Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG
Tabla de contenido
1 Objetivo ...................................................................................................................................2
2 Alcance ...................................................................................................................................2
3 Definiciones ............................................................................................................................2
4 Descripción general del plan de toma de conciencia del SGSI. ....................................3
4.1 Fases ciclo de vida de un plan de toma de conciencia en SGSI. .................. 6
4.1.1 Diseño del plan de toma de conciencia en SGSI. ..........................................6
4.1.2 Desarrollo del plan de toma de conciencia del SGSI. ...................................9
4.1.3 Implementación del plan de toma de conciencia del SGSI ........................ 11
4.1.4 Mantenimiento del plan de toma de conciencia del SGSI ..........................12
5 Bibliografía............................................................................................................................13
Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG
1 Objetivo
Establecer los lineamientos para la construcción y mantenimiento del plan de toma
de conciencia del SGSI, el cual debe incluir actividades de sensibilización,
capacitación, y comunicación de la seguridad de la información, asegurando que
cubra en su totalidad a los Colaboradores del Ministerio de Educación Nacional, con
el fin de promover el cumplimiento de las políticas, roles y responsabilidades de
seguridad de la información.
2 Alcance
El plan de toma de conciencia del Sistema de Gestión de Seguridad de la Información
va dirigido para todos los colaboradores y terceros del MEN y deberá estar alineado
al Procedimiento - Toma de conciencia PM-PR-07.
3 Definiciones
• MSPI: Modelo de Seguridad y Privacidad de la Información definido por el
Ministerio de Tecnologías de la Información y las Telecomunicaciones –
MINTIC.
• Integridad: Propiedad de la información que pretende mantener con
exactitud la información tal cual fue generada, sin ser manipulada ni
alterada por personas o procesos no autorizados.
• Disponibilidad: Propiedad de la información que pretende garantizar el
acceso y uso de la información y los sistemas de tratamiento de esta por
parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
• Confidencialidad: Propiedad de la información que pretende garantizar
que esta sólo es accedida por personas o sistemas autorizados.
• Información: Conjunto organizado de datos procesados que constituyen
un mensaje que cambia el estado de conocimiento del sujeto o sistema que
recibe dicho mensaje.
• Activo de Información: Es todo aquello que en el MEN es considerado
importante o de alta validez para el mismo, porque contiene información
importante, como son los datos creados o utilizados por procesos de la
organización, en medio digital, en papel o en otros medios. Ejemplos: bases
de datos con usuarios, contraseñas, números de cuentas, informes etc.
• Riesgo: Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información.
Suele considerarse como una combinación de la probabilidad de un evento
y sus consecuencias.
Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG
Asegurar que, los colaboradores conocen, entienden y cumplen las normas y las
medidas de protección en materia de seguridad de la información adoptadas,
advirtiéndoles de los riesgos que se pueden materializar al hacer un mal uso de los
activos de información a su alcance.
Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG
Desarrollo
Mejoramiento
Implementación
actividades a ser fuentes de efectivamente la mantener el plan
realizadas para información manera como actualizado,
cumplir con las disponible, deberán monitorizando
metas de toma alcance y implementarse su efectividad.
de conciencia del contenidos del las actividades
MEN. material de toma diseñadas.
de conciencia.
Sensibilizacion
(Básico)
Capacitación
(Intermedio)
Educación
(Avanzado)
Por ejemplo, mantener el escritorio limpio, usar de forma adecuada las contraseñas,
elaborar copias de respaldo, usar el correo responsablemente, entre otros.
El plan se diseña teniendo presente el contexto estratégico y la relevancia del SGSI para
el MEN.
En esta fase deben ser identificadas las necesidades y las prioridades que tenga el MEN
respecto al tema de sensibilización y capacitación de los colaboradores, para procurar
un buen diseño del plan.
En esta fase se debe estructurar el plan, establecer los niveles de complejidad, evaluar
la estrategia de capacitación que será desarrollada y aprobada, es importante que el
plan, apoye las necesidades del MEN y sea relevante a la cultura organizacional.
A. Evaluación de necesidades
Algunos de los métodos con los que podemos realizar la evaluación de necesidades
son:
¿Que capacitación o
sensibilización se
requieren?
¿Qué se está
¿Qué necesidades son
haciendo
más críticas?
actualmente?
Este plan deberá quedar incluido en el plan anual del MSPI, el cual es uno de los planes
anexos de MIPG, por lo que deberá surtir los pasos de aprobación y publicación definidos
por el Comité Institucional de Gestión y Desempeño.
Este apartado manifiesta que es necesario tomar una decisión en cuanto a la complejidad
del material que será desarrollado en función del personal. La complejidad debe ser
acorde con la función de la persona que vaya a someterse al medio, actividad o estrategia
planteada en el plan de toma de conciencia del SGSI.
La complejidad del material debe ser determinada antes del desarrollo, esta decisión
aplica a los tres tipos de aprendizaje (sensibilización, capacitación y educación).
Esto se debe a que por ejemplo no es lo mismo realizar un material de capacitación a un
grupo específico de colaboradores donde buscamos que este después de ser capacitado
adquiera unas habilidades específicas para sus labores, a un material de sensibilización
donde buscamos disuadir a los colaboradores a comportarse de determinada manera,
Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG
para evitar consecuencias relacionadas con la seguridad de la información tanto para él,
como para la organización.
4.1.2 Desarrollo del plan de toma de conciencia del SGSI.
Este paso se enfoca en determinar las fuentes de sensibilización, capacitación y
educación disponibles, su alcance, contenido y desarrollo del material y herramientas
correspondientes.
Cabe aclarar que la sensibilización es algo que aplicará para toda la Entidad por
igual. La idea fundamental del desarrollo de este material es que los colaboradores
entiendan que la seguridad de la información es una responsabilidad compartida y que
todos son importantes en esa labor.
Ahora, basta con preguntar ¿Qué quiere el MEN que todos y cada uno de sus miembros
sepa sobre seguridad de la información?
• Administración de contraseñas
• Uso y manejo de inventario
• Malware y sus diferentes tipos
• Software permitido/prohibido en la entidad
• Políticas organizacionales relacionadas con seguridad de la información
• Uso de dispositivos de la entidad fuera de las instalaciones
• Uso de correo electrónico e identificación de correos sospechosos
• Seguridad en el puesto de trabajo
• Uso apropiado de internet
• Temas de control de acceso a los sistemas (privilegios, separación de roles)
Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG
Se puede disponer de material diverso para sensibilización desde varias fuentes como:
Como primera medida se debe socializar con la alta dirección del MEN, esto nos
garantizara el apoyo y los recursos necesarios para su ejecución y así iniciar la
implementación.
• Posters con mensajes o checklist sobre que debe y que no debe hacerse.
• Videos institucionales a través de videowalls o pantallas.
• Screensavers con mensajes de sensibilización.
• Cuadernos, relojes o elementos de oficina con mensajes alusivos.
• Boletines vía email. (Comunicaciones internas)
• Eventos relacionados con seguridad, concursos etc....
• Sesiones con instructores (si se planean charlas que contengan varios temas de
sensibilización a la vez).
Las técnicas para capacitación deben aprovechar al máximo los avances tecnológicos,
empleando sistemas que brinden facilidad de uso y acceso, escalabilidad y que sean
ofrecidas por varios proveedores en la industria.
Esta evidencia puede servir para justificar algún tipo de sanción a comportamientos
inadecuados o incumplimiento a las políticas de seguridad.
Es necesario asegurar que el plan, como estructura, sigue siendo actual aún con la nueva
tecnología y las cuestiones de seguridad que aparezcan.
Un plan de toma de conciencia no podrá mejorarse, sin antes saber qué resultados está
obteniendo al interior del MEN, para ello, es necesario buscar métodos que nos indiquen
la efectividad del plan.
Dentro de los métodos más comunes para evaluar las actividades de sensibilización,
capacitación y educación:
• Evaluaciones o cuestionarios.
• Foros abiertos con los colaboradores que recibieron la capacitación y/o
sensibilización.
• Entrevistas selectivas o entrevistas grupales.
• Uso de observadores independientes o auditores, que evalúen la efectividad del
plan.
• Uso de “benchmarking”, que indica comparar el método que se ha implementado
con el de otras entidades similares, para así mejorar el modelo implementado.
• Verificación de la cantidad de incidentes de seguridad de la información abiertos
y su causa.
• Ataques de ingeniería social, posteriores a las capacitaciones.
Lineamientos para el plan de toma de Código: STGU-01
Versión: 1
conciencia del SGSI Rige a partir de su publicación
en el SIG
Los resultados obtenidos en esta fase del plan deben ser comparados con los resultados
obtenidos de la fase de diseño, lo que nos permite obtener un indicador de desempeño,
el cual será nuestro punto de partida para determinar ajustes a realizar en el plan de
toma de conciencia del SGSI vigente y mejoras para próximas vigencias.
Es necesario que siempre exista un mejoramiento por más mínimo que sea, ya que se
corre el riesgo de que el plan se vuelva obsoleto y luego se requiera de mucho más
esfuerzo para ponerlo a punto nuevamente.
5 Bibliografía
Control de Cambios
Fecha de
Versión Naturaleza del cambio
vigencia
01 A partir de su Creación del documento.
publicación
en el SIG
Registro de aprobación