Proyecto Auditoria SGSI

Edward Fabian Urueña cruz

Harnol Hernando Malaver Buitrago

Politécnico Grancolombiano
Facultad de Ingeniería, Diseño e Innovación
Ingeniería en Telecomunicaciones
Bogotá D.C.
2020
 FACULTAD DE INGENIERÍA, DISEÑO E INNOVACIÓN
ESCUELA DE CIENCIAS BÁSICAS

SEGURIDAD DE LA INFORMACIÓN - SGSI

Contexto de la organización

Organización: Integral de Energía SAS

NIT: 900384212
Ubicación: Cra 54C # 127D – 07 Bogotá – Colombia
Correo electrónico: gerencia@integraldeenergia.com

INTEGRAL DE ENERGÍA S.A.S es una empresa dedicada al diseño, construcción y mantenimiento de redes
eléctricas y de telecomunicaciones a nivel residencial, comercial e industrial, contamos con un equipo
interdisciplinario altamente capacitado, con técnicos de planta y asesores externos para la ejecución de
proyectos de ingeniería, construcción y mantenimiento.

Misión

Diseñar y construir proyectos eléctricos y de telecomunicaciones con los más altos estándares de calidad,
cumpliendo la Norma Técnica Colombiana (NTC 2050), RETIE Y RETILAP, implementando nuevas
tecnologías para las necesidades actuales y futuras del sector energético y de telecomunicaciones.

Visión
Convertimos en una Empresa sólida, confiable, responsable y respetuosa con el Medio Ambiente,
distinguiéndonos por atender con los mismos estándares de calidad a clientes y proyectos de todos los
sectores económicos.

Servicios

• Diseño y construcción de redes eléctricas en mt y bt.

• Diseño e instalación de redes de telecomunicaciones (cableado estructurado, fibra óptica y
configuración de equipos activos)
• Diseño e implementación de sistemas de energía renovable.
• Implementación de equipos de respaldo de energía eléctrica como grupos electrógenos” plantas
eléctricas” ups y bancos de baterías
• diseño e implementación de circuitos cerrados de televisión (cctv) y control de acceso.
• suministro e instalación de sistemas de protección para redes y equipos, sistemas de puesta a tierra
(stp)
 FACULTAD DE INGENIERÍA, DISEÑO E INNOVACIÓN
ESCUELA DE CIENCIAS BÁSICAS

SEGURIDAD DE LA INFORMACIÓN - SGSI

Organigrama

Mapa de procesos
 FACULTAD DE INGENIERÍA, DISEÑO E INNOVACIÓN
ESCUELA DE CIENCIAS BÁSICAS

SEGURIDAD DE LA INFORMACIÓN - SGSI

Proceso de Gestión Contable

Tiene como objetivo registrar los movimientos contables de la compañía de acuerdo con la normatividad
vigente. Su alcance establece la administración de inventario de activos tangibles e intangibles, la
administración de productos financieros de la compañía, resguardo de todos los soportes legales; dentro
de las responsabilidades esta, el pago de nómina, el pago de cuentas a proveedores, registro y
mantenimiento de inventario de bienes, generación de facturas de venta y notas crédito, administración
de caja menor, tramites y actualizaciones de documentos de existencia y representación legal de la
compañía.

Este proceso es considerado como fundamental para la existencia de la entidad, ya que administra los
recursos económicos de la compañía, a través de los cuales se gestiona, intercambia y almacena la
información de los procesos estratégicos, misionales y de apoyo de la entidad, razón por la que se ha
determinado garantizar que el sistema de gestión de seguridad de la información garantice la
integralidad, disponibilidad y confidencialidad de dicha información.

Proceso de Gestión Jurídica

El proceso de gestión Jurídica establece los procedimientos para la consulta, evaluación y concepto de
todas las situaciones y tramites concernientes con la legislación nacional, asegurando el ámbito jurídico
de la compañía en cualquiera de los procesos establecidos, implementación de políticas nacionales
asociadas a la actividad económica y la misión de Integral de Energía, dentro de diferentes aspectos, la
gestión jurídica es la responsable de la elaboración de los contratos con proveedores, contratos con
clientes, seguimientos a contratos laborales, acompañamiento en la actualización de documentos de
representación legal, procesos disciplinarios, y en general apoyo en todo asunto legal que requiere la
compañía.

Proceso de Gestión de R.R. H.H.

Mediante este proceso, se establecen los responsables de adelantar todo el proceso administrativo de
definición de cargos, funciones, remuneraciones, reportes de novedades, selección de personal. Junto a
ello velan por el bienestar de todo el personal vinculado, proponer e implementar campañas de
prevención de riesgos laborales, evaluaciones de desempeño y planes de mejora.

Por medio de esta gestión la compañía investiga, planea, diseña e implementa planes de acción para
generar eficiencia del personal en los diferentes niveles y áreas, articulado mediante planes de
comunicación que permitan identificar todos los aspectos vinculados al desempeño y bienestar de toda
la planta de personal en procura de en un ambiente de trabajo armónico, positivo y favorable,
enmarcado en el sistema de seguridad y salud en el trabajo establecido por la compañía.
 FACULTAD DE INGENIERÍA, DISEÑO E INNOVACIÓN
ESCUELA DE CIENCIAS BÁSICAS

SEGURIDAD DE LA INFORMACIÓN - SGSI

Gestión Administrativa

Este proceso ha sido establecido como un proceso trasversal, dado que por medio de la administración
de los recursos dispuestos por la compañía para satisfacer las necesidades generadas a nivel interno, se
generan bienes para la satisfacción de estas necesidades, es por ello que por medio de esta gestión la
empresa vela por el suministro, mantenimiento y conservación los bines dispuestos para la ejecución de
las funciones y cumplimiento de objetivos de cada proceso, vela por la divulgación y cumplimiento de
todos los programas, políticas y planes de cada una de las dependencias, siendo el área articuladora en a
nivel interno.

Gestión TIC

Su función principal es la administración de todos los recursos tecnológicos de la compañía, garantizando

la ejecución de todos los procesos que requieran el uso de la tecnología para llevarse a cabo mitigando
los riesgos de perdida de información, razón por la cual tiene la responsabilidad de la implementación
del sistema de gestión de seguridad de la información, garantizando la confidencialidad, integridad y
disponibilidad de los activos de información. Para ello se cuenta con una mesa de servicio dispuesta para
la atención de todos los requerimientos de las dependencias, que, junto a las gestiones de Aplicaciones,
proveedores de TI, Gestión de Incidentes y Requerimiento, gestión de Cambios de TI y Seguridad
Informática, velan por la disponibilidad de servicios de la organización.

Partes interesadas - Requisitos

Externos: Accionistas, Superintendencia de industria y comercio, Aliados financieros,

Proveedores y Clientes.

Internos: Presidencia y vicepresidencias, Oficial de seguridad, Departamentos

Partes interesadas Requisitos

Asignación de recursos correspondientes a utilidades de la compañía.
Garantizar la calidad en las instalaciones de acuerdo con el portafolio de
servicios ofrecidos
Cumplir con acuerdos de confidencialidad de información.
Cumplir con los tiempos de entrega de los proyectos de acuerdo con lo
Accionistas pactado.
Superintendencia de Cumplimiento del Decreto Único Reglamentario del Sector Comercio,
industria y comercio Industria y Turismo 1074 de 2015
Confidencialidad de la información.
Cumplimiento de deberes de los clientes.
Aliados financieros Cumplimiento de controles de seguridad de uso de productos
 FACULTAD DE INGENIERÍA, DISEÑO E INNOVACIÓN
ESCUELA DE CIENCIAS BÁSICAS

SEGURIDAD DE LA INFORMACIÓN - SGSI

Cumplimiento de condiciones establecidas en los contratos.
Cumplimiento con los pagos según las cláusulas pactadas.
Proveedores Garantizar la confidencialidad de la información vinculada.
Brindar los servicios contratados de acuerdo con las cláusulas
establecidas, y de acuerdo con las necesidades.
No presentar incidentes en los servicios provistos según la garantí
definida.
Entrega de soportes de transacciones generadas durante el proce
contratación, facturación y garantía.
Cumplimiento de la normativa de instalación de acuerdo con los
control RETILAP, RETIE.
Entrega de documentación correspondiente a Diseños de la
Clientes infraestructura instalada.
Asegurar la confidencialidad, integridad y disponibilidad de los ac
información de la compañía.
Cumplir con las metas establecidas de acuerdo con el plan estrat
la compañía.
Presidencia Garantizar las utilidades definidas por la organización
Disponer de la información correspondiente a todos los procesos
para cumplir con las metas establecidas por la alta dirección.
Vicepresidencias Cumplir con el tratamiento de datos personales.
Garantizar la confidencialidad, integridad y disponibilidad de los a
información del acompaña.
Cumplir con la reglamentación vigente.
Identificar y gestionar todos los riesgos que se generan para cada
Oficial de seguridad los activos de información de la organización.
Asegurar la disponibilidad de la información asociada a los proce
relacionados con el departamento a cargo.
Confidencialidad en la ejecución de las actividades propias de cad
departamento.
Directores de Garantía de la no publicación de la información asociada a los pro
departamento desarrollados en cada uno de los procesos a cargo.
Garantizar un ambiente seguro para el desarrollo de las funcione
del cargo.
Participar de las capacitaciones relacionadas.
Seguridad en el tratamiento de datos personales.
Garantía del pago de la remuneración económica por las labores
realizadas.
Colaboradores Continuidad del contrato laboral.
 FACULTAD DE INGENIERÍA, DISEÑO E INNOVACIÓN
ESCUELA DE CIENCIAS BÁSICAS

SEGURIDAD DE LA INFORMACIÓN - SGSI

Alcance de SGSI

El alcance del Sistema de Gestión de la Seguridad de la información de Integral de Energía SAS establece
que durante el año 2020 sen asegurados todos los activos de información de los procesos de apoyo de la
organización; teniendo en cuenta que la actividad económica dela compañía no implica el desarrollo
información asociada propiedad intelectual, convierte la información financiera, contable, contractual,
información de datos personales, procedimientos de garantía e información de la operación de la
infraestructura tecnológica, en la información de mayor valor; dichos procesos incluyen la gestión
contable de la organización , la gestión jurídica, gestión de Recursos Humanos, gestión Administrativa y
gestión TIC, los cuales se desarrollan en la sede principal y única de la compañía, ubicada en la ciudad de
Bogotá. Para ello se consideró disponer del aumento del 20% del presupuesto asignado al departamento
TIC, dispuesto para la contratación de un asistente en el grupo de seguridad de la información, con
funciones exclusivas para la implementación del SGSI, la contratación de una organización especializada
en la implementación de SGSI, campañas de implementación y compra de material para dicha
socialización.

OBJETIVO DEL SGSI

Establecer el marco de gobierno requerido por la organización para la gestión de la seguridad de la

información.

Definir, publicar, sensibilizar e implementar las políticas de seguridad de la información de Integral de

Energía SAS

Garantizar la confidencialidad, la integridad y la disponibilidad de la información generada en cada uno

de los procesos de apoyo.

Establecer la clasificación de los activos de información, de manera permanente.

Identificar y realizar la valoración de los riesgos presenten para cada uno de los activos de información
de acuerdo con la clasificación realizada.

Establecer los procedimientos y tratamiento apropiados como gestión de cada riesgo, mitigando el
impacto de estos.

Establecer e implantar los controles definidos para tratamiento de riesgos de la seguridad de la

Información para asegurar el cumplimiento de la política de seguridad de la información.

Dar a conocer la importancia y beneficios de implementar un sistema de gestión de seguridad de la

información.

ESTRUCTURA ORGANIZACIONAL DE LA SEGURIDAD

 FACULTAD DE INGENIERÍA, DISEÑO E INNOVACIÓN
ESCUELA DE CIENCIAS BÁSICAS

SEGURIDAD DE LA INFORMACIÓN - SGSI

Según la evaluación de roles y responsabilidades dentro de la organización, fueron definidas las

áreas directamente vinculadas a la seguridad de la información a nivel directivo, a nivel intermedio y
a nivel operativo, de esta manera se establecido la siguiente estructura:

Presidencia: La responsabilidad de presidente de la compañía comunicar el sistema de gestión de

seguridad de la información en la alta gerencia de la entidad, generando el respaldo y gobierno
requerido para garantizar el obligatorio cumplimiento por todas las dependencias de la
organización. Dentro de las responsabilidades asignadas se definieron: Aprobar la política de
seguridad de la información. Validar las modificaciones que se realicen a la política de seguridad de
la información de manera periódica, o en el instante en que se consideren modificaciones
relevantes. Definir e informa roles y responsabilidades a nivel directivo como parte de la
implementación del sistema de gestión de seguridad de la información. Socializar y sensibilizar el
cumplimiento de la política de seguridad de la información.

Comité de Riesgos: Conformado por un representante de cada uno de los 9 departamentos y

liderado por el oficinal de seguridad, son los responsables de registrar la información de cada uno
de los departamentos, requerida para el diseño del Sistema de gestión, así como apoyar la
clasificación de los activos de información, valoración de riesgos e implementación y apropiación de
la política de seguridad de la información. Dentro de las responsabilidades del comité se
encuentran: Asegurar el registro de toda la información requeridas para que el diseño e
implementación de la política de seguridad de la información se realice de manera efectiva y
eficiente. Registrar y clasificar los activos de información. Definir y evaluar los riesgos presentes para
cada uno de los activos de información registrados. Escalar a la presidencia de la compañía todo lo
concerniente a la gestión y tratamiento realizado con los riesgos identificados.

Oficial de Seguridad: Cumpliendo a su vez con el rol de auditor líder, es el funcionario vinculado al
departamento TIC responsable de la estructuración e implementación del sistema de gestión de la
seguridad de la información y quien asegura el cumplimiento de los objetivos definidos. Es quien
lidera el comité de riesgo y quien realiza la validación de la ejecución de los controles. Sus
 FACULTAD DE INGENIERÍA, DISEÑO E INNOVACIÓN
ESCUELA DE CIENCIAS BÁSICAS

SEGURIDAD DE LA INFORMACIÓN - SGSI

responsabilidades incluyen: Definir y coordinar la implementación de
procedimientos y normas para la correcta gestión de la seguridad de la información. Coordinar el
comité de riesgos, asegurando la correcta ejecución de sus responsabilidades, especialmente la
gestión de riesgos. Definir los controles pertinentes dispuestos por el sistema de gestión de
seguridad de la información. Evaluar los resultados y efectividad de la implementación de SGSI.
Definir planes de mitigación para las vulnerabilidades identificadas. Adelantar auditorias que
generen planes de mejora para garantizar la correcta aplicación de la política de seguridad de la
información. Ejecutar todas las capacitaciones del sistema de seguridad de la información del
personal que se vincule a la entidad, así como las reinducciones que sen definidas por la gestión de
recursos humanos. Garantizar las acciones definidas al presentarse la materialización de los riesgos.
Informar al comité de riesgos los incidentes presentados en cuanto a seguridad de la información.
Brindar asesoría a todas las dependencias en todos los temas relacionados a seguridad de la
información.

Directores de departamento: como miembros del comité de riesgos, es el encargado de transmitir

los lineamientos establecidos por el sistema de gestión de seguridad de la información, asegurando
la vinculación de la política de seguridad de información en todas las actividades propias del cada
departamento especialmente los controles, ejecutando planes de sensibilización de la importancia
de la mencionada política. De igual manera es responsable de notificar cualquier evento relacionado
con el sistema de seguridad de la información. Delegar la participación al comité de riesgos a un
funcionario vinculado a la dependencia, que cumpla con los requisitos de participación.
Implementar en el departamento a cargo de los controles y normas definidas por el SGSI.

Colaboradores y terceros: todo funcionario o entidad que ejecute cualquier actividad concerniente
con la ejecución de la política de la seguridad de la información. Dentro de las responsabilidades
asignadas están: conocer, apropiar y cumplir con la política de seguridad de la información. Reportar
a su jefe inmediato cualquier evento que considere atenta contra la seguridad de la información de
la compañía. Participar en las inducciones o capacitaciones sobre seguridad de la información.
Suministrar la información requerida por el comité de riesgos. Mantener la confidencialidad,
integridad y disponibilidad de los activos de información a su cargo, de acuerdo con parámetros
establecidos por la política de seguridad de la información.