TEORÍA DE LA SEGURIDAD

Documento:
La política de seguridad del papel a la acción

Elaborado por:

JAVIER MAURICIO BAUTISTA GARZÓN

Bogotá

Junio, 2020
TABLA DE CONTENIDO

1. INTRODUCCIÓN ...................................................................................................................... 3
2. OBJETIVOS .............................................................................................................................. 3
3. METODOLOGÍA....................................................................................................................... 3
4. GLOSARIO ............................................................................................................................... 4
5. DESARROLLO DE ACTIVIDADES ...................................................................................... 7
5.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA DATALATINA............. 7
5.2 PLAN DE IMPLEMENTACIÓN Y DESARROLLO DE LA POLÍTICA ...................... 12
5.3 PLAN DE SENSIBILIZACIÓN ......................................................................................... 19
6. CONCLUSIONES................................................................................................................... 25
7. REFERENCIAS BIBLIOGRÁFICAS ................................................................................... 25
 1. INTRODUCCIÓN

Las políticas de seguridad de la información son fundamentales en las

organizaciones para dejar claramente establecidos los lineamientos bajo los cuales
se deben orientar las acciones a desarrollar por todos los participantes o
stakeholders que tienen algún “contacto” con cualquier activo de información, ya
sea a nivel interno o externo de ella.

La información es un activo vital para el éxito y la continuidad en el mercado de toda

organización. El aseguramiento de dicha información y de los sistemas que la
procesan es un objetivo fundamental. Por tal motivo, es tan importante que las
organizaciones inicien con algo esencial como lo es la generación de una política,
así como la implementación y la sensibilización a todos los miembros de la entidad.

2. OBJETIVOS

OBJETIVO GENERAL

Generar habilidades para implementar un Sistema de Gestión de Seguridad de la

Información.

OBJETIVO ESPECÍFICO

• Definir una política de seguridad de la información.

• Proponer un plan de implementación y desarrollo de una política de seguridad
de la información.
• Definir un plan de sensibilización para la implementación de la política de
seguridad.

3. METODOLOGÍA

La metodología utilizada para implementar la política de seguridad de la información

fue consultar referencias bibliográficas relacionadas con los temas, entre estas la
ISO27001, la información del módulo y los escenarios compartidos por el docente,
entre otras.

Así mismo, tomar las definiciones más importantes de seguridad de la información

para poder entender y aplicar en la política a realizar. Por otra parte, se realizó un
análisis de la información recopilada y se tomaron las especificaciones más
importantes que ayudan a la implementación y sensibilización de la política.

Finalmente se construyó la política de seguridad de la información basados en la

información suministrada de la firma Datalatina y se entregó para el conocimiento
de la organización.
 4. GLOSARIO

ACTIVO: Cualquier elemento que tiene valor para la organización y que para
Gestión de riesgos de seguridad de la información se consideran los siguientes:
Personas, Información, Hardware, Instalaciones, Proceso, Software, Servicio y
Redes.

AMENAZA: Causa potencial de incidente no deseado, el cual puede resultar en

daño al sistema o a la Organización. [Fuente: ISO 27000].
ANÁLISIS DE RIESGOS: Proceso para comprender la naturaleza del riesgo para
poder estimar o determinar su nivel. Este análisis provee las bases para la
evaluación del riesgo y las decisiones requeridas para implementar su tratamiento.
[Fuente: ISO 31000].
ATAQUE: Intento de destruir, exponer, deshabilitar, alterar, o lograr acceso no
autorizado o de hacer un uso no autorizado de un activo.
AUDITORÍA: Proceso independiente, documentado y sistemático para obtener
evidencia de auditoría y evaluarla objetivamente para determinar el grado en el que
un criterio de auditoría es cumplido.
CAUSAS: La razón por la cual se sucede el evento y cuya identificación depende
del nivel de experiencia sobre el entorno y los elementos involucrados. [Fuente: ISO
31000].
CONTROL: Medida que modifica el riesgo. [Fuente: ISO 27000].
CONSECUENCIAS: Resultado del evento que puede ser cierto o incierto y tener
efectos positivos o negativos para la entidad y que puede expresarse en términos
cualitativos o cuantitativos. Una consecuencia inicial puede tener mayor impacto
considerando los efectos secundarios. [Fuente: ISO 31000].
CONFIDENCIALIDAD: Propiedad de la información que hace que no esté
disponible o que sea revelada a individuos no autorizados, entidades o procesos.
[Fuente: ISO 27000].
CONTROL DE ACCESO: Medios para asegurar que el acceso a los activos es
autorizado y restringido de acuerdo con los requerimientos del negocio y de la
seguridad.
DISPONIBILIDAD: Propiedad de ser accesible y utilizable ante la demanda de una
entidad autorizada. [Fuente: ISO 27000].
EVENTOS: Presencia o cambio de un conjunto particular de circunstancias, que
puede ser una o varias ocurrencias con una o varias causas. Un evento puede
consistir en algo que no está sucediendo. [Fuente: ISO 31000].
ESCENARIO DE RIESGO: Es la representación de una situación en la cual una
amenaza se materializa aprovechando una vulnerabilidad en un activo de
información y causa un impacto visible para la Organización. Esto permite visualizar
el nivel de impacto causado y la probabilidad de ocurrencia para poder realizar la
calificación del riesgo.
FUENTES DE RIESGO: Elemento que solo o en combinación tiene el potencial
intrínseco de originar un riesgo. Una fuente de riesgo puede ser tangible como por
ejemplo lo asociado con la tecnología o a las instalaciones y lo intangible como por
ejemplo la situación sociocultural, entorno económico, clima político y entorno
familiar. [Fuente: ISO 31000].
GESTIÓN DE RIESGOS: Actividades coordinadas para dirigir y controlar una
organización con respecto al riesgo.
INFORMACIÓN: Activo, que como otro activo importante es esencial para el objeto
de la organización y como tal debe ser protegido adecuadamente. La información
puede ser almacenada de muchas formas incluyendo: digitalmente, físicamente o
bien en forma de conocimiento. La información puede ser transmitida por muchos
medios incluyendo: mensajería o comunicación verbal o electrónica. La información
en cualquiera de sus formas o por cualquiera de los medios que sea transmitida
requiere de una protección adecuada.
INTEGRIDAD: Propiedad de exactitud y completitud.
MEJORA CONTINUA: Actividad recurrente para mejorar el desempeño.
MONITOREO: Verificación, supervisión, observación crítica o determinación
continúa del estado con el fin de identificar cambios con respecto al nivel de
desempeño exigido o esperado.
NORMA ISO 27001:2013: Es la versión del año 2013 de la norma ISO 27001 que
“proporciona los requisitos para establecer, implementar, mantener y mejorar de
manera continua un sistema de gestión de la seguridad de la información.”
NORMA ISO 27002:2013: Es la versión del año 2013 de la norma ISO 27002 que
“está diseñada para que las organizaciones la usen como un marco de referencia
para seleccionar controles dentro del proceso de implementación de un Sistema de
Gestión de la Seguridad de la Información”.
PARTE INTERESADA: Persona u organización que puede afectar, verse afectada
o percibirse a sí misma como afectada por una decisión o una actividad. Una
persona que toma decisiones puede ser una parte involucrada. [Fuente: ISO
31000].
RIESGO: Efecto de la incertidumbre sobre los objetivos. Un efecto es una
desviación de aquello que se espera, sea positivo, negativo o ambos. Los objetivos
pueden tener aspectos diferentes (económicos, de imagen, medio ambiente) y se
pueden aplicar a niveles diferentes (estratégico, operacional, toda la organización)
[Fuente: ISO 31000].
SEGURIDAD DE LA INFORMACIÓN: La Seguridad de la Información incluye tres
dimensiones principales: Confidencialidad, Disponibilidad e Integridad. La
Seguridad de la información involucra la aplicación y gestión de las medidas
apropiadas de seguridad que tengan en cuenta un amplio rango de amenazas. La
seguridad de la información es alcanzada por medio de la implementación de un
conjunto aplicable de controles, seleccionados por medio de un proceso de gestión
de riesgos y gestionados usando un Sistema de Gestión de Seguridad de la
Información, incluyendo políticas, procesos, procedimientos, estructuras
organizacionales, software o hardware para proteger los activos de información
identificados.
SISTEMA DE GESTIÓN: Conjunto de elementos que interactúan y se
interrelacionan para establecer políticas y objetivos y los procesos para alcanzar
dichos objetivos.
VULNERABILIDAD: debilidad identificada sobre un activo y que puede ser
aprovechado por una amenaza para causar una afectación sobre la
confidencialidad, integridad y/o disponibilidad de la información.
 5. DESARROLLO DE ACTIVIDADES

5.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA DATALATINA

La dirección de la firma reconoce la importancia de identificar y proteger sus activos

de información evitando la destrucción, la divulgación, modificación y utilización no
autorizada de toda información relacionada con clientes, empleados, precios, bases
de conocimiento, manuales, casos de estudio, códigos fuente, estrategia, gestión, y
otros conceptos; además, comprometiéndose a desarrollar, implantar, mantener y
mejorar continuamente el Sistema de Gestión de Seguridad de la Información
(SGSI).

La seguridad de la información se caracteriza por la preservación de:

A. Su confidencialidad, asegurando que solo quienes estén autorizados pueden

acceder a la información.
B. Su integridad, asegurando que la información y sus métodos de proceso son
exactos y completos.
C. Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la
información y a sus activos asociados cuando lo requieran.

La seguridad de la información se consigue implantando un conjunto adecuado de

controles, tales como políticas, prácticas, procedimientos, estructuras organizativas
y funciones de software. Estos controles han sido establecidos para garantizar que
se cumplen los objetivos específicos de seguridad de la empresa.

Es política de Datalatina que:

1. Se establezcan anualmente objetivos en relación con la seguridad de la

información.
2. Se desarrolle un proceso de análisis del riesgo y, de acuerdo con su resultado,
se implementen las acciones correspondientes con el fin de tratar los riesgos
que se consideren inaceptables, según los criterios establecidos en el Manual
de Gestión.
3. Se establezcan los objetivos de control y los controles correspondientes, en
virtud de las necesidades que en materia de riesgos surjan del proceso de
análisis de riesgos manejado.
4. Se cumpla con los requisitos del negocio, legales o reglamentarios, y las
obligaciones contractuales de seguridad.
5. Se brinde concientización y entrenamiento en materia de seguridad de la
información a todo el personal.
6. Se establezcan los medios necesarios para garantizar la continuidad del negocio
de la empresa.
7. Se sancione cualquier violación a esta política y a cualquier política o
procedimiento del SGSI.
8. Todo empleado es responsable de registrar y reportar las violaciones a la
seguridad, confirmadas o sospechadas.
9. Todo empleado es responsable de preservar la confidencialidad, integridad y
disponibilidad de los activos de información en cumplimiento de la presente
política y de las políticas y procedimientos inherentes al sistema de gestión de
la seguridad de la información.
10. El jefe de seguridad de la información es responsable directo del mantenimiento
de esta política a través de brindar consejo y guía para su implementación, así
como también de investigar toda violación reportada por el personal.

5.1.1 Resumen de la política

En la política de seguridad de la información se contempla que anualmente se

establezcan objetivos relacionados con la seguridad de la información, se
desarrollen análisis de los riesgos para así implementar controles u/o acciones.

También es importante cumplir con los requisitos de negocio legales o

reglamentarios y las obligaciones contractuales de seguridad. Haciendo que frente
a todo lo mencionado anteriormente sea conocido y concientizado por todo el
personal de Datalatina, conllevando a que haya la continuidad del negocio.

Como uno de los activos más importantes son los empleados por la información que
manejan, es necesario sensibilizar frente a la importancia de registrar y reportar
cualquier tipo de violación a las políticas de seguridad de la información y así mismo
manejar la confidencialidad, integridad y disponibilidad de esta.

La debida actualización de la política es responsabilidad del jefe de seguridad, el

cual debe brindar consejo y guía de implementación y hacerle el seguimiento
continuo a cualquier tipo de violación que se de en torno a la información trabajada
en Datalatina.

5.1.2 Introducción

La firma Datalatina en su política de seguridad de la información se basa en la

importancia de evitar la destrucción, la divulgación, modificación y utilización no
autorizada de uno de los activos más importantes, como lo es la información de
clientes, empleados, precios, bases de conocimiento, manuales, casos de estudio,
códigos fuente, estrategia, gestión, y otros conceptos; teniendo así el fortalecimiento
continuo de su sistema de seguridad de la información (SGSI).

Dentro de esta política se destaca los principios de seguridad de la información, los

cuales son confidencialidad, integridad y disponibilidad y están enfocados en
manejarse en la información trabajada dentro de la firma Datalatina.

Es por esto por lo que es necesario implementar controles como lo son las políticas,
practicas procedimientos, estructuras organizativas y funciones de software, con el
propósito de dar cumplimiento a los objetivos específicos de seguridad.
 5.1.3 Alcance

La política de seguridad de la información aplica para:

Toda la firma Datalatina, sus funcionarios, contratistas, junta directiva, alta gerencia
y terceros críticos que tengan acceso, usen o sean responsables de la información.

La información generada como resultado de la operación y prestación de los

servicios que se tienen dentro del core del negocio.

Todos los activos de información de Datalatina, a través de su ciclo de vida,

incluyendo creación, distribución, almacenamiento y transmisión de estos.

Todos los ambientes de procesamiento de información (desarrollo, producción,

pruebas, contingencia etc).

5.1.4 Objetivos

5.1.4.1 GENERALES

Suministrar las políticas de seguridad de la información, en las cuales se expresa la

normatividad que asegura los recursos, así como los activos de información y
tecnológicos de la firma, como lo son hardware, software, procesos e información.

5.1.4.2 ESPECÍFICOS

• Definir y desarrollar una estrategia de implementación de SGSI, que sea

consecuente con la cultura organizacional.

• Lograr y reflejar el apoyo y compromiso de la Alta Gerencia.

• Comunicar de la manera más efectiva y eficiente los temas de seguridad a todas

las áreas de la entidad, funcionarios, contratistas y proveedores.

• Establecer la base de la instrucción y entrenamiento adecuado para la

socialización de la seguridad de la información en la firma.

• Proporcionar orientación a todos los funcionarios, contratistas y proveedores

sobre las normas que enmarcan la seguridad de la información de la firma.

5.1.5 Principios

• Las acciones para realizar y dar cumplimiento a los objetivos están basadas en
construir un manual que contemple las políticas de seguridad de la información,
las cuales cumplan con los principios de seguridad de la información
(disponibilidad, integridad y confidencialidad) y basados en este, empezar a
 adoctrinar a toda la entidad por medio de capacitaciones donde se explique la
importancia de salvaguardar la información, así mismo dar charlas con expertos
en el tema que sensibilicen a todos los que intervienen en los procesos de la
firma.

• Por medio de capacitaciones, asignar responsabilidades a la alta gerencia para

que le den la debida importancia a la política de seguridad de la información.

• Entregar tips, souvenires o ejemplos de los posibles ataques que pueden llegar
a afectar la información de la firma.

• Realizar pruebas de contingencia.

• Implementar herramientas de seguridad que ayuden a salvaguardar la

información trabajada en el día a día.

• Mantener actualizadas las políticas regidas por las normas y leyes de seguridad
de la información.

5.1.6 Responsabilidades

JUNTA DIRECTIVA

• Aprobar la política de seguridad de la información.

• Velar porque Datalatina cuente con un área de seguridad de la información
encargada de cumplir con las responsabilidades previstas en la normatividad
aplicable.
• Conocer los informes presentados de la gestión de seguridad de la información.

PRESIDENCIA

• Garantizar la gestión de la seguridad de la información.

• Proveer recursos técnicos, humanos y de presupuesto para implementar y
mantener la gestión de seguridad de la información.
• Rendir informe a la Junta Directiva sobre todo lo relacionado con temas de
seguridad de la información.

SEGURIDAD DE LA INFORMACIÓN

• El jefe de seguridad de la información debe actualizar la política de seguridad

permanentemente y realizar seguimiento a las violaciones de esta.
• Preparar los informes con los resultados de la gestión especialmente en la
evaluación que haga de la confidencialidad, integridad y disponibilidad de la
información, identificando amenazas y resultados de la evaluación de efectividad
de los programas de seguridad.
• Sugerir los programas de difusión, capacitación y sensibilización para la
implementación de la política de seguridad de la información.

FUNCIONARIOS

• Cumplir con las actividades de capacitación y sensibilización relacionadas con

seguridad de la información.
• Conocer y aplicar las políticas de seguridad de la información.
• Adoptar los mecanismos de prevención y protección establecidos para la gestión
de la seguridad de la información.
• Reportar de forma oportuna y verás alertas, eventos o incidentes de seguridad
de la información.

TERCEROS

• Conocer y cumplir con los lineamientos, políticas, estándares y procedimientos

de seguridad de la información.
• Reportar eventos o incidentes que se presenten como parte del desarrollo de
sus servicios.
• Cumplir con las actividades de capacitación y sensibilización relacionadas con
seguridad de la información.

5.1.7 Resultado Clave

Mediante el cumplimiento de los objetivos se puede llegar a tener la capacidad de

no afectar la confidencialidad, integridad y disponibilidad de la información de
clientes, empleados, precios, bases de conocimiento, manuales, casos de estudio,
códigos fuentes, estrategias, gestión y otros conceptos. Haciendo que sólo las
personas que estén autorizadas puedan acceder a la información y así mismo se
asegure que no haya modificación alguna de la misma y que sólo tengan acceso a
esta las personas autorizadas cuando lo requieran.

De igual manera nos ayuda a generar controles que garantizan que se cumplan los
objetivos de seguridad implementados para la firma Datalatina.

Por último, ayuda a que los funcionarios, clientes y a todas las partes interesadas a
que se apropien de la información tratada de una forma que no se quiera afectar o
modificar con el fin de realizar daño a la firma.

5.1.8 Políticas relacionadas

A continuación se referencian otras políticas pertinentes para el logro de los

objetivos de seguridad de la información a tener en cuenta en Datalatina:

• Cambios de contraseña
• Clasificación de la información
• Software autorizado
• Inventario de activos de información
• Uso personal de los sistemas y activos de información
• Cifrado de información
• Asignación de roles y responsabilidades
• Seguridad física y del entorno
• Uso de dispositivos electrónicos personales y corporativos
• Uso de correo electrónico
• Selección del personal
• Uso de herramientas de seguridad de la información
• Desarrollo seguro de software
• Segregación de funciones
• Separación de ambientes
• Gestión de incidentes
• Usos de medios de almacenamiento
• Seguridad en redes inalámbricas
• Evaluación de vulnerabilidades y remediación
• Análisis forense
• Propiedad intelectual
• Borrado seguro de información
• Monitoreo de seguridad
• Teletrabajo
• Configuración de línea base en servidores y estaciones de trabajo

5.2 PLAN DE IMPLEMENTACIÓN Y DESARROLLO DE LA POLÍTICA

5.2.1 OBJETIVO

5.2.1.1 GENERAL

Proponer un plan de implementación y desarrollo para la política de seguridad de la

información.

5.2.1.2 ESPECÍFICOS

• Plantear los objetivos del Sistema de Gestión de Seguridad de la Información.

• Definir el alcance y marco de referencia para el Sistema de Gestión de Seguridad

de la Información.

• Especificar los controles que apoyan la política de seguridad de la información.

5.2.2 DEFINICIÓN DE ALTO NIVEL DEL ALCANCE Y MARCO DE

REFERENCIA PARA EL SGSI
Datalatina, en línea con el cumplimiento de objetivos estratégicos de la
Organización, establece la Seguridad de la Información como un conjunto de
lineamientos generales sobre los cuales se implementan definiciones, acciones,
procedimientos, recursos y mecanismos para la gestión de los riesgos asociados a
la seguridad de la información. Lo anterior se realiza a través de la definición de un
modelo de seguridad que preserva los principios de Confidencialidad, Integridad y
Disponibilidad de la información; así como fortalece las capacidades de prevenir,
detectar, responder, recuperar y mantener la continuidad de la operación del
negoció ante ataques y amenazas.

5.2.3 PROCEDIMIENTOS Y CONTROLES QUE APOYAN LA POLÍTICA

• ISO/IEC 27001 – ISO/IEC 27003.

• Normatividad vigente realizada por MINTIC.
• Manuales y procedimiento de Datalatina.
• Leyes y constitución política de Colombia.

Numeral general Numeral específico Consideraciones

4.4 sistema de gestión de la La organización debe
seguridad de la información establecer, implementar,
mantener y mejorar
continuamente un sistema
de gestión de la seguridad
de la información, de
acuerdo con los requisitos
de esta Norma.

4.2.1 Establecimiento del Se planteo un alcance del

ISO 27001 4.2, 4.3, 4.4
SGSSI sistema la política con
marco de referencia y los
requisitos del trabajo.

4.3 determinación del La organización debe

alcance del sistema de determinar los límites y la
gestión de la seguridad de aplicabilidad del sistema de
la información gestión de la seguridad de
la información para
establecer su alcance.
ISO 27001 5.2 POLITICA A, B, C, D, E, F y G En estos numerales se
indica que la alta dirección
Políticas para la seguridad debe establecer una política
de la información de la seguridad de la
información, teniendo en
Revisión de las políticas cuenta los siguientes
para la seguridad de la aspectos:
información
a) sea adecuada al
propósito de la
organización; b) incluya
 Numeral general Numeral específico Consideraciones
objetivos de seguridad de la
información (véase el
numeral 6.2) o proporcione
el marco de referencia para
el establecimiento de los
objetivos de la seguridad de
la información; c) incluya el
compromiso de cumplir los
requisitos aplicables
relacionados con la
seguridad de la información;
y d) incluya el compromiso
de mejora continua del
sistema de gestión de la
seguridad de la información.
La política de la seguridad
de la información debe: e)
estar disponible como
información documentada;
f) comunicarse dentro de la
organización; y g) estar
disponible para las partes
interesadas, según sea
apropiado.
+
CONTROL A.5.1.1 Y Se debe definir un conjunto
A.5.1.2 de políticas para la
seguridad de la información,
aprobada por la dirección,
publicada y comunicada a
los empleados y a las partes
externas pertinentes.

+ Las políticas para la

seguridad de la información
se deben revisar a
intervalos planificados, o si
ocurren cambios
significativos, para asegurar
su conveniencia,
adecuación y eficacia
continúas.

ITEM B Informar a la alta dirección

sobre el desempeño del
ISO 27001 5.3 ROLES,
sistema de gestión de la
RESPONSABILIDADES Y
seguridad de la información.
AUTORIDADES EN LA
ORGANIZACIÓN
Se deben definir y asignar
todas las responsabilidades
 Numeral general Numeral específico Consideraciones
CONTROL A.6.1.1 Roles y de la seguridad de la
responsabilidades para la información
seguridad de la información
Se deben mantener
CONTROL A.6.1.4 contactos apropiados con
Contacto con grupos de grupos de interés especial u
interés especial otros foros y asociaciones
profesionales
especializadas en
seguridad.
6.2 OBJETIVOS DE La organización debe
SEGURIDAD DE LA establecer los objetivos de
INFORMACIÓN Y PLANES seguridad de la información
PARA LOGRARLOS en las funciones y niveles
pertinentes. Los objetivos
de seguridad de la
información deben: a) ser
coherentes con la política
de seguridad de la
información; b) ser medibles
(si es posible); c) tener en
cuenta los requisitos de la
seguridad de la información
aplicables, y los resultados
de la valoración y del
tratamiento de los riesgos;
d) ser comunicados; y e) ser
ISO 27001 6
actualizados, según sea
PLANIFICACIÓN
apropiado

CONTROL A.6.2.1 Política Se deben adoptar una

para dispositivos móviles política y unas medidas de
seguridad de soporte, para
gestionar los riesgos
introducidos por el uso de
dispositivos móviles

CONTROL A.6.2.2 Se deben implementar una

Teletrabajo política y unas medidas de
seguridad de soporte, para
proteger la información a la
que se tiene acceso, que es
procesada o almacenada
en los lugares en los que se
realiza teletrabajo
7.1 RECURSOS La organización debe
determinar y proporcionar
ISO 27001 7 SOPORTE los recursos necesarios
para el establecimiento,
implementación,
Numeral general Numeral específico Consideraciones
mantenimiento y mejora
continua del sistema de
gestión de la seguridad de
la información.

7.3 TOMA DE Las personas que realizan

CONCIENCIA ITEM A el trabajo bajo el control de
la organización deben
tomar conciencia de: a) la
política de la seguridad de la
información;

7.4 COMUNICACIÓN La organización debe

determinar la necesidad de
comunicaciones internas y
externas pertinentes al
sistema de gestión de la
seguridad de la información,
que incluyan: a) el
contenido de la
comunicación; b) cuándo
comunicar; c) a quién
comunicar; d) quién debe
comunicar; y e) los
procesos para llevar a cabo
la comunicación.

La dirección debe exigir a

todos los empleados y
contratistas la aplicación de
la seguridad de la
información de acuerdo con
las políticas y
procedimientos
establecidos por la
organización.

CONTROL A7.2.1 Todos los empleados de la

Responsabilidades de la organización, y en donde
dirección sea pertinente, los
contratistas, deben recibir la
educación y la formación en
toma de conciencia
apropiada, y
actualizaciones regulares
CONTROL A 7.2.2 Toma de sobre las políticas y
conciencia, educación y procedimientos de la
formación en la seguridad organización pertinentes
de la información para su cargo.
 Numeral general Numeral específico Consideraciones
Las auditorías son el ente
que va a verificar que se
cumpla la política de
seguridad de la información
ISO 27001 9.2 AUDITORIA
ITEM A
INTERNA
los propios requisitos de la
organización para su
sistema de gestión de la
seguridad de la información
b) los cambios en las
cuestiones externas e
internas que sean
pertinentes al sistema de
gestión de la seguridad de
la información; c)
retroalimentación sobre el
desempeño de la seguridad
de la información, incluidas
las tendencias relativas a: 1)
ISO 27001 9.3 REVISION no conformidades y
ITEM B, C, D y F
POR LA DIRECCIÓN acciones correctivas; 2)
seguimiento y resultados de
las mediciones; 3)
resultados de la auditoría; y
4) cumplimiento de los
objetivos de la seguridad de
la información; d)
retroalimentación de las
partes interesadas; f) las
oportunidades de mejora
continua.
CONTROL A8.2.1 La información se debe
Clasificación de la clasificar en función de los
información requisitos legales, valor,
criticidad y susceptibilidad a
divulgación o a modificación
no autorizada.
NIVELES DE
CLASIFICACION
(restringido, confidencial,
A.8.2 Clasificación de la
secreto, ultrasecreto)
información
CONTROL A8.2.2 Se debe desarrollar e
Etiquetado de la implementar un conjunto
información adecuado de
procedimientos para el
etiquetado de la
información, de acuerdo
con el esquema de
clasificación de información
 Numeral general Numeral específico Consideraciones
adoptado por la
organización.
Todos los documentos
generados por Datalatina
deben ser etiquetados con
la clasificación apropiada,
tanto en la parte superior
como inferior
A.9.2 Gestión de acceso de Controlar la cancelación y
usuarios activación de usuarios tanto
en el momento de ingreso
como de retiro de los
funcionarios, de igual
manera los derechos de
acceso privilegiado según
rol desempeñado en la
firma.
ISO 27001
A.15.1.1 Política de Los requisitos de seguridad
seguridad de la información de la información para
para las relaciones con mitigar los riesgos
proveedores asociados con el acceso de
proveedores a los activos
de la organización se deben
acordar con éstos y se
deben documentar.
6.1 Panorama general de la Se debe plantear un
definición del alcance, los alcance el cual este
límites y la política del SGSI aprobado por la alta
6.2 Definir el alcance y los gerencia y se plantee
límites de la organización tiempos y actividades
6.3 Definir el alcance y los posibles de cumplir
Definir el alcance, los
límites de las Tecnologías Generar las políticas de
límites y las políticas del
de la Información y las seguridad de la información
SGSI ISO 27003:2013
Comunicaciones (TIC) 6.4 según el Core del negocio y
Definir el alcance y los consecuente a normas
límites físicos 6.5 Integrar internacionales u otros
cada alcance y los límites documentos que apoyen los
para obtener el alcance y procedimientos de la firma.
los límites del SGS

5.2.4 DEFINICION DE ROLES Y RESPONSABILIDADES

JUNTA DIRECTIVA

• Aprobar el plan de implementación y desarrollo de la política de seguridad de la

información.
• Suministrar presupuesto para la implementación y desarrollo de la política de
seguridad de la información.
PRESIDENCIA

• Proveer recursos técnicos, humanos y de presupuesto para implementar y

desarrollar la política de seguridad de la información.
• Rendir informe a la Junta Directiva sobre todo lo relacionado con temas de la
implementación y desarrollo de la política de seguridad de la información.

SEGURIDAD DE LA INFORMACIÓN

• El jefe de seguridad y su equipo de trabajo debe implementar y desarrollar la

política de seguridad de la información.
• Actualizar la política de seguridad permanentemente frente a las
retroalimentaciones recibidas.
• Preparar informes con los resultados de la implementación de la política de
seguridad de la información.

FUNCIONARIOS

• Apoyar la implementación de las políticas de seguridad de la información frente

a conocimiento u o labor que desempeña en la firma (ejemplo grupo de
planeación- aporte de financiamiento).

5.2.5 INDICACIÓN DE ALTO NIVEL DE ALCANCE Y LÍMITE A NIVEL FÍSICO

DE TICS Y DE ORGANIZACIÓN

El área de Tecnología de Datalatina deberá velar por la implementación y

cumplimiento de las políticas de seguridad de la información incluyendo la totalidad
de elementos de la infraestructura tecnológica que almacena, procesa o transporta
información crítica, activos, o cualquier elemento que sea crítico para la
organización y que se encuentran considerados en el alcance de la política.

Así mismo, serán los responsables de garantizar y velar por el cumplimiento de las
políticas asociadas con el manejo de medios magnéticos, dispositivos móviles y de
teletrabajo, gestión de los activos de información e inventarios, control de acceso a
los data centers, gestión de acceso de usuarios, controles criptográficos, copias de
respaldo, análisis de vulnerabilidades, gestión de la seguridad en las redes de
telecomunicaciones, administración de los ambientes productivos, pruebas,
desarrollo y contingencia, gestión de incidentes, manejo de proveedores, monitoreo
de seguridad, entre otros.

5.3 PLAN DE SENSIBILIZACIÓN

A continuación, se presenta el plan de sensibilización para la implementación de la

política de seguridad de la información de Datalatina:
 5.3.1 INTRODUCCIÓN

El plan de capacitación para la política de seguridad de la información se fomenta

en concientizar a todas las personas que intervienen en los procesos de la firma
Datalatina. Haciendo que tengan en cuenta en todo momento los principios de
confidencialidad, disponibilidad e integridad de la información trabajada.
Es por esta razón que a continuación se mostrarán las actividades y la forma de
como adoctrinar frente a temas de seguridad de la información a uno de los activos
más importantes de la organización, el talento humano.

5.3.2 OBJETIVOS

OBJETIVO GENERAL:
Definir un plan que sensibilice a todos las partes interesadas de la entidad en
relación con la política de seguridad de la información.
OBJETIVOS ESPECÍFICOS:

• Realizar capacitaciones, charlas por expertos, y demás ayudas que muestren

la importancia de la seguridad de la información.
• Fomentar con tips y ejemplos de ataques y casos reales en las partes
interesadas conocimientos de seguridad de la información.
• Realizar métodos de aprendizaje frente a temas de seguridad de la información
(pruebas de ingeniera social, juegos, etc).

5.3.3 ALINEACIÓN A POLÍTICA

El programa se alinea con la política de seguridad de la información, ya que por

medio de adoctrinamiento a las partes relacionadas con la firma (empleados,
clientes, proveedores etc), se les interioriza los objetivos y demás temas
relacionados, de forma continua, y se realiza acompañamientos personalizados a la
labor desempeñada de los cuales cuando no hay ningún tipo de violación a la
política se realiza reconocimientos y motivaciones a seguir apegado a la seguridad
de la información implementada en Datalatina.

5.3.4 ALCANCE

El programa de sensibilización incluye todas las áreas de Datalatina, (sus

funcionarios, contratistas, junta directiva, alta gerencia y terceros críticos que tengan
acceso, usen o sean responsables de la información), tendrán adoctrinamiento por
parte del grupo responsable de la seguridad de la información, siendo beneficiados
con el conocimiento básico de seguridad de la información, generando incentivos
para que sigan aplicando la política de manera holística.

Es de mencionar que el plan inicial de sensibilización está establecido para un año,

con su mayor fuerza, pero siempre se tendrá variedad de actividades para seguir
fomentando la seguridad de la información, siendo así que no se termina, si no
siempre está evolucionando ya que hay talento humano nuevo o actualizaciones
que son necesarias poner a en conocimiento del personal de Datalatina.

5.3.5 ROLES Y RESPONSABILIDADES

- Roles: Promotores del cambio (grupo de protección de datos)

Perfiles: equipos multidisciplinarios (Ingenieros de sistemas, gerente de
proyecto, abogados, etc)

- Responsabilidad:

• Grupo multidisciplinario guiado por el jefe de seguridad con conocimientos

amplios en seguridad de la información, los cuales crean las políticas y
establecen métodos de sensibilización para generar conocimientos en las otras
partes o áreas de la entidad
• Sugerir los programas de difusión, capacitación y sensibilización para la
implementación de la política de seguridad de la información.

- Roles: Ejecutores del cambio (Proveedores, clientes, funcionarios, Alta

Gerencia)
Perfiles: talento humano multidisciplinario
- Responsabilidad:

• Adquirir los conocimientos dados por los promotores del cambio y darles una
aplicación continua sobre la información que trabajan.

- Roles: Evaluadores del cambio (Alta gerencia y grupo de control interno y

externo)
- Perfiles equipo multidisciplinario con capacidad de auditar cualquier proceso de
la firma, gerentes, presidente, vicepresidente, junta directiva.

- Responsabilidad:

• Grupo de control interno y externo: Hacer seguimiento al cumplimiento de la

política teniendo en cuenta que se den las sensibilizaciones planteadas en el
plan.

• Alta gerencia: poder de aprobar documentos realizados por el equipo promotor.

5.3.6 METAS

Las metas están trazadas bajo los objetivos planteados, los cuales proponen
sensibilizar al total de las partes interesadas por tal razón se mide así:
• Cantidad de partes interesadas capacitados/Cantidad de total de partes
interesadas. Así mismo, se plantea una cantidad de sensibilizaciones, donde el
ideal es cumplir con el 100 % de las mismas durante el tiempo trazado.
• Cantidad de sensibilizaciones realizadas/ cantidad de sensibilizaciones total
propuestas.
• Cantidad de violaciones realizadas por las partes interesadas

Para la factibilidad de las sensibilizaciones se evalúa con las violaciones a las

políticas.
5.3.7 DEFINICIÓN DE AUDIENCIA

De acuerdo con la segmentación planteada en cuatro grupos, así: Alta Gerencia,

Clientes, Proveedores y funcionarios. Se establecieron las capacitaciones donde a
la alta gerencia se le enfoca más en la difusión de información, no dejando de un
lado el manejo que se le debe tener a la información como lo es el manejo de
contraseñas, la clasificación de documentos, el manejo de herramientas de
seguridad, el tema de eventos e incidentes etc.

De igual manera se segmenta frente a las amenazas que pueden llegar a tener
desde las labores realizadas más comúnmente.

5.3.8 DEFINICIÓN DE TEMÁTICAS

• Clasificación de documentos
• Incidentes y eventos
• Manejo de herramientas de seguridad de la información
• Conocimiento de las políticas
• Manejo de difusión y recepción de documentos

5.3.9 ACTIVIDADES DE SENSIBLIZACIÓN PROGRAMADAS

• Charlas con expertos del tema de seguridad de la información

Grupo de seguridad de la información durante el transcurso de la sensibilización, 1

año (entrega a alguna de las siguientes sensibilizaciones):

- Entrega de suvenires que fomenten la seguridad de la información (esferos con

mensajes, portalápices, stikerts para cubrir la cámara de computador,
calendarios con mensajes de seguridad, agendas, padmouse, llaveros).
- Capacitaciones con definiciones de seguridad de la información y como se debe
manejar la variedad de políticas.
- Tips para tener la información segura.
- Ejemplos de ataques que se han dado a nivel mundial.
- Protectores de pantalla con mensajes de seguridad de la información.
• Afiches y Folletos que fomenten la seguridad de la información y se hable
también de la política de SI

5.3.10 MATERIALES Y RECURSOS

• Durante el año, se van a realizar tres charlas con expertos en temas de

seguridad de la información, quienes tendrán por objetivo fomentar en cada uno
la importancia de la seguridad y de la información y los conocimientos básicos
para que no sean vulnerados por atacantes.
• Folletos: son tres, los cuales serán entregados en los primeros meses para que
se empiece a asimilar e introducir los conocimientos esenciales y así se tenga el
conocimiento.
• Los protectores de pantalla van a ser cambiados cada mes (12 protectores) con
mensajes alusivos a la seguridad de la información.
• Se enviarán tips semanalmente para que no caigan en trampas de los atacantes
de seguridad de la información.
• Cada vez que salga una noticia frente a ataque de seguridad se enviará al correo
electrónico para conocimiento de todos y aprendizaje del mismo.

• Las capacitaciones se establecerán por dependencias y serán durante el

transcurso de los seis primeros meses hasta que se tenga el 100 % del personal
que tiene que ver con Datalatina, sin embargo, después se harán actualizaciones
y se seguirá con las capacitaciones necesarias.

5.3.11 DURACIÓN

Este plan de sensibilización se realizará en un (1) año teniendo en cuenta que

durante los primeros meses se tomara a cada tipo de audiencia y se le explicará
frente a cada temática para que desarrollen pruebas de conocimiento y se evalúen
al finalizar cada plan.

5.3.12 DEFINICIÓN DE EVALUACIÓN

• Encuestas cada mes al finalizar todas las capacitaciones.

• Juegos realizados cada dos meses.
• Entrevistas dos semestralmente.
• Lista de asistencia a eventos y capacitaciones.
• Cada vez que se realice una charla o capacitación.
• Test de conocimiento cada tres meses.

5.3.13 CONCLUSIONES

A partir de los resultados de la evaluación se concluye si se adoctrino o sensibilizó

a todo el personal y que las sensibilizaciones no deben acabar, si no por el contrario
ser perpetuas para que se le dé la gran importancia que merece la seguridad de la
información.

5.3.14 PLANES DE MEJORA

Como plan de mejora a las sensibilizaciones de los funcionarios y demás partes

interesadas se volverá a realizar la capacitación y se hará un acompañamiento
personalizado con el fin de fomentar más los temas relacionados con seguridad de
la información.
Así mismo, al personal que se encuentre violando la política se le hará una
sensibilización por medio de foto comparendo, haciendo que al tercer llamado de
atención se haga una anotación a la hoja de vida.
 6. CONCLUSIONES

• Es de gran importancia planear, implementar y desarrollar una política de

seguridad de la información, sin importar su core de negocio, dado que ayuda a
que se protejan el activo más importante de la entidad (información), teniendo
en cuenta los principios de seguridad (confidencialidad, integridad y
disponibilidad), los cuales ayudan a fomentar que los procesos sean cumplidos
a términos eficaces y eficientes y así llegar una empresa reconocida en el
aseguramiento, gestión de riesgos, calidad y seguridad de sistemas de
información.

• La sensibilizaciones y adoctrinamientos en el talento humano es el que fortalece

los procedimientos para que la información trabajada se proteja por quienes día
a día la utilizan.

• Todo procedimiento, implementación y/o desarrollo debe tener una planeación y

es por esto por lo que es importante determinar quiénes, cómo y cuando van a
intervenir en la creación de políticas que regirán en la entidad para hacer de ella
un lugar ideal con la información protegida.

7. REFERENCIAS BIBLIOGRÁFICAS

• Lectura fundamental, Escenario 5. Teoría de Seguridad, Primer semestre 2020,

Especialización de Seguridad de la Información.

• Lectura fundamental, Escenario 6. Teoría de Seguridad, Primer semestre 2020,

Especialización de Seguridad de la Información.

• Norma Técnica ISO/IEC 27001 Tecnología de la información. Técnicas de

seguridad. Sistemas de gestión de la seguridad de la información (SGSI).

• Norma Técnica ISO/IEC 27003:2010. Information technology — Security

techniques — Information security management system implementation
guidance. International Organization for Standardization ISO.