1.

RESUMEN

La información es el activo más valioso en las organizaciones hoy en

día. Todos los procesos de negocio tienen como entrada y salida
información que es de gran valor para la organización y que debe ser
protegida adecuadamente. De esta forma, la seguridad de la
información se convierte en un componente esencial para el logro de
los objetivos estratégicos de la compañía. El propósito de esta política
es formalizar el compromiso de una entidad o compañía. con el
proceso de gestión de la información que tiene como objetivo proteger
la información y los activos de información contra amenazas internas o
externas, deliberadas o accidentales, con el fin de mantener la
integridad, legalidad, oportunidad, disponibilidad y confidencialidad de
la información.

INTRODUCCIÓN
La mayoría de las empresas en la actualidad cuenta con una
infraestructura de TI muy diversificada y compleja, compuesta por
múltiples herramientas y plataformas, que requieren de constante
mantención y actualización. Este escenario favorece descontrol e
incrementa la exposición a las ciber amenazas. ¿Qué hacer? Lo
primero: tener un diagnóstico preciso que permita conocer cuál es el
nivel de protección actual. Una evaluación de seguridad ayuda a las
organizaciones a determinar sus reales capacidades y limitaciones,
con el objeto de establecer los planes de acción y protecciones que
minimicen el riesgo de sufrir incidentes o que mitiguen el efecto de
éstos.
OBJETIVO
El objetivo de la seguridad de la información es garantizar y velar por
la disponibilidad, integridad y confidencialidad de esta. Para
conseguirlo, las organizaciones cuentan con muchos referentes
aceptados a nivel mundial y que hacen uso de herramientas, tales
como procedimientos, recomendaciones, definición de líneas base,
estándares y políticas, que facilitan su adopción.
 ALCANCE
Para lograr un buen alcance en la política de seguridad de la
información, se debe tener en cuenta el contexto interno y externo
donde se encuentra la empresa, identificando que se debe proteger y
quien debe cumplirla; también es importante determinar un plazo de
tiempo para la implementación de la política de seguridad de la
información, realizar una distribución estratégica de los recursos
requeridos, determinar los responsables y áreas incluidas en esta.

PRINCIPIOS GENERALES DE SEGURIDAD DE LA INFORMACIÓN

Principio de penetración: Debe de existir un conjunto claramente

definido de responsabilidades en materia de seguridad de la
información.
Principio de concienciación: Todos los empleados tienen que tener
un conocimiento adecuado de las políticas de seguridad de la
información. También deben ser informados de las amenazas que
puedan existir sobre la seguridad de los datos.
Principio ético: Usuarios y administradores deben usar la información
de forma éticamente responsable.
Principio multidisciplinario: Todo el personal esencial de las
diferentes unidades de negocio debe ser implicado en el programa de
seguridad de la información.
Principio de proporcionalidad: Los análisis de riesgos son
esenciales para determinar la protección más adecuada para los
activos de información y la porción de recursos apropiada que se ha
de dedicar a estos activos.
Principio de integración: Debe haber un programa de seguridad de
la información que abarque toda la organización, coordinado e
integrado con cada unidad de negocio.
Principio de puntualidad: Los agujeros de seguridad deben
manejarse de una forma eficiente y en un tiempo razonable.
Principio de valoración: Deben evaluarse los riesgos periódicamente
y cuando ocurran cambios en los sistemas o en la tecnología aplicada.
Principio de equidad: Los sentimientos personales no deben interferir
en el manejo de la seguridad de la información.

RESPONSABLES

Es responsabilidad de la Dirección de la compañía o entidad y del

Comité de Seguridad de la Información, conscientes que la
información es uno de los activos más valiosos que posee la
compañía, hacer uso de esta Política e incluir como parte del
direccionamiento estratégico los lineamientos, reglas de negocio,
procedimientos y directrices que garanticen su cumplimiento. Así
mismo, garantizar su debida aprobación.

RESULTADOS CLAVE

Es necesario contar con el compromiso de la alta dirección para lograr

una buena coordinación y compromiso de todas las áreas
involucradas. La recopilación del material y la entrega de la mayor
cantidad de antecedentes posibles en las entrevistas a los
involucrados es la base de una buena evaluación.

Una vez definidos los proyectos e iniciativas, es aconsejable planificar

y priorizar en función de los proyectos actuales, recursos y objetivos
de la organización para el período. La implantación de nueva
tecnología y cambios en los procesos puede requerir replanificar
iniciativas en curso.

Se recomienda realizar una reevaluación después de cierto período de

tiempo (normalmente un año), para determinar cuánto ha logrado
avanzar la organización y tomar las medidas correctivas que sean
necesarias.

2. El objetivo y alcance de las políticas de seguridad

informática:

Son proporcionar a todo el personal de una empresa también como a

los usuarios que acceden a sus activos de tecnología e información los
requisitos y pautas de actuación necesarios para protegerlos. Así
mismo estas políticas son útiles a la hora de auditar los sistemas de
información de una empresa.
 3. Las políticas de seguridad informática son claras ya que
son reglas que tenemos que cumplir:
como personal relacionado con una empresa. Así se asegura la
integridad, disponibilidad y privacidad de las infraestructuras
informáticas y de la información que contienen.
Es aplicable ya que estas políticas de seguridad informática surgen
como respuesta a los diferentes riesgos de seguridad a la cual están
expuestos nuestros sistemas como lo son:
 Privacidad de la información, y su protección frente a accesos
por parte de personas no autorizadas como hackers.

 Integridad de los datos, y su protección frente a corrupción por

fallos de soportes o borrado.
 Disponibilidad de los servicios, frente a fallos técnicos internos o
externos.
Considero que, si se ha cumplido con las fases de su planeación y su
estructura es conforme ya que es fundamental para las empresas de
cualquier tipo y tamaño, a la hora de concientizar a su personal sobre
los riesgos de seguridad y proporcionar pautas de actuación
concretas. Las políticas deben ser parte del proceso de incorporación
de los empleados antiguos como de todos los nuevos empleados,
asegurándose de que todos los que pertenecen a las empresas hagan
parte del proceso y poder así hacerlo cumplir a cabalidad.