La Política de Seguridad del Papel a la Acción

Docente
Alexandra Peña Daza

Javier Alexander Joya Joya

Politécnico Gran Colombiano.

Teoría de Seguridad
Ingeniería de diseño e innovación
2021
La Política de Seguridad del Papel a la Acción

Luisa Fernanda Novoa Santacruz

Luis Eduardo Trujillo Villanueva
Abril 2019.

Politécnico Gran Colombiano.

Especializaciones.
Teoría de Seguridad
Grupo 1
Tabla de contenido
1. INTRODUCCIÓN..................................................................................................................4
2. OBJETIVO............................................................................................................................4
3. DEFINICIONES.....................................................................................................................4
4. ESTUDIO DE CASO..............................................................................................................5
4.1. Defina la política de seguridad para Datalatina, según la estructura vista en el
Escenario 5.................................................................................................................................6
4.1.1. Resumen de la política................................................................................................6
4.1.2. Introducción...............................................................................................................6
4.1.3. Objetivo......................................................................................................................6
4.1.4. Alcance.......................................................................................................................7
4.1.5. Responsables..............................................................................................................7
4.1.6. Principios....................................................................................................................8
4.1.7. Resultados claves........................................................................................................8
4.1.8. Políticas relacionadas.................................................................................................8
4.2. Proponga un plan de implementación y desarrollo de política que contenga lo
siguiente.....................................................................................................................................9
4.2.1. Objetivos del SGSI.......................................................................................................9
4.2.2. Definición de alto nivel del alcance y marco de referencia para el SGSI...................10
4.2.3. Procedimientos y controles que apoyan la política..................................................10
4.2.4. Definición de roles y responsabilidades....................................................................13
4.2.4.1. Autoridades de Seguridad de la Información........................................................13
4.2.4.2. Roles de la organización de seguridad de la información.....................................14
4.2.4.3. Responsabilidades de seguridad de la información en otras dependencias..........19
4.3. Definir un plan de sensibilización para la implementación de la política de seguridad.
21
5. CONCLUSIONES................................................................................................................22
 1. INTRODUCCIÓN

Con el crecimiento constante de las tecnologías de la información y comunicaciones, cada

vez se ve más comprometida la información de las entidades, corporaciones y personas,
esto debido a que la información está siendo transmitida por diferentes canales
tecnológicos que pueden ser intervenidos con fines maliciosos. Con el fin de contrarrestar
estas amenazas, es necesario contemplar la implementación y gestión de un Sistema de
Seguridad de la información que permita a la compañía mitigar los riesgos que puedan
impactar los objetivos de la organización.

Es por eso que se hace necesario entender la mejor forma de implementar los controles
estratégicos, tácticos y operativos los cuales son establecidos como políticas,
procedimientos, guías e instrumentos, para conseguir asegurar la información de todos
los procesos de cualquier compañía, alineándose siempre con los objetivos misionales.

Lo anterior conduce a que cualquier compañía establezca medidas y lineamientos, donde

se garantice que las directrices de seguridad sean llevadas por un ciclo de revisión y
mejora continua para que lograr las mejores prácticas de protección de la información.

2. OBJETIVO
Por medio del estudio del caso práctico correspondiente a la empresa Datalatina y del
planteamiento de una política para el Sistema de gestión de Seguridad de la Información,
los estudiantes debemos entender los conceptos básicos que la componen, su definición
y mejor manera de implementación,

Asi como también se busca lograr un entendimiento de la norma ISO 27001:2013

Seguridad de la información y de su anexo A.

3. DEFINICIONES
 Alcance: Limites del Sistema de Gestión.
 Política de seguridad de la información: Establece a alto nivel los objetivos y
metas relacionados con la seguridad de la información.
  Activos de Información: Los activos de información son datos o información
propietaria en medios electrónicos, impreso o entre otros medios, considerados
sensitivos o críticos para los objetivos del proceso.
 Clasificación de la Información: es el ejercicio por medio del cual se determina
que la información pertenece a uno de los niveles de clasificación estipulado por la
entidad. Tiene como objetivo asegurar que la información tenga el nivel de
protección adecuado. La información debe clasificarse en términos de sensibilidad
e importancia para la organización.
 Seguridad de la Información: es el conjunto de medidas preventivas y reactivas
de las organizaciones y de los sistemas tecnológicos que permiten resguardar y
proteger la información buscando mantener la confidencialidad, la disponibilidad e
integridad de la misma.
 Integridad: Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
 Disponibilidad: Acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
 Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.

4. ESTUDIO DE CASO

Datalatina es una firma latinoamericana dedicada al aseguramiento, gestión de riesgos,

calidad y seguridad de sistemas de información. El personal de consultores y docentes de
esta firma cuenta con las principales certificaciones internacionales asociadas al alcance
de sus tareas, las cuales han sido emitidas por prestigiosas organizaciones académicas,
como ISACA, PMI, DRI, entre otras. Esto, sumado a la vasta experiencia generada a
través de más de 30 años de compromiso con el cliente, hace de Datalatina una empresa
líder en las soluciones que ofrece. Las tres líneas de negocio de Datalatina son:
soluciones, software y capacitación. Línea de soluciones: provee consultoría y
capacitación sobre buen gobierno corporativo, con referentes como COSO y gobierno de
TI con COBIT; gestión integral de riesgo y auditoría; gestión de riesgos de lavado de
activos y financiamiento terrorista; gestión de seguridad de la información; gestión de
continuidad del negocio, tomando como referencia la norma ISO 22301; hacking ético;
cumplimiento y legislación; y soluciones personalizadas. Línea de software: Datalatina
utiliza el software Meycor; ha desarrollado aplicaciones para el gobierno de TI con Cobit,
seguridad de la información ISO 27001 y gestión de riesgo corporativo alineado con la
Norma ISO 3100. Línea de capacitación: es un centro autorizado por ISACA para la
capacitación y certificación en ISA, CISM, CGEIT, CRISC, CISSP y DRI.

Datalatina es certifcada ISO/IEC 27001, lo cual asegura la calidad en términos de

seguridad según dicho estándar y cuenta con importantes clientes a nivel mundial,
además, trabaja a través de representantes en diferentes países.

4.1. Defina la política de seguridad para Datalatina, según la estructura vista

en el Escenario 5.

4.1.1. Resumen de la política

La información actualmente es un bien muy importante para las empresas y/o personas
por esta razón se debe proteger sin importar la forma que se trasmita, guarde y se
comparta, debido a esto se realiza implementaciones de seguridad de la información

4.1.2. Introducción
Datalatina en conformidad con su misión, visión y estrategia de negocio decide
implementar un SGSI que busca mantener la confidencialidad, integridad y disponibilidad
tanto de la información de la compañía como la de sus clientes, teniendo como premisas
la gestión del riesgo, el compromiso de los colaboradores en el mantenimiento y en la
mejora continua de los procesos.

Datalatina adopta la Política de Seguridad de la Información como marco para la creación

y desarrollo de medidas, normas, estándares, procedimientos y controles que regulan el
buen uso de la información proporcionando un ambiente seguro para el tratamiento de
esta, cumpliendo con los requerimientos de seguridad contractuales, normativos y legales
vigentes.

4.1.3. Objetivo
 Evaluar y contemplar, las vulnerabilidades y amenazas para la seguridad de la
información para cada uno de los activos que la empresa considera indispensables
y/o importantes para su labor y continuidad de negocio
  Asegurar la confidencialidad de los procesos de lineamientos que propone la
empresa como la información de los clientes.
 Asegurar la integridad y disponibilidad de los activos de las empresas en el cual se
utilizan en la parte operativa y se comparte con sus clientes

4.1.4. Alcance
Esta política es aplicable a las líneas de negocio de soluciones, software y capacitación
de Datalatina asegurando los tres pilares claves para la Seguridad de la información, así
como también a sus funcionarios (directivos, consultores y docentes), proveedores,
contratista y todo aquel que por su ejercicio tenga acceso a los activos de información de
la compañía y/o de sus clientes.

4.1.5. Responsables
 Equipo de alta dirección son los responsables de asegurar que la política de la
seguridad de la información se gestiones dentro de la organización, como también
establecer las prioridades del aseguramiento de los activos que se maneje en la
empresa.
 Los colaboradores deben acogerse sobre los parámetros que se indican en la
política de la seguridad de la información que se implemente en la empresa,
evitando divulgación de materiales no permitidos o autorizados, proteger la
información de la empresa y sus clientes que se les de acceso para ámbitos
laborales, informar fallas dentro de la política y violaciones que se presenten en su
entorno laboral.
 Oficial de seguridad se encargara de realizar el debido asesoramiento para la
mejora continua de la política de la seguridad de la información, como también la
disponibilidad de los informes que se deberán realizar continuamente.
 Clientes deberán no distribuir cualquier información confidencial de la empresa a
excepción de la autorización de la empresa, como también deberán cumplir con
las políticas que se manejan en la empresa para poder proceder con la
disponibilidad, integridad y confidencialidad de la información en la que interactúen
cada uno
 4.1.6. Principios
 Todos los empleados, proveedores y clientes deben reportar violaciones de
seguridad.
 Se tomaran las respectivas sanciones a cualquier persona que infrinja la política
de seguridad planteada e implementada.
 Se aceptara todo riesgo que no afecte la continuidad del negocio y este dentro del
margen aceptado por la empresa.
 Se realizara un monitoreo definido para la verificación de la implementación de la
política de la seguridad.
 Se estará en disposición cada área encargada de los activos para responder a la
materialización de un riesgo.
 Los reportes y informes de la seguridad de la información deben estar disponibles.
 Se deberá realizar evaluación continua a nuevos riesgo que se puedan presentar
en el trascurso de la implementación de la seguridad de la información
actualizando las políticas para dar cumplimiento con los objetivos de la política.

4.1.7. Resultados claves

 Se evidencia una mejor gestión en el manejo de la información para la empresa y

clientes, logrando aplicar mejor sus servicios.
 Se realizan controles y mejoras continuas en la evaluación de riesgos para cada
uno de los activos preservado la disponibilidad, integridad y confidencialidad.
 Se evidencia efectividad en el control de incidencias manteniéndolas en los
márgenes aceptables.
 Aprobación y tranquilidad por parte de los clientes por la seguridad que se
implementara en las líneas de negocio de la empresa

4.1.8. Políticas relacionadas

 Política para Dispositivos Móviles

 Política de Teletrabajo
 Política de control de acceso
  Política sobre el uso de controles criptográficos y gestión de llaves
 Política de Escritorio y Pantalla limpia
 Política de Áreas seguras
 Política de Copias de Respaldo
 Política de Transferencia de Información
 Política de Desarrollo Seguro
 Política de seguridad para contratistas y/o proveedores
 Política de privacidad y datos personales

4.2. Proponga un plan de implementación y desarrollo de política que

contenga lo siguiente

4.2.1. Objetivos del SGSI

NOMBRE DEL
  OBJETIVOS DEL SGSI FORMULA
INDICADOR
Identificar, controlar, prevenir y/o
mitigar los riesgos de seguridad de la Eficacia en la # de planes de riesgos
información, con el fin de evitar ejecución de planes ejecutados en el trimestre/ #
1
incidentes que puedan afectar la de mitigación de de planes propuestos en el
reputación, los requisitos legales y riesgos trimestre
regulatorios aplicables.
Establecer e implementar políticas, Efectividad en la
# de incidentes cerrados en
normativas y procedimientos, que gestión de
la fecha propuesta/ # de
2 permitan resguardar y proteger la incidentes de
incidentes seleccionados
información de Datalatina y sus seguridad de la
para el cierre del trimestre
clientes información
Desarrollar actividades de
sensibilización y capacitación que
Cumplimiento del # de capacitaciones
permita difundir los lineamientos,
3 programa de realizadas/#capacitaciones
políticas y buenas prácticas
capacitaciones programadas
asociadas a la seguridad de la
información.
4 Evaluar, mantener y mejorar el Grado de # de controles
Sistema de Gestión de Seguridad de cumplimiento en la penalizados /# de controles
la Información (SGSI), con el fin de gestión del SGSI evaluados
lograr la eficiencia, la mejora
continua y el cumplimiento de los
requisitos de las regulaciones o leyes
 NOMBRE DEL
  OBJETIVOS DEL SGSI FORMULA
INDICADOR
vigentes.

4.2.2. Definición de alto nivel del alcance y marco de referencia para el

SGSI
Esta política es aplicable a las líneas de negocio de soluciones, software y capacitación
de Datalatina asegurando los tres pilares claves para la Seguridad de la información, así
como también a sus funcionarios (directivos, consultores y docentes), proveedores,
contratista y todo aquel que por su ejercicio tenga acceso a los activos de información de
la compañía y/o de sus clientes.

Para la construcción del Sistema de Gestión Seguridad de la Información de Datalatina se

ha tomado como referencia:

o NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC Colombiana 27001:20013. 2013-

12-11. Tecnologías de la Información. Técnicas de Seguridad. Sistemas de
Gestión de la Seguridad de la Información. Requisitos y su anexo A.
o NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC Colombiana 31000:2009 Gestión
del Riesgo, Principios y Directrices
o NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC Colombiana 9001:2015 Sistema
de Gestión de Calidad
o Listado de requisitos legales y contractuales. Ver Normograma
o Modelo de Seguridad de la información MinTic Guias 4,7.8, 21
 4.2.3. Procedimientos y controles que apoyan la política

PROCEDIMIENTO OBJETIVO
Ejecutar actividades de administración de riesgos para
los diferentes procesos y activos de información,
Metodología de Evaluación y Tratamiento dirigidos a proteger a la compañía de los posibles
del Riesgo eventos adversos, de tal forma que se reduzca la
probabilidad de ocurrencia del evento y de su impacto a
partir de la evaluación, tratamiento y control del riesgo.

Establecer los lineamientos y criterios bajo los cuales se

Metodología Gestión de Activos de debe realizar la identificación y clasificación de los
Información activos asociados con la información y las instalaciones
de procesamiento de información en la compañía
Controlar y hacer seguimiento de las leyes, normas y
Normograma demás contractuales que son de estricto cumplimiento
por la organización.

Establecer lineamientos para la gestión de incidentes de

Seguridad de la Información, con el fin de garantizar el
Procedimiento de Gestión de Incidentes tratamiento ideal de la información y recuperación
eficiente ante a un incidente de Seguridad de la
Información que se presente en la compañía.

Lograr un entorno físico de trabajo acorde con los

requerimientos de Confidencialidad, Integridad y
Procedimiento para trabajar en áreas
Disponibilidad de los activos de información de la
seguras
compañía, de acuerdo a lo requerido por el Sistema de
Gestión de Seguridad de la Información.

Presentar los niveles, criterios, formas y orientaciones

Procedimiento de Clasificación y Etiquetado que deben ser utilizados por los Propietario/Líders
de la Información responsables de la información de la compañía, para
clasificar, etiquetar y tratar la información asegurando su
confidencialidad, integridad y disponibilidad

Establecer actividades y responsabilidades para el

intercambio seguro de la información, buscando que los
Procedimiento de Transferencia de medios por los cuales se realicen estos intercambios,
información cuenten con niveles de seguridad óptimos, evitando que
la integridad y la confidencialidad de la información sean
vulneradas.
 PROCEDIMIENTO OBJETIVO

Diseñar un procedimiento para el monitoreo de la

infraestructura, el cual permita gestionar de forma
eficiente la misma y a su vez permita tener una visión en
Procedimiento Monitoreo de Infraestructura
tiempo real y generar reportes que permitan obtener
información del estado de los nodos de red y servidores
de la compañía

Establecer los criterios y directrices para realizar el

Procedimiento Destrucción y borrado
borrado y/o destrucción segura de información contenida
seguro
en medios digitales y/o físicos

Describir las actividades a seguir para la gestión de

medios removibles, a fin de garantizar la
Gestión de medios removibles y disposición
confidencialidad, integridad y disponibilidad de la
de medios
información, de acuerdo a los niveles de clasificación
establecidos por la compañía.

Establecer lineamientos que garanticen la protección de

la información crítica y no critica de la compañía,
Procedimiento Respaldo de la Información
manteniendo copias de respaldo de fácil recuperación
para cuando sea necesario

Crear, controlar y sostener ambientes separados a nivel

físico y lógico para el desarrollo y puesta en marcha de
las aplicaciones de software, en los ambientes de
desarrollo, pruebas y producción, el cual tiene por
objetivo principal que el ciclo de desarrollo de software
Procedimiento Construcción y principios de
sea independiente entre los ambientes, evitando que
sistemas seguros
puedan poner en riesgo la integridad de la información;
igualmente confirmando que los desarrolladores internos
o externos, posean acceso limitado y controlado a los
datos y archivos que se encuentren en el ambiente de
producción.

Atender las solicitudes de creación, modificación, o retiro

de cuentas de usuario para la disponibilidad y uso de los
Procedimiento Gestión de usuarios
recursos tecnológicos como archivos, directorios,
aplicaciones, entre otros.
 PROCEDIMIENTO
Procedimiento Gestión de contraseñas
OBJETIVO
Determinar los lineamientos para almacenar las
contraseñas críticas de la compañía consiguiendo así,
garantizar la confidencialidad y disponibilidad de esta
información

Controlar los cambios en los procesos, en las

instalaciones y en los sistemas de procesamiento de
Procedimiento Gestión de cambios
información de la compañía que puedan afectar la
seguridad de la información.

Establecer estrategias que aseguren la continuidad del

negocio de la compañía y que además respondan a la
Procedimiento Continuidad de seguridad de
atención de emergencias, recuperación de desastre y
la información
mitigación de impactos, en caso de interrupción parcial o
total de los servicios críticos de la organización.

Presentar el resultado del análisis de vulnerabilidades en

el escenario externo, con el fin de indicar medidas y
Gestión de Vulnerabilidades técnicas actividades que logren la mitigación de los hallazgos
identificados y aumentar la seguridad en los sistemas y/o
dispositivos.

4.2.4. Definición de roles y responsabilidades

4.2.4.1. Autoridades de Seguridad de la Información
 Proceso Direccionamiento Estratégico

El Proceso de Direccionamiento Estratégico en cabeza del Gerente apoya activamente la

seguridad de la información dentro de la organización, definiendo las directrices y
lineamientos bajo los cuales debe operar el SGSI; entre sus responsabilidades se
encuentran:

 Mantener dentro de la planta de personal, un empleado que responda al rol de

Líder del SGSI, quien será el encargado gestionar todo lo relacionado con la
seguridad de la información en la organización.
 Establecer los lineamientos y políticas del SGSI, asegurando su integración
con los demás procesos de la organización y el Plan Estratégico.
 Velar por el cumplimiento de las políticas de seguridad de la información,
comprometiéndose para que los empleados y contratistas, a su cargo, y partes
interesadas conozcan y apliquen los controles de seguridad establecidos.
  Asignar a los demás áreas y procesos, las responsabilidades asociadas a la
seguridad de la información.
 Velar para que se ejecute el programa de auditorías internas, al menos una vez
al año, y para que se realicen las mejoras correspondientes.
 Definir el nivel de tolerancia al riesgo.
 Asignar los recursos necesarios para la eficacia del SGSI.

 Comité de Seguridad de la Información

Para establecer, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI, el

Comité debe incluir dentro de sus funciones las siguientes acciones:

 Evaluar de manera semestral el desempeño del SGSI.

 Evaluar y aprobar las estrategias y políticas de seguridad de la información que
requiera la organización de acuerdo con la dinámica y condiciones de la
misma.
 Fijar directrices institucionales para la aplicación de los mecanismos de
protección de seguridad de la información.
 Evaluar y aprobar las políticas básicas y específicas de seguridad de la
información; garantizando su difusión y aplicación en la organización.
 Participar en las decisiones sobre arquitecturas y soluciones de seguridad de la
información y continuidad de la misma.
 Evaluar y aprobar Planes de Continuidad de seguridad de la información que
ante una situación crítica pueda verse amenazada de manera parcial o total.
 Apoyar la identificación de los procesos críticos de la organización, así como
analizar y proponer soluciones tecnológicas que requiera la misma.
 Generar y apoyar los planes de socialización, sensibilización y transferencia de
conocimiento en los temas relacionados con el SGSI.

4.2.4.2. Roles de la organización de seguridad de la información

El diseño de roles puede ser un grupo de áreas que es básicamente cómo las personas
se organizan para lograr mejores resultados de seguridad de la información. Cada
persona entiende su papel para apoyar el proceso, así como sus responsabilidades
respecto a los otros miembros del equipo para lograr los objetivos comunes, fomentando
el desarrollo de destrezas en un ambiente de aprendizaje continuo.

 Oficial de Seguridad de la información

Ejerce como Líder del Sistema de Gestión de Seguridad de la Información y es el

responsable de planificar, desarrollar, controlar y gestionar la implementación y el correcto
funcionamiento del modelo de seguridad de la Información en línea con los objetivos y
necesidades de DATALATINA y bajo las directrices del Comité de Gerencia. También es
responsable de aplicar y mantener los estándares de seguridad en los recursos
informáticos de su responsabilidad, acorde con el modelo de seguridad de la información
de DATALATINA y bajo la autorización del responsable de la información
correspondiente.

En efecto, el Oficial de seguridad de la información responde al rol del Líder del SGSI
quien está a un alto nivel para asegurar el cumplimiento de las políticas de seguridad, por
lo cual, depende directamente de la Gerencia General,

Comité Gerencia
(Direcciona)

Lider del SGSI

(Ejecuta)

Operador del
SGSI
(Ejecuta)

 El Operador del SGSI

El Operador del Sistema de Gestión de Seguridad de la Información es el responsable de

ejecutar los procedimientos de Administración de la Operación en los elementos de
seguridad de incidentes de seguridad y de vulnerabilidades, que se presenten en los
recursos de información de DATALATINA. Su función debe estar alineada con el proceso
de administración de la operación y para esta compañía el Rol es asignado al Ingeniero
de IT.

También es responsable de ejecutar los procedimientos operativos de identificación,

autenticación y control de acceso con la finalidad de proteger los activos de información,
así como actualizar los sistemas de acuerdo con el modelo de seguridad de la información
de DATALATINA.

Entre las responsabilidades y funciones del Líder y el Operador del SGSI, a la luz del ciclo
PHVA, se encuentran:
PHVA Líder del SGSI Operador del SGSI
-
1. Planificar, diseñar e implementar, el
SGSI de la organización, sus
políticas, lineamientos y controles
P conforme a las directrices del Comité
de Gerencia, los requerimientos
legales y buenas prácticas de normas
técnicas.

-
2. Desarrollar todas las actividades de
coordinación de la Seguridad de la
H Información y seguridad Informática
de la organización.

Implementar normas y controles

3. Establecer normas y controles
apropiados, y velar para que las
apropiados, y dirigir en el
políticas y procedimientos
establecimiento y aplicaciones de las
relacionados con la Seguridad de la
H políticas y procedimientos
Información y la Seguridad
relacionadas con la Seguridad de la
Informática, se ejecuten tal como se
Información y la Seguridad
planearon en cada proceso de la
Informática.
organización.
4. Salvaguardar los activos de
información de la organización, la
H propiedad intelectual y el
cumplimiento normativo.

5. Hacer, en conjunto con los Líderes de

procesos, la identificación, valoración
H y clasificación de los activos de
información.

Velar por el aseguramiento y

6. Establecer, revisar, aprobar y
apropiación de la Política de
mantener actualizada, junto con el
Seguridad de la información, al
Comité Primario la Política y las
H interior de cada proceso.
responsabilidades generales en
materia de Seguridad de la
Información.
PHVA Líder del SGSI Operador del SGSI
Apoyar los planes de sensibilización
7. Diseñar y ejecutar planes de
y concientización para los
sensibilización y concientización para
empleados, contratistas y terceros
H los empleados, contratistas y terceros
frente a la cultura de seguridad de la
frente a la cultura de seguridad de la
Información en toda la organización.
Información en toda la organización.

Ejecutar la actualización de
8. Formular, definir y actualizar políticas,
políticas, normas, procedimientos y
H normas, procedimientos y estándares
estándares definidos en el SGSI.
definidos en el SGSI.

9. Mantener actualizado el análisis y

evaluación y tratamiento del riesgo
H sobre los activos de información de la
organización.

10. Hacer, en conjunto con los líderes de

procesos la evaluación y tratamiento
H del riesgo sobre los activos de
información de la Organización.

Emitir conceptos técnicos, frente a

11. Evaluar, apoyar y dar visto bueno de
las nuevas soluciones o plataformas
conceptos técnicos, frente a las
H tecnológicas.
nuevas soluciones o plataformas
tecnológicas.

Apoyar a los procesos en la

12. Asesorar a los procesos en la
ejecución de pruebas de
aplicación de la metodología para el
contingencia y continuidad de
H mantenimiento de los planes de
seguridad de la información.
contingencia y continuidad de
seguridad de la información.

Alimentar las herramientas que se

13. Evaluar, seleccionar e implantar
adopten para gestionar el SGSI.
H herramientas que faciliten la labor de
gestionar el SGSI.

Establecer controles de acceso a la

14. Proporcionar lineamientos para
información de la organización, a
controlar el acceso de la información
personal externo e interno
de la organización a personal externo
H manteniendo los pilares
e interno manteniendo los pilares
fundamentales de la seguridad de la
fundamentales de la seguridad de la
información.
información.

H Apoyar o supervisar los planes de

15. Velar por el cumplimiento de los
PHVA Líder del SGSI Operador del SGSI
trabajo (control de cambios) que
requisitos de seguridad de la
impacten la seguridad de la
información a niveles de su
información.
operación, desarrollo e
implementación de sistemas de
información y sistemas de
comunicaciones informáticos.

Hacer seguimiento al reporte de

16. Coordinar las acciones necesarias
eventos e incidentes de seguridad
para identificar, controlar, reducir y
de la información, investigar,
H evaluar incidentes de seguridad de la
registrar, recolectar evidencia y
información.
documentar las lecciones
aprendidas de los incidentes.
Velar para que los planes de
17. Evaluar y preparar los informes del
remediación de vulnerabilidades se
estado de la seguridad de la
ejecuten y desarrollen a cabalidad.
información y la efectividad de los
controles de la seguridad para
Reportar informes del estado de las
realizar la revisión periódica del
actividades bajo su cargo.
V estado del sistema y acompañar a la
Organización en la evaluación del
mismo para asegurar que el SGSI,
permanece conforme a las necesidad
de la Organización y se identifican
mejoras de los mismos.

18. Proponer, diseñar y fomentar la

mejora continua de los controles y
herramientas de seguridad de la
información necesarias para el
A fortalecimiento de seguridad de la
información en la organización y el
adecuado tratamiento de los
incidentes de seguridad de la
información detectados.

19. Hacer seguimiento a la ejecución de

A los Planes de acción relacionados
con seguridad de la información.

 El Responsable de la información
El responsable de la Información se define como cualquier empleado, contratista o tercero
encargado de identificar claramente el valor de la información, conocer los riesgos a que
podría estar expuesta y velar porque se provean los mecanismos necesarios para que
estos riesgos se mitiguen a niveles aceptables considerando la relación costo-beneficio
para su área.

4.2.4.3. Responsabilidades de seguridad de la información en otras

dependencias

o Gerencia de TI

1. Debe aplicar los controles necesarios que garantizan la disponibilidad,

confidencialidad e integridad de la información de los activos de información
tecnológicos y recursos informáticos.
2. Debe evitar la divulgación, modificación, retiro, destrucción no autorizada de la
información que se encuentra almacenada en dispositivos periféricos.
3. Debe realizar el levantamiento, actualización y mantenimiento de los activos de
información de tecnología.
4. Debe autorizar la creación o modificación de las cuentas de acceso o recursos de
DATALATINA.
5. Debe realizar y mantener copias de seguridad de la información en medio digital.
6. Debe garantizar la instalación de software antivirus que brinde protección contra
código malicioso en todos los recursos informáticos.
7. Debe autorizar el uso de software licenciado por DATALATINA.
8. El personal de TI es el único autorizado para hacer modificaciones o actualizaciones
en los elementos y recursos tecnológicos, como destapar, agregar, desconectar,
retirar, revisar y/o reparar sus componentes.
9. Debe establecer un procedimiento de autorización y controles para proteger el acceso
a las redes de datos y los recursos de red.
10. Debe establecer un procedimiento que asegure la desactivación o bloqueo de los
privilegios de acceso sobre los recursos tecnológicos, los servicios de red y los
sistemas de información, cuando el empleado o usuario haya sido desvinculado o
haya terminado el contrato con DATALATINA.
11. Debe establecer un procedimiento que permita asegurar la gestión de cambios
normales y de emergencia a nivel de infraestructura, aplicativos y servicios
tecnológicos.
12. Debe establecer un comité de cambios, quien se encargará de evaluar, aprobar o
negar la implementación de los cambios.
13. Debe planificar periódicamente actividades que involucren auditorias de los sistemas
en producción y debe garantizar que los documentos, dispositivos, medios utilizados
para las auditorias de los Sistemas de Información estén protegidos y custodiados de
accesos no autorizados.
14. Debe documentar los resultados de las auditorias de los sistemas de Información.
15. Asegurar que se realice una copia de respaldo de la información del activo previa su
devolución y antes de realizar la ejecución del procedimiento de borrado seguro.

o Asesor Jurídico
1. Indicar al Líder del SGSI los requisitos estatutarios, reglamentarios, y contractuales
pertinentes al enfoque de Datalatina en materia de seguridad de la información.

o Gerencia de Talento Humano

1. Debe verificar los antecedentes de todos los candidatos de acuerdo con las leyes,
reglamentos y ética pertinentes, los cuales deben ser proporcionales a los requisitos
del negocio, a la clasificación de la información a la que se va a tener acceso, y a los
riesgos percibidos.
2. Debe asegurar que los usuarios que tienen acceso a información confidencial, firmen
un acuerdo confidencial, derechos de autor y/o protección de datos, según aplique.
3. Debe determinar las competencias necesarias de los empleados que realicen un
trabajo que afecte el desempeño de la seguridad de la información.
4. Debe asegurarse de que los empleados sean competentes, basándose en la
educación, formación o experiencia requerida.
5. Debe evaluar a los empleados en relación al desempeño de la seguridad de la
información, impulsar la toma de acciones para adquirir y/o fortalecer las
competencias necesarias y evaluar la eficacia de las acciones tomadas.
6. Debe archivar y custodiar las historias laborales, conservando la información
documentada apropiada, como evidencia de la competencia.
7. Debe liderar los programas de inducción, re inducción, capacitación y sensibilización
enfocados a fortalecer la toma de conciencia en relación a seguridad de la
información.1
8. Debe liderar las actividades requeridas para la terminación de contratos, garantizando
los aspectos de seguridad de la información pertinentes.
9. Debe establecer acuerdos de confidencialidad o no divulgación para ser aplicados a
todo el personal de DATALATINA.
10. Debe identificar, revisar regularmente y documentar los requisitos para los acuerdos
de confidencialidad o no divulgación que reflejen las necesidades de VALID
CCOLOMBIA para la protección de la información.
11. Debe detallar las actividades por los cuales los empleados pueden ser monitoreados,
a fin de no violar el derecho a la privacidad ni los derechos del empleado.
12. Garantizar que todos los empleados acepten y firmen los acuerdos de confidencialidad
determinados por DATALATINA, en los cuales se expresa la obligación de proteger la
información para no ser revelada.
13. En conjunto con la Gerencia General aplicar el procedimiento disciplinario cuando se
evidencien casos de incumplimiento o violación a las políticas de seguridad de la
información.
14. Los empleados deberán devolver todos los activos de DATALATINA que se
encuentran en su poder a la terminación de su empleo, contrato o acuerdo.

4.2.5. Indicación de alto nivel de alcance y límite a nivel físico de TICS y de

organización.

Esta política se abarcar cada uno de los software creadaos por la empresa en la que se
contemplaron al momento de evaluar los actios de informacion, como tambien el control
de lincencia del software “Meycor” en cual se trabajara con los procesos de las politicas
realacionada como por ejemplo la politica de aceso, adicionalmente se realizara el informe
establecidoy acordado con la alta gerencia para llevar control de las infracciones que se
generen y definiiones de un plan de mejoramiento, se tendra como prioriad la
disponibilidad para el trato de la información y sus activos para que no interfieran con la
continuidad de negocio y no genere represaria por parte de los clientes por incumpliento
por esto se realizara un monitoreo constante cada hadware que tenga prioridad alta como
servidores, nuves, repositorios y entre otros sin tener en cuenta que este contratado por
un tercero.

1
Para los empleados, altos directivos y clientes se estaran rigiendo en base de lo que se
contemplo en la politica, si al ser aprobado y implementado es necesario realizar
modificaciones estas se deberan presentar, analizar y evaluar para la implementación de
forma de anexo ealizando su debido plan de sensibilización o en la mejora y
mantenimiento de la politica que se realizara anualmente

4.3. Definir un plan de sensibilización para la implementación de la política

de seguridad.
Se determina la sensibilización y la capacitación al personal de Datalatina como parte
fundamental de la implementación del Sistema de Gestión de Seguridad de la
Información, ya que estudios demuestran que uno de los principales fuentes de pérdida
de información es el error humano*, es por esto que se hace necesario trabajar con los
colaboradores desde la prevención temas como la protección de la información,
identificación de incidentes, pensamiento basado en riesgos etc. Ver documento anexo
Plan de Sensibilización y Capacitación Datalatina.

5. CONCLUSIONES
 Con el estudio y posterior planteamiento de políticas, lineamientos, procedimientos
y controles, se logró entender la mejor manera de realizar la implementación de un
SGSI en una empresa.
 Se aplicaron los conocimientos obtenidos durante los diferentes escenarios de
estudio.
 Se resolvieron dudas respecto a seguridad de la información y la gestión del riesgo
en una organización.