Definición de la política de seguridad propuesta

1. Evaluación de riesgos de seguridad a los que está expuesta la información

La evaluación de riesgos de seguridad es un proceso importante para identificar y comprender

las posibles amenazas y vulnerabilidades a las que está expuesta la información en una
empresa.
Acceso no autorizado: Personas no autorizadas obtengan acceso a la información confidencial
de la empresa.
Malware y ataques cibernéticos: La red de la empresa o los sistemas informáticos sean
atacados por malware, como virus, ransomware o troyanos.
Brechas de seguridad: Se produzcan brechas en la seguridad de la red o de los sistemas, lo que
permite a los atacantes acceder a la información sensible.
Pérdida o robo de dispositivos: Los dispositivos, como laptops, teléfonos móviles o unidades
USB, que contienen información sensible de la empresa sean perdidos o robados.
Ataques de phishing: Los empleados de la empresa caigan en estafas de phishing, donde se les
engaña para revelar información confidencial, como contraseñas o datos de acceso.
Fallas en la seguridad física: Información confidencial esté expuesta debido a fallas en las
medidas de seguridad física de la empresa y como accesos no controlados a las instalaciones.

2. Selección de controles y objetivos de control propuestos para evitar los riesgos

Control de acceso físico: Restringir el acceso a las instalaciones físicas de la empresa, como
tarjetas de acceso, cámaras de seguridad y guardias de seguridad, entre otros.
Objetivo de control: Garantizar que solo el personal autorizado pueda acceder a las
instalaciones físicas y que se mantenga un registro de los accesos.
Control de acceso lógico: Implementar sistemas de autenticación para restringir el acceso a los
sistemas informáticos y bases de datos de la empresa utilizando contraseñas seguras.
Recuperación de desastres: Políticas y procedimientos para realizar copias de seguridad
periódicas de los datos críticos de la empresa y desarrollar planes de recuperación de
desastres.
Monitoreo de seguridad: Implementar sistemas de monitoreo de seguridad, como sistemas de
detección de intrusiones, análisis de registros y supervisión de eventos de seguridad.

3. Plan de implantación de los controles y procedimientos de administración de riesgos

propuestos

Plan de implementación de controles y procedimientos de administración de riesgos en una

empresa:
Evaluación de riesgos inicial: Realiza una evaluación exhaustiva de los riesgos a los que está
expuesta la empresa.
Definición de objetivos y estrategias: Define las estrategias y los enfoques que se utilizarán para
abordar los riesgos identificados y lograr los objetivos establecidos.
Diseño de controles y procedimientos: Desarrolla controles y procedimientos detallados para
minimizar los riesgos identificados.
Asignación de responsabilidades: Establecece los roles y responsabilidades de cada individuo
involucrado en el proceso de administración de riesgos.
Comunicación y capacitación: Proporciona capacitación adecuada para garantizar que todos
comprendan cómo implementar y seguir los controles establecidos.
Implementación gradual: Implementa los controles y procedimientos en fases, comenzando
por los riesgos de mayor prioridad o aquellos que tienen un impacto significativo.

4. Mantenimiento y cumplimiento de las normas, políticas, procedimientos

En la empresa Claro, el mantenimiento y cumplimiento de las normas, políticas y

procedimientos son aspectos fundamentales para asegurar un funcionamiento eficiente y
seguro. El papel de cada uno es lo siguiente:
Normas: Son reglas establecidas para guiar el comportamiento y las acciones de los empleados
en la empresa. Pueden ser normas internas específicas de la organización o normas externas
impuestas por regulaciones gubernamentales o entidades reguladoras. El cumplimiento de las
normas es esencial para mantener la legalidad, la ética y la integridad en todas las actividades
empresariales.
Políticas: Son directrices y principios establecidos por la empresa para orientar la toma de
decisiones y acciones en áreas específicas. Pueden cubrir una amplia gama de temas, como
recursos humanos, seguridad, tecnología de la información, medio ambiente, ética
empresarial, entre otros. Cumplir con las políticas de la empresa ayuda a mantener la
coherencia, la uniformidad y la equidad en todas las operaciones.
Procedimientos: Pasos detallados y secuenciales que se deben seguir para realizar una tarea o
actividad específica. Estos pueden incluir instrucciones paso a paso, formularios, listas de
verificación, autorizaciones y requisitos de documentación. Cumplir con los procedimientos
establecidos garantiza una ejecución eficiente y consistente de las tareas, minimizando errores
y riesgos.

5. Evaluación de auditoría interna en la empresa

Garantiza la eficacia y eficiencia de los controles internos, así como para identificar áreas de
mejora en la gestión de riesgos y el cumplimiento normativo. La auditoría interna es un
departamento independiente dentro de la empresa que evalúa y verifica las operaciones.

Los pasos típicos en una evaluación de auditoría interna de una empresa como claro son los
siguientes:
Planificación: Se desarrolla un plan de auditoría basado en un análisis de riesgos y en las
prioridades estratégicas de la empresas.
Ejecución de la auditoría: Recopilan y analizan evidencias, realizan pruebas de cumplimiento y
pruebas sustantivas, y evalúan los controles internos existentes.
Comunicación de los resultados: Detallan los hallazgos, las recomendaciones para mejorar los
controles internos y la gestión de riesgos, así como las medidas correctivas que se deben
tomar.
Seguimiento y verificación: Seguimiento de la implementación de las recomendaciones y
medidas correctivas. Se verifica que las acciones propuestas se hayan llevado a cabo de manera
efectiva y se resuelvan los hallazgos identificados.