Documentos de Académico
Documentos de Profesional
Documentos de Cultura
“La primera tarea a realizar es identificar los puntos críticos de la empresa, manejo de información
que tienen los empleados de acuerdo a su jerarquía y los activos de información mas importantes
para el funcionamiento de la compañía. Seguidamente, se debe decidir cual es nivel de seguridad
que se busca implementar teniendo como referencia el plan estratégico, características propias de la
empresa, líneas de negocio, entre otros
Habiendo realizado los dos pasos anteriores se habrán podido identificar los riesgos que inciden en
la empresa.”
Taller 1
Elaborar la política general de seguridad de la información para la entidad de cada uno de los que
participan en este curso, de forma que al terminar el taller, deben tener esta política esbozada y para
que el paso siguiente sea darla a conocer a la parte legal o jurídica si la hay y una vez pase este
filtro, se solicitará reunión con el gerente, director o el cargo que tenga equivalente en la entidad,
para mostrar el por qué se hace necesaria esta política y que tenga el apoyo y/o compromiso de la
alta gerencia: (acuerdo modelo de Mintic).
Esta política, es muy básica, no necesita que sea de más de dos hojas (preferiblemente) y debe ser
bien enfocada a lo que hace cada EMPRESA, por lo cual el taller consiste que cada participante
relacione la información que se va a dar para poder adoptar alguno de los dos modelos que emitió el
Mintic para su elaboración.
El tener este documento firmado, por la alta dirección, es un gran paso para la entidad en términos
de seguridad de la información y da paso a que desde arriba se tenga el compromiso para apoyar la
implementación y la consecución de los recursos.
Antes de iniciar con el desarrollo de la Política, en el curso se evidenció el por qué y para que se
debe desarrollar esta política y en la cual como se ha mencionado, se debe tener el apoyo de la alta
dirección, por ello es importante presentarles la siguiente información:
Qué es la información?
La información es un activo, y en una entidad púbica y privada debe considerarse un recurso con el
que cuenta la organización y que tiene un valor, y al tener un valor igual que los demás activos
deben estar protegidos debidamente.
Aquí cada uno de los asistentes debe tener claro la manera como debe explicar el termino
Información y el porque debe estar protegido
Pero contra qué se debe proteger?
Esta pregunta, es normal que la realice la alta dirección de la empresa o el área de planeación.
Muchos estudios indican que varias empresas ven esta politica y lo relacionado con seguridad
digital como mas gastos que se podrían ahorrar.
y puede seguirse relacionando muchas más que se presentan como amenazas al tratamiendo debido
de la información
● El tener todo en la Web, no indica que todo este con las últimas versiones que se tengan en
los servidores y aplicaciones. Normalmente, se tercerizan estos servicios y no se contrata
su mantenimiento hasta que se origina un error.
● Cada día los “Malos – Krakes”, crean nuevos procedimientos o encuentran nuevos huecos
de seguridad para atacar a las entidades. Aquí cada participante debe identificar si han
existido en su entidad violaciones o ocurrencias en seguridad que se hayan presentando.
● Falta de cultura informática. En este item, se mostrará con un ejemplo de ingeniería social
como puede llegarse a información sensible de la entidad. Ejemplos hay muchos, desde la
señora de los tintos que al hacerle la charla al empleado mira las claves que utiliza o donde
las guarda, o la persona que se hace amigo de un empleado y ve que en la billetera guardo
los token de ingreso al sistema contable,…
Con todo esto, se aprecian vulnerabilidades, las cuales se dan por :
● Ausencia del compromiso de la dirección, (se cree que seguridad digital es solo TI, PC y
servidores)
● Y una lista larga de ausencias. Aquí los participantes deben preguntarse cuales pueden ser
esas vulnerabilidad que se dan en sus empresas
Son las reglas y procedimientos que regulan la forma en que la entidad previene, protege y maneja
los riesgos de diferentes daños. Aquí el participante, debe identificar la política o normas básicas de
seguridad física que tiene la entidad en la cual trabaja.
Deben ser aceptadas, para ello deben integrarse a las estrategias de la empresa, incorporándolas a
la misión y visión. De forma que quienes toman las decisiones tengan en cuenta y reconozcan la
importancia e incidencias en la planeación y gastos de la entidad.
A continuación se relacionan dos modelos que pueden adaptarse a cada una de las empresas.
La siguiente es una relación de como debe estar estructurado y lo mínimo que debe tener este
documento:
● Se debe establecer quién está autorizado a acceder a qué tipo de información y señala los
estándares y reglas que se van a adoptar y qué tipo de medidas de seguridad serán
necesarias.
● Se debe definir que se va a proteger, de quién, qué y por qué?
● Establecer las pautas de actuación ante posibles problemas o situaciones presentadas.
● Establece las responsabilidades. (aquí es donde se involucra a la dirección en la entidad
para que apoye en la implementación, contar con personal capacitado y en los presupuestos
que se necesitan)
Guía o Referencia a seguir de la Política
Todas las empresas son diferentes, por lo que como se ununcia no es mas que una referencia que
empresarios deben adaptar y acomodar a sus requerimientos.
● Objetivos
● Alcance
● Políticas específicas
● Responsabilidades
● Revisión
Este documento, debe ir acuerdo el formato establecido por el modelo de calidad de la empresa,
donde se identifique el control de la versión de quien lo revisa y quien lo aprueba.