Teoría de la Seguridad de la Información

La política de seguridad del papel a la acción

Mónica Cristina Ortiz Tabares

Universidad Politécnico Gran Colombiano

Especialización en Seguridad de la Información
Virtual
2023-1
 Página 2 de 20

1. Defina la política de seguridad para Datalatina, según la estructura

vista en el Escenario 5.

Resumen de la política
Datalatina desea definir una Política de Seguridad proteger su activo más
importante y valorado que es la información, mediante el aseguramiento en
el cumplimiento de los principios de la seguridad tale como la
confidencialidad, integridad y disponibilidad para así alcanzar los objetivos
de la organización.

Introducción
Datalatina es una firma latinoamericana dedicada al aseguramiento,
gestión de riesgos, calidad y seguridad de sistemas de información.
Esta compañía les ofrece a sus clientes tres líneas de negocio apoyándose
en la alta calidad de sus consultores y docentes, buscando implementar
siempre las mejores prácticas y controles necesarios que garanticen el
cumplimento de su principal objetivo en el aseguramiento de los sistemas de
información.

Datalatina implementará como Política de Seguridad de la Información

mediante estándares, procedimientos y controles que contribuyan al buen
uso de la información proporcionando un ambiente que de forma continua
minimice los impactos que puedan afectar a la organización, cumpliendo
con los requerimientos de seguridad contractuales, normativos y legales
vigentes.

Alcance
Esta política de seguridad de la información se aplicará a todos los activos
de información de Datalatina, así como a todas las líneas de negocio que
ofrecen y a todas las personas internas y externas que presten algún servicio
para la organización.

Objetivos
 Asegurar el CID de la seguridad de la información, certificando que
solo los interesados puedan acceder a ella.
 Evidenciar las debilidades informáticas que tenga la identidad.

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 3 de 20

 Implementar controles que aseguren el buen funcionamiento de la

seguridad y los procesos que realiza la entidad.
 Revisar continuamente los objetivos establecidos en el manual de
gestión para minimizar los riesgos

Principios

 Se desarrolle un proceso de análisis del riesgo y, de acuerdo con su

resultado, se implementen las acciones correspondientes con el fin
de tratar los riesgos que se consideren inaceptables, según los
criterios establecidos en el Manual de Gestión.
 Se establezcan los objetivos de control y los controles
correspondientes, en virtud de las necesidades que en materia de
riesgos surjan del proceso de análisis de riesgos manejado.
 Se cumpla con los requisitos del negocio, legales o reglamentarios,
y las obligaciones contractuales de seguridad
 Se brinde concientización y entrenamiento en materia de
seguridad de la información a todo el personal interno y externo.
 Se establezcan los medios necesarios para garantizar la
continuidad del negocio de la empresa
 Se sancione cualquier violación a esta política y a cualquier
política o procedimiento del SGSI.
 Todo empleado es responsable de preservar la confidencialidad,
integridad y disponibilidad de los activos de información en
cumplimiento de la presente política y de las políticas y
procedimientos inherentes al sistema de gestión de la seguridad de
la información.

Responsabilidades
 El jefe de seguridad de la información es responsable directo del
mantenimiento de esta política a través de brindar consejo y guía
para su implementación, así como también de investigar toda
violación reportada por el personal
 Todo empleado es responsable de registrar y reportar las
violaciones a la seguridad, confirmadas o sospechadas
 Todos los miembros del personal tienen responsabilidades de
seguridad de la información como parte de su trabajo.

Resultado clave
Mónica Cristina Ortiz Tabares
Especialización en Seguridad de la Información
Virtual 2023-1
 Página 4 de 20

 El acceso a la información solo se dará para el personal autorizado.

 Desarrollar e implementar el Sistema de Gestión de Seguridad de
la Información (SGSI).
 La información y sus métodos de proceso son exactos y completos.

Políticas relacionadas

 La política del sistema de gestión de seguridad de la información

(SGSI).
 Políticas de control de acceso
 Política de privacidad
 Política de seguridad de la información
 Política de seguimiento a los sistemas de seguridad
 Política de desarrollo de productos
 Política de software no autorizado
 Política sobre licencias de software.
 Política sobre disposición de software.
 Políticas sobre respaldo se información.
 Política sobre la privacidad y protección de datos

2. Proponga un plan de implementación y desarrollo de política que

contenga lo siguiente:

a. Objetivos del SGSI

Examinar y formalizar los riesgos de seguridad de la información con el fin de

efectuar acciones que permitan tratar los riesgos que se consideren
inaceptables, según los criterios establecidos en el Manual de Gestión de
Datalatina.
Crear responsabilidades en la definición, operación, seguimiento y mejora
de las políticas relacionadas con la seguridad de la información de
Datalatina, que permita la mejora continua del Sistema de Gestión de
Seguridad de la Información.
Cumplir con el marco legal y con los requisitos impuestos por los clientes en
su desarrollo de las actividades

Limitar las pérdidas y conseguir la adecuada recuperación del sistema en

caso de un incidente de seguridad

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 5 de 20

Asegurar el cumplimiento de la protección de la confidencialidad,

integridad y disponibilidad de los activos de la información por parte de
toda la organización.
Incentivar la generación de espacios de sensibilización en materia de
seguridad de la información a todo el personal con el fin de adoptar una
cultura organizacional.

Apegarse al cumplimiento de los requisitos del negocio, legales o

reglamentarios, y las obligaciones contractuales de seguridad de la
información.

Garantizar la adecuada utilización de los recursos y de las aplicaciones del

sistema.

b. Definición de alto nivel del alcance y marco de referencia para el

SGSI

Para alcanzar el aseguramiento de la Política de Seguridad de la

Información en la compañía Datalatina es necesario tener presente que la
compañía defina la protección de la información de los usuarios internos y
externos como también sus servicios para aplicarle los principios de la
seguridad de la información (confidencialidad, integridad, disponibilidad),
seguidamente de los marcos de referencia más conocidos a nivel
internacional tales como:

ISO/IEC 27001: Requerimientos para implementar un Sistema de Gestión de

Seguridad de la Información
ISO/IEC 13335: Directrices para la Gestión de la seguridad
ISO/IEC 15408: Determinar los criterios comunes para la evaluación de los
productos y niveles de servicio de la seguridad
ISO/IEC 27002: Código de prácticas para controles de seguridad de la
información
ISO/IEC 27005: Gestión de riesgos de seguridad de la información
ISO/IEC 31000: Gestión del riesgo
G.ES.05: Diseño e implementación de una estrategia de seguridad de la
información
Modelo de Seguridad de la información MinTic Guias 4,7.8, 21

c. Procedimientos y controles que apoyan la política

En la siguiente tabla se presenta un ejemplo claro de la relación entre una

determinada directriz o política de seguridad acompañada de los

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 6 de 20

procedimientos que de ella se deriva y de algunas tareas concretas que

debería realizar o aplicar el personal de la organización

POLITICA PROCEDIMIENTO TAREA A REALIZAR

Protección del servidor
de aplicación de la
organización contra
acceso no autorizado
Identificación de
autenticación de
usuarios
Implementar copia de
seguridad
 Revisión diaria de los
parches de
actualización
publicado por los
Se debe mantener
fabricantes
autorizado el Software
del servidor
 Seguimiento a los
posibles fallas de
seguridad que sean
publicadas en la Web
 Revisión semanal de
los Logs para
identificar situaciones
anómalas
Revisar los logs de los
 Configuración de
eventos del servidor
alertas que permitan
tomar acciones de
forma inmediata ante
cualquier incidente
de seguridad
Determinar la identidad  Configurar un solo
para acceder a los acceso al sistema por
sistemas usuario
 Parametrizar copias
de seguridad diaria y
semanales de todos
los dispositivos
registrados en la
Aplicar los tiempos de
compañía
respaldo de las copias
de seguridad
 Revisar el soporte de
las cintas o
almacenamiento de
las copias de
seguridad

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 d. Definición de roles y responsabilidades

RESPONSABILIDAD RESPONSABILIDAD
CARGO FUNCIONES
GENERAL ESPECÍFICA
- El cumplimiento de las
Políticas del Sistema de
Gestión de Seguridad de
la Información.
- El cumplimiento de los
controles establecidos
asociados a los riesgos
de Seguridad de la
Información, de acuerdo
A todos los cargos
a la actividad del cargo No aplica No aplica
de la compañía
- Participar en las
auditorías del Sistema de
Gestión de Seguridad de
la Información y generar
acciones correctivas de
acuerdo a los hallazgos.
- Reportar eventos e
incidentes de seguridad
de la información.
- Implementar los controles de la
norma ISO 27001:2013.
Implementar, mantener y - Elaborar la información
mejorar el Sistema de documentada del Sistema de
Jefe TIC
Gestión de Seguridad de Gestión de Seguridad de la
la Información. Información.
- Realizar la Revisión periódica de la
matriz de riesgos con
 Página 8 de 20

el fin de actualizarla en caso de

nuevas actividades o cambios en
la operación.
- Realizar la Revisión periódica del
plan de tratamiento de riesgos con
el fin de actualizarla en caso de
nuevas actividades o cambios en
la operación.
- Revisar la documentación
elaborada por el Documentador
TIC y realizar la retroalimentación
correspondiente.
- Realizar el seguimiento y análisis
de los indicadores del Sistema de
Gestión de Seguridad de la
Información.
- Recibir la auditoría interna al
sistema de gestión de seguridad de
la información.
- Participar en el Comité de
Seguridad de la Información.
- Soporte en la implementación de
los controles del Anexo A de la
norma ISO 27001:2013.
Implementar, mantener y - Soporte en la elaboración de la
Analista de mejorar el Sistema de información documentada del
infraestructura Gestión de Seguridad de Sistema de Gestión de Seguridad
la Información. de la Información.
- Soporte en la realización de la
revisión periódica de la matriz de
riesgos con el fin de actualizarla en

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 9 de 20

caso de nuevas actividades o

cambios en la operación.
- Soporte en la realización de la
revisión periódica del programa de
tratamiento de riesgos con el fin de
actualizarla en caso de nuevas
actividades o cambios en la
operación.
- Soporte en la realización del
seguimiento y análisis de los
indicadores del Sistema de Gestión
de Seguridad de la Información.
- Asegurar el correcto
funcionamiento de la
infraestructura, hardware y
software, que garantice el buen
funcionamiento del Sistema de
Gestión de Seguridad de la
Información.
- Participar la auditoría interna al
sistema de gestión de seguridad de
la información.
- Participar en el Comité de
Seguridad de la Información.
Implementar, mantener y '- Estandarizar los desarrollos con el
mejorar el Sistema de fin de que se cumpla con la
Ingeniero de Desarrollo
Gestión de Seguridad de política y el procedimiento de
la Información. desarrollo seguro.
Implementar, mantener y la seguridad de la información) y
mejorar el Sistema de las directrices del Comité de
Documentador TIC
Gestión de Seguridad de Seguridad de Información.
la Información.

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 10 de 20

- Desarrollar y mantener,
procedimientos estructurados,
formatos y todos los documentos
que sean requeridos por el sistema
de gestión integral para mantener
documentado y controlado los
procesos de TI
- Desarrollar estructura básica de
los formatos para el control de los
procesos generados o
desarrollados.
- Generar manuales técnicos y de
usuario de los desarrollos realizados
por el área TIC.
- Analizar técnicamente y
estructuralmente el proceso o
desarrollo a documentar, su
objetivo, finalidad y estructuración.
- Realizar el levantamiento de la
información del sistema y/o
desarrollo a documentar.
- Recopilar información para
elaboración de manual de usuario,
técnico y diccionario de datos.
- Documentar el – los manuales (es)
de usuario que sean necesarios.
- Diligenciar el formato modelo
establecido para registrar o
documentar el objetivo del
desarrollo, captura de imágenes
que contiene el desarrollo,

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 11 de 20

funcionalidad de cada uno de los

componentes del desarrollo.
- Validar el manual del usuario con
el desarrollador, dueño de proceso
y Jefe Tic.
- Solicitar aprobación del jefe TIC
para cargar el manual al
respectivo aplicativo y a la base de
conocimiento.
- Realizar socialización de los
manuales del usuario u otros
documentos desarrollados con el
dueño de proceso y Jefe Tic.
- Subir documentación a base de
datos: establecer denominación
de la carpeta donde se
almacenan los datos a publicar,
teniendo en cuenta las
especificaciones técnicas: sin
espacio, sin uso de tildes, entre
otros.
- Brindar soporte de primer nivel en
ausencia del personal técnico del
área.
- Y demás funciones inherentes a su
cargo asignadas por su jefe
inmediato.
- Garantizar la implementación de
Implementar, mantener y
los diferentes numerales de la
Jefe de Mejoramiento mejorar el Sistema de
norma.
de Procesos Gestión de Seguridad de
- Actualización en conjunto con la
la Información.
dirección de: Contexto de la

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 12 de 20

organización, matriz de partes

interesadas, alcance del sistema,
política y objetivos de seguridad de
la información.
- Garantizar que se realicen las
pruebas a los controles de
seguridad de la información con el
fin de verificar la eficacia de los
mismos.
- Elaborar y garantizar que se
ejecuten los planes y programas de
auditorías de seguridad de la
información.
- Elaborar el acta y ejecutar la
revisión por la dirección de
seguridad de la información.
- Ejecutar la auditoría interna al
sistema de gestión de seguridad de
la información.
- Participar en el Comité de
Seguridad de la Información.
- Realizar revisiones periódicas de la
eficacia de los controles
establecidos asociados a los riesgos
Implementar, mantener y
de seguridad de la información
Oficial de seguridad de mejorar el Sistema de
según cronograma de trabajo.
la información Gestión de Seguridad de
- Revisar la información
la Información.
documentada con el fin de
proponer mejoras a ésta, según las
auditorías que realice.

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 13 de 20

- Informar sobre los hallazgos

encontrados que puedan afectar
la seguridad de la información.
- Participar en las auditorías del
sistema de gestión de seguridad de
la información como líder técnico.
- Garantizar el cumplimiento legal
por medio de la revisión periódica
de la matriz legal.
- Atender y dar respuesta
inmediata a las notificaciones de
sospecha de un incidente de
seguridad o de un incidente real.
- Elaborar un plan de respuesta a
incidentes de seguridad.
- Realizar la investigación de los
eventos presentados con el fin de
elaborar el análisis de causas y el
plan de acción para que no se
vuelvan a presentar.
- Garantizar el desarrollo del Plan
de Tratamiento de Riesgos de
Seguridad de la información.
- Documentar los incidentes
presentados.
- Participar en el Comité de
Seguridad de la Información.
Implementar, mantener y - Monitorear la implementación del
mejorar el Sistema de sistema de gestión de seguridad de
Jefe de Control Interno
Gestión de Seguridad de la información.
la Información.

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 14 de 20

- Participar en la auditoría interna al

sistema de gestión de seguridad de
la información.
- Apoyar a la alta dirección en la
asignación de recursos para la
implementación del sistema de
gestión de seguridad de la
información.
- Participar en las acciones de
mejora del sistema de gestión de
seguridad de la información.
- Participar en el Comité de
Seguridad de la Información.
Implementar, mantener y - Implementar los controles
Jefe de Seguridad física mejorar el Sistema de definidos en el dominio A.11
e infraestructura Gestión de Seguridad de Seguridad física y del entorno.
la Información.
Implementar, mantener y - Implementar los controles
mejorar el Sistema de definidos en el dominio A.7
Jefe de Talento Humano
Gestión de Seguridad de Seguridad de los Recursos
la Información. Humanos.
- Destinar los recursos necesarios
para implementar, mantener y
mejorar el Sistema de Gestión de
Seguridad de la Información.
Implementar, mantener y
- Asegurarse que se establezca la
mejorar el Sistema de
Gerente General política y los objetivos y que se
Gestión de Seguridad de
revisen periódicamente.
la Información.
- Comunicar la importancia del
Sistema de Seguridad de la
Información y el cumplimiento de
los requisitos.

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 15 de 20

- Apoyar a los roles pertinentes de

seguridad de la información para
demostrar su liderazgo.
- Asegurarse que estén definidos los
roles, responsabilidades y funciones
del Sistema de Gestión de
Seguridad de la Información.
- Revisar el estado, adecuación y
eficacia del Sistema de Gestión de
Seguridad de la Información por
medio de la revisión por la
dirección.

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
e. Indicación de alto nivel de alcance y límite a nivel físico de TICS y de
organización

De acuerdo al alcance definido anterior mente para la compañía

Datalatina, en donde se enfoca a la protección de la información de
cada uno de sus usuarios como también de sus tres líneas de negocios se
delimita a nivel físico bajo las tecnologías de información y comunicación
en las siguientes capas

Seguridad física de las instalaciones: en esta es donde se encuentra

ubicado los recursos tecnológicos de la organización donde deben estar
custodiados, protegidos y vigilados por los sistemas de seguridad. Este
debe estar amparado y cuidadosamente monitoreado por el personal
de las TICs de la organización

Copias de seguridad: De acuerdo a los procedimientos relacionados en

los proceso y controles que apoyan la política, se debe realizar
periódicamente los respaldos de información almacenados en los
servidores propios y en el Software Meycor asociado al plan de Políticas
sobre respaldo de información, que permite recuperar los datos vitales
ente un incidente de seguridad.

Identificación de los usuarios del sistema: Se recomienda tener la base

de datos de los usuarios actualizado con su rol asignado el cual le permite
a la compañía medir el sistema de cuentas por usuario que acceden a
los sistemas de información. Las credenciales de los usuarios deben estar
almacenadas en ficheros protegidos y cifrados por si tratan de ser
modificadas (vulneradas) les solicitará la clave para tal fin, de lo contrario
el sistema bloqueará automáticamente ante fallos de acceso repetidos
e impedir ataques de fuerza bruta.
 Página 17 de 20

3. Definir un plan de sensibilización para la implementación de la

política de seguridad

INTRODUCCION

En este documento se desarrolla el Plan de Sensibilización de la Política de

Seguridad de la Información de la empresa Datalatina de una forma
detallada donde encontrarán todo el proceso el cual, es objetivamente
alcanzable de acuerdo a los roles y responsabilidades de cada uno de sus
integrantes de la compañía.

OBJETIVOS

El objetivo principal del plan de sensibilización de la política de seguridad de

la información es involucrar a todo el personal de la compañía como
directivos, consultores, docentes y demás funcionarios en la importancia de
trabajar en la implementación de los controles de la Política de Seguridad
de la información, donde cada uno asuma con responsabilidad el rol y
responsabilidad asignada y puedan crear conciencia en la sostenibilidad y
continuidad que la sensibilización le dará a la organización.

Como objetivos específicos tenemos:

 Construir una ruta a seguir para sensibilizar a todo el personal

involucrado.
 Definir los temas a tratar en la capacitación en seguridad de la
información al personal.
 Hacer que cada funcionario interno y externo conozca los roles y
responsabilidades que tiene dentro de la compañía en la seguridad
de la información.
 Medir si la política implementada generó impacto en el desarrollo de
las actividades de la entidad.

ALINEACIÓN A POLÍTICA

El plan de sensibilización en seguridad de la información está alineado con

la política de seguridad de la información en la medida que permite la
participación de los consultores, docentes y demás funcionarios en lograr el
nivel de cumplimiento adecuado de los lineamientos y requisitos de

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 18 de 20

seguridad de la información para el mejoramiento continuo de cada uno

de sus procesos.

ALCANCE

El plan de sensibilización va dirigido a todo el personal interno y externo que

tiene alguna relación indirecta o directa en Datalatina, en donde se
gestionará la Integridad de la información tratada.

ROLES Y RESPONSABILIDADES

Roles Responsabilidades
Directivos Son quienes velan para que se aplique
la Política de Seguridad de la
información en la compañía
Consultores y Docentes Participar en el diseño e
implementación del plan de
sensibilización y evaluar la calidad y
efectividad del programa
Administradores de sistemas de Difundir la adopción de las buenas
información prácticas de seguridad y participar en
las actividades de sensibilización en
seguridad de la información

META

El programa de sensibilización en seguridad de la información tiene las

siguientes metas:

1. Socializar a todo el personal de la entidad las políticas de seguridad

de la información y los procedimientos a seguir para el cumplimiento
de los objetivos propuestos.
2. Promover la cultura organizacional de la seguridad de la información
como herramienta principal de protección de la información
institucional.
3. Difundir las normas legales que soportan el sistema de gestión de
seguridad de la información y en qué consisten los diversos tipos de
ataques informáticos, como controlarlos y qué mecanismos de control
son aplicables por la entidad para evitar estos ataques.
4. Divulgar a todos los funcionarios los principales riesgos de seguridad
de la información y su prevención.

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 19 de 20

DEFINICION DE AUDIENCIA

Teniendo en cuenta el rol de cada uno de los usuarios que cuenta

Datalatina, de esa manera se definirá las gestiones para mitigar y prevenir
cualquier amenaza que se pueda presentar en el tratamiento de la
información de la organización

DEFINICIÓN DE TEMÁTICAS

Los temas son:

 Seguridad para usuarios finales.
 Protección fácil: Identificación, Reporte, Análisis y tomar acción.
 Ventajas de las copias de seguridad
 Amenazas informáticas

ACTIVIDADES DE SENSIBILIZACION PROGRAMADAS

Posibles actividades Como se realizarán Duración

Lanzamiento del evento Se enviará correo a todo 1 semana
el personal sobre el inicio
y la programación del
lanzamiento. Este es
gestionado por 1 semana
todo los días.
Charlas y conferencias Se realizarán charlas y 1 hora por proceso
conferencias con
expertos en el tema.
Cursos obligatorios Se solicitará certificados 40 horas
de cursos cortos para
que el personal
profundice y se sensibilice
más con el SGSI

MATERIALES Y RECURSOS

Se utilizará como material de sensibilización: correos electrónicos, folletos,

protectores de pantalla, visita al puesto de trabajo, conferencias,
actividades.

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1
 Página 20 de 20

DURACION

De 6 meses a 1 año

DEFINICION DE EVALUACION

En cada una de las actividades de sensibilización se dejará registros de

asistencia en el formato establecido en el sistema de gestión de Calidad.
Se realizará evaluaciones o foros abiertos al terminar cada proceso de
sensibilización, a los usuarios que recibieron la capacitación para medir su
eficacia y justificar cuantitativamente y cualitativamente su aprendizaje y
manejo sobre la seguridad de la información.

Las métricas de la evaluación de este plan será la información aportada en

la aplicación de los indicadores definidos para medir la eficacia del SGSI.

CONCLUSIONES

El éxito de un sistema de seguridad de la información depende del

compromiso de todo el personal involucrado en la aplicación de la política
en la compañía.

Los cambios en procesos y políticas de la seguridad de la información deben

acompañarse de constantes sensibilizaciones y capacitaciones logrando así
la participación y concientización de cada uno de los funcionarios.

PLAN DE MEJORA

Es necesario que la compañía documente las nuevas amenazas y

vulnerabilidades que se presenten y buscar de manera oportuna medidas
que eliminen por completo o reduzca estas incidencias

Se debe ir adoptando las nuevas tecnologías y políticas de seguridad que

vaya saliendo, es importante estar en un mejoramiento continuo para que
el plan no se vuelva obsoleto.

Mónica Cristina Ortiz Tabares

Especialización en Seguridad de la Información
Virtual 2023-1