Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Documento:
La política de seguridad del papel a la acción
Elaborado por:
Bogotá
Junio, 2020
TABLA DE CONTENIDO
1. INTRODUCCIÓN ...................................................................................................................... 3
2. OBJETIVOS .............................................................................................................................. 3
3. METODOLOGÍA....................................................................................................................... 3
4. GLOSARIO ............................................................................................................................... 4
5. DESARROLLO DE ACTIVIDADES ...................................................................................... 7
5.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA DATALATINA............. 7
5.2 PLAN DE IMPLEMENTACIÓN Y DESARROLLO DE LA POLÍTICA ...................... 12
5.3 PLAN DE SENSIBILIZACIÓN ......................................................................................... 19
6. CONCLUSIONES................................................................................................................... 25
7. REFERENCIAS BIBLIOGRÁFICAS ................................................................................... 25
1. INTRODUCCIÓN
2. OBJETIVOS
OBJETIVO GENERAL
OBJETIVO ESPECÍFICO
3. METODOLOGÍA
ACTIVO: Cualquier elemento que tiene valor para la organización y que para
Gestión de riesgos de seguridad de la información se consideran los siguientes:
Personas, Información, Hardware, Instalaciones, Proceso, Software, Servicio y
Redes.
Como uno de los activos más importantes son los empleados por la información que
manejan, es necesario sensibilizar frente a la importancia de registrar y reportar
cualquier tipo de violación a las políticas de seguridad de la información y así mismo
manejar la confidencialidad, integridad y disponibilidad de esta.
5.1.2 Introducción
Es por esto por lo que es necesario implementar controles como lo son las políticas,
practicas procedimientos, estructuras organizativas y funciones de software, con el
propósito de dar cumplimiento a los objetivos específicos de seguridad.
5.1.3 Alcance
Toda la firma Datalatina, sus funcionarios, contratistas, junta directiva, alta gerencia
y terceros críticos que tengan acceso, usen o sean responsables de la información.
5.1.4 Objetivos
5.1.4.1 GENERALES
5.1.4.2 ESPECÍFICOS
5.1.5 Principios
• Las acciones para realizar y dar cumplimiento a los objetivos están basadas en
construir un manual que contemple las políticas de seguridad de la información,
las cuales cumplan con los principios de seguridad de la información
(disponibilidad, integridad y confidencialidad) y basados en este, empezar a
adoctrinar a toda la entidad por medio de capacitaciones donde se explique la
importancia de salvaguardar la información, así mismo dar charlas con expertos
en el tema que sensibilicen a todos los que intervienen en los procesos de la
firma.
• Entregar tips, souvenires o ejemplos de los posibles ataques que pueden llegar
a afectar la información de la firma.
• Mantener actualizadas las políticas regidas por las normas y leyes de seguridad
de la información.
5.1.6 Responsabilidades
JUNTA DIRECTIVA
PRESIDENCIA
SEGURIDAD DE LA INFORMACIÓN
FUNCIONARIOS
TERCEROS
De igual manera nos ayuda a generar controles que garantizan que se cumplan los
objetivos de seguridad implementados para la firma Datalatina.
Por último, ayuda a que los funcionarios, clientes y a todas las partes interesadas a
que se apropien de la información tratada de una forma que no se quiera afectar o
modificar con el fin de realizar daño a la firma.
• Cambios de contraseña
• Clasificación de la información
• Software autorizado
• Inventario de activos de información
• Uso personal de los sistemas y activos de información
• Cifrado de información
• Asignación de roles y responsabilidades
• Seguridad física y del entorno
• Uso de dispositivos electrónicos personales y corporativos
• Uso de correo electrónico
• Selección del personal
• Uso de herramientas de seguridad de la información
• Desarrollo seguro de software
• Segregación de funciones
• Separación de ambientes
• Gestión de incidentes
• Usos de medios de almacenamiento
• Seguridad en redes inalámbricas
• Evaluación de vulnerabilidades y remediación
• Análisis forense
• Propiedad intelectual
• Borrado seguro de información
• Monitoreo de seguridad
• Teletrabajo
• Configuración de línea base en servidores y estaciones de trabajo
5.2.1 OBJETIVO
5.2.1.1 GENERAL
5.2.1.2 ESPECÍFICOS
JUNTA DIRECTIVA
SEGURIDAD DE LA INFORMACIÓN
FUNCIONARIOS
Así mismo, serán los responsables de garantizar y velar por el cumplimiento de las
políticas asociadas con el manejo de medios magnéticos, dispositivos móviles y de
teletrabajo, gestión de los activos de información e inventarios, control de acceso a
los data centers, gestión de acceso de usuarios, controles criptográficos, copias de
respaldo, análisis de vulnerabilidades, gestión de la seguridad en las redes de
telecomunicaciones, administración de los ambientes productivos, pruebas,
desarrollo y contingencia, gestión de incidentes, manejo de proveedores, monitoreo
de seguridad, entre otros.
5.3.2 OBJETIVOS
OBJETIVO GENERAL:
Definir un plan que sensibilice a todos las partes interesadas de la entidad en
relación con la política de seguridad de la información.
OBJETIVOS ESPECÍFICOS:
5.3.4 ALCANCE
- Responsabilidad:
• Adquirir los conocimientos dados por los promotores del cambio y darles una
aplicación continua sobre la información que trabajan.
- Responsabilidad:
5.3.6 METAS
Las metas están trazadas bajo los objetivos planteados, los cuales proponen
sensibilizar al total de las partes interesadas por tal razón se mide así:
• Cantidad de partes interesadas capacitados/Cantidad de total de partes
interesadas. Así mismo, se plantea una cantidad de sensibilizaciones, donde el
ideal es cumplir con el 100 % de las mismas durante el tiempo trazado.
• Cantidad de sensibilizaciones realizadas/ cantidad de sensibilizaciones total
propuestas.
• Cantidad de violaciones realizadas por las partes interesadas
De igual manera se segmenta frente a las amenazas que pueden llegar a tener
desde las labores realizadas más comúnmente.
• Clasificación de documentos
• Incidentes y eventos
• Manejo de herramientas de seguridad de la información
• Conocimiento de las políticas
• Manejo de difusión y recepción de documentos
5.3.11 DURACIÓN
5.3.13 CONCLUSIONES
7. REFERENCIAS BIBLIOGRÁFICAS