunicación ayudan al control de la información enviada y recibida 
tanto en equipos portátiles como en dispositivos móviles. 
37. Acuerdos de confidencialidad o de no divulgación. Requerido. Establecer 
políticas de confidencialidad en los contratos de trabajo es una medida importante y 
necesaria como medida de control de fuga de información sensible para la compañía. 
38. Política de seguridad de la información para la interacción con proveedores. 
Hace parte de la confidencialidad de la información que un negocio requiere entre las 
partes interesadas. 
39. Manejo de incidentes y mejoramiento de la seguridad de la información. 
Recomendado. Investigar las posibles causas de un incidente permite general planes 
de acción encaminados a revolver el inconveniente e implementar medidas de 
corrección y prevención requeridas para cada caso. 
40. Responsabilidad y procedimientos. Implementar políticas encaminadas a que cada 
responsable de un área en la compañía, documente sus procesos y procedimientos, 
reconozca sus fortalezas y debilidades, vulneraciones y determine las medidas de 
control y seguimiento para mitigar los riesgos inherentes a su entorno laboral. 
25 
 
41. Administración de Requisitos legales y contractuales: Requerido. Implementar 
políticas encaminadas al cumplimiento de la normatividad legal vigente en referencia 
a licenciamiento de software, hardware y alquiler de tecnología, garantiza un 
funcionamiento normal del negocio. 
42. Propiedad intelectual. Requerida. Cumplir con la normatividad legal vigente en 
este campo, es fundamental para las empresas. Dar a conocer a sus funcionarios los 
alcances de estas normas minimizan los riesgos jurídicos entre las partes interesadas. 
43. Seguridad y custodia de datos personales. Recomendado. Establecer 
procedimientos encaminados a difundir entre los colaboradores los alcances de la ley 
“Habeas Data” para el manejo y tenencia de información de terceros (clientes, 
proveedores, colaboradores). 
44. Mantenimiento de las políticas y la normatividad: Establecer procedimientos de 
control al interior de la empresa (auditorias), para garantizar el cumplimiento de las 
políticas de seguridad es una actividad recomendada. 
26 
 
CONCLUSIONES 
Al considerarse la información como uno de los activos con mayor valía dentro de las 
empresas, es imprescindible contar con arduas medidas de seguridad para resguardarla, de modo 
que estas últimas deben ser cada vez más robustas y estructuradas. 
Las técnicas que utiliza la ciberdelincuencia hacen vulnerables los sistemas de 
información en las organizaciones, y más aún, en el interior de las pymes, las cuales no tienen 
dentro de sus presupuestos de inversión un rubro para la seguridad de la información. 
En la actualidad, los delitos con mayor índice de incremento son la intrusión, 
defraudación, espionaje y sabotaje informático y las ciudades mayormente atacadas son Bogotá, 
Medellín, Cali, Bucaramanga, Barranquilla y Cartagena. De manera que, la creación de un plan 
de seguridad informático es una alternativa que las organizaciones MiPymes, deberían adoptar 
con el objetivo de disminuir los riesgos a los que están expuestas por interactuar en el 
ciberespacio, además, de las practicas no adecuadas que los usuarios realizan en los sistemas de 
información, redes, bases de datos, dispositivos portátiles y móviles. 
 La norma Técnica Colombiana para la estandarización de las políticas (NTC- ISO/IEC 
27001:2013), busca la disminución de riesgos de forma que se permita: primero, el 
aseguramiento, segundo, la confidencialidad y tercero la integridad de los datos, de la 
información, así como de los sistemas que la procesan. 
 En relación con las facturas electrónicas, la seguridad de la información que se registra en 
ellas, se asegura mediante la implementación de tres distintos mecanismos que se hallan 
fusionados como partes esenciales de su constitución: primero, el código CUFE, segundo, el 
formato XML y tercero, la firma electrónica, por lo tanto, para las MiPymes es recomendable 
que este tipo de procesos se contraten con empresas especializadas y autorizadas por la Dian. 
27 
 
 Finalmente, respecto a los incidentes de seguridad que se presentan en las pymes, 
encontramos que los más comunes son la descarga el código malicioso o malware, el phishing y 
la explotación de vulnerabilidades; incidentes que no están exentos de presentarse en las grandes 
organizaciones, donde suceden incluso en igual o mayor medida. 
 La seguridad de los datos en una organización requiere mantener bajo control la 
disponibilidad, la integridad, por último, la confidencialidad de la información y para ello, se 
necesitan utilizar herramientas, procesos o procedimientos para su gestión, además de 
profesionales especializados que administren los sistemas con las últimas técnicas y tecnologías 
disponibles en el ciberespacio. 
 
BIBLIOGRAFIA 
SGSI (2018). Seguridad de la información: ¿Se produce un incidente por su incumplimiento?. Pmg 
ssi.https://www.pmg-ssi.com/2018/12/seguridad-de-la-informacion-se-produce-un-
incidente-por-su-
incumplimiento/#:~:text=Evento%20de%20seguridad%20de%20la%20informaci%C3%
B3n%3A%20cualquier%20ocurrencia,no%20asignada%20que%20pueda%20afectar%20
a%20la%20seguridad. 
Bonilla H., Almeida R. (2021). Framework de ciberseguridad basado en la norma ISO 27001 
para pymes educativas de Santiago de Cali. Universidad Santiago de Cali. 
Dirección de Investigación e Interpol & Policía Nacional de Colombia. (2017). Amenazas del 
Ciber crimen en Colombia 2016-2017. Bogotá. 
https://caivirtual.policia.gov.co/sites/default/files/informe_amenazas_de_cibercrimen
 _en_colombia_2016_-_2017.pdf 
28 
 
CONPES (2016). Documento Conpes 3854 Política Nacional de Seguridad Digital. 
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf 
Flórez, W., Arboleda, C. y Cadavid, J. (2012). Solución integral de seguridad de las Pymes 
 mediante un UTM. Ing. USB Med, 3 (1) 35-42. 
https://revistas.usb.edu.co/index.php/IngUSBmed/article/view/262 
Gundin, S. (2020). Ciberseguridad para empresas guía imprescindible.Aura Quantic. 
https://www.auraquantic.com/es/ciberseguridad-para-empresas-guia-imprescindible/ 
Instituto Colombiano de normas técnicas y certificación ICONTEC (2016). Norma técnica 
Colombia NTC-ISO 27001. 
https://www.academia.edu/40713289/NORMA_T%C3%89CNICA_NTC_ISO_IEC_CO
LOMBIANA_27001 
ISOtools excellence (2018). Relación existente entre facturación electrónica y ciberseguridad. 
Pmg Ssi. https://www.pmg-ssi.com/2018/10/que-relacion-existe-entre-la -
facturación-electrónica-y-la-ciberseguridad/ 
Kaspersky daily (2014). Cuidado con el Malvertising. https://latam.kaspersky.com/blog/cuidado-
con-el-malvertising/3832/ 
Kaspersky Lab (2013).¿Quién le espía? Ninguna empresa está a salvo del ciber espionaje. 
https://latam.kaspersky.com/small-to-medium-business-
security/resources/insights/informe-especial--quien-lo-espia--ninguna-empresa-esta-a-
salvo-del-ciberespionaje. 
29 
 
Kaspersky (s.f). El ransomware: qué es, cómo se lo evita, cómo se elimina. 
https://latam.kaspersky.com/resource-center/threats/ransomware 
Malwarebytes (2019). Ransomware. https://es.malwarebytes.com/ransomware/ 
Martinez, J. (2019). Seguridad de la Información en pequeñas y medianas empresas (pymes). 
Universidad Piloto de Colombia. http://polux.unipiloto.edu.co:8080/00002332.pdf 
Ministerio de Educación de Colombia. (2020). Manual de Políticas Seguridad de la 
información. https://www.mineducacion.gov.co/1759/articles -
349495_recurso_105.pdf 
Mora, L. (2019). ISO2000 Guía completa de Aplicación. Proactivanet. 
https://www.proactivanet.com/images/Blog/ISO20000_GuiaCompletadeAplicacion_Luis
Moran.pdf. 
Morales, D. (2021) Ataques cibernéticos ocurren frecuentemente a pequeñas y medianas empresas. 
La república. https://www.larepublica.co/empresas/ataques-ciberneticos -ocurren-mas-
frecuentemente-a-pequenas-y-medianas-empresas-3228459 
Ortigoza A. Rojas, E. Torres J. (2019). Políticas de Seguridad Informática para la 
Administración de recursos tecnológicos y gestión de la información en la empresa 
Consultorías y Asesorías en Seguridad y Salud en el Trabajo S.A.S (CONSASST). [Tesis 
de Grado, Universidad Cooperativa de Colombia]. Repositorio Institucional – Universidad 
Cooperativa de Colombia. https://1library.co/document/yj7n0emy-politicas-seguridad-
informatica-administracion-tecnologicos-informacion-consultorias-asesorias.html 
30 
 
Policía Nacional de Colombia. (2020). Balance Cibercrimen en el 2020. 
https://caivirtual.policia.gov.co/sites/default/files/balance_cibercrimen_2020_-
_semana_45.pdf 
Policía nacional de Colombia (2020). Tendencias del cibercrimen en Colombia 2019-2020. 
https://caivirtual.policia.gov.co/contenido/tendencias-cibercrimen-colombia-2019-2020 
Siigo (2019). Facturación electrónica y Ciberseguridad. Siigo. 
https://www.siigo.com/blog/empresario/facturacion-electronica-y-ciberseguridad/ 
Spafford, G. (2008). Citas celebres del Mundo. Variable Not Found. 
https://www.variablenotfound.com/2008/04/otras-101-citas-clebres-del-mundo-de-
la.html 
Interempresas (2020). Entrevista a Borja Pérez, Country Manager de Stormshield Iberia. 
https://www.interempresas.net/TIC/Articulos/263614-Entrevista-Borja-Perez-Country-
Manager-de-Stormshield-Iberia.html 
Universidad virtual (2020). Como crear un plan de seguridad informática fácilmente. 
https://www.universidadviu.com/es/actualidad/nuestros-expertos/como- crear-un-plan-
de-seguridad-informática-fácilmente.