MODELO DE SISTEMA DE GESTION DE SEGURIDAD Y PRIVACIDAD DE LA

INFORMACION - SGSI

AHSLY XIMENA HERNANDEZ CORDOBA

CAROLL NATALIA RAMIREZ ALARCON
JULIETH LORENA MOLINA PACHON
KATHERINE DAYANA BELLO RAMIREZ

LUZ MARLENY VELANDIA

TECNICO RECURSOS HUMANOS
2502735-GRUPO A

SERVICIO NACIONAL DE APRENDIZAJE

(SENA) SUBSEDE ZIPAQUIRA
2022

P á g i n a 1 | 10
 TABLA DE CONTENIDO

1. INTRODUCCION……………………………………………………………………… 3
2. JUSTIFICACION…………………………………………………………………….... 3
3. OBJETIVOS…………………………………………………………………………… 3
 GENERAL………………………………………………………………………… 3
 ESPECIFICOS …………………………………………………………………... 3
4. ALCANCE …………………………………………………………………………….. 3
5. DEFINICIONES ………………………………………………………………………. 4
6. MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION ……… 4
 DESCRIPCION DEL MODELO DE SEGURIDAD DE LA INFORMACION
 FASE DE DIAGNOSTICO …………………………………………………… 5
 FASE DE PLANIFICACION………………………………………………… 5
 FASE DE IMPLEMENTACION ……………………………………………… 5
 FASE DE EVALUACION DE DESEMPEÑO ……………………………… 6
 FASE DE MEJORA CONTINUA …………………………………………… 7
 PRINCIPIOS ………………………………………………………………….. 7
 POLITICAS …………………………………………………………………… 7
 ROLES Y RESPONSABILIDADES …………………………………….. 7
7. PRIVACIDAD DE LA INFORMACION………………………………………… 8
8. INDICADORES DE GESTION …………………………………………………. 8
9. HERRAMIENTAS ……………………………………………………………...… 8
1O. MATRIZ DOFA …………………………………………………………………. 9

INTRODUCCION
P á g i n a 2 | 10
Este documento fue elaborado con el fin de establecer excelentes medidas de la
protección de la información en nuestra organización, ya que es algo fundamental
porque en varias ocasiones es importante para dar soporte a la ejecución de la
empresa.
Al conseguir registrar la información necesaria sobre la actividad productiva, como
puede ser fechas, tiempos y cantidades de las distintas secciones trabajos por
parte de los distintos agentes entre ellos están los encargados de producción,
controladores, visitadores de fábricas y trabajadores.

JUSTIFICACION
La conducta de las ventas y el descenso de clientes exclusivos, hacen
reconsiderar las estrategias de mercadeo para así hallar la seguridad comercial y
financiera. La organización se vio en la obligación de integrar habilidades de una
oportuna seguridad de la información de los clientes y de los integrantes.

El Modelo de Seguridad y privacidad de la Información, en la organización es

determinado por las necesidades de los requisitos de seguridad, los desarrollos
misionales y el tamaño de la estructura de la entidad.

OBJETIVOS
GENERAL
Presentar un documento que exponga y determine los lineamientos en seguridad y
privacidad de la información enmarcado en el ciclo de mejoramiento continuo
PHVA
ESPECIFICOS
 Establecer las actividades que se van a desarrollar como parte del sistema
de gestión de seguridad y privacidad
 Implantar un cronograma basado en el ciclo de mejora continua para la
adopción del sistema de seguridad y privacidad
 Desarrollar el modelo de seguridad mediante sus 5 fases

ALCANCE
De acuerdo con el acuerdo allegado, los siguientes son los compromisos
adquiridos.

P á g i n a 3 | 10
 Un reporte del estado actual de la empresa, sus fortalezas, sus debilidades y su
estructura, identificando aquellos aspectos más críticos que requieren una reforma
o un cambio.
 Un nuevo modelo de negocio, y mapa estratégico, con el cual se pueda medir y
evaluar la privacidad de la información proactivamente de la organización, a través
de unos indicadores seleccionados, con el fin de alinearse a la estrategia de la
compañía.
DEFINIONES
ROLES: Función que una persona desempeña en un lugar o en una situación
MSPI: Modelo de seguridad de la información, imparte lineamientos a las
entidades públicas en materia de implementación y adopción de buenas políticas.
PVHA: (Planificación, hacer, verificar y actuar) es una estrategia interactiva de
resolución de problemas para mejorar procesos e implementar cambios.
OPERACIONAL: Que esta en condiciones de operar o invertir.
SALVAGUARDAR: Defender o proteger a alguien o algo.
ADQUISICIÓN: Acción de adquirir.

MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION

DESCRIPCION DEL MODELO DE SEGURIDAD DE LA INFORMACION
En el ámbito de seguridad de la información los componentes del sistema se
ubican en diferentes niveles de acuerdo a su importancia. Principios, políticas,
procedimientos, tecnologías o productos
Cuenta con 5 fases que permiten que el modelo sea sostenible, estas son:
diagnostico, mejora continua, planificación, implementación y evaluación de
desempeño.
1.FASE DE DIAGNOSTICO
 Determinar el estado actual de la gestión de seguridad y privacidad de la
información al interior de la organización
 Identificar el nivel de cumplimiento con la con la legislación vigente
relacionada con la protección de datos personales
 Identificación del uso de buenas prácticas de ciberseguridad
2.FASE DE PLANIFICACION
Para el desarrollo de esta fase se debe utilizar los resultados de la fase anterior y
proceder a elaborar el plan de seguridad y privacidad de la información, con el fin
P á g i n a 4 | 10
de definir las acciones a definir las acciones a implementar a nivel de seguridad y
privacidad de la información a través de la gestión del riesgo.
 Asignación del recurso humano, comunicación de roles y responsabilidades
de seguridad y privacidad de la información.

 Se deben definir los roles y responsabilidades de Seguridad y Privacidad de

la información dentro de la Entidad a través de las siguientes actividades:

-Asignar responsabilidades generales y específicas, en las que se incluyan

los roles (sin hacerlo para personas concretas dentro de la organización),
con el apoyo de la guía roles y responsabilidades.
-Tratar los temas de seguridad de la información en los comités de gestión
de la Entidad.
-Tratar los temas de seguridad de la información en los comités directivos
de la Entidad.
-Inventario de activos de información.

 Integración del MSPI con el Sistema de Gestión documental

 Acciones para tratar riesgos y oportunidades de seguridad de la información

 Los resultados en la Fase de Planificación deben ser revisados y aprobados

por la alta Dirección.
3.FASE DE IMPLEMENTACION
La empresa JULIKANA deberá:
 Planear, implementar y controlar los procesos misionales y de apoyo,
valiendo la efectividad de controles, dichos controles deben estar
documentados y debe ser verificada su efectividad cada cierto tiempo.
 Implementar el plan de tratamiento de riesgos de seguridad de la
información en el cual se identifica el control a aplicar para llevar cada uno
de los riesgos a un nivel aceptable. Se debe tener en cuenta que la
aplicación del control sobre los riesgos detectados debe estar aprobados.
 Construir un plan de control operacional para efectuar el monitoreo y
seguimiento a los controles de seguridad definidos para los procesos
4.FASE DE EVALUACION DE DESEMPEÑO
 Plan de seguimiento, evaluación y análisis: documento con el plan
revisado y aprobado.
 Plan de ejecución de auditoria interna: Es un procedimiento que se debe
llevar a cabo para la revisión del MSPI implementado, de forma

P á g i n a 5 | 10
 planificada con la finalidad de verificar que los objetivos de control,
controles, procesos y procedimientos del MSPI cumpla con los
requisitos establecidos en la norma ISO 27002 y los del MSPI.
Los entregables asociados a las metas en la Fase de Evaluación del
desempeño deben ser revisados y aprobados por la alta Dirección.
5.FASE DE MEJORA CONTINUA
Esta fase permitirá realizar el plan de mejoramiento continuo en la seguridad y
privacidad de la información, que permita realizar el plan de implementación de las
acciones correctivas identificadas, esto se llevará a cabo con los resultados de la
evaluación de desempeño.
PRINCIPIOS
 Confidencialidad
 Integridad
 Disponibilidad
POLITICA
Documento aparte.

ROLES Y RESPONSABILIDADES
la organización debe definir mediante una circular los roles y las responsabilidades
de seguridad de la información, que permiten la toma de buenas decisiones y una
buena gestión para así se cumplas los objetivos de la organización.
Para el desarrollo del Modelo de Seguridad y Privacidad de la Información, se
requiere definir los roles para garantizar la implementación del mismo y establecer
las responsabilidades para el cabal cumplimiento del MSPI.
 Comité de seguridad de la información
 Líder estrategia de Gobierno en línea
 Grupo Gestión Tecnología de Información y Comunicaciones
 Grupo interdisciplinario de trabajo
 Líder Gestión TIC, líder del proyecto de Seguridad de la Información
 Oficial de seguridad de la información
 Líder seguridad informática
 Líder de procesos
 Líder auditor

P á g i n a 6 | 10
  Responsable de la información
 Terceros
PRIVACIDAD DE LA INFORMACION
Con el fin de salvaguardar la información de los usuarios internos y externos de la
empresa JULIKANA es necesario que la política de seguridad de la información
abarque la confidencialidad de la misma evitando así siniestros relacionados con
el robo de datos y la materialización de riesgos provenientes de agentes externos
e internos de la entidad, por ello se marcan unos de los lineamientos
fundamentales para garantizar la privacidad de la información:
 Capacitar al personal sobre el manejo adecuado de tecnologías y
resguardo de la información y así mismo dar a conocer las políticas y el
modelo de seguridad y privacidad de la información
 Implementar mecanismos de control y acceso a la información para así
garantizar que el manejo esté en manos de los empleados autorizados y
adecuados.
 Realizar y mantener copias de seguridad externas como medida de
recuperación de datos y continuidad de los procesos empresariales.

IDENTIFICAR LOS RIEGOS DE PRIVACIDAD

La organización debe definir una metodología para la gestión de riegos enfocada
en procesos, que permita evaluar, y tratar los riegos de seguridad de la
información a los que están expuestos.
INFORMACION PERSONAL INDIVIDUOS
 Expone información clasificada sin autorización
 Información que permanece en la organización pasado el tiempo de
vigencia.
INFORMACION DE USUARIOS INSTITUCIONALES
 Divulgación de información clasificada que pondría en riesgo la imagen
corporativa.
INFORMACION RELACIONADA CON SISTEMAS Y PROGRAMAS O
PROCESOS Y PROCEDIMEINTOS
 Adquisición de programas que no garanticen un nivel alto de privacidad, por
ejemplo, que permitan recolección masiva de datos sin conocimiento de los
usuarios.
 Indebida utilización de datos personales en ejercicios de divulgación como
procesos de rendición de cuentas, entre otras.
P á g i n a 7 | 10
INDICADORES DE GESTION
1. Organización de la seguridad de la información
2. Plan de sensibilización
3. Cumplimiento de políticas dentro de la empresa
4. Identificación de lineamientos de seguridad dentro de la compañía
5. Control de acceso
6. Adquisición y mantenimiento del software
7. Implementación de procesos
8. Políticas de privacidad y de confidencialidad
9. Ataques cibernéticos
10. Implementación de controles

HERRAMIENTAS
HERRAMIENTAS SOFTWARE
 Indicadores específicos
 Cuadro de mandos
 Informes de petición o desatendidos
 Consultas por pantalla
HERRAMIENTAS HARDWARE
 Dispositivos móviles de captura de datos
 Lector de códigos de barras
 Dispositivos de presentación de datos
 Tablet, móvil, pc.

P á g i n a 8 | 10
 MATRIZ DOFA

FORTALEZAS: DEBILIDADES:

 Tener una base de datos segura  Que los clientes no confíen de

para la seguridad y privacidad nuestra organización para dejar
P á g i n a 9 | 10
 de datos de nuestros clientes
 Tener una buena imagen al
hacer buen uso de los datos
personales de los clientes
 Aumentar las medidas de
resguardo y protección de la
información.
 Evitar el robo de la información
de parte de las otras empresas.
 Implementar nuevos softwares
para tener más privacidad en
los datos de las empresas.
OPORTUNIDADES:
 Cada vez genera más
información respecto a la
privacidad de la información
 Mejora en la toma de decisiones
a la hora de privar los datos de
los que conforman nuestra
organización.
 Crecimiento en los sistemas de
privacidad de la información
sus datos personales.
 Problemas con las sitios web
que la organización maneje y se
pierdan los datos de nuestros
clientes.
 Perdida de inseguridad que
generen en muchos clientes
inseguridad.
 Dificultad para implementar
otros sistemas para información
personal de los clientes.
AMENAZAS:
 Que los sistemas que este
implementado nuestra
organización fallen
 Costos elevados para el uso y
funcionamiento de la privacidad
de información
P á g i n a 10 | 10