Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Docente
Alexandra Peña Daza
Es por eso que se hace necesario entender la mejor forma de implementar los controles
estratégicos, tácticos y operativos los cuales son establecidos como políticas,
procedimientos, guías e instrumentos, para conseguir asegurar la información de todos
los procesos de cualquier compañía, alineándose siempre con los objetivos misionales.
2. OBJETIVO
Por medio del estudio del caso práctico correspondiente a la empresa Datalatina y del
planteamiento de una política para el Sistema de gestión de Seguridad de la Información,
los estudiantes debemos entender los conceptos básicos que la componen, su definición
y mejor manera de implementación,
3. DEFINICIONES
Alcance: Limites del Sistema de Gestión.
Política de seguridad de la información: Establece a alto nivel los objetivos y
metas relacionados con la seguridad de la información.
Activos de Información: Los activos de información son datos o información
propietaria en medios electrónicos, impreso o entre otros medios, considerados
sensitivos o críticos para los objetivos del proceso.
Clasificación de la Información: es el ejercicio por medio del cual se determina
que la información pertenece a uno de los niveles de clasificación estipulado por la
entidad. Tiene como objetivo asegurar que la información tenga el nivel de
protección adecuado. La información debe clasificarse en términos de sensibilidad
e importancia para la organización.
Seguridad de la Información: es el conjunto de medidas preventivas y reactivas
de las organizaciones y de los sistemas tecnológicos que permiten resguardar y
proteger la información buscando mantener la confidencialidad, la disponibilidad e
integridad de la misma.
Integridad: Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
Disponibilidad: Acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
4. ESTUDIO DE CASO
4.1.2. Introducción
Datalatina en conformidad con su misión, visión y estrategia de negocio decide
implementar un SGSI que busca mantener la confidencialidad, integridad y disponibilidad
tanto de la información de la compañía como la de sus clientes, teniendo como premisas
la gestión del riesgo, el compromiso de los colaboradores en el mantenimiento y en la
mejora continua de los procesos.
4.1.3. Objetivo
Evaluar y contemplar, las vulnerabilidades y amenazas para la seguridad de la
información para cada uno de los activos que la empresa considera indispensables
y/o importantes para su labor y continuidad de negocio
Asegurar la confidencialidad de los procesos de lineamientos que propone la
empresa como la información de los clientes.
Asegurar la integridad y disponibilidad de los activos de las empresas en el cual se
utilizan en la parte operativa y se comparte con sus clientes
4.1.4. Alcance
Esta política es aplicable a las líneas de negocio de soluciones, software y capacitación
de Datalatina asegurando los tres pilares claves para la Seguridad de la información, así
como también a sus funcionarios (directivos, consultores y docentes), proveedores,
contratista y todo aquel que por su ejercicio tenga acceso a los activos de información de
la compañía y/o de sus clientes.
4.1.5. Responsables
Equipo de alta dirección son los responsables de asegurar que la política de la
seguridad de la información se gestiones dentro de la organización, como también
establecer las prioridades del aseguramiento de los activos que se maneje en la
empresa.
Los colaboradores deben acogerse sobre los parámetros que se indican en la
política de la seguridad de la información que se implemente en la empresa,
evitando divulgación de materiales no permitidos o autorizados, proteger la
información de la empresa y sus clientes que se les de acceso para ámbitos
laborales, informar fallas dentro de la política y violaciones que se presenten en su
entorno laboral.
Oficial de seguridad se encargara de realizar el debido asesoramiento para la
mejora continua de la política de la seguridad de la información, como también la
disponibilidad de los informes que se deberán realizar continuamente.
Clientes deberán no distribuir cualquier información confidencial de la empresa a
excepción de la autorización de la empresa, como también deberán cumplir con
las políticas que se manejan en la empresa para poder proceder con la
disponibilidad, integridad y confidencialidad de la información en la que interactúen
cada uno
4.1.6. Principios
Todos los empleados, proveedores y clientes deben reportar violaciones de
seguridad.
Se tomaran las respectivas sanciones a cualquier persona que infrinja la política
de seguridad planteada e implementada.
Se aceptara todo riesgo que no afecte la continuidad del negocio y este dentro del
margen aceptado por la empresa.
Se realizara un monitoreo definido para la verificación de la implementación de la
política de la seguridad.
Se estará en disposición cada área encargada de los activos para responder a la
materialización de un riesgo.
Los reportes y informes de la seguridad de la información deben estar disponibles.
Se deberá realizar evaluación continua a nuevos riesgo que se puedan presentar
en el trascurso de la implementación de la seguridad de la información
actualizando las políticas para dar cumplimiento con los objetivos de la política.
NOMBRE DEL
OBJETIVOS DEL SGSI FORMULA
INDICADOR
Identificar, controlar, prevenir y/o
mitigar los riesgos de seguridad de la Eficacia en la # de planes de riesgos
información, con el fin de evitar ejecución de planes ejecutados en el trimestre/ #
1
incidentes que puedan afectar la de mitigación de de planes propuestos en el
reputación, los requisitos legales y riesgos trimestre
regulatorios aplicables.
Establecer e implementar políticas, Efectividad en la
# de incidentes cerrados en
normativas y procedimientos, que gestión de
la fecha propuesta/ # de
2 permitan resguardar y proteger la incidentes de
incidentes seleccionados
información de Datalatina y sus seguridad de la
para el cierre del trimestre
clientes información
Desarrollar actividades de
sensibilización y capacitación que
Cumplimiento del # de capacitaciones
permita difundir los lineamientos,
3 programa de realizadas/#capacitaciones
políticas y buenas prácticas
capacitaciones programadas
asociadas a la seguridad de la
información.
4 Evaluar, mantener y mejorar el Grado de # de controles
Sistema de Gestión de Seguridad de cumplimiento en la penalizados /# de controles
la Información (SGSI), con el fin de gestión del SGSI evaluados
lograr la eficiencia, la mejora
continua y el cumplimiento de los
requisitos de las regulaciones o leyes
NOMBRE DEL
OBJETIVOS DEL SGSI FORMULA
INDICADOR
vigentes.
PROCEDIMIENTO OBJETIVO
Ejecutar actividades de administración de riesgos para
los diferentes procesos y activos de información,
Metodología de Evaluación y Tratamiento dirigidos a proteger a la compañía de los posibles
del Riesgo eventos adversos, de tal forma que se reduzca la
probabilidad de ocurrencia del evento y de su impacto a
partir de la evaluación, tratamiento y control del riesgo.
El diseño de roles puede ser un grupo de áreas que es básicamente cómo las personas
se organizan para lograr mejores resultados de seguridad de la información. Cada
persona entiende su papel para apoyar el proceso, así como sus responsabilidades
respecto a los otros miembros del equipo para lograr los objetivos comunes, fomentando
el desarrollo de destrezas en un ambiente de aprendizaje continuo.
En efecto, el Oficial de seguridad de la información responde al rol del Líder del SGSI
quien está a un alto nivel para asegurar el cumplimiento de las políticas de seguridad, por
lo cual, depende directamente de la Gerencia General,
Comité Gerencia
(Direcciona)
Operador del
SGSI
(Ejecuta)
Entre las responsabilidades y funciones del Líder y el Operador del SGSI, a la luz del ciclo
PHVA, se encuentran:
PHVA Líder del SGSI Operador del SGSI
-
1. Planificar, diseñar e implementar, el
SGSI de la organización, sus
políticas, lineamientos y controles
P conforme a las directrices del Comité
de Gerencia, los requerimientos
legales y buenas prácticas de normas
técnicas.
-
2. Desarrollar todas las actividades de
coordinación de la Seguridad de la
H Información y seguridad Informática
de la organización.
Ejecutar la actualización de
8. Formular, definir y actualizar políticas,
políticas, normas, procedimientos y
H normas, procedimientos y estándares
estándares definidos en el SGSI.
definidos en el SGSI.
El Responsable de la información
El responsable de la Información se define como cualquier empleado, contratista o tercero
encargado de identificar claramente el valor de la información, conocer los riesgos a que
podría estar expuesta y velar porque se provean los mecanismos necesarios para que
estos riesgos se mitiguen a niveles aceptables considerando la relación costo-beneficio
para su área.
o Gerencia de TI
o Asesor Jurídico
1. Indicar al Líder del SGSI los requisitos estatutarios, reglamentarios, y contractuales
pertinentes al enfoque de Datalatina en materia de seguridad de la información.
1. Debe verificar los antecedentes de todos los candidatos de acuerdo con las leyes,
reglamentos y ética pertinentes, los cuales deben ser proporcionales a los requisitos
del negocio, a la clasificación de la información a la que se va a tener acceso, y a los
riesgos percibidos.
2. Debe asegurar que los usuarios que tienen acceso a información confidencial, firmen
un acuerdo confidencial, derechos de autor y/o protección de datos, según aplique.
3. Debe determinar las competencias necesarias de los empleados que realicen un
trabajo que afecte el desempeño de la seguridad de la información.
4. Debe asegurarse de que los empleados sean competentes, basándose en la
educación, formación o experiencia requerida.
5. Debe evaluar a los empleados en relación al desempeño de la seguridad de la
información, impulsar la toma de acciones para adquirir y/o fortalecer las
competencias necesarias y evaluar la eficacia de las acciones tomadas.
6. Debe archivar y custodiar las historias laborales, conservando la información
documentada apropiada, como evidencia de la competencia.
7. Debe liderar los programas de inducción, re inducción, capacitación y sensibilización
enfocados a fortalecer la toma de conciencia en relación a seguridad de la
información.1
8. Debe liderar las actividades requeridas para la terminación de contratos, garantizando
los aspectos de seguridad de la información pertinentes.
9. Debe establecer acuerdos de confidencialidad o no divulgación para ser aplicados a
todo el personal de DATALATINA.
10. Debe identificar, revisar regularmente y documentar los requisitos para los acuerdos
de confidencialidad o no divulgación que reflejen las necesidades de VALID
CCOLOMBIA para la protección de la información.
11. Debe detallar las actividades por los cuales los empleados pueden ser monitoreados,
a fin de no violar el derecho a la privacidad ni los derechos del empleado.
12. Garantizar que todos los empleados acepten y firmen los acuerdos de confidencialidad
determinados por DATALATINA, en los cuales se expresa la obligación de proteger la
información para no ser revelada.
13. En conjunto con la Gerencia General aplicar el procedimiento disciplinario cuando se
evidencien casos de incumplimiento o violación a las políticas de seguridad de la
información.
14. Los empleados deberán devolver todos los activos de DATALATINA que se
encuentran en su poder a la terminación de su empleo, contrato o acuerdo.
Esta política se abarcar cada uno de los software creadaos por la empresa en la que se
contemplaron al momento de evaluar los actios de informacion, como tambien el control
de lincencia del software “Meycor” en cual se trabajara con los procesos de las politicas
realacionada como por ejemplo la politica de aceso, adicionalmente se realizara el informe
establecidoy acordado con la alta gerencia para llevar control de las infracciones que se
generen y definiiones de un plan de mejoramiento, se tendra como prioriad la
disponibilidad para el trato de la información y sus activos para que no interfieran con la
continuidad de negocio y no genere represaria por parte de los clientes por incumpliento
por esto se realizara un monitoreo constante cada hadware que tenga prioridad alta como
servidores, nuves, repositorios y entre otros sin tener en cuenta que este contratado por
un tercero.
1
Para los empleados, altos directivos y clientes se estaran rigiendo en base de lo que se
contemplo en la politica, si al ser aprobado y implementado es necesario realizar
modificaciones estas se deberan presentar, analizar y evaluar para la implementación de
forma de anexo ealizando su debido plan de sensibilización o en la mejora y
mantenimiento de la politica que se realizara anualmente
5. CONCLUSIONES
Con el estudio y posterior planteamiento de políticas, lineamientos, procedimientos
y controles, se logró entender la mejor manera de realizar la implementación de un
SGSI en una empresa.
Se aplicaron los conocimientos obtenidos durante los diferentes escenarios de
estudio.
Se resolvieron dudas respecto a seguridad de la información y la gestión del riesgo
en una organización.