Políticas de Seguridad de la Información:

La llave de la confianza digital de los ciudadanos

Analizar constantemente el futuro en busca de riesgos es una decisión prudente y madura por parte
de quienes tienen la responsabilidad de velar por la seguridad y trascendencia de sus compañías
Germán Afanador Ceballo
Objetivo
Brindar a empresarios y empleados las herramientas necesarias para implementar políticas de seguridad que
velen por la conservación, protección y custodia debida la información obtenida, producida y difundida por sus
empresas, concientizándolos de las amenazas latentes en el entorno digital. De igual forma orientarlos en
cuanto a los roles y funciones que deben exigir a sus empleados en la adopción de estas políticas.
 INTRODUCCIÓN
Hoy en día, y en el futuro cercano, las tecnologías de información son y serán
el elemento esencial para la supervivencia de las organizaciones. Por ello el
gobierno de las TI debe ser integrante de la gobernanza corporativa

En Colombia desde enero a

junio de 2020 se produjeron
aproximadamente
Las tecnologías de la información han 5.400 millones de intentos
contribuido al desarrollo: de ciberataques

Username
Político Económico Social Militar

Equipo coordinador a
nivel nacional en
Los activos corporativos han tenido aspectos de seguridad
informática
un cambio sustancial llegando a ser casi en un

90% DIGITALES COMISIÓN

INTERSECTORIAL

Equipo encargado de la Equipo encargado de la

Trae como consecuencia la aparición de nuevos
Defensa del país en el Seguridad ciudadana
retos, amenazas y riesgos de seguridad, para los
cuales se requiere de sistemas integrales y eficaces ciberespacio en el ciberespacio
de seguridad con el fin de prevenirlos, mitigarlos,
enfrentarlos y neutralizarlos.
 MARCO LEGAL
Se requiere la construcción de un entorno digital seguro, como elemento clave para que sea
confiable, y que esté acorde con el aumento y dinamismo de las actividades digitales
CONPES 3995 de 2020

FORTALECIMIENTO DE CAPACIDADES EN SEGURIDAD DIGITAL.

Ley 527 de 1999. Ley 594 de 2000. Ley 679 de 2001. Ley 962 de 2005. Ley 1150 de 2007.
Validez jurídica y probatoria Ley general de archivos. Contra la pornografía infantil. Simplificación y Seguridad de la información
de la información electrónica Criterios de seguridad Responsabilidades racionalización de trámite. electrónica en la contratación
en línea

Ley 1266 de 2008. Ley 1341 de 2009. Ley 1273 de 2009. Ley 1437 de 2011. Ley 1480 de 2011.
Delitos informáticos y protección Tecnologías de información Ley contra delitos Procedimiento administrativo y Protección al consumidor por
del bien jurídico tutelado que aplicación de criterios medios electrónicos. Seguridad
y aplicación de seguridad informáticos
es la información de seguridad en las transacciones electrónicas

Ley 019 de 2012. Ley 1581 de 2012. Ley 1623 de 2013. Ley 1712 de 2014. Ley 1915 de 2019.
Racionalización de trámites a Ley estatutaria de protección Ley de inteligencia. Transparencia de acceso Disposiciones en materia
través de medios electrónicos. de datos personales Criterios de Seguridad a la información pública de derechos de autor y
Criterio de seguridad derechos conexos

MARCO REGLAMENTARIO
Decreto 2364 de 2012.
Firma electrónica
Decreto 1377 de 2013. Decreto 1510 de 2013. Decreto 333 de 2014.
Decreto 2609 de 2012. Decreto 2693 de 2012.
Protección de datos Contratación pública Entidades de certificación
Expediente electrónico Gobierno electrónico

CONPES 3995
personales electrónica digital

NORMAS ISO
Política nacional de confianza y seguridad digital
Tiene como objetivo establecer medidas para ampliar la confianza digital y
ISO 27000 ISO 27001 ISO 31000
mejorar la seguridad digital de manera que Colombia sea una sociedad
incluyente y competitiva en el futuro digital.
Fases de Implementación de la Política
de Seguridad Digital
¨La ciberseguridad participa en la mejora de los procesos y calidad final de todos los servicios¨
Víctor Calvo

Según la guía de elaboración de la política general de seguridad y Una política no es mas que un conjunto de principios que una

privacidad de la información del MinTic para las entidades y empresa se compromete a cumplir. Se fundamenta en reglas y

empresas es de mucha importancia contar con políticas de directrices básicas sobre el comportamiento y el procedimiento

seguridad que orienten el comportamiento de los funcionarios, adecuado que se espera de sus empleados. En ella, se dan los

empleados y contratistas con respecto a la información recopilada, lineamientos por los que se debe regir la empresa

procesada, generada y difundida. De igual forma, estas políticas se

basan en las buenas prácticas del tratamiento de la seguridad y se

basan en los requisitos legales que debe cumplir la entidad o la

empresa.
A través de una política de seguridad digital se proponen víctimas de ataques cibernéticos. Un estudio de la OEA-Symantec

estrategias que aporten a solucionar problemas, generar reveló que las pequeñas y medianas empresas se están

diagnósticos oportunos y comparar diferentes escenarios, que convirtiendo en un área de amenaza importante, en la que está

ayuden a prevenir, mitigar y afrontar los riesgos provenientes del creciendo rápidamente el número de incidentes.

ciberespacio, así como para generar confianza entre empleados, Para la debida implementación de una política de seguridad de

clientes y proveedores. información se requiere el cumplimiento de una serie de pasos

básicos, los cuales buscan que la empresa desarrolle, apruebe,

A pesar de que muchas micro, pequeñas y medianas empresas implemente y socialice su contenido por parte de empleadores,

consideran que son insignificantes para ser blanco de empleados, contratistas y clientes.

cibercriminales, por lo que la elaboración de este tipo de políticas

la consideran engorrosa e innecesaria, se encuentran muy

equivocadas. De hecho, la mayoría de estas empresas han sido

Desarrollo de Políticas
Si bien es cierto que las nuevas tecnologías con inteligencia artificial la directrices y procedimientos a seguir por parte de todos los empleados y

contribuyen a identificar el comportamiento de los usuarios, deducir contratistas de las empresas.

patrones e identificar irregularidades en la red, información valiosa para Se determina el área o personas responsables en su creación,

mitigar amenazas desde el ciberespacio, para el buen uso de estas estructuración, revisión y aprobación para la cual se debe:

herramientas digitales se requiere de políticas, estrategías, recursos • Justificar la política. Por qué se necesita una política de seguridad de

robustos de ciberseguridad que blinden su empleo, la información y datos información en la empresa

que circulan a través del ciberespacio. La mejor estrategia de • Alcance. La política va dirigida a que personal, áreas y/o procesos?

ciberseguridad es aquella que se anticipa a posibles incidentes, por lo que • Roles y Responsabilidades. Quienes la elaboran, quienes la aplican,

una buena implementación de la misma requiere un conocimiento quienes responden, quienes la supervisan?

profundo de amenazas, vulnerabilidades propias y factores desconocidos. • Revisión de la política. Se verifica su redacción y se evalúa su aplicabilidad

Así las cosas, hoy día y mañana más que nunca las tecnologías de dentro de la empresa. Así mismo, se efectúan recomendaciones sobre la

información y la ciberseguridad serán interdependientes la una de la otra. misma.

Las políticas de seguridad de información son muy importantes dentro del • Aprobación. La alta dirección la formaliza dentro de la empresa

sistema de gestión de seguridad de la información ya que estipulan todas firmándola y publicándola

Cumplimiento
La política escrita debe estar implementada dentro de la empresa y relacionada a los controles de seguridad de la información.

Comunicación
Durante este paso se da a conocer la política a todo el personal de la empresa, contratistas y clientes. De una buena comunicación y

difusión depende la interiorización por parte de los usuarios y su debido cumplimiento. De igual manera, se requiere de un proceso de

realimentación con el fin de poder determinar que tan efectiva esta siendo la política.

Monitoreo
Las políticas deben ser revisadas periódicamente para ver si están siendo efectivas, si son de conocimiento de los trabajadores a quienes

les atañe y si requieren o no de actualizaciones de acuerdo a la variación del contexto.

Mantenimiento
Una vez monitoreada, durante este paso se efectúan las actualizaciones y ajustes pertinentes.

Retiro
Paso durante el cual se deroga, por expresa autorización de la alta dirección, una política de seguridad debido a que se encuentra

desactualizada, ya no es pertinente o porque se promulgó una nueva actualización de la misma. Este paso debe ser debidamente

documentado dentro de la empresa.

Organización de la Seguridad de la Información
¨No estamos en una era de cambios, sino en un cambio de era caracterizado por la digitalización¨
Bernardo Crespo
La política de seguridad tiene como fin el establecer el comité directivo de la seguridad de la información. Mencionado comité debe:

• Determinar quienes conforman el Comité de Seguridad de la información de la empresa

• Especificar los objetivos del Comité de Seguridad.

• Dar las directrices respectivas en el sentido que el Comité de seguridad de la información sea el encargado de supervisar el cumplimiento

de las políticas de seguridad

Gestión de Activos
En este sentido se imparten todas las directrices relacionadas con Toda política relacionada con la debida gestión de activos de

los limites y procedimientos que todos los empleados deben tener información debe tener en cuenta como mínimo:

en cuenta con respecto al identificación, uso, tratamiento y • Identificación de Activos. La política debe determinar la frecuencia

responsabilidades con respecto a los activos de información. con la que la empresa realiza o actualiza sus inventarios

relacionados con los activos de información determinando quién

Entendiéndose por Activos de Información la construcción de un es el directo responsable por cada activo. De igual manera quién

inventario y clasificación de los activos que posee la entidad de responde por dicha actividad y quién la supervisa.

acuerdo con la Política General de Seguridad y Privacidad de la

información, la cual determina que activos posee la entidad, cómo • Clasificación de Activos. Se establece de acuerdo a la criticidad,

deben ser utilizados, así como los roles y responsabilidades que sensibilidad y reserva de los activos. Para esto se deben

tienen los funcionarios sobre los mismos. (MinTic-2019) contemplar las leyes y normas que deba contemplar la empresa

en su normal y debido funcionamiento.

• Etiquetar la Información. Esta política da las directrices a seguir respecto algunas empresas deciden bloquear los puertos y

en el debido rotulamiento de los activos de información de la lectores evitar su uso por parte de los empleados y usuarios, si se

empresa. Establece el procedimiento y los directos responsables. tiene en cuenta que a través de medios removibles es que se

produce la mayor fuga de información.

• Devolución de los Activos. Mediante esta política se fija el

instrumento de cumplimiento obligado para que todos los • Disposición de los Activos. Esta política busca determinar los

empleados, contratista y terceros entreguen a la mayor brevedad procedimientos seguros, así como los directos responsables en

los activos de información que tenían asignados, una vez materia de destrucción, traslado, retiro o re uso de un activo.

finalizado su contrato con la empresa. Empresas que manejan Incluye los dispositivos móviles.

información muy sensible, también contemplan esta devolución

mientras los empleados se encuentren de vacaciones. • Gestión de Dispositivos Móviles. Con esta política la empresa

emite las debidas autorizaciones a empleados, clientes y

• Gestión de medios removibles. Esta política determina todos los contratistas en lo que respecta al uso y empleo de dispositivos

permisos y autorizaciones requeridas para que empleados y móviles corporativos y personales. Empresas con tratamiento de

personal autorizado puedan hacer uso de medios removibles. USB, información delicada y sensible se abstiene de dar este tipo de

discos duros movibles, CDs, etc. Con el fin de extremar medidas al autorizaciones para dispositivos personales.
Control de Acceso
Mediante estas políticas se determinan todas las directrices que una empresa sistemas de gestión de la información.

implementa en los mecanismos de protección, los límites y procedimientos en • Gestión de contraseñas. Mediante este documento se informa a todos los

cuanto a la administración y responsabilidades que tienen que ver con los usuarios de la red las características que debe poseer una contraseña robusta,

accesos de información, independientemente de que sean digitales o físicos. cómo cambiarla periódicamente para incrementar los niveles de seguridad y

Este tipo de políticas deben relacionar: como poder restaurarla en caso de olvido o fallas en el sistema.

• Autorizaciones con usuario y contraseña. Esta política plasma los directos • Perímetros de seguridad. Con esta política se busca dar las directrices claras en

esponsables y la manera como se autoriza la creación, cambios, suspensión y el sentido de que personas tienen autorización a áreas o dependencias de la

retiro de usuarios con sus respectivas contraseñas. En ella deben quedar empresa donde se procese y almacene información confidencial. De igual

claramente enunciadas las responsabilidades que tiene el personal al que se le manera debe definir quién es el responsable de emitir esas autorizaciones y

ha asignado usuarios y contraseñas empresariales. Es importante resaltar que quién de verificar su debido cumplimiento.

su uso es intransferible. • Áreas de carga. Define los lugares y dependencias de la empresa donde se

• Suministro de control de acceso. En este documento se deben especificar los puede realizar despacho y carga de documentos con información, con el fin de

procedimientos requeridos en la empresa para la debida gestión en la evitar el acceso no autorizado a zonas restringidas de la empresa. Como en

asignación, modificación y revocación de privilegios de los usuarios. En ella todas las políticas debe establecer el personal responsable de ejecutar y

también se deben especificar aquellos privilegios con mayores niveles de supervisarla.

seguridad encargados de la administración de la infraestructura, aplicaciones y

No Repudio
El objetivo de esta política es impedir que los usuarios del sistema eviten o se excusen de haber realizado algún tipo de acción en los

sistemas de la empresa. El debido seguimiento de las acciones demuestra la participación de las partes en una acción y/o comunicación.

En toda comunicación, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio: a) No repudio en origen:

garantiza que la persona que envía el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío.

b) No repudio en destino: El receptor no puede negar que recibió el mensaje, porque el emisor tiene pruebas de la recepción del mismo. La

debida implementación de esta política incrementa la confianza entre las partes en las comunicaciones
La política de no repudio debe contar por lo menos con: • Auditoría. Esta política busca la realización de las debidas

auditorias cuando se presenten inconsistencias o algunas de las

• Trazabilidad. Se entiende como trazabilidad una serie de partes involucradas en el tratamiento de información nieguen

procedimientos que permiten rastrear el proceso de evolución de haber cometido alguna acción. Buscando con ello que la auditoría

un producto en cada una de sus etapas. Desde el punto de vista mantenga y confirme la consecución de los objetivos tradicionales

de seguridad digital hace referencia al seguimiento detallado de de toda auditoría, que son la protección de activos e integridad de

todas aquellas acciones desde la creación, origen, envío y datos y la gestión de protección de activos, de manera eficaz y

recepción de información. eficiente.

• Retención. Mediante esta política se le informa a los usuarios del • Intercambio electrónico de información. El Intercambio electrónico

sistema durante cuanto tiempo pueden retener y/o almacenar la de datos (EDI) es la comunicación entre empresas de documentos

información para su uso. de negocios en un formato estándar. Con EDI, la información va

directamente de una aplicación de computadora de una

organización a una aplicación de otra.

Privacidad y Confidencialidad
¨No vamos a pedir a nuestros clientes que hagan un equilibrio entre privacidad y seguridad. Tenemos que ofrecerles lo mejor de ambos.
En última instancia, proteger los datos de otra persona es proteger a todos nosotros¨
Tim Cook
En ella se plasman las directrices para el tratamiento de la empresa, a no ser de que exista una autorización expresa. El

información y la debida protección de datos personales de acuerdo de confidencialidad debe tener una fecha de inicio así

acuerdo al marco legal y normatividad vigente. Esta política hace como la vigencia del mismo.

referencia a los datos de carácter personal que se poseen y Esta política debe contemplar:

obtienen de todos los usuarios del sistema que los identifican • Ámbito de aplicación

como personas físicas. • Excepciones al ámbito de aplicación de las políticas EDI

• Principios del tratamiento de datos

La política debe contemplar la firma de un acuerdo de • Derechos de los titulares

confidencialidad mediante el cual se estipula a los empleados y • Autorización del titular

contratistas la no divulgación, bajo ninguna circunstancia y por • Deberes de los responsables del tratamiento

ningún medio de difusión de cualquier tipo de información de la • Controles de tratamientos criptográficos

Integridad
La integridad hace referencia a que la información y sus métodos de procesamiento deben ser completos y exactos. En otras palabras

determina que el tratamiento de la información sea preciso, coherente y completo desde el proceso de la recolección hasta su destrucción

autorizada.

Con esta política se establecen las directrices empresariales para el tratamiento integral de todo tipo de información por parte de los

empleados, contratistas y personal externo autorizado por la empresa para acceder a algún tipo de información.
Disponibilidad del Servicio de la Información
El implemento de esta política es muy importante con el fin de • Interrupciones. En esta parte se estipulan los mantenimientos

determinar roles y responsabilidades en caso de que un incidente requeridos del sistema y periodicidad de los mismos con el fin de

cibernético que afecte a la empresa. En ella se deben dar las evitar una afectación muy grande.

directrices pertinentes con el fin de asegurar, recuperar y restablecer • Acuerdos de nivel de servicio.

en el menor tiempo la disponibilidad de los procesos que soportan el • Segregación de ambientes. Busca compartimentar los procesos en

SGSI de la empresa. los cuales se generen cambios y nuevos desarrollos, con el propósito

de disminuir impactos negativos que puedan presentar durante su

Esta política debe contar por lo menos con estos aspectos: implementación.

• Gestión de cambios. En la política de debe establecer como se

• Niveles de disponibilidad. Mediante esta política se establece el realizan los cambios de tal forma que afecten lo mas mínimo la

cumplimiento de los niveles de disponibilidad de los servicios de disponibilidad del sistema y que al realizarlos se lleven a cabo bajo

información entre clientes, empleados y proveedores. condiciones controladas.

• Planes de recuperación. Debe establecer cuales son los planes de

ecuperación de acuerdo a prioridades de la empresa

Registro y Auditoría
Con la implementación de esta política se busca poder contar con • Normatividad. Las auditorías en la empresa deben ser ejecutadas

todas las evidencias y registros relacionados con el uso, actividad acuerdo a las normas vigentes y requerimientos legales.

y empleo de los activos de información. • Garantías de cumplimiento. Esta política debe velar por la

adecuada evaluación de controles, el buen funcionamiento de los

En esta política se debe relacionar: sistemas y el debido cumplimiento de las políticas y procesos de la

empresa.

• Responsabilidad. En ella se plasma la responsabilidad de realizar • Periodicidad. Con esta política se dan las directrices para efectuar

de forma periódica auditorias a los sistemas y actividades que con frecuencia la verificación de los niveles de riesgos de la

tienen que ver con la gestión de activos de la información. empresa.

• Almacenamiento de registros. Esta política debe relacionar el

debido almacenamiento de las copias de seguridad.

Gestión de Incidentes de Seguridad
de la Información
La capacidad de toda empresa para diseñar e implementar controles bajo modelos de evaluación de riesgos mal diseñados

marcos de seguridad de información digital efectivos inician con la desde un principio.

comprensión detallada del entorno de riesgo y la disponibilidad de Las empresas deben emitir una política general de gestión de

recursos necesarios para mitigarlos. Toda empresa debe iniciar eventos, incidentes y vulnerabilidades de la información, para

con una auto evaluación de los riesgos y amenazas que la conocimiento de todos los usuarios que tienen algún tipo de

acechan en su entorno. De pronto, dos de los mayores riesgos acceso a los sistemas de información. En ella se deben recopilar,

digitales que afronta una empresa hoy en día son la de evaluar, priorizar, mitigar e informar los principales riesgos para la

considerarse infranqueable y el implementar sus actividades y empresa

En su elaboración se debe tener en cuenta: • Documentación. Se debe relacionar toda la documentación que

• Aprobación de la alta dirección. se requiere, quién la elabora, quién la conoce y quién la custodia.

• Visión general. Qué reportar, a quién y por qué medios se deben • Descripción del equipo que atenderá los incidentes. Se explica

efectuar los reportes? como esta compuesta la estructura general para la gestión de los

• Definir responsables. Quienes son los responsables de gestionar incidentes y vulnerabilidades de seguridad.

los eventos? • Aspectos legales. En esta política se deben enunciar todos los

• Actividades. Acá se explica en que consiste el proceso desde su temas legales que deben ser contemplados y a los que se les debe

reporte inicial hasta que es solucionado. dar cumplimiento.

Sensibilización en la Seguridad de
la Información
La cultura organizacional de las empresas debe difundirse desde La política de sensibilización debe contener instrucciones

la alta gerencia hasta el último de los empleados por lo que es de documentadas que indiquen la forma de procesar, administrar y

entera responsabilidad de las juntas y gerentes adoptar enfoques proteger los activos de información de la empresas. La

dinámicos hacia la ciberseguridad, responsabilizando sensibilización tiene como objetivo impactar a los empleados,

directamente a los gerentes de su implementación y supervisión, y contratistas y/o terceros para que utilicen estrategias en el manejo

así dar a entender al resto de la organización la relevancia del de la información de acuerdo a las funciones específicas a su

tema. Posteriormente, se requiere la implementación de cargo. Con esta política se busca disminuir las vulnerabilidades y

estructuras de gobierno efectivas para interiorizar esa cultura y amenazas relacionadas con el desconocimiento y/o mas uso de

velar que la empresa interiorice adecuadamente la gestión de los los sistemas por parte del talento humano.

riesgos.
Se requiere de por lo menos los siguientes elementos en su elaboración:

• Compromiso de la alta dirección

• A qué personal se debe capacitar y re entrenar?

• Directrices de obligatorio cumplimiento para que los usuarios atiendan las capacitaciones programadas.

• Establecer los compromisos que adquieren los usuarios capacitados

 ROLES Y FUNCIONES
Responsables
Las Juntas directivas y gerentes deben entender que es
responsabilidad de ellos la generación de estrategias y
políticas de ciberseguridad que desciendan hacia todos

CEO
niveles de sus equipos de trabajo.
Implementación de un sistema de seguridad de información en una empresa es el
diseño de su organigrama funcional donde se establezcan claramente las funciones Chief Executive
Conformación del Grupo de Officer
Gestión de la Empresa y responsabilidades de cada cargo en la jerarquía
Las empresas deben determinar el equipo de gestión de proyectos de
seguridad digital, el cual se encarga de efectuar el planeamiento,
implementación y seguimiento de todo lo pertinente.
CISO
Chief information
security Officer

Perfiles y sus
Responsabilidades
CIO
Chief information
El perfil de los trabajadores permite poder
Officer
definir los permisos a que tienen derecho

CSO
un grupo de usuarios.

Chieff Security
Comité de Seguridad Officer
Cuerpo integrado por representantes

CTO
de todas las áreas sustantivas de la
organización, destinado a garantizar
el apoyo de las autoridades a
iniciativas de seguridad.
Chief Technology
Officer

EQUIPO DE Personal
de seguridad Representantes Representantes
de control
Representante
Representante
de sistemas de Un asesor
Contemplar
cuando sea
posible la

PROYECTO
de la de TI de planeación gestión de jurídico
interno participación
información. calidad
de terceros
TALLER
Implementación de Gobierno TI. Revista bitácora académica – USFQ, Octubre 2018, Vol2, Nr 1

Manuel de Supervisión de Riesgos Cibernéticos. OEA. 2019 https://www.oas.org/es/sms/cicte/docs/ESP-Manual-de-Supervision-de-riesgos-ciberneticos-para-juntas-coporativas.pdf

Agenda estratégica de innovación: Ciberseguridad. MinTic 2014. https://www.mintic.gov.co/portal/inicio/Micrositios/I+D+I/Nodos/6120:Ciberseguridad

Detectan mas de 4.500 millones de intentos ciberataques en Colombia. El Espectador https://www-elespectador-com.cdn.ampproject.org/-

c/s/www.elespectador.com/noticias/tecnologia/detectan-mas-de-5400-millones-de-intentos-de-ciberataques-en-colombia/?outputType=amp

Jairo Andrés Cáceres García. Colombia, estaryegia nacional en ciberseguridad y ciberdefensa. https://www.airuniversity.af.edu/Portals/10/ASPJ_Spanish/Jour-

nals/Volume-29_Issue-1/2017_1_09_caceres_s.pdf

Moisés J. Schwartz. Ciberseguridad. Riesgos, avances y el camino a seguir en América Latina y el Caribe. Reporte de ciberseguridad 2020. OEA, BID

Manuel de Supervisión de Riesgos Cibernéticos. OEA. 2019 https://www.oas.org/es/sms/cicte/docs/ESP-Manual-de-Supervision-de-riesgos-ciberneticos-para-juntas-coporativas.pdf

Sven Mikser.La necesidad de una respuesta armonizada a las amenazas de ciberseguridad: El camino a Seguir. 2020

https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf

OCDE (Organización para la Cooperación y el Desarrollo Económicos). 2019. Shaping the Digital Transformation in Latin America: Strengthening Productivity, Improving Lives. París: Publicacio-

nes de la OCDE. Consultado el 6 de julio de 2020 en https://doi.org/10.1787/8bb3c9f1-en.

Resolución 512 MinTic 14 de marzo de 2019

https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf
TALLER
Manuel de Supervisión de Riesgos Cibernéticos. OEA. 2019 https://www.oas.org/es/sms/cicte/docs/ESP-Manual-de-Supervision-de-riesgos-ciberneticos-para-juntas-coporativas.pdf

https://www.emprendepyme.net/que-son-las-politicas-de-una-empresa.html

https://www.broadcom.com/404-symantec

German Afanador Ceballos. Consideraciones en el empleo de la inteligencia artificial. Mayo 2020

Objetivos de la seguridad informática. Wordpress. 2013. https://infosegur.wordpress.com/tag/no-repudio/

Intercambio electrónico de datos. IBM. https://www.ibm.com/co-es/supply-chain/edi-electronic-data-interchange

MITTA. Política de confidencialidad. https://www.mitta.cl/politica-de-confidencialidad/

Roles y responsabilidades. MinTic. https://www.mintic.gov.co/gestionti/615/articles-5482_G4_Roles_responsabilidades.pdf

Germán Afanador Ceballos. El mundo no esta preparado para una ciberpandemia. Julio 2020

Definición Perfiles de Seguridad. ContaPyme. https://www.contapyme.com/definicion-perfiles-seguridad

CEO, CISO, CIO… Roles en ciberseguridad?. INCIBE. https://www.incibe.es/protege-tu-empresa/blog/ceo-ciso-cio-roles-ciberseguridad

Carlos Solís Salazar. Qué es el comité de seguridad de la información? https://www.soysoliscarlos.com/que-es-el-comite-de-seguridad-de-la-informacion/