Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 1 - Directriz de Sistema Gestión de Riesgos Informáticos

    Cargado por

    Manuel Méndez
    12 vistas4 páginas
    El documento presenta un resumen del Sistema de Gestión de Riesgos de Seguridad de la Información de SF WELLSERVICES SAS. Establece la necesidad de implementar controles basados en la gestión de riesgos para minimizar el impacto de incidentes de seguridad. También describe los objetivos, alcance, normatividad, política, comité de seguridad y metodología de gestión de riesgos del sistema.

    Descripción original:

    Título original

    1_Directriz de sistema Gestión de Riesgos Informáticos

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento presenta un resumen del Sistema de Gestión de Riesgos de Seguridad de la Información de SF WELLSERVICES SAS. Establece la necesidad de implementar controles basados en la gestión de riesgos para minimizar el impacto de incidentes de seguridad. También describe los objetivos, alcance, normatividad, política, comité de seguridad y metodología de gestión de riesgos del sistema.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    12 vistas4 páginas

    1 - Directriz de Sistema Gestión de Riesgos Informáticos

    Cargado por

    Manuel Méndez
    El documento presenta un resumen del Sistema de Gestión de Riesgos de Seguridad de la Información de SF WELLSERVICES SAS. Establece la necesidad de implementar controles basados en la gestión de riesgos para minimizar el impacto de incidentes de seguridad. También describe los objetivos, alcance, normatividad, política, comité de seguridad y metodología de gestión de riesgos del sistema.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    Área Encargada / Sistemas

    SISTEMA DE GESTION DE
    RIESGOS DE SEGURIDAD DE
    Documento 001
    LA INFORMACION
    Página 1 de 4
    DOCUMENTO DE USO EXCLUSIVO DE SF SELLSERVICES
    Documento Interno

    INTRODUCCIÓN

    Con el aumento en el riesgo de incidentes de seguridad de la información en los sistemas los cuales
    generan pérdidas financieras y reputacionales, se crea la necesidad de implementar un Sistema de Gestión
    de Riesgos de la Seguridad de la Información donde se diseñen, documenten, implementen y monitoreen
    controles basados en una gestión de riesgos que minimice el impacto y/o la probabilidad, a fin de
    mantenerlos en niveles aceptables para la entidad.

    La alta dirección de SF WELLSERVICES SAS. Decide establecer, implementar, mantener y mejorar un


    SGSI; es por ello necesario construir la información donde se encuentre la normatividad, alcance, política,
    comité de seguridad y la metodología de gestión de riesgo del SGSI.

    1. OBJETIVO

    Proporcionar un panorama general del Sistema de Gestión de Riegos frente a la Seguridad de la


    Información SF WEWLLSERVICES SAS.

    2. ALCANCE DEL SISTEMA DE GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

    La protección de los activos de información requeridos para la Formulación, seguimiento y evaluación de


    políticas del SGSI implementado por SF WELLSERVICES SAS.

    3. NORMATIVIDAD

    El diseño e implementación del Sistema de Gestión de Riesgos de la Seguridad de la Información en SF


    WELLSERVICES SAS., se basa normatividad exigida por las entidades para las cuales prestamos nuestros
    servicios, para la Implementación de nuestra estrategia nos basamos en las siguientes normatividades. Ley
    1273 de 2009 denominada “Protección de la información y los datos”, normas ISO 27001 Sistema de
    Gestión de Seguridad de la Información, ISO 27002 Guía de buenas prácticas de seguridad de la
    información, ISO 27005, Guía para la Gestión de los riesgos de la seguridad de la información.

    4. POLÍTICA DEL SGRSI

    La Alta dirección de SF WELLSERVICES SAS., busca que la información de la entidad preserve su


    confidencialidad, disponibilidad e integridad, protegiéndola contra amenazas internas y externas, mediante
    una identificación, valoración, implementación de controles, monitoreo y seguimiento de los niveles de
    riesgo de acuerdo a la metodología de gestión de riesgos en seguridad de la información a niveles
    aceptables.

    La Alta dirección de SF WELLSERVICES SAS., se compromete a cumplir con las disposiciones


    constitucionales y legales aplicables a la Organización, relacionadas con la seguridad de la información,
    además, a que se establezca, implemente, opere y mantenga la seguridad de la información como parte de
    la mejora continua de la misma, apoyando el logro de sus objetivos y el cumplimiento de los compromisos
    organizacionales con: la lucha anticorrupción, con la confidencialidad de la información y la circulación y
    divulgación adecuada de la información.

    Como objetivo de la Política se tienen:

    Área Sistemas
    Versión
    Aprobado Gerente General Fecha 22 09 2020 001
    Área Encargada / Sistemas
    SISTEMA DE GESTION DE
    RIESGOS DE SEGURIDAD DE
    Documento 001
    LA INFORMACION
    Página 2 de 4
    DOCUMENTO DE USO EXCLUSIVO DE SF SELLSERVICES
    Documento Interno

     Asegurar los activos de información de SF WELLSERVICES SAS., en su confidencialidad,


    integridad y disponibilidad contra amenazas internas o externas, deliberadas o accidentales.

     Capacitar al personal de la entidad en seguridad de la información para la prevención de incidentes


    que afecten continuidad de las operaciones.

     Cumplir con normatividad que aplica a SF WELLSERVICES SAS., para prevenir sanciones por
    entidades regulatorias de acuerdo a la normatividad Colombiana vigente.

     La Política de Seguridad de la Información de SF WELLSERVICES SAS., será revisada al menos 1


    vez al año o cuando se presenten cambios significativos en la Organización como:

     Objetivos y procesos.
     La tecnología.
     Condiciones contractuales, regulatorias y legales.

    5. TERMINOS Y DEFINICIONES

    Activo: recursos del sistema de información o relacionados con este, necesarios para que la organización
    funcione correctamente y alcance los objetivos propuestos por la dirección.

    Amenazas: eventos que pueden desencadenar un incidentes en la organización, produciendo daños


    materiales o pérdidas inmateriales en sus activos.

    Control: Medida preventiva o correctiva ante la presencia de diferentes riesgos.

    Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una


    amenaza sobre dicho activo.

    Impacto de un activo: consecuencia sobre éste de la materialización de una amenaza

    Riesgo: Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el desarrollo normal de
    las funciones de la empresa e impidan el logro de sus objetivos.

    Riesgo Residual: Valor de riesgo tras la aplicación de uno o varios controles.

    6. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

    El comité de seguridad ésta conformado por la alta gerencia y el área de sistemas y se encarga de definir el
    alcance, planificar, controlar y verificar los procesos del SGSI. El comité es primordial en la implementación
    del SGSI ya que es el ente que regula cualquier cambio dentro del sistema de gestión, siempre apuntando a
    una mejora constante.

    6.1 Funciones del comité SGRSI

    Las funciones del comité son las siguientes:

    Área Sistemas
    Versión
    Aprobado Gerente General Fecha 22 09 2020 001
    Área Encargada / Sistemas
    SISTEMA DE GESTION DE
    RIESGOS DE SEGURIDAD DE
    Documento 001
    LA INFORMACION
    Página 3 de 4
    DOCUMENTO DE USO EXCLUSIVO DE SF SELLSERVICES
    Documento Interno
     Revisar periódicamente el estado general de la seguridad de la información, mínimo cada año.
     Revisar y monitorear los incidentes de seguridad de la información.
     Revisar y aprobar los proyectos de seguridad de la información.
     Revisión y aprobación de las modificaciones o nuevas políticas de seguridad de la información del
    SGSI.
     Realizar otras actividades de alto nivel relacionadas con la seguridad de la información.
     Establecer proyectos espaciales para la identificación de amenazas potenciales.
     Evaluar la efectividad de las medidas tomadas.
     Elaborar un plan de formación y sensibilización.
     Presupuestar los recursos necesarios.
     Planificar auditorías internas periódicas del SGSI.
     Sancionar las medidas de seguridad en el procesamiento de la información.
     Validación jurídica de las medidas a implantar.
     Reportar a la alta gerencia sobre eventos e incidentes de seguridad.

    6.2 Cargos del comité:

    El comité debe estar conformado por miembros de alto nivel de los departamentos de alta gerencia y área
    de sistemas de SF WELLSERVICES SAS., Los cargos que hacen parte del comité se describen en la
    siguiente tabla:

    CARGOS FUNCIONES RESPONSABILIDADES


    Gerente de área de  Coordinar las acciones del Comité de  Informar trimestralmente del
    sistemas. Seguridad e impulsar la estado de la seguridad de la
    implementación y cumplimiento de la información a la alta dirección de
    presente Política. la organización.
     Brindar Seguridad de los sistemas de  Realizar auditorías periódicas
    información de SF WELLSERVICES que permitan verificar el
    SAS. cumplimiento del SGSI.
     Clasificar la información de acuerdo 
    con el grado de sensibilidad y
    criticidad para la correspondiente
    área.
     Documentar y mantener actualizada
    la información, y definir qué usuarios
    deberán tener permisos de acceso a
    la información de acuerdo a sus
    funciones, perfiles y competencias.
     Notificar a todo el personal de sus
    obligaciones respecto a la
    verificación, desarrollo, planes y
    programas de auditoría en los
    tiempos establecidos tomando como
    insumo principal los diagnósticos y
    matrices de riesgo.
    Alta gerencia  Notificar a todo el personal de sus  Promover la formación y
    obligaciones respecto del concientización en materia de

    Área Sistemas
    Versión
    Aprobado Gerente General Fecha 22 09 2020 001
    Área Encargada / Sistemas
    SISTEMA DE GESTION DE
    RIESGOS DE SEGURIDAD DE
    Documento 001
    LA INFORMACION
    Página 4 de 4
    DOCUMENTO DE USO EXCLUSIVO DE SF SELLSERVICES
    Documento Interno

    cumplimiento de la Política de seguridad de la información


    Seguridad de la Información y de dentro de su ámbito de
    todas las normas, procedimientos y responsabilidad.
    prácticas que de ella surjan.
    Área de sistemas  Conocer, dar a conocer, cumplir y  Supervisión del cumplimiento
    hacer cumplir la Política de según lo establecido en la
    Seguridad y procedimientos de la política de seguridad de la
    Información vigente de SF Información del SF
    WELLSERVICES SAS. WELLSERVICES SAS., por
    parte de su personal a cargo.

    7. Control de cambios

    Versión Fecha de Aprobación Cambios realizados


    001 08 de noviembre 2021 Documento Original

    _________________________
    NELLY SOFI ARDILA
    REPRESENTANTE LEGAL

    Área Sistemas
    Versión
    Aprobado Gerente General Fecha 22 09 2020 001

    También podría gustarte