Actividad 2 Teorı́a de la seguridad

Angela Marı́a Suarez Montoya Cód 1721024034

Juan Ángel Molina Velosa Cód 2011024548 y
Yadyr Enrique Garzón Dı́az Cód 1811982767.
May 2021

Abstract
En este documento se busca aplicar los conocimientos adquiridos desde
la clase de teorı́a de la seguridad de la información a través de un caso real
de una empresa que presta servicios basados en información y tecnologı́a
para su tratamiento desde que se inicia el proceso con sus clientes. Se estu-
dia el caso de Datalatina proponiendo, con base sus polı́ticas estratégicas
y servicios, la definición de la polı́tica de seguridad de la información, plan
de implementación y plan de sensibilidad para la polı́tica definida.
Índice de Términos – Seguridad de la información, plan de imple-
mentación, plan de sensibilidad.

1 Introduction
La información cada dı́a representa más valor para las organizaciones y
sus clientes, por esto, es importante establecer sistemas que dentro de las
organizaciones y en el desarrollo de su actividad, los cuales se rijan por
los principios del manejo de la información: disponibilidad, integridad y
confidencialidad, ası́ como autenticidad y no repudio.
En el siguiente documento, con base en lo aprendido en el módulo de
Teorı́a de la seguridad, se busca realizar el análisis de una situación real
con un escenario de una organización y proponer los planes y polı́ticas
necesarias para implementar un sistema de gestión de la seguridad de la
información.
Se plantea como caso de estudio a Datalatina, la cual se presenta como
una firma latinoamericana dedicada al aseguramiento, gestión de riesgos,
calidad y seguridad de sistemas de información.
Al final de este análisis se espera lograr definir la polı́tica de la calidad y
los planes necesarios para su implementación de acuerdo a las condiciones
de la organización.

2 Activos de Información
RESUMEN DE LA POLITICA DE SEGURIDAD

2
 Para Datalatina es muy importante que la información siempre este
protegida, no importa la forma en la que se desee utilizar la información es
esencial para nosotros tenerla protegida con cualquier método establecido
en las polı́ticas y normas.

INTRODUCCIÓN
Datalatina reconoce la importancia de identificar y proteger sus ac-
tivos de información evitando la destrucción, la divulgación, modificación
y utilización no autorizada de toda información relacionada con clientes,
empleados, precios, bases de conocimiento, manuales, casos de estudio,
códigos fuente, estrategia, gestión, y otros conceptos; además, compro-
metiéndose a desarrollar, implantar, mantener y mejorar continuamente
el Sistema de Gestión de Seguridad de la Información (SGSI).
La seguridad de la información se consigue implantando un conjunto
adecuado de controles, tales como polı́ticas, prácticas, procedimientos,
estructuras organizativas y funciones de software. Estos controles han
sido establecidos para garantizar que se cumplen los objetivos especı́ficos
de seguridad de la empresa.

ALCANCE
Esta es la polı́tica de seguridad que deben cumplir en las lı́neas de
negocio de soluciones y capacitación para todo el personal asegurando la
seguridad de la información

OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN

• Su confidencialidad, asegurando que solo quienes estén autorizados
pueden acceder a la información.
• Su integridad, asegurando que la información y sus métodos de pro-
ceso son exactos y completos.
• Su disponibilidad, asegurando que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo requieran.

PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACION

• Todos los empleados deben estar comprometidos a reportar cualquier
violación de seguridad.
• Se debe realizar un monitoreo para verificar que si se dé cumplim-
iento a las polı́ticas de seguridad.
• Se aceptarán riesgos que no afecten la continuidad del negocio.
• Se deben crear estrategias para determinar posibles riesgos que puedan
ir apareciendo con el tiempo.

3
• Los reportes que hacen referencia al SGSI deberán estar disponibles
para el personal.
• Se sancione cualquier violación a esta polı́tica y a cualquier polı́tica
o procedimiento del SGSI.
• Todo empleado es responsable de preservar la confidencialidad, in-
tegridad y disponibilidad de los activos de información en cumplim-
iento de la presente polı́tica y de las polı́ticas y procedimientos in-
herentes al sistema de gestión de la seguridad de la información.

RESULTADOS CLAVES
incidentes generan costos adicionales a la organización pero al tener
un control sobre estas podemos observar hay mejor fluidez de caja.

por parte de los clientes al ver que su información está segura.

en los empleados, ya que son menores los inconvenientes por perdida

de información.

hace más continuamente la detección de riesgos por lo que los activos

duraran más tiempo

desarrolle un proceso de análisis del riesgo y, de acuerdo con su

resultado, se implementen las acciones correspondientes con el fin de
tratar los riesgos que se consideren inaceptables, según los criterios
establecidos en el Manual de Gestión.

POLITICAS RELACIONADAS
Polı́tica de control de acceso.

Polı́tica de teletrabajo.

Polı́tica sobre servicios en red.

Polı́tica de backups.

Polı́tica de privacidad.

Polı́tica de transferencia de la información.

Polı́tica sobre uso criptográfico.

Polı́ticas de seguridad y salud en el trabajo.

Polı́tica de Áreas seguras.

4
3 Plna de implementación y Desarrollo
de la polı́tica de seguridad
OBJETIVOS DEL SGSI
Identificar, controlar, prevenir y/o mitigar los riesgos de seguridad
de la información, para evitar incidentes.

Establecer e implementar polı́ticas, normativas y procedimientos,

que permitan resguardar y proteger la información.

Desarrollar actividades para capacitar al personal sobre las polı́ticas

de seguridad.

Mantener al dı́a el SGSI para que las polı́ticas se mantengan vigentes

según las normas.

DEFINICIÓN DE ALTO NIVEL DEL ALCANCE Y MARCO DE

REFERENCIA PARA EL SGSI

Alcance: Limites del Sistema de Gestión.

Polı́tica de seguridad de la información: Establece a alto nivel los

objetivos y metas relacionados con la seguridad de la información

Activos de Información: Los activos de información son datos o infor-

mación propietaria en medios electrónicos, impreso o entre otros medios,
considerados sensitivos o crı́ticos para los objetivos del proceso.

Clasificación de la Información: es el ejercicio por medio del cual se

determina que la información pertenece a uno de los niveles de clasifi-
cación estipulado por la entidad. Tiene como objetivo asegurar que la
información tenga el nivel de protección adecuado. La información debe
clasificarse en términos de sensibilidad e importancia para la organización.

Seguridad de la Información: es el conjunto de medidas preventivas y

reactivas de las organizaciones y de los sistemas tecnológicos que permiten
resguardar y proteger la información buscando mantener la confidenciali-
dad, la disponibilidad e integridad de esta.

Integridad: Mantenimiento de la exactitud y completitud de la infor-

mación y sus métodos de proceso.

5
 Disponibilidad: Acceso y utilización de la información y los sistemas
de tratamiento de esta por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.

Confidencialidad: La información no se pone a disposición ni se revela

a individuos, entidades o procesos no autorizados.

PROCEDIMIENTOS Y CONTROLES QUE APOYAN LA POLÍTICA

Datalatina es una firma latinoamericana dedicada al aseguramiento,

gestión de riesgos, seguridad de sistemas de información. El personal
de consultores y docentes de esta firma cuenta con las principales cer-
tificaciones internacionales, las cuales han sido emitidas por prestigiosas
organizaciones académicas, como ISACA, PMI, DRI, entre otras. Esto,
sumado a la vasta experiencia generada a través de más de 30 años de
compromiso, hace de Datalatina una empresa lı́der en las soluciones que
ofrece. Las tres lı́neas de negocio de Datalatina son: soluciones, software
y capacitación. Lı́nea de soluciones: provee consultorı́a y capacitación so-
bre buen gobierno corporativo, con referentes como COSO y gobierno de
TI con COBIT, gestión de riesgos de lavado de activos y financiamiento
terrorista; gestión de seguridad de la información; gestión de continuidad
del negocio, tomando como referencia la norma ISO 22301.

6
PROCEDIMIENTO
Procedimiento Monitoreo de
Infraestructura
Procedimiento Destrucción
y borrado seguro
Gestión de medios removi-
bles y disposición de medios
Procedimiento Respaldo de
la Información
Procedimiento Construcción
y principios de sistemas se-
guros
rocedimiento Gestión de
usuarios
Procedimiento Gestión de
contraseñas
Procedimiento Gestión de
cambios
Procedimiento Continuidad
de seguridad de la infor-
mación
Gestión de Vulnerabilidades
técnicas
OBJETIVO
Diseñar un procedimiento para el moni-
toreo de la infraestructura, el cual permita
gestionar de forma eficiente la misma y a su
vez permita tener una visión en tiempo real
y generar reportes que permitan obtener
información del estado de los nodos de red
y servidores de la compañı́a
Establecer los criterios y directrices para
realizar el borrado y/o destrucción segura
de información contenida en medios digi-
tales y/o fı́sicos
Describir las actividades a seguir para la
gestión de medios removibles, a fin de
garantizar la confidencialidad, integridad
y disponibilidad de la información, de
acuerdo a los niveles de clasificación es-
tablecidos por la compañı́a.
Establecer lineamientos que garanticen la
protección de la información crı́tica y no
critica de la compañı́a, manteniendo copias
de respaldo de fácil recuperación para
cuando sea necesario
Crear, controlar y sostener ambientes sep-
arados a nivel fı́sico y lógico para el desar-
rollo y puesta en marcha de las aplicación
de software, en los ambientes de desarrollo,
pruebas y producción, el cual tiene por ob-
jetivo principal que el ciclo de desarrollo de
software sea independiente entre los ambi-
entes, evitando que puedan poner en riesgo
la integridad de la información; igualmente
confirmando que los desarrolladores inter-
nos o externos, posean acceso limitado y
controlado a los datos y archivos que se
encuentren en el ambiente de producción.
Atender las solicitudes de creación, modifi-
cación, o retiro de cuentas de usuario para
la disponibilidad y uso de los recursos tec-
nológicos como archivos, directorios, apli-
caciones, entre otros.
Determinar los lineamientos para almace-
nar las contraseñas crı́ticas de la compañı́a
consiguiendo ası́, garantizar la confiden-
cialidad y disponibilidad de esta infor-
mación
Controlar los cambios en los procesos, en
las instalaciones y en los sistemas de proce-
samiento de información de la compañı́a
que puedan afectar la seguridad de la in-
formación.
Establecer estrategias que aseguren la con-
7tinuidad del negocio de la compañı́a y
que además respondan a la atención de
emergencias, recuperación de desastre y
mitigación de impactos, en caso de in-
terrupción parcial o total de los servicios
crı́ticos de la organización.
Presentar el resultado del análisis de vul-
nerabilidades en el escenario externo, con
el fin de indicar medidas y actividades que
logren la mitigación de los hallazgos identi-
ficados y aumentar la seguridad en los sis-
temas y/o dispositivos.
 DEFINICIÓN DE ROLES Y RESPONSABILIDADES
- Proceso Direccionamiento Estratégico El Proceso de Direccionamiento
Estratégico en cabeza del Gerente apoya activamente la seguridad de la
información dentro de la organización, definiendo las directrices y lin-
eamientos bajo los cuales debe operar el SGSI; entre sus responsabilidades
se encuentran: • Mantener dentro de la planta de personal, un empleado
que responda al rol de Lı́der del SGSI, quien será el encargado gestionar
todo lo relacionado con la seguridad de la información en la organización.
• Establecer los lineamientos y polı́ticas del SGSI, asegurando su inte-
gración con los demás procesos de la organización y el Plan Estratégico.
• Velar por el cumplimiento de las polı́ticas de seguridad de la infor-
mación, comprometiéndose para que los empleados y contratistas, a su
cargo, y partes interesadas conozcan y apliquen los controles de seguridad
establecidos • Asignar a los demás áreas y procesos, las responsabilidades
asociadas a la seguridad de la información. • Velar para que se ejecute el
programa de auditorı́as internas, al menos una vez al año, y para que se
realicen las mejoras correspondientes. • Definir el nivel de tolerancia al
riesgo. • Asignar los recursos necesarios para la eficacia del SGSI.
- Comité de Seguridad de la Información Para establecer, implementar,
operar, supervisar, revisar, mantener y mejorar el SGSI, el Comité debe
incluir dentro de sus funciones las siguientes acciones: • Evaluar de man-
era semestral el desempeño del SGSI. • Evaluar y aprobar las estrategias
y polı́ticas de seguridad de la información que requiera la organización
de acuerdo con la dinámica y condiciones de la misma. • Fijar directri-
ces institucionales para la aplicación de los mecanismos de protección de
seguridad de la información. • Evaluar y aprobar las polı́ticas básicas
y especı́ficas de seguridad de la información; garantizando su difusión y
aplicación en la organización. • Participar en las decisiones sobre arqui-
tecturas y soluciones de seguridad de la información y continuidad de
la misma. • Evaluar y aprobar Planes de Continuidad de seguridad de
la información que ante una situación crı́tica pueda verse amenazada de
manera parcial o total. • Apoyar la identificación de los procesos crı́ticos
de la organización, ası́ como analizar y proponer soluciones tecnológicas
que requiera la misma. • Generar y apoyar los planes de socialización,
sensibilización y transferencia de conocimiento en los temas relacionados
con el SGSI.
- Roles de la organización de seguridad de la información El diseño de
roles puede ser un grupo de áreas que es básicamente cómo las personas se
organizan para lograr mejores resultados de seguridad de la información.
Cada persona entiende su papel para apoyar el proceso, ası́ como sus
responsabilidades respecto a los otros miembros del equipo para lograr los
objetivos comunes, fomentando el desarrollo de destrezas en un ambiente
de aprendizaje continuo.
• Oficial de Seguridad de la información Ejerce como Lı́der del Sistema
de Gestión de Seguridad de la Información y es el responsable de plan-
ificar, desarrollar, controlar y gestionar la implementación y el correcto
funcionamiento del modelo de seguridad de la Información
- Debe verificar los antecedentes de todos los candidatos de acuerdo
con las leyes, reglamentos y ética pertinentes, los cuales deben ser propor-
cionales a los requisitos del negocio, a la clasificación de la información a

8
la que se va a tener acceso, y a los riesgos percibidos.
- Debe liderar los programas de inducción, re inducción, capacitación
y sensibilización enfocados a fortalecer la toma de conciencia en relación
a seguridad de la información.
- Debe archivar y custodiar las historias laborales, conservando la in-
formación documentada apropiada, como evidencia de la competencia.
- Debe evaluar a los empleados en relación al desempeño de la seguri-
dad de la información, impulsar la toma de acciones para adquirir y/o
fortalecer las competencias necesarias y evaluar la eficacia de las acciones
tomadas.
- Debe asegurarse de que los empleados sean competentes, basándose
en la educación, formación o experiencia requerida.
- Debe determinar las competencias necesarias de los empleados que
realicen un trabajo que afecte el desempeño de la seguridad de la infor-
mación.
- Debe asegurar que los usuarios que tienen acceso a información confi-
dencial, firmen un acuerdo confidencial, derechos de autor y/o protección
de datos, según aplique.
- Debe liderar las actividades requeridas para la terminación de con-
tratos, garantizando los aspectos de seguridad de la información perti-
nentes.
- Debe establecer acuerdos de confidencialidad o no divulgación para
ser aplicados a todo el personal de DATALATINA.
- Debe identificar, revisar regularmente y documentar los requisitos
para los acuerdos de confidencialidad o no divulgación que reflejen las
necesidades de VALID CCOLOMBIA para la protección de la información.
- Debe detallar las actividades por los cuales los empleados pueden ser
monitoreados, a fin de no violar el derecho a la privacidad ni los derechos
del empleado.
- Garantizar que todos los empleados acepten y firmen los acuerdos
de confidencialidad determinados por DATALATINA, en los cuales se
expresa la obligación de proteger la información para no ser revelada.
- En conjunto con la Gerencia General aplicar el procedimiento disci-
plinario cuando se evidencien casos de incumplimiento o violación a las
polı́ticas de seguridad de la información.
- Los empleados deberán devolver todos los activos de DATALATINA
que se encuentran en su poder a la terminación de su empleo, contrato o
acuerdo.

INDICACIÓN DE ALTO NIVEL DE ALCANCE Y LIMITE A NIVEL

FISICO DE TICS Y DE ORGANIZACIÓN

Esta polı́tica se abarcar cada uno de los software creadaos por la em-
presa en la que se contemplaron al momento de evaluar los actios de
informacion, como tambien el control de lincencia del software “Meycor”
en cual se trabajara con los procesos de las politicas realacionada como
por ejemplo la politica de aceso, adicionalmente se realizara el informe

9
establecidoy acordado con la alta gerencia para llevar control de las in-
fracciones que se generen y definiiones de un plan de mejoramiento, se
tendra como prioriad la disponibilidad para el trato de la información y
sus activos para que no interfieran con la continuidad de negocio y no
genere represaria por parte de los clientes por incumpliento por esto se
realizara un monitoreo constante cada hadware que tenga prioridad alta
como servidores, nuves, repositorios y entre otros sin tener en cuenta que
este contratado por un tercero. Para los empleados, altos directivos y
clientes se estaran rigiendo en base de lo que se contemplo en la politica,
si al ser aprobado y implementado es necesario realizar modificaciones
estas se deberan presentar, analizar y evaluar para la implementación de
forma de anexo ealizando su debido plan de sensibilización o en la mejora
y mantenimiento de la politica que se realizara anualmente.

4 plan de sensibilización para la imple-

mentación de la polı́tica de seguridad
INTRODUCCIÓN
El plan de sensibilización es indispensable para Datalatina y su Sistema
de Gestión de Seguridad de la Información, partiendo de la base que el
éxito de la implementación del sistema, depende de todos los que hacen
parte de Datalatina, por lo que busca afianzar la importancia del SGSI y
el valor que tiene la información para la organización.
Además de esto, el plan de sensibilización evaluará y mejorará el
conocimiento que tienen los colaboradores sobre las polı́ticas y acciones
en el entorno de trabajo, por lo tanto, es crucial para retroalimentar el
SGSI y mejorar ası́ la seguridad de la información en cualquier escenario
para la actividad de Datalatina.
OBJETIVOS
Dar a conocer la polı́tica de seguridad de la información para los co-
laboradores.
Generar conciencia sobre el valor de la información para la organi-
zación y el compromiso con el SGSI sobre los principios del manejo de la
información.
Incorporar al SGSI a la cultura organizacional.
Evaluar el conocimiento sobre la polı́tica de la seguridad de la infor-
mación y el SGSI.
Aplicar de forma lúdica el SGSI con casos prácticos en la labor de los
colaboradores, ası́ como el conocimiento de los roles y responsabilidad en
el SGSI.
ALINEACIÓN A POLÍTICA
El plan de sensibilización se alinea con la polı́tica de seguridad, ha-
ciendo énfasis en los principios que se deben regir para el manejo de la
información dentro de la operación de Datalatina.
A su vez, el plan mide el conocimiento de los colaboradores sobre la
información e incentiva a regir sus actividades, siguiendo los lineamientos
acordes a la estrategia de Datalatina desde el valor que tiene la infor-
mación.

10
 ALCANCE
El plan incluye todos los colaboradores de la organización, teniendo en
cuenta que se parte de los mismos principios pero que en conocimientos y
actividades, se ajustan a los niveles identificados de forma que el plan se
adapte a las necesidades de cada labor y sea eficiente en el uso de recursos.
No obstante, permite que los colaboradores adquieran las habilidades
y conocimientos necesarios para que se adapten fácilmente frente a un
cambio dentro de la organización.
ROLES Y RESPONSABILIDADES
Para el plan se definen tres perfiles básicos, los cuales se definirán
dentro de cada área o equipo de trabajo de acuerdo a los conocimientos
y rol dentro de la organización.
Actores:
Son colaboradores que integran un grupo o equipo de trabajo dentro
de la organización.
Serán quienes adopten el conocimiento y lo apliquen a su labor.
Su responsabilidad es recibir el conocimiento, apropiarlo a su labor
diaria, transmitir inquietudes o aportes del SGSI a través del lı́der de su
equipo.
Lideres:
Dentro de la organización son colaboradores reconocidos por su apoyo
o función de liderazgo, permitiendo hacer uso de sus habilidades para
promover el conocimiento del SGSI desde el plan de sensibilización.
Son responsables de servir de puente entre actores y evaluadores para
aplicar el plan de sensibilización, como de las herramientas, contenido y
estrategias para lograr llegar de forma eficiente a los integrantes de su
grupo. Ası́ mismo, resolverán las dudas y sugerencias por parte de los
actores que surjan dentro de las actividades, dará respuesta a aquellas
que se encuentran en su nivel de conocimiento y gestionará con los evalu-
adores la respuesta de aquellas que se encuentran fuera de su alcance de
conocimiento o responsabilidad.
Evaluadores:
Son colaboradores que por su conocimiento y participación en el SGSI
cuentan con la capacidad para evaluar los resultados del plan.
Es responsabilidad evaluar los resultados de las actividades del plan,
ası́ como el conocimiento de los actores. Ası́ mismo, evaluaran los cambios
que se requieran en las actividades partiendo de la base de la retroali-
mentación de los lı́deres de los equipos y de los resultados de las evalua-
ciones de conocimiento realizadas a los actores, al igual con las dudas y
sugerencias remitidas a través de los lideres desde los actores.
Guardianes del plan:
Corresponde al equipo definido por la alta dirección para ejecutar el
plan, se encargarán de definir los lineamientos para la conformación de
grupos y equipos a en la organización, ası́ mismo definirán los lideres y
evaluadores. Cuentan con la capacidad para realizar modificaciones de las
actividades con la información recibida de los evaluadores.
METAS
Obtener una participación mı́nima del 85
Obtener una media de resultados de evaluación superior al 80

11
 Alcanzar participación colaborativa de las plataformas de capacitación
autónoma y guiada en al menos el 85
Dar respuesta a al menos el 90
DEFINICIÓN DE AUDIENCIA
La audiencia para el plan se define de acuerdo al nivel de conocimiento
y a la responsabilidad dentro del SGSI. Para apoyarse en el conocimiento
colaborativo, se conforma de acuerdo a grupos tanto de área dentro de
la organización como alcance en el SGSI, como son grupos y equipos de
trabajo, de esta forma se busca hacer más eficiente la apropiación del
conocimiento presentado por el plan.
DEFINICIÓN DE TEMÁTICAS
Ingenierı́a social, ¿Que publico o no en las redes sociales?
Copias de seguridad: todo del cuándo y cómo hacerlas de la mejor
manera.
El ciclo PHVA de lo que hacemos.
Practicas seguras para información y valores segures.
Comunicación segura y eficiente, el ABC de un buen mensaje.
El ABC de la información.
ACTIVIDADES DE SENSIBILIZACIÓN
Presentación oficial del plan: a cargo del grupo de guardianes del plan,
presentando los aspectos generales del SGSI; se hará buscando que llegue
a una participación mı́nima del 85
Conformación de los equipos de trabajo: Se conforman los equipos, se
hace el nombramiento de los lideres y evaluadores incluyendo a los lı́deres.
A cargo de los guardianes del plan. Duración de 2 semanas.
Capacitación en plataforma en lı́nea: Publicación y evaluación de las
temáticas del plan, teniendo en cuenta los equipos de trabajo. Aunque los
contenidos estarán disponibles estarán disponibles durante todo el plan,
los periodos de evaluaciones irán desde una semana a 2, teniendo en cuenta
que no se evaluará más de 1 temática al tiempo para un equipo.
Reunión de equipo: actividad que busca integrar el desarrollo de la
capacitación con la labor del lı́der en los equipos de trabajo para transmitir
el conocimiento sobre la temática, las experiencias, dudas y sugerencias
sobre el plan y el SGSI. Duración 1 hora por sesión, mı́nimo 1 vez a la
semana durante el desarrollo del plan.
Como va el plan: charla periódica entre los evaluadores con los guardianes
y los evaluadores para presentar los resultados y definir medidas de mejo-
ramiento de contenidos, herramientas y evaluaciones. Duración 2 horas y
al menos una vez al mes durante el desarrollo del plan.
Cierre del plan: Evento liderado por los guardianes del plan y que
presentará una evaluación final del plan, proponiendo mejoras y aspectos
importantes para todos los colaboradores. Duración 2 semanas desde el
cierre de actividades
MATERIALES Y RECURSOS
Plan de capacitación:
Consta del contenido establecido de acuerdo a las temáticas estableci-
das y de los tipos de audiencia; también se compone de la evaluación del
conocimiento por parte de los actores al final del desarrollo de cada tema.
Publicidad interna:

12
 Toda pieza de comunicación fı́sica o digital que se usar como apoyo al
plan, indicando aspectos claves del SGSI, fechas importantes y estado del
plan.
En este se incluyen correos, afiches, protectores de pantalla, plantillas
de presentaciones y videos para ser usados en eventos de los colaboradores
y en actividades del plan de sensibilización.
DURACIÓN
Para el plan se estima una duración de 6 meses desde la presentación
oficial del plan hasta el cierre del plan con la presentación de resultados.
DEFINICIÓN DE EVALUACIÓN
La evaluación del plan se hará de acuerdo a los indicadores establecidos
en las metas.
La evaluación general del plan se hará periódicamente en la actividad
“Como va el plan” con una frecuencia mı́nima de 1 vez al mes durante
la duración del plan. Al final del plan, los guardianes realizarán la eval-
uación general, de acuerdo a la información recopilada en las reuniones
y los indicadores generales, ponderando de acuerdo a la duración de las
actividades.
Se considera aceptable el logro del 70

13