METODOLOGIA PARA EL MANTENIMIENTO

DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

SGSI EN TECHNOLOGISTICS ZF S.A.S.

DICIEMBRE DE 2015
 Contenido
1. INTRODUCCIÓN....................................................................................................................3
2. JUSTIFICACIÓN....................................................................................................................3
3. METODOLOGÍA DE TRABAJO..........................................................................................3
3.1. PLANEAR............................................................................................................................3
3.1.1. APROBACIÓN.....................................................................................................................4
3.2. EJECUTAR..........................................................................................................................4
3.3. VERIFICAR..........................................................................................................................4
3.4. ACTUAR...............................................................................................................................5
1. INTRODUCCIÓN

La TECHNOLOGISTICS ZF SAS ha adoptado dentro de su esquema administrativo

varios sistemas de gestión que confluyen y durante 2015 se definió y estableció el
Sistema de Gestión de Seguridad de la Información, tomando como referente la norma
internacional certificable ISO 27001:2013.

2. JUSTIFICACIÓN

El objetivo de los sistemas de gestión es reducir los riesgos que se puedan presentar y
buscar una optimización de los resultados y del uso de los recursos, para ello se sirven de
un principio básico y común conocido como la mejora continua. La Empresa
TECHNOLOGISTICS ZF SAS requiere que sus funcionarios tengan presente los
elementos esenciales que llevan a mantener un sistema de gestión en condiciones
óptimas.

3. METODOLOGÍA DE TRABAJO

La metodología de trabajo se basará en el Modelo PHVA cuya esencia se centra en un

ciclo a través del cual se proyectan las actividades necesarias para cumplir con los
objetivos del sistema (Planear), posteriormente esa proyección se va ejecutando (Hacer) y
periódicamente se hacen revisiones y se toma el pulso al SGSI (Verificar), para finalmente
corregir, ajustar o mejorar como viene comportándose el sistema (Actuar).

3.1.PLANEAR

Anualmente el Oficial de Seguridad de la Información debe hacer una revisión de los

resultados obtenidos durante el periodo inmediatamente anterior y debe considerar,
sin limitarse, los siguientes aspectos:

1. Auditorías Internas de gestión efectuadas al sistema.

2. Otras Auditorías realizadas a la Entidad que tengan aspectos de seguridad de la
Información.
3. Indicadores de los objetivos de seguridad.
4. Acciones correctivas
5. Incidentes presentados en el periodo anterior.
6. Objetivos del negocio
7. Tendencias de riesgos de seguridad de la información

Con base en lo anterior más otros aspectos que puedan ser pertinentes, el Oficial de
Seguridad de la Información prepara el borrador de planeación para el año
correspondiente, el cual debe contener:
1. Presupuesto
2. Relación de actividades a desarrollar
3. Responsables de las actividades
4. En qué momento se requiere participación de los propietarios de la información
5. Actividades de capacitación y concientización.
6. Momentos de auditoria
7. Comités de Seguridad de la Información.
8. Hitos y momentos de monitorización a los elementos del SGSI.
9. Proyectos de seguridad de la Información

3.1.1. APROBACIÓN

El Oficial de Seguridad de la Información envía con antelación mínima de quince

días calendario el documento de planeación y presenta ante el Comité de
Seguridad de la Información el plan anual.

Cada uno de los miembros del Comité de Seguridad de la Información debe hacer
una revisión de la propuesta y sugerir ampliaciones, eliminación o ajustes a las
actividades planteadas.

El Comité de Seguridad de la Información debe tener clara la necesidad de

gestionar los recursos para lograr los objetivos del plan propuesto.

Si por alguna circunstancia los recursos no se logran en su totalidad, es necesario

determinar qué actividades no se realizarían y que riesgos podrían derivarse del
no emprendimiento. En tal caso los riesgos deberán quedar registrados tanto en el
acta del comité como en el sistema de gestión de riesgos de la Entidad.

El plan debe quedar aprobado el Comité de Seguridad de la Información.

3.2.EJECUTAR

Es responsabilidad del Oficial de Seguridad velar por la correcta ejecución de las

actividades proyectadas en el plan de gestión de seguridad.

Es importante la coordinación con el área de Talento Humano, principalmente para las

capacitaciones y las charlas de concientización periódicas y de inducción a la Entidad.

De otra parte, la integración de actividades así como la monitorización de las mismas

son actividades fundamentales que deben articularse con las diferentes
responsabilidades que atiende la Oficina de Tecnologías de la Información.

La gestión del sistema no corresponde solo al Oficial de Seguridad, se requiere del

apoyo de todas las áreas de la TECHNOLOGISTICS ZF SAS y la coordinación es
esencial para el logro de los objetivos.
3.3.VERIFICAR

El plan se debe ejecutar y es responsabilidad del Oficial de Seguridad de la

Información y del Comité de Seguridad de la Información, verificar su correcto y
oportuno rumbo, para ello se cuenta con varios apoyos de los cuales los que nunca
deben desestimarse son:

1. Indicadores de gestión: Mediciones periódicas que se realizan a elementos clave

integrantes de los objetivos establecidos para el SGSI.
2. Monitorización de la infraestructura tecnológica: Sistemas Operativos, Bases de
datos, aplicaciones, elementos de seguridad perimetral.
3. Gestión de incidentes de seguridad: registro y lecciones aprendidas entre otras.
4. Auditorías Internas SGSI
5. Otras Auditorias que generen puntos para seguridad de la Información.

3.4.ACTUAR

Resultado de las actividades de control, se derivan acciones que ayudan a lograr los
objetivos y corregir el rumbo.

El Oficial de Seguridad de la Información tomará las medidas necesarias para corregir

los elementos que por algunas circunstancias no estén alineados con los objetivos
planteados y adoptará las medidas administrativas que estén a su alcance para lograr
este propósito.

En los eventos en los cuales se incumplan numerales de la norma ISO 27001:2013 o

lineamientos emitidos por la Entidad, se hace pertinente la elaboración y registro de
una No conformidad con el sistema y consecuentemente la emisión de una acción
correctiva a través de la cual se genera un plan de acción que subsana las causas de
la no conformidad.

Cuando el oficial de seguridad y los recursos con que cuenta no resultan suficientes
para ajustar el logro de los objetivos del SGSI, se hace pertinente llevar la situación al
siguiente comité de seguridad de la información con una propuesta que el Oficial debe
elaborar previamente. En caso que la situación resulte en extremo delicada y el
impacto represente un riesgo mayor, el Oficial debe convocar a un comité
extraordinario en el cual se tratará exclusivamente el tema requerido.