Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Analizar constantemente el futuro en busca de riesgos es una decisión prudente y madura por parte
de quienes tienen la responsabilidad de velar por la seguridad y trascendencia de sus compañías
Germán Afanador Ceballo
Objetivo
Brindar a empresarios y empleados las herramientas necesarias para implementar políticas de seguridad que
velen por la conservación, protección y custodia debida la información obtenida, producida y difundida por sus
empresas, concientizándolos de las amenazas latentes en el entorno digital. De igual forma orientarlos en
cuanto a los roles y funciones que deben exigir a sus empleados en la adopción de estas políticas.
INTRODUCCIÓN
Hoy en día, y en el futuro cercano, las tecnologías de información son y serán
el elemento esencial para la supervivencia de las organizaciones. Por ello el
gobierno de las TI debe ser integrante de la gobernanza corporativa
Username
Político Económico Social Militar
Equipo coordinador a
nivel nacional en
Los activos corporativos han tenido aspectos de seguridad
informática
un cambio sustancial llegando a ser casi en un
Ley 527 de 1999. Ley 594 de 2000. Ley 679 de 2001. Ley 962 de 2005. Ley 1150 de 2007.
Validez jurídica y probatoria Ley general de archivos. Contra la pornografía infantil. Simplificación y Seguridad de la información
de la información electrónica Criterios de seguridad Responsabilidades racionalización de trámite. electrónica en la contratación
en línea
Ley 1266 de 2008. Ley 1341 de 2009. Ley 1273 de 2009. Ley 1437 de 2011. Ley 1480 de 2011.
Delitos informáticos y protección Tecnologías de información Ley contra delitos Procedimiento administrativo y Protección al consumidor por
del bien jurídico tutelado que aplicación de criterios medios electrónicos. Seguridad
y aplicación de seguridad informáticos
es la información de seguridad en las transacciones electrónicas
Ley 019 de 2012. Ley 1581 de 2012. Ley 1623 de 2013. Ley 1712 de 2014. Ley 1915 de 2019.
Racionalización de trámites a Ley estatutaria de protección Ley de inteligencia. Transparencia de acceso Disposiciones en materia
través de medios electrónicos. de datos personales Criterios de Seguridad a la información pública de derechos de autor y
Criterio de seguridad derechos conexos
MARCO REGLAMENTARIO
Decreto 1377 de 2013. Decreto 1510 de 2013. Decreto 333 de 2014.
Decreto 2364 de 2012. Decreto 2609 de 2012. Decreto 2693 de 2012.
Protección de datos Contratación pública Entidades de certificación
Firma electrónica Expediente electrónico Gobierno electrónico
CONPES 3995
personales electrónica digital
NORMAS ISO
Política nacional de confianza y seguridad digital
Tiene como objetivo establecer medidas para ampliar la confianza digital y
ISO 27000 ISO 27001 ISO 31000
mejorar la seguridad digital de manera que Colombia sea una sociedad
incluyente y competitiva en el futuro digital.
Fases de Implementación de la Política
de Seguridad Digital
¨La ciberseguridad participa en la mejora de los procesos y calidad final de todos los servicios¨
Víctor Calvo
Según la guía de elaboración de la política general de seguridad y Una política no es mas que un conjunto de principios que una
privacidad de la información del MinTic para las entidades y empresa se compromete a cumplir. Se fundamenta en reglas y
empresas es de mucha importancia contar con políticas de directrices básicas sobre el comportamiento y el procedimiento
seguridad que orienten el comportamiento de los funcionarios, adecuado que se espera de sus empleados. En ella, se dan los
empleados y contratistas con respecto a la información recopilada, lineamientos por los que se debe regir la empresa
empresa.
A través de una política de seguridad digital se proponen víctimas de ataques cibernéticos. Un estudio de la OEA-Symantec
estrategias que aporten a solucionar problemas, generar reveló que las pequeñas y medianas empresas se están
diagnósticos oportunos y comparar diferentes escenarios, que convirtiendo en un área de amenaza importante, en la que está
ayuden a prevenir, mitigar y afrontar los riesgos provenientes del creciendo rápidamente el número de incidentes.
ciberespacio, así como para generar confianza entre empleados, Para la debida implementación de una política de seguridad de
A pesar de que muchas micro, pequeñas y medianas empresas implemente y socialice su contenido por parte de empleadores,
consideran que son insignificantes para ser blanco de empleados, contratistas y clientes.
patrones e identificar irregularidades en la red, información valiosa para Se determina el área o personas responsables en su creación,
mitigar amenazas desde el ciberespacio, para el buen uso de estas estructuración, revisión y aprobación para la cual se debe:
herramientas digitales se requiere de políticas, estrategías, recursos • Justificar la política. Por qué se necesita una política de seguridad de
que circulan a través del ciberespacio. La mejor estrategia de • Alcance. La política va dirigida a que personal, áreas y/o procesos?
ciberseguridad es aquella que se anticipa a posibles incidentes, por lo que • Roles y Responsabilidades. Quienes la elaboran, quienes la aplican,
una buena implementación de la misma requiere un conocimiento quienes responden, quienes la supervisan?
profundo de amenazas, vulnerabilidades propias y factores desconocidos. • Revisión de la política. Se verifica su redacción y se evalúa su aplicabilidad
Así las cosas, hoy día y mañana más que nunca las tecnologías de dentro de la empresa. Así mismo, se efectúan recomendaciones sobre la
Las políticas de seguridad de información son muy importantes dentro del • Aprobación. La alta dirección la formaliza dentro de la empresa
Comunicación
Durante este paso se da a conocer la política a todo el personal de la empresa, contratistas y clientes. De una buena comunicación y
difusión depende la interiorización por parte de los usuarios y su debido cumplimiento. De igual manera, se requiere de un proceso de
realimentación con el fin de poder determinar que tan efectiva esta siendo la política.
Monitoreo
Las políticas deben ser revisadas periódicamente para ver si están siendo efectivas, si son de conocimiento de los trabajadores a quienes
Retiro
Paso durante el cual se deroga, por expresa autorización de la alta dirección, una política de seguridad debido a que se encuentra
desactualizada, ya no es pertinente o porque se promulgó una nueva actualización de la misma. Este paso debe ser debidamente
• Dar las directrices respectivas en el sentido que el Comité de seguridad de la información sea el encargado de supervisar el cumplimiento
los limites y procedimientos que todos los empleados deben tener información debe tener en cuenta como mínimo:
en cuenta con respecto al identificación, uso, tratamiento y • Identificación de Activos. La política debe determinar la frecuencia
responsabilidades con respecto a los activos de información. con la que la empresa realiza o actualiza sus inventarios
Entendiéndose por Activos de Información la construcción de un es el directo responsable por cada activo. De igual manera quién
inventario y clasificación de los activos que posee la entidad de responde por dicha actividad y quién la supervisa.
información, la cual determina que activos posee la entidad, cómo • Clasificación de Activos. Se establece de acuerdo a la criticidad,
deben ser utilizados, así como los roles y responsabilidades que sensibilidad y reserva de los activos. Para esto se deben
tienen los funcionarios sobre los mismos. (MinTic-2019) contemplar las leyes y normas que deba contemplar la empresa
en el debido rotulamiento de los activos de información de la lectores evitar su uso por parte de los empleados y usuarios, si se
empresa. Establece el procedimiento y los directos responsables. tiene en cuenta que a través de medios removibles es que se
instrumento de cumplimiento obligado para que todos los • Disposición de los Activos. Esta política busca determinar los
empleados, contratista y terceros entreguen a la mayor brevedad procedimientos seguros, así como los directos responsables en
los activos de información que tenían asignados, una vez materia de destrucción, traslado, retiro o re uso de un activo.
finalizado su contrato con la empresa. Empresas que manejan Incluye los dispositivos móviles.
mientras los empleados se encuentren de vacaciones. • Gestión de Dispositivos Móviles. Con esta política la empresa
• Gestión de medios removibles. Esta política determina todos los contratistas en lo que respecta al uso y empleo de dispositivos
permisos y autorizaciones requeridas para que empleados y móviles corporativos y personales. Empresas con tratamiento de
personal autorizado puedan hacer uso de medios removibles. USB, información delicada y sensible se abstiene de dar este tipo de
discos duros movibles, CDs, etc. Con el fin de extremar medidas al autorizaciones para dispositivos personales.
Control de Acceso
Mediante estas políticas se determinan todas las directrices que una empresa sistemas de gestión de la información.
implementa en los mecanismos de protección, los límites y procedimientos en • Gestión de contraseñas. Mediante este documento se informa a todos los
cuanto a la administración y responsabilidades que tienen que ver con los usuarios de la red las características que debe poseer una contraseña robusta,
accesos de información, independientemente de que sean digitales o físicos. cómo cambiarla periódicamente para incrementar los niveles de seguridad y
Este tipo de políticas deben relacionar: como poder restaurarla en caso de olvido o fallas en el sistema.
• Autorizaciones con usuario y contraseña. Esta política plasma los directos • Perímetros de seguridad. Con esta política se busca dar las directrices claras en
esponsables y la manera como se autoriza la creación, cambios, suspensión y el sentido de que personas tienen autorización a áreas o dependencias de la
retiro de usuarios con sus respectivas contraseñas. En ella deben quedar empresa donde se procese y almacene información confidencial. De igual
claramente enunciadas las responsabilidades que tiene el personal al que se le manera debe definir quién es el responsable de emitir esas autorizaciones y
ha asignado usuarios y contraseñas empresariales. Es importante resaltar que quién de verificar su debido cumplimiento.
su uso es intransferible. • Áreas de carga. Define los lugares y dependencias de la empresa donde se
• Suministro de control de acceso. En este documento se deben especificar los puede realizar despacho y carga de documentos con información, con el fin de
procedimientos requeridos en la empresa para la debida gestión en la evitar el acceso no autorizado a zonas restringidas de la empresa. Como en
asignación, modificación y revocación de privilegios de los usuarios. En ella todas las políticas debe establecer el personal responsable de ejecutar y
sistemas de la empresa. El debido seguimiento de las acciones demuestra la participación de las partes en una acción y/o comunicación.
En toda comunicación, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio: a) No repudio en origen:
garantiza que la persona que envía el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío.
b) No repudio en destino: El receptor no puede negar que recibió el mensaje, porque el emisor tiene pruebas de la recepción del mismo. La
debida implementación de esta política incrementa la confianza entre las partes en las comunicaciones
La política de no repudio debe contar por lo menos con: • Auditoría. Esta política busca la realización de las debidas
• Trazabilidad. Se entiende como trazabilidad una serie de partes involucradas en el tratamiento de información nieguen
procedimientos que permiten rastrear el proceso de evolución de haber cometido alguna acción. Buscando con ello que la auditoría
un producto en cada una de sus etapas. Desde el punto de vista mantenga y confirme la consecución de los objetivos tradicionales
de seguridad digital hace referencia al seguimiento detallado de de toda auditoría, que son la protección de activos e integridad de
todas aquellas acciones desde la creación, origen, envío y datos y la gestión de protección de activos, de manera eficaz y
• Retención. Mediante esta política se le informa a los usuarios del • Intercambio electrónico de información. El Intercambio electrónico
sistema durante cuanto tiempo pueden retener y/o almacenar la de datos (EDI) es la comunicación entre empresas de documentos
información y la debida protección de datos personales de acuerdo de confidencialidad debe tener una fecha de inicio así
acuerdo al marco legal y normatividad vigente. Esta política hace como la vigencia del mismo.
referencia a los datos de carácter personal que se poseen y Esta política debe contemplar:
obtienen de todos los usuarios del sistema que los identifican • Ámbito de aplicación
contratistas la no divulgación, bajo ninguna circunstancia y por • Deberes de los responsables del tratamiento
determina que el tratamiento de la información sea preciso, coherente y completo desde el proceso de la recolección hasta su destrucción
autorizada.
Con esta política se establecen las directrices empresariales para el tratamiento integral de todo tipo de información por parte de los
empleados, contratistas y personal externo autorizado por la empresa para acceder a algún tipo de información.
Disponibilidad del Servicio de la Información
El implemento de esta política es muy importante con el fin de • Interrupciones. En esta parte se estipulan los mantenimientos
determinar roles y responsabilidades en caso de que un incidente requeridos del sistema y periodicidad de los mismos con el fin de
cibernético que afecte a la empresa. En ella se deben dar las evitar una afectación muy grande.
directrices pertinentes con el fin de asegurar, recuperar y restablecer • Acuerdos de nivel de servicio.
en el menor tiempo la disponibilidad de los procesos que soportan el • Segregación de ambientes. Busca compartimentar los procesos en
SGSI de la empresa. los cuales se generen cambios y nuevos desarrollos, con el propósito
Esta política debe contar por lo menos con estos aspectos: implementación.
• Niveles de disponibilidad. Mediante esta política se establece el realizan los cambios de tal forma que afecten lo mas mínimo la
cumplimiento de los niveles de disponibilidad de los servicios de disponibilidad del sistema y que al realizarlos se lleven a cabo bajo
todas las evidencias y registros relacionados con el uso, actividad acuerdo a las normas vigentes y requerimientos legales.
y empleo de los activos de información. • Garantías de cumplimiento. Esta política debe velar por la
En esta política se debe relacionar: sistemas y el debido cumplimiento de las políticas y procesos de la
empresa.
• Responsabilidad. En ella se plasma la responsabilidad de realizar • Periodicidad. Con esta política se dan las directrices para efectuar
de forma periódica auditorias a los sistemas y actividades que con frecuencia la verificación de los niveles de riesgos de la
comprensión detallada del entorno de riesgo y la disponibilidad de Las empresas deben emitir una política general de gestión de
recursos necesarios para mitigarlos. Toda empresa debe iniciar eventos, incidentes y vulnerabilidades de la información, para
con una auto evaluación de los riesgos y amenazas que la conocimiento de todos los usuarios que tienen algún tipo de
acechan en su entorno. De pronto, dos de los mayores riesgos acceso a los sistemas de información. En ella se deben recopilar,
digitales que afronta una empresa hoy en día son la de evaluar, priorizar, mitigar e informar los principales riesgos para la
• Aprobación de la alta dirección. se requiere, quién la elabora, quién la conoce y quién la custodia.
• Visión general. Qué reportar, a quién y por qué medios se deben • Descripción del equipo que atenderá los incidentes. Se explica
efectuar los reportes? como esta compuesta la estructura general para la gestión de los
• Definir responsables. Quienes son los responsables de gestionar incidentes y vulnerabilidades de seguridad.
los eventos? • Aspectos legales. En esta política se deben enunciar todos los
• Actividades. Acá se explica en que consiste el proceso desde su temas legales que deben ser contemplados y a los que se les debe
la alta gerencia hasta el último de los empleados por lo que es de documentadas que indiquen la forma de procesar, administrar y
entera responsabilidad de las juntas y gerentes adoptar enfoques proteger los activos de información de la empresas. La
dinámicos hacia la ciberseguridad, responsabilizando sensibilización tiene como objetivo impactar a los empleados,
directamente a los gerentes de su implementación y supervisión, y contratistas y/o terceros para que utilicen estrategias en el manejo
así dar a entender al resto de la organización la relevancia del de la información de acuerdo a las funciones específicas a su
tema. Posteriormente, se requiere la implementación de cargo. Con esta política se busca disminuir las vulnerabilidades y
estructuras de gobierno efectivas para interiorizar esa cultura y amenazas relacionadas con el desconocimiento y/o mas uso de
velar que la empresa interiorice adecuadamente la gestión de los los sistemas por parte del talento humano.
riesgos.
Se requiere de por lo menos los siguientes elementos en su elaboración:
• Directrices de obligatorio cumplimiento para que los usuarios atiendan las capacitaciones programadas.
CEO
niveles de sus equipos de trabajo.
Implementación de un sistema de seguridad de información en una empresa es el
diseño de su organigrama funcional donde se establezcan claramente las funciones Chief Executive
Conformación del Grupo de Officer
Gestión de la Empresa y responsabilidades de cada cargo en la jerarquía
Las empresas deben determinar el equipo de gestión de proyectos de
seguridad digital, el cual se encarga de efectuar el planeamiento,
implementación y seguimiento de todo lo pertinente.
CISO
Chief information
security Officer
Perfiles y sus
Responsabilidades
CIO
Chief information
El perfil de los trabajadores permite poder
Officer
definir los permisos a que tienen derecho
CSO
un grupo de usuarios.
Chieff Security
Comité de Seguridad Officer
Cuerpo integrado por representantes
CTO
de todas las áreas sustantivas de la
organización, destinado a garantizar
el apoyo de las autoridades a
iniciativas de seguridad.
Chief Technology
Officer
EQUIPO DE Personal
de seguridad Representantes Representantes
de control
Representante
Representante
de sistemas de Un asesor
Contemplar
cuando sea
posible la
PROYECTO
de la de TI de planeación gestión de jurídico
interno participación
información. calidad
de terceros
TALLER
Implementación de Gobierno TI. Revista bitácora académica – USFQ, Octubre 2018, Vol2, Nr 1
c/s/www.elespectador.com/noticias/tecnologia/detectan-mas-de-5400-millones-de-intentos-de-ciberataques-en-colombia/?outputType=amp
Jairo Andrés Cáceres García. Colombia, estaryegia nacional en ciberseguridad y ciberdefensa. https://www.airuniversity.af.edu/Portals/10/ASPJ_Spanish/Jour-
nals/Volume-29_Issue-1/2017_1_09_caceres_s.pdf
Moisés J. Schwartz. Ciberseguridad. Riesgos, avances y el camino a seguir en América Latina y el Caribe. Reporte de ciberseguridad 2020. OEA, BID
Sven Mikser.La necesidad de una respuesta armonizada a las amenazas de ciberseguridad: El camino a Seguir. 2020
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf
OCDE (Organización para la Cooperación y el Desarrollo Económicos). 2019. Shaping the Digital Transformation in Latin America: Strengthening Productivity, Improving Lives. París: Publicacio-
https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf
TALLER
Manuel de Supervisión de Riesgos Cibernéticos. OEA. 2019 https://www.oas.org/es/sms/cicte/docs/ESP-Manual-de-Supervision-de-riesgos-ciberneticos-para-juntas-coporativas.pdf
https://www.emprendepyme.net/que-son-las-politicas-de-una-empresa.html
https://www.broadcom.com/404-symantec
Germán Afanador Ceballos. El mundo no esta preparado para una ciberpandemia. Julio 2020