Taller Práctico Conferencia Políticas Seguridad Digital

Para uso académico y de capacitación

Generar la política de seguridad de la información.

“La primera tarea a realizar es identificar los puntos críticos de la empresa, manejo de información
que tienen los empleados de acuerdo a su jerarquía y los activos de información mas importantes
para el funcionamiento de la compañía. Seguidamente, se debe decidir cual es nivel de seguridad
que se busca implementar teniendo como referencia el plan estratégico, características propias de la
empresa, líneas de negocio, entre otros

Habiendo realizado los dos pasos anteriores se habrán podido identificar los riesgos que inciden en
la empresa.”

Taller 1

Elaborar la política general de seguridad de la información para la entidad de cada uno de los que
participan en este curso, de forma que al terminar el taller, deben tener esta política esbozada y para
que el paso siguiente sea darla a conocer a la parte legal o jurídica si la hay y una vez pase este
filtro, se solicitará reunión con el gerente, director o el cargo que tenga equivalente en la entidad,
para mostrar el por qué se hace necesaria esta política y que tenga el apoyo y/o compromiso de la
alta gerencia: (acuerdo modelo de Mintic).

Esta política, es muy básica, no necesita que sea de más de dos hojas (preferiblemente) y debe ser
bien enfocada a lo que hace cada EMPRESA, por lo cual el taller consiste que cada participante
relacione la información que se va a dar para poder adoptar alguno de los dos modelos que emitió el
Mintic para su elaboración.

El tener este documento firmado, por la alta dirección, es un gran paso para la entidad en términos
de seguridad de la información y da paso a que desde arriba se tenga el compromiso para apoyar la
implementación y la consecución de los recursos.

Antes de iniciar con el desarrollo de la Política, en el curso se evidenció el por qué y para que se
debe desarrollar esta política y en la cual como se ha mencionado, se debe tener el apoyo de la alta
dirección, por ello es importante presentarles la siguiente información:

Como se ha visto en los anteriores cursos y en este, la información se ha convertido en un activo

importante para cualquier empresa, en especial para las públicas, desde la mas grande hasta las que
manejan y cumplen una sola función. Es por ello que al presentar a la dirección la política se debe
iniciar con lo básico sin ser técnicos:

Qué es la información?

La información es un activo, y en una entidad púbica y privada debe considerarse un recurso con el
que cuenta la organización y que tiene un valor, y al tener un valor igual que los demás activos
deben estar protegidos debidamente.

Aquí cada uno de los asistentes debe tener claro la manera como debe explicar el termino
Información y el porque debe estar protegido
Pero contra qué se debe proteger?

Esta pregunta, es normal que la realice la alta dirección de la empresa o el área de planeación.
Muchos estudios indican que varias empresas ven esta politica y lo relacionado con seguridad
digital como mas gastos que se podrían ahorrar.

Sin embargo, es conveniente que se muestre a que se enfrenta la organización o empresa si no se

tiene una política del manejo a la información:

Acceso clandestino a redes, Botnets

Interceptación, modificación de correos electrónicos Extorción

Incumplimiento de leyes y regulaciones nacionales e internacionales

Interrupción de servicios Robo de propiedad de la información

Interceptaciones a las comunicaciones

Falsificación de soportes de la entidad para terceros Ingeniería social

Empleados corruptos Violación de contraseñas Virus

y puede seguirse relacionando muchas más que se presentan como amenazas al tratamiendo debido
de la información

Pero por qué aumentan las amenazas?

● Gran uso de los medios informáticos y un crecimiento exponencial de redes y usuarios

conectados, ahora más, con la pandemia que afecto a todo el planeta, dándose una
dependencia a esta interconectividad.

● Al aumentar el teletrabajo y la conectividad desde cualquier punto, se da un aumento de las

bases de datos en la WEB.

● El tener todo en la Web, no indica que todo este con las últimas versiones que se tengan en
los servidores y aplicaciones. Normalmente, se tercerizan estos servicios y no se contrata
su mantenimiento hasta que se origina un error.

● Cada día los “Malos – Krakes”, crean nuevos procedimientos o encuentran nuevos huecos
de seguridad para atacar a las entidades. Aquí cada participante debe identificar si han
existido en su entidad violaciones o ocurrencias en seguridad que se hayan presentando.

● Falta de cultura informática. En este item, se mostrará con un ejemplo de ingeniería social
como puede llegarse a información sensible de la entidad. Ejemplos hay muchos, desde la
señora de los tintos que al hacerle la charla al empleado mira las claves que utiliza o donde
las guarda, o la persona que se hace amigo de un empleado y ve que en la billetera guardo
los token de ingreso al sistema contable,…
Con todo esto, se aprecian vulnerabilidades, las cuales se dan por :

● Ausencia del compromiso de la dirección, (se cree que seguridad digital es solo TI, PC y
servidores)

● La parte técnica no esta adecuadamente capacitada y experimentada

● No se da una relación de funciones adecuadas

● Ausencia de políticas y procedimientos, controles

● Y una lista larga de ausencias. Aquí los participantes deben preguntarse cuales pueden ser
esas vulnerabilidad que se dan en sus empresas

A que debemos llegar con la política de seguridad de la información?

● Prevenir divulgación no autorizada de información de la entidad

● Prevenir cambios en los activos de la información de la entidad

● Tener validez que la información que se tienen almacenada es verídica

● Tener la facultad de poder tener autenticidad de quien manipula la información, teniendo su

trazabilidad y no repudio.

Qué entender por Política de Seguridad Digital en una empresa?

Son las reglas y procedimientos que regulan la forma en que la entidad previene, protege y maneja
los riesgos de diferentes daños. Aquí el participante, debe identificar la política o normas básicas de
seguridad física que tiene la entidad en la cual trabaja.

Por qué tiene éxito una política?

Deben ser aceptadas, para ello deben integrarse a las estrategias de la empresa, incorporándolas a
la misión y visión. De forma que quienes toman las decisiones tengan en cuenta y reconozcan la
importancia e incidencias en la planeación y gastos de la entidad.

A continuación se relacionan dos modelos que pueden adaptarse a cada una de las empresas.

La siguiente es una relación de como debe estar estructurado y lo mínimo que debe tener este
documento:

● Se debe establecer quién está autorizado a acceder a qué tipo de información y señala los
estándares y reglas que se van a adoptar y qué tipo de medidas de seguridad serán
necesarias.
● Se debe definir que se va a proteger, de quién, qué y por qué?
● Establecer las pautas de actuación ante posibles problemas o situaciones presentadas.
● Establece las responsabilidades. (aquí es donde se involucra a la dirección en la entidad
para que apoye en la implementación, contar con personal capacitado y en los presupuestos
que se necesitan)
Guía o Referencia a seguir de la Política

Todas las empresas son diferentes, por lo que como se ununcia no es mas que una referencia que
empresarios deben adaptar y acomodar a sus requerimientos.

● Objetivos

● Alcance

● Políticas específicas

● Responsabilidades

● Revisión

Este documento, debe ir acuerdo el formato establecido por el modelo de calidad de la empresa,
donde se identifique el control de la versión de quien lo revisa y quien lo aprueba.

No conocer una ley no exime de su cumplimiento

Una política de seguridad debe garantizar el cumplimiento de la legislación

vigente y mantenerse actualizada conforme a la misma.

Texto guía o referente para la elaboración de la política general de seguridad de la

información

La dirección de NOMBRE DE LA ENTIDAD, entendiendo la importancia de una adecuada gestión

de la información, se ha comprometido con la implementación de un sistema de gestión de
seguridad de la información buscando establecer un marco de confianza en el ejercicio de sus
deberes con el Estado y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes y
en concordancia con la misión y visión de la entidad.

Para NOMBRE DE LA ENTIDAD, la protección de la información busca la disminución del

impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto
de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la
disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés
identificados. De acuerdo con lo anterior, esta política aplica a la Entidad según como se defina en
el alcance, sus funcionarios, terceros, aprendices, practicantes, proveedores y la ciudadanía en
general, teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o
toma de decisiones alrededor del SGSI estarán determinadas por las siguientes premisas:

¬ Minimizar el riesgo en las funciones más importantes de la entidad.

¬ Cumplir con los principios de seguridad de la información.

¬ Cumplir con los principios de la función administrativa.

¬ Mantener la confianza de sus clientes, socios y empleados.

¬ Apoyar la innovación tecnológica.

¬ Proteger los activos tecnológicos.

¬ Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.

Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices,

practicantes y clientes de NOMBRE DE LA ENTIDAD
¬ Garantizar la continuidad del negocio frente a incidentes.
¬ NOMBRE DE LA EMPRESA ha decidido definir, implementar, operar y mejorar de forma
continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros
alineados a las necesidades del negocio, y a los requerimientos regulatorios.
incluir la descripción general de otras políticas relevantes para el cumplimiento de los Objetivos
planteados dentro del proyecto del SGSI ya que éstas son el apoyo sobre el cual se desarrolla; éstas
deben ser descritas de forma sencilla, puntual y muy efectiva. Dentro de las temáticas que se tocan
en este punto se encuentran por ejemplo la gestión de activos, seguridad física y ambiental, control
de accesos, etc. Para abordar este punto es necesario remitirse a la “Guía de políticas específicas de
seguridad y privacidad de la información” y mencionar aquellas que la empresa haya establecido
como necesarias y primordiales. De esta forma se presenta el siguiente ejemplo:
A continuación se establecen 12 principios de seguridad que soportan el SGSI de NOMBRE DE LA
EMPRESA:
• Las responsabilidades frente a la seguridad de la información serán definidas, compartidas,
publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros. •
NOMBRE DE LA EMPRESA protegerá la información generada, procesada o resguardada por los
procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos
otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno en
outsourcing.
• NOMBRE DE LA EMPRESA protegerá la información creada, procesada, transmitida o
resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o
legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de
acuerdo con la clasificación de la información de su propiedad o en custodia.
• NOMBRE DE LA EMPRESA protegerá su información de las amenazas originadas por parte del
personal.
• NOMBRE DE LA EMPRESA protegerá las instalaciones de procesamiento y la infraestructura
tecnológica que soporta sus procesos críticos.
• NOMBRE DE LA EMPRESA controlará la operación de sus procesos de negocio garantizando la
seguridad de los recursos tecnológicos y las redes de datos.
• NOMBRE DE LA EMPRESA implementará control de acceso a la información, sistemas y
recursos de red.
• NOMBRE DE LA EMPRESA garantizará que la seguridad sea parte integral del ciclo de vida de
los sistemas de información.
• NOMBRE DE LA EMPRESA garantizará a través de una adecuada gestión de los eventos de
seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su
modelo de seguridad.
• NOMBRE DE LA EMPRESA garantizará la disponibilidad de sus procesos de negocio y la
continuidad de su operación basada en el impacto que pueden generar los eventos.
• NOMBRE DE LA EMPRESA garantizará el cumplimiento de las obligaciones legales,
regulatorias y contractuales establecidas.
Formato #2 de Política de Seguridad y Privacidad de la Información
El siguiente documento es un formato de política de Seguridad y Privacidad de la Información. La
Política de Seguridad y Privacidad de la Información es la declaración general que representa la
posición de la administración de NOMBRE DE LA EMPRESA con respecto a la protección de los
activos de información (los funcionarios, contratistas, terceros. la información, los procesos, las
tecnologías de información incluido el hardware y el software), que soportan los procesos de la
Entidad y apoyan la implementación del Sistema de Gestión de Seguridad de la Información, por
medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la
asignación de responsabilidades generales y específicas para la gestión de la seguridad de la
información.
NOMBRE DE LA EMPRESA, para asegurar la dirección estratégica de la Entidad, establece la
compatibilidad de la política de seguridad de la información y los objetivos de seguridad de la
información, estos últimos correspondientes a:
∙ Minimizar el riesgo de los procesos misionales de la empresa.
∙ Cumplir con los principios de seguridad de la información.
∙ Cumplir con los principios de la función administrativa.
∙ Mantener la confianza de los funcionarios, contratistas y terceros.
∙ Apoyar la innovación tecnológica.
∙ Implementar el sistema de gestión de seguridad de la información.
∙ Proteger los activos de información.
∙ Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información. ∙
Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices,
practicantes y clientes del NOMBRE DE LA EMPRESA.
∙ Garantizar la continuidad del negocio frente a incidentes. Alcance/Aplicabilidad
∙ Esta política aplica a toda la entidad, sus funcionarios, contratistas y terceros del NOMBRE DE
LA EMPRESA y la ciudadanía en general. Nivel de cumplimiento Todas las personas cubiertas por
el alcance y aplicabilidad deberán dar cumplimiento un 100% de la política.
A continuación se establecen las 12 políticas de seguridad que soportan el SGSI de NOMBRE DE
LA EMPRESA:
• NOMBRE DE LA EMPRESA ha decidido definir, implementar, operar y mejorar de forma
continua un Sistema de Gestión de Seguridad de la Información, soportado en lineamientos claros
alineados a las necesidades del negocio, y a los requerimientos regulatorios que le aplican a su
naturaleza.
• Las responsabilidades frente a la seguridad de la información serán definidas, compartidas,
publicadas y aceptadas por cada uno de los empleados, contratistas o terceros.
• NOMBRE DE LA EMPRESA protegerá la información generada, procesada o resguardada por
los procesos de negocio y activos de información que hacen parte de los mismos.
• NOMBRE DE LA EMPRESA protegerá la información creada, procesada, transmitida o
resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o
legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de
acuerdo con la clasificación de la información de su propiedad o en custodia.
• NOMBRE DE LA EMPRESA protegerá su información de las amenazas originadas por parte del
personal.
• NOMBRE DE LA EMPRESA protegerá las instalaciones de procesamiento y la infraestructura
tecnológica que soporta sus procesos críticos.
• NOMBRE DE LA EMPRESA controlará la operación de sus procesos de negocio garantizando la
seguridad de los recursos tecnológicos y las redes de datos.
• NOMBRE DE LA EMPRESA implementará control de acceso a la información, sistemas y
recursos de red.
• NOMBRE DE LA EMPRESA garantizará que la seguridad sea parte integral del ciclo de vida de
los sistemas de información.
• NOMBRE DE LA EMPRESA garantizará a través de una adecuada gestión de los eventos de
seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su
modelo de seguridad.
• NOMBRE DE LA EMPRESA garantizará la disponibilidad de sus procesos de negocio y la
continuidad de su operación basado en el impacto que pueden generar los eventos.
• NOMBRE DE LA EMPRESA garantizará el cumplimiento de las obligaciones legales,
regulatorias y contractuales establecidas.
El incumplimiento a la política de Seguridad y Privacidad de la Información, traerá consigo, las
consecuencias legales que apliquen a la normativa de la Entidad, incluyendo lo establecido en las
normas que competen al Gobierno nacional y territorial en cuanto a Seguridad y Privacidad de la
Información se refiere.