Descripción del Foro

Programa Especialización en seguridad de la información

Módulo Teoría de seguridad de la información

Título del
Evaluación de estructura de una política de seguridad de la información
Foro

Escoja entre los siguientes tipos de foro:

Tipo del -          Foro analítico (módulo teórico posgrado): en este se convoca al
foro estudiante a analizar diferentes teorías, enfoques o conceptos
trabajados en los escenarios. Apunta a apoyar la entrega final de la
semana 7.

Definir una política de seguridad de la información, con su respectiva

Competen
guía de socialización y seguimiento para un contexto indicado, de
cia de la
acuerdo con lo aprendido sobre su diseño y socialización.
unidad y
elemento Comprender la estructura de una política de seguridad de la
de información.
competen
Explicar las fases de diseño y planeación de una política de seguridad
cia
de la información.

Indicadore Conoce los requerimientos mínimos de una política de seguridad de la

s de información con el fin de identificarlos en un contexto determinado.
desempeñ Distingue las consideraciones para el diseño y estructuración de una
o política de seguridad de la información.

2.    Actividad del Foro

  Cordial saludo para todos. Bienvenidos al presente foro, en el cual se

analizará la política de seguridad de la información de una institución
 
estatal. Es muy importante la participación activa de cada uno de
Saludo ustedes en el presente foro, puesto que les permite afianzar los
conocimientos adquiridos y evaluar el nivel de comprensión de la
 
temática vista. Así mismo, es importante valorar la opinión de los
  compañeros con respecto al análisis que realicen debido a que facilita el
 aprendizaje colaborativo. La revisión de las diversas opiniones ayuda a
complementar el análisis personal y ampliar el nivel de entendimiento
de la temática. Por lo tanto, los invito a participar activamente del foro
a través de sus intervenciones personales y de la apreciación sobre la
participación de otros.

El foro de esta semana tiene como objetivo analizar la estructura de

una política de seguridad de la información. Para la participación en
este se deben considerar los siguientes aspectos:

1.       Leer la política indicada de manera completa.

2.       Revisar el material presentado en la guía fundamental para validar

si la política es pertinente con lo visto.
 Consigna
3.       Considerar por lo menos 2 opiniones adicionales para brindar su
aporte de acuerdo con las consideraciones indicadas en el apartado de
instrucciones.

El foro es una actividad formativa que permite la participación activa

del estudiante. Este foro permite evaluar una situación real con el fin de
incentivar la capacidad de análisis y crítica frente a una temática que es
común en muchas de las empresas donde se labora: la seguridad.

Instruccio 1.       Evaluar si la política cuenta con los siguientes aspectos mínimos:
nes del
a.       Resumen
Foro
b.       Introducción

c.        Objetivo

d.       Alcance

e.       Principios

f.         Responsables

g.       Resultados clave

2.       Seleccionar el aspecto alcance y objetivo e indicar con sus

propias palabras qué quiere decir la institución con dichos enunciados.

3.       Brindar su opinión en máximo 200 palabras sobre el contenido de

 la política indicando si es clara, si es aplicable para cualquier individuo
que trabaje en dicha institución, si considera que se ha cumplido con las
fases para su planeación y si su estructura es conforme a los mínimos
indicados en el punto 2.

4.       Evalúe la opinión de por lo menos dos compañeros, indicando si

está de acuerdo con el aporte, si tiene alguna sugerencia con respecto a
la opinión seleccionada y si tiene alguna recomendación para su
compañero, en cuanto al análisis realizado.

LEER EL SIGUIENTE DOCUMENTO: INVIMA. (18 de Febrero de

2018).Política de seguridad de la información. Recuperado
de https://www.invima.gov.co/images/stories/formatotramite/GDIDIEPL010ver
sion2.pdf (Enlaces a un sitio externo.)

Muchas gracias por su participación en el foro. Espero que su

intervención, por medio de su opinión personal y la revisión de otros
puntos de vista, haya sido de su total agrado.

Como se ha visto en la lectura, una política de seguridad de la

información no es una tarea sencilla y requiere la revisión de diferentes
perspectivas en torno al negocio y la orientación de la empresa en el
tema de seguridad. Cuanto más grande y compleja sea la organización,
así mismo es su política.

Cierre En el caso analizado se pudo identificar que la política de seguridad

cumple con la mayoría de los requerimientos indicados como estructura
fundamental de esta. Es importante que las políticas incluyan un
resumen e introducción que faciliten la revisión inicial que se realiza.
Sin embargo, los puntos clave son: objetivo, alcance, la política, sus
principios, responsables y los aspectos que se esperan alcanzar con su
definición. En la política analizada se identifican dichos elementos. Los
objetivos específicos indicados pueden ser considerados como los
aspectos fundamentales que se esperan alcanzar con la definición de la
política. 

Firma Alexandra Peña Daza

 RESUMEN

Para realizar una correcta implementación de políticas de seguridad de la información, es

necesario cumplir con una serie de fases que se sugieren en este documento, las cuales tienen
como objetivo que la entidad desarrolle, apruebe, implemente y socialice e interiorice las políticas
para un uso efectivo por parte de todos los funcionarios, contratistas y/o terceros de la entidad

Para las entidades es importante contar con políticas de seguridad ya que son ellas quienes
guiaran el comportamiento personal y profesional de los funcionarios, contratistas o terceros
sobre la información obtenida, generada o procesada por la entidad, así mismo las políticas
permitirán que la entidad trabaje bajo las mejores prácticas de seguridad y cumpla con los
requisitos legales a los cuales esté obligada a cumplir la entidad.

FASES DE IMPLEMENTACIÓN DE LAS POLITICAS DE SEGURIDAD DE INFORMACIÓN

Desarrollo de las políticas: En esta fase la Entidad debe responsabilizar las áreas para la creación
de las políticas, estructurarlas, escribirlas, revisarlas y aprobarlas; por lo cual para llevar a buen
término esta fase se requiere que se realicen actividades de verificación e investigación de los
siguientes aspectos:

 Justificación de la creación de política: Debe identificarse el por qué la Entidad requiere la

creación de la política de seguridad de información y determinar el control al cual hace referencia
su implementación.

 Alcance: Debe determinarse el alcance, ¿A qué población, áreas, procesos o departamentos

aplica la política?, ¿Quién debe cumplir la política?

 Roles y Responsabilidades: Se debe definir los responsables y los roles para la implementación,
aplicación, seguimiento y autorizaciones de la política.

 Revisión de la política: Es la actividad mediante la cual la política una vez haya sido redactada
pasa a un procedimiento de evaluación por parte de otros individuos o grupo de individuos que
evalúen la aplicabilidad, la redacción y se realizan sugerencias sobre el desarrollo y creación de la
misma.

 Aprobación de la Política: Se debe determinar al interior de la entidad la persona o rol de la alta

dirección que tiene la competencia de formalizar las políticas de seguridad de la información
mediante la firma y publicación de las mismas. Es importante que la Alta Gerencia de la Entidad
muestre interés y apoyo en la implementación de dichas políticas.

 Cumplimiento: Fase mediante la cual todas aquellas políticas escritas deben estar
implementadas y relacionadas a los controles de seguridad de la Información, esto con el fin de
que exista consistencia entre lo escrito en las políticas versus los controles de seguridad
implementados y documentados.
 Comunicación: Fase mediante la cual se da a conocer las políticas a los funcionarios, contratistas
y/o terceros de la Entidad. Esta fase es muy importante toda vez que del conocimiento del
contenido de las políticas depende gran parte del cumplimiento de las mismas; esta fase de la
implementación también permitirá obtener retroalimentación de la efectividad de las políticas,
permitiendo así realizar excepciones, correcciones y ajustes pertinentes. Todos los funcionarios
contratistas y/o terceros de la entidad debe conocer la existencia de las políticas, la obligatoriedad
de su cumplimiento y la ubicación física de tal documento o documentos, para que sean
consultados en el momento que se requieran.

 Monitoreo: Es importante que las políticas sean monitoreadas para determinar la efectividad y
cumplimiento de las mismas, deben crearse mecanismos ejemplo indicadores para verificar de
forma periódica y con evidencias que la política funciona y si debe o no ajustarse.

 Mantenimiento: Esta fase es la encargada de asegurar que la política se encuentra actualizada,

integra y que contiene los ajustes necesarios y obtenidos de las retroalimentaciones.

 Retiro: Fase mediante la cual se hace eliminación de una política de seguridad en cuanto esta ha
cumplido su finalidad o la política ya no es necesaria en la Entidad. Esta es la última fase para
completar el ciclo de vida de las políticas de seguridad y requiere que este retiro sea documentado
con el objetivo de tener referencias y antecedentes sobre el tema , entendiendo la importancia de
una adecuada gestión de la información, se ha comprometido con la implementación de un
sistema de gestión de seguridad de la información buscando establecer un marco de confianza en
el ejercicio de sus deberes con el Estado y los ciudadanos, todo enmarcado en el estricto
cumplimiento de las leyes y en concordancia con la misión y visión de la entidad.

la protección de la información busca la disminución del impacto generado sobre sus activos, por
los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que
permita responder por la integridad, confidencialidad y la disponibilidad de la misma, acorde con
las necesidades de los diferentes grupos de interés identificados.

De acuerdo con lo anterior, esta política aplica a la Entidad según como se defina en el alcance, sus
funcionarios, terceros, aprendices, practicantes, proveedores y la ciudadanía en general, teniendo
en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de
decisiones alrededor del SGSI estarán determinadas por las siguientes premisas:

 Minimizar el riesgo en las funciones más importantes de la entidad.

 Cumplir con los principios de seguridad de la información.
 Cumplir con los principios de la función administrativa.
 Mantener la confianza de sus clientes, socios y empleados.
 Apoyar la innovación tecnológica.
 Proteger los activos tecnológicos.
 Establecer las políticas, procedimientos e instructivos en materia de seguridad de la
información.
 Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices,
practicantes y clientes.
 Garantizar la continuidad del negocio frente a incidentes.

• Definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad

de la Información, soportado en lineamientos claros alineados a las necesidades del negocio, y a
los requerimientos regulatorios

• Las responsabilidades frente a la seguridad de la información serán definidas, compartidas,

publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros.

• Se protegerá la información generada, procesada o resguardada por los procesos de negocio, su

infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros
(ej.: proveedores o clientes), o como resultado de un servicio interno en outsourcing.

• Se protegerá la información creada, procesada, transmitida o resguardada por sus procesos de

negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso
incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la
clasificación de la información de su propiedad o en custodia.

• Protegerá su información de las amenazas originadas por parte del personal.

• Protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus

procesos críticos.

• Se controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos

tecnológicos y las redes de datos.

• Se implementará control de acceso a la información, sistemas y recursos de red.

• Se garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de
información.

• Se garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades
asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.

• Se garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación

basada en el impacto que pueden generar los eventos.

• Se garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales

establecidas.

La Política de Seguridad y Privacidad de la Información es la declaración general que representa la

posición de la administración de cada entidad con respecto a la protección de los activos de
información (los funcionarios, contratistas, terceros. la información, los procesos, las tecnologías
de información incluido el hardware y el software), que soportan los procesos de la Entidad y
apoyan la implementación del Sistema de Gestión de Seguridad de la Información, por medio de la
generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación
de responsabilidades generales y específicas para la gestión de la seguridad de la información.

INTRODUCCIÓN

La política de alto nivel o política general, aborda la necesidad de la implementación de un

sistema de gestión de seguridad de la información (SGSI) planteado desde la descripción del quién,
qué, por qué, cuándo y cómo, en torno al desarrollo de la implementación del SGSI. Es así como,
teniendo en cuenta la importancia que tiene que la entidad defina las necesidades de sus grupos
de interés, y la valoración de los controles precisos para mantener la seguridad de la información,
se debe establecer una política que tenga en cuenta el marco general del funcionamiento de la
entidad, sus objetivos institucionales, sus procesos misionales, y que este adaptada a las
condiciones específicas y particulares de cada una según corresponda para que sea aprobada y
guiada por la Dirección. De esta forma, una buena política es concisa, fácil de leer y comprender,
flexible y fácil de hacer cumplir para todos aquellos dentro del alcance sin excepción. Son cortas, y
enmarcan los principios que guían las actividades dentro de la entidad.

OBJETIVOS DE SEGURIDAD DE LA INFORMACION

Minimizar el riesgo de los procesos misionales de la entidad

 Cumplir con los principios de seguridad de la información.

 Cumplir con los principios de la función administrativa.

 Mantener la confianza de los funcionarios, contratistas y terceros.

 Apoyar la innovación tecnológica.

 Implementar el sistema de gestión de seguridad de la información.

 Proteger los activos de información.

 Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.

 Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices,

practicantes y clientes.

 Garantizar la continuidad del negocio frente a incidentes.

ALCANCE

Esta política aplica a toda la entidad, sus funcionarios, contratistas y terceros en general,
el alcance nos ayuda a describir la extensión y los límites del Sistema de Gestión de Seguridad de la
Información, por lo que se pueden definir todos los términos de los activos de información, la
ubicación física, las unidades organizaciones, actividades o procesos de gran importancia para la
organización.

PRINCIPIOS

Proteger la información significa garantizar el cumplimiento de los tres principios fundamentales

de la seguridad informática, es decir, asegurar la confidencialidad, la integridad y la disponibilidad
de la información

 Se harán disponibles informes regulares con información de la situación de la seguridad.

 Los riesgos en seguridad de la información serán objeto de seguimiento y se adoptarán
medidas relevantes cuando existan cambios que impliquen un nivel de riesgo no
aceptable.
 Se tendrán en cuenta aquellas posibilidades de fraude relacionadas con el uso abusivo de
los sistemas de información dentro de la gestión global de los sistemas de información.

 Todo el personal será informado y responsable de la seguridad de la información, según

sea relevante para el desempeño de su trabajo.
 Las situaciones que puedan exponer a la organización a la violación de las leyes y normas
legales no serán toleradas.

RESPONSABLES Y RESPONSABILIDADES

Las responsabilidades frente a la seguridad de la información serán definidas, compartidas,

publicadas y aceptadas por cada uno de los empleados, contratistas o terceros.

 El equipo directivo es el responsable de asegurar que la seguridad de la información se

gestiona adecuadamente en toda la organización .
 Cada gerente es responsable de garantizar que las personas que trabajan bajo su control
protegen la información de acuerdo con las normas establecidas por la organización.

 Cada miembro del personal tiene la responsabilidad de mantener la seguridad de

información dentro de las actividades relacionadas con su trabajo.
 La entidad protegerá la información generada, procesada o resguardada por los procesos
de negocio y activos de información que hacen parte de los mismos.
 La entidad protegerá la información creada, procesada, transmitida o resguardada por sus
procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales
 debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de
acuerdo con la clasificación de la información de su propiedad o en custodia.
 La entidad protegerá su información de las amenazas originadas por parte del personal.
 La entidad protegerá las instalaciones de procesamiento y la infraestructura tecnológica
que soporta sus procesos críticos.
 La entidad controlará la operación de sus procesos de negocio garantizando la seguridad
de los recursos tecnológicos y las redes de datos.
 La entidad implementará control de acceso a la información, sistemas y recursos de red.
 La entidad garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas
de información.
 La entidad garantizará a través de una adecuada gestión de los eventos de seguridad y las
debilidades asociadas con los sistemas de información una mejora efectiva de su modelo
de seguridad.
 La entidad garantizará la disponibilidad de sus procesos de negocio y la continuidad de su
operación basado en el impacto que pueden generar los eventos.
 La entidad garantizará el cumplimiento de las obligaciones legales, regulatorias y
contractuales establecidas.

RESULTADOS CLAVES

Podemos decir que los resultados al implementar una política de seguridad de la información es la
protección de estos activos está destinada a preservar la confidencialidad, la integridad y la
disponibilidad de la información. Además, puede abarcar otras propiedades como la autenticidad,
la responsabilidad y la fiabilidad.

 Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o

procesos no autorizados. Es necesario acceder a la información mediante autorización y
control.
 Integridad: debe mantenerse la exactitud y completitud de la información y sus métodos de
proceso. Su objetivo es prevenir modificaciones no autorizadas de la información.
 Disponibilidad: Garantizar el acceso y la utilización de la información y los sistemas de
tratamiento de la misma, por parte de los individuos, entidades o procesos autorizados
cuando lo requieran. Su objetivo es prevenir interrupciones no autorizadas de los recursos
informáticos.

2. Seleccionar el aspecto alcance y objetivo e indicar con sus propias palabras qué quiere decir la
institución con dichos enunciados R//

También podemos decir que las políticas de seguridad informática es el conjunto de medidas,
prácticas y reglas que deben cumplir todas aquellas personas que acceden a activos
de tecnología e información de una organización. Las políticas de seguridad de la
información definen también los comportamientos responsables y adecuados para garantizar
la seguridad al trabajar en internet. Entre los ejemplos más característicos de estas acciones
 específicas se encuentran el cifrado de archivos sensibles o la creación de copias de respaldo,
etc.

3. Brindar su opinión en máximo 200 palabras sobre el contenido de la política indicando si es

clara, si es aplicable para cualquier individuo que trabaje en dicha institución, si considera que se
ha cumplido con las fases para su planeación y si su estructura es conforme a los mínimos
indicados en el punto 2. R//
Podemos decir que el objetivo de las Políticas de Seguridad es fijar el marco de actuación
necesario para proteger los resultados de las investigaciones de los Equipos de Trabajo, así
como los recursos de información utilizados para su tratamiento y gestión, de amenazas
internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de
los principios de confidencialidad, integridad y disponibilidad de la información, La eficacia y
aplicación del Sistema de Gestión de la Seguridad de la Información es responsabilidad
directa de la Gerencia, la cual es responsable de la aprobación, difusión y cumplimiento de
la presente Política de Seguridad. En su nombre y representación se ha nombrado un
responsable del Sistema de Gestión de la Seguridad de la Información, que posee la
suficiente autoridad para desempeñar un papel activo en el Sistema de Gestión de la
Seguridad de la Información, supervisando su implantación, desarrollo y mantenimiento y
si es aplicable para cualquier individuo que tenga relación laboral, financiera o comercial de
dicha compañía y es aplicable cuando se estructura y se forma para concientizar y capacitar
a los integrantes de la compañía independientemente del proceso o relación que estén
llevando cada uno en la compañía .