TEORIA DE LA SEGURIDAD

Ana Milena Diaz Carvajal Cod: 812011645

XXXXXXXXXXXXXX| XXXXXXXXXXX
XXXXXXXXXXXXXXX XXXXXXXX

Docente: Blanco Ignacio

Politécnico Gran Colombiano.

Facultad de Ingeniería, Diseño e Innovación Escuela de Ciencias Básicas.

Bogotá 2022
 INTRODUCCIÓN

Teniendo en cuenta que la tecnología de la información y comunicaciones, cada vez se

ve más envueltas en la información de las entidades, compañías y personas está
siendo comunicada por diferentes canales de tecnología y comunicación se pueden ver
involucrados para malos movimientos para eso es bueno implementar un sistema de
gestión de un Sistema de Seguridad de la información para que las empresas no sufran
de riesgos de robos de información

Por lo anterior en necesario realizar los controles estratégicos, tácticos y operativos los
cuales son establecidos como políticas, procedimientos, guías e instrumentos, para
conseguir asegurar la información de todos los procesos de cualquier compañía,
alineándose siempre con los objetivos misionales.

OBJETIVO

La empresa Datalatina y del planteamiento de una política para el Sistema de gestión

de Seguridad de la Información la compañía debe entender los conceptos básicos que
la componen, su definición y mejor manera de implementación,

Así como también se busca lograr un entendimiento de la norma ISO 27001:2013

Seguridad de la información.

 Alcance: Sistema de Gestión.

 Política de seguridad de la información: Establece a alto nivel los objetivos y
metas relacionados con la seguridad de la información.
 Activos de Información: Los activos de información son datos o información
propietaria en medios electrónicos, impreso o entre otros medios, considerados
sensitivos o críticos para los objetivos del proceso.
 Clasificación de la Información: es el ejercicio por medio del cual se determina
que la información pertenece a uno de los niveles de clasificación estipulado por
la entidad.
  Seguridad de la Información: es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnológicos que permiten
resguardar y proteger la información buscando mantener la confidencialidad, la
disponibilidad e integridad de la misma.
 Integridad: Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
 Disponibilidad: Acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
 Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.

Datalatina es una firma latinoamericana dedicada al aseguramiento, gestión de riesgos,

calidad y seguridad de sistemas de información.

El personal de consultores y docentes de esta firma cuenta con las principales

certificaciones internacionales asociadas al alcance de sus tareas, las cuales han sido
emitidas por prestigiosas organizaciones académicas, como ISACA, PMI, DRI, entre
otras.

Esto, sumado a la vasta experiencia generada a través de más de 30 años de

compromiso con el cliente, hace de Datalatina una empresa líder en las soluciones que
ofrece. Las tres líneas de negocio de Datalatina son: soluciones, software y
capacitación. Línea de soluciones: provee consultoría y capacitación sobre buen
gobierno corporativo, con referentes como COSO y gobierno de TI con COBIT; gestión
integral de riesgo y auditoría; gestión de riesgos de lavado de activos y financiamiento
terrorista; gestión de seguridad de la información; gestión de continuidad del negocio,
tomando como referencia la norma ISO 22301; hacking ético; cumplimiento y
legislación; y soluciones personalizadas. Línea de software: Datalatina utiliza el
software Meycor; ha desarrollado aplicaciones para el gobierno de TI con Cobit,
seguridad de la información ISO 27001 y gestión de riesgo corporativo alineado con la
Norma ISO 3100. Línea de capacitación: es un centro autorizado por ISACA para la
capacitación y certificación en ISA, CISM, CGEIT, CRISC, CISSP y DRI.

Datalatina es certifcada ISO/IEC 27001, lo cual asegura la calidad en términos de

seguridad según dicho estándar y cuenta con importantes clientes a nivel mundial,
además, trabaja a través de representantes en diferentes países.

Principios

 Todos los empleados, proveedores y clientes deben reportar violaciones de

seguridad.
 Se tomarán las respectivas sanciones a cualquier persona que infrinja la política
de seguridad planteada e implementada.
 Se aceptará todo riesgo que no afecte la continuidad del negocio y este dentro
del margen aceptado por la empresa.
 Se realizará un monitoreo definido para la verificación de la implementación de
la política de la seguridad.
 Se estará en disposición cada área encargada de los activos para responder a la
materialización de un riesgo.
 Los reportes y informes de la seguridad de la información deben estar
disponibles.
 Se deberá realizar evaluación continua a nuevos riesgos que se puedan
presentar en el trascurso de la implementación de la seguridad de la información
actualizando las políticas para dar cumplimiento con los objetivos de la política.

Políticas de la compañía

 Política para Dispositivos Móviles

 Política de Teletrabajo
 Política de control de acceso
 Política sobre el uso de controles criptográficos y gestión de llaves
 Política de Escritorio y Pantalla limpia
  Política de Áreas seguras
 Política de Transferencia de Información

 Política de Desarrollo Seguro

 Política de seguridad para contratistas y/o proveedores
 Política de privacidad y datos personales

Comité de Seguridad de la Información

Para establecer, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI,

el Comité debe incluir dentro de sus funciones las siguientes acciones:

 Evaluar de manera semestral el desempeño del SGSI.

 Evaluar y aprobar las estrategias y políticas de seguridad de la información
que requiera la organización de acuerdo con la dinámica y condiciones de la
misma.
 Fijar directrices institucionales para la aplicación de los mecanismos de
protección de seguridad de la información.
 Evaluar y aprobar las políticas básicas y específicas de seguridad de la
información; garantizando su difusión y aplicación en la organización.
 Participar en las decisiones sobre arquitecturas y soluciones de seguridad de
la información y continuidad de la misma.
 Evaluar y aprobar Planes de Continuidad de seguridad de la información que
ante una situación crítica pueda verse amenazada de manera parcial o total.
 Apoyar la identificación de los procesos críticos de la organización, así como
analizar y proponer soluciones tecnológicas que requiera la misma.
 Generar y apoyar los planes de socialización, sensibilización y transferencia
de conocimiento en los temas relacionados con el SGSI.