TRABAJO GRUPAL – GESTIÓN DE LA SEGURIDAD

CONSTRUCCIÓN DE ESTRUCTURA BASE PARA UN SGSI

EMPRESA: CAJA DE COMPENSACIÓN FAMILIAR DEL HUILA
ENTREGA No. 2

LUZ MERY ZAMBRANO ACEVEDO, CARLOS ANDRES CRUZ QUIZA, SERGIO

ALEJANDRO DIAZ CUBILLOS Y JOSÉ BAYARDO MALAVER MONTOYA
POLITÉCNICO GRANCOLOMBIANO

GESTION DE LA SEGURIDAD - [GRUPO P01] SUBGRUPO 5

DOCENTE ANDRES FELIPE ESTUPIÑAN
07 JUNIO DE 2022

1
Tabla de contenido

GLOSARIO.....................................................................................................................................3
INTRODUCCIÓN...........................................................................................................................5
OBJETIVOS...................................................................................................................................6
GENERAL...................................................................................................................................6
ESPECIFICOS............................................................................................................................6
DESARROLLO DE LA ACTIVIDAD...............................................................................................7
REFERENCIAS............................................................................................................................16
ANEXO 1......................................................................................................................................17

2
GLOSARIO
SGSI
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas
de administración de la información. El término se denomina en inglés “Information Security
Management System” (ISMS).
Fuente: https://www.firma-e.com/blog/que-es-un-sgsi-sistema-de-gestion-de-seguridad-de-la-
informacion/

Activo de Información
Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una
organización valora y por lo tanto debe proteger”.
Fuente: https://www.novasec.co/blog/67-gestion-de-activos-de-informacion

Vulnerabilidad
En informática, una vulnerabilidad es una debilidad existente en un sistema que puede ser
utilizada por una persona malintencionada para comprometer su seguridad. Las
vulnerabilidades pueden ser de varios tipos, pueden ser de tipo hardware, software,
procedimentales o humanas y pueden ser explotadas o utilizadas por intrusos o atacantes.
Fuente: https://www.bancosantander.es/glosario/vulnerabilidad-informatica

Amenaza
Se entiende como amenaza informática toda aquella acción que aprovecha una vulnerabilidad
para atacar o invadir un sistema informático. Las amenazas informáticas para las empresas
provienen en gran medida de ataques externos, aunque también existen amenazas internas
(como robo de información o uso inadecuado de los sistemas).
Fuente: https://www.ambit-bst.com/blog/tipos-de-vulnerabilidades-y-amenazas-inform
%C3%A1ticas

Riesgo
El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad
conformada por una combinación de circunstancias del entorno donde hay posibilidad de
pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los
sistemas de información.
Fuente: https://sites.google.com/site/nuestraidentidaddigital/riesgos-informaticos

Partes Interesadas

3
Una parte interesada es cualquier organización, grupo o individuo que pueda afectar o ser
afectado por las actividades de una empresa u organización de referencia. Así cada
organización dispone de sus partes interesadas, también denominadas grupos de interés,
públicos de interés, corresponsables u otros.
Fuente: https://www.aec.es/web/guest/centro-conocimiento/partes-interesadas

4
INTRODUCCIÓN
Actualmente son diversos los riesgos y las amenazas a las que se puede enfrentar cualquier
compañía por eso es de vital importancia invertir en la implementación de un modelo de SGSI
para proteger el activo más valioso de la organización.
Comfamiliar Huila es una persona jurídica de derecho privado, sin ánimo de lucro, que cuenta
con patrimonio propio, organizada como corporación de derecho civil, para cumplir funciones de
seguridad social, entre otras, el recaudo y distribución del Subsidio Familiar bajo el control y
vigilancia del Estado.
Su énfasis es brindar bienestar y felicidad a nuestra población afiliada y sus familias,
contribuyendo al fortalecimiento de la productividad empresarial de la región y a la
transformación de la sociedad haciéndola más inclusiva.

Este documento tiene por objeto presentar la construcción de estructura base para un SGSI, el
cual se encuentra fundamentado en el estándar internacional ISO 27001:2013, con el
propósito que Comfamiliar del Huila direccione las acciones hacia un sistema funcional
operado a través de procesos necesarios para garantizar la satisfacción del cliente y demás
grupos de interés.

5
OBJETIVOS

GENERAL

 Implementar un SGSI efectivo alineado con la norma ISO 27001, donde se evalué de
manera objetiva los requisitos que contempla la normativa y se logre identificar
oportunidades de mejora en búsqueda de una implementación optima, alcanzando el
nivel de madurez que se requiere para asegurar la información de la organización.

ESPECIFICOS

 Definir estrategias para la implementación de un SGSI donde se tenga en cuenta a todo

el personal de la organización para cumplir con la política de seguridad definida.

 Conocer la compañía objeto de estudio para diseñar un SGSI que cumpla con los
estándares requeridos por la norma ISO 27001 y el alcance aprobado por la alta
gerencia.

6
DESARROLLO DE LA ACTIVIDAD

1. Diseñar una estrategia para realizar la implementación de un plan de generación de

conciencia en seguridad de la información. Para esta actividad se dispone de una
asignación presupuestal de cuatro millones en todo el año y se sabe que el personal no
suele asistir a capacitaciones:
RTA: En la actualidad las empresas se están preocupando cada día en implementar un
SGSI optimo, invierten cantidades de dinero en Equipos de última tecnología,
aplicaciones avanzadas pero dejan atrás el eslabón más importante dentro de una
compañía que son las personas y que al final es el conjunto de todas las partes
interesadas dentro del proceso, por lo anterior se hace necesario realizar un plan de
concientización de la seguridad de la información para todas las partes interesadas y
más en el caso que plantea la actividad y que es el panorama que viven muchas
organizaciones en donde el personal no suele asistir estas capacitaciones, las cuales
creen que no les impacta en su vida o vínculo laboral.
Ya que se indica que el presupuesto es de $4.000.000 para todo el año se define este
modelo como un Programa parcialmente descentralizado, en donde la responsabilidad y
el presupuesto para toda el área de TI en materia de concientización y programas de
capacitación los otorga la dirección y las personas a cargo de la SI ejecutan todo lo
relacionado a la misma y se debe cumplir con el presupuesto estipulado.

ESTRATEGIA:
a) la causa raíz de la inasistencia a las capacitaciones, la cual se realizaría a través de
una encuesta, esto nos ayudaría a abarcar las causas posibles y atacarlas, dentro de
las casuísticas más comunes están:

 Los horarios dispuestos para las capacitaciones no son asequibles para el

personal
 Desconocimiento de la SI y cómo impacta en nuestra vida laboral

b) Generar una campaña expectativa con actividades que no impliquen un costo

adicional si no que las mismas personas encargadas de la SGSI generé tomas
sorpresa en todas las áreas con ejemplos reales de lo que puede suceder si no se
implementa un SGSI en la empresa, sacando a las personas involucradas de su
zona de confort y creando impacto real, pero en una jornada corta de tiempo, tales
como:

 Uso adecuado de contraseñas: mostrando lo fácil que es acceder a su PC si no

se cuenta con una clave.
 Que la documentación por escrita tales como formularios, cheques se extravíen y
no sepan del paradero de estas.
 Que se pierda información y no se cuente con Backup de la misma.
 Uso del correo responsablemente y ejemplos prácticos si lo utilizamos para
temas personales.

7
 c) Realizar capacitaciones involucrando a todos los directivos, líderes de proceso y
personal de la empresa, en donde se cree un indicador por líder de proceso para que
cada uno se haga responsable de la asistencia a las capacitaciones y esta sea
compartida a todos los niveles incluyendo a las directivas, estas capacitaciones
deben ser máximo dos horas: 1 hora en dar a conocer toda la parte conceptual y
técnica del SGSI y la segunda hora contratar a una persona externa que tenga
convenio por medio de alianzas con el fondo de empleados de COMFAMILIAR para
que no genere costos, un consultor experto en temas organizacionales y de
motivación que integre la primera parte conceptual con actividades lúdicas y dar
incentivos a los empleados tales como: agendas de la empresa, vasos corporativos,
etc, validar con el fondo de empleados que tenga la empresa de estos incentivos
para no genera un costo adicional.

d) Tomar evidencia de la asistencia a las capacitaciones y una evaluación al final de

cada sesión para confirmar que se captó la información.

e) Dependiendo del porcentaje alcanzado por líder de proceso se realizará una réplica
de las sesiones para las personas faltantes y que al final se garantice el 100% de la
asistencia. La evaluación para ahorrar papel se hará con envío de esta a los correos
corporativos y la asistencia se tomará por un código QR atado a la Intranet de la
compañía en donde el empleado registrará su asistencia.

f) Una vez implementado se debe garantizar que el personal nuevo de COMFAMILIAR

dentro de su formación inicial les sea aplicada dicha concientización.

g) Garantizar actividades pedagógicas enfocadas a dar a conocer toda la

implementación del SGSI.

2. Indicar actividades y métodos pedagógicos a aplicar (hay mejor valoración si aplican

metodologías de gestión del cambio organizacional), así como una programación para
las actividades del año indicando costo de estas con base en el presupuesto. Tener
presente si la empresa tiene sedes.

RTA: Dentro de las estrategias para la compañía, se considera importante la

implementación de un ciclo de campañas de sensibilización y/o capacitación sobre
seguridad de la información; para lo cual se contará con la asesoría y acompañamiento
de la empresa externa SIGUARD https://seguridadinformatica.com.co/, empresa
especializada en capacitaciones empresariales en SGSI Y ciberseguridad.
El programa de sensibilización será formulado a la medida de la organización, facilitando
el entendimiento a todos los trabajadores, abarcando diversas áreas de aplicación
(contables, Recursos humanos, operativas entre otras), lo que permitirá crear una
conciencia digital con el fin de proteger la información de las personas y de la compañía
en general.
La capacitaciones y cursos estarán orientadas a todos los trabajadores de
COMFAMILIAR del Huila ubicados en las diferentes sedes:

8
 SEDE CANTIDAD DE TRABAJADORES

NEIVA 766

GARZON 134

PITALITO 210

LA PLATA 189

BOYACÁ 235

Tabla 1. Información de las sedes

Para aplicar un cambio organizacional orientado a las buenas prácticas de seguridad de

la información se puede adoptar el modelo ADKAR el cual se publicó en el año 1998. El
desarrollador de la metodología es Prosci Inc. ADKAR son las siglas en ingles de
Awareness (conciencia), Desire (deseo), Knowledge (conocimiento), Ability (habilidad),
Reinforcement (refuerzo). Este modelo describe bien la gestión del cambio del
componente individual del cambio organizacional. La idea básica de este modelo es
que el cambio de motivación y comportamiento se produce en varias fases.

 En la primea fase el empleado reconoce la necesidad del cambio y a continuación

tiene la voluntad de comprometerse y apoyar el cambio.
 La segunda fase es la adquisición de conocimientos sobre cómo aplicar el cambio.
 El tercer paso es que el empleado ponga en práctica el cambio y demuestre sus
habilidades.
 El último paso es la fidelización del cambio.

Imagen 1. Fuente: https://www.estratego.cl/post/gestion-del-cambio-que-modelo-seguir

Charlas y conferencias PRESUPUESTO

Se realizarán charlas con el fin de generar un

entrenamiento y formación a los trabajadores.
En las conferencias se tratarán los siguientes temas,
9
las charlas pueden ser de forma virtual.

1. Amenazas informáticas
2. Regulaciones de ley
3. Manejo de incidentes de seguridad
4. Normas aplicables en la gestión de
seguridad de la información
5. Conceptos de seguridad de la información $1.500.000
6. Procedimientos relacionados a seguridad de
la información
7. Política general de la seguridad de la
información
Cursos virtuales PRESUPUESTO

Se realizarán cursos virtuales interactivos en el

módulo E-learning en la página de SIGUARD donde
los trabajadores van a adquirir conocimientos de los
siguientes temas:
1. Seguridad de los datos personales
2. Seguridad de los datos empresariales
3. Ataques de ingeniería social
4. Cargos y personas vulnerables
5. Ataques comunes
6. Medidas de protección contra ataques de $1.500.000
ingeniería social
7. Medidas de protección empresarial en
ciberseguridad
Campañas a través de correo electrónico PRESUPUESTO

Se realizarán campañas a través de correo

electrónico cada trimestre para un total de 4 anuales
$0

Publicaciones en el circuito cerrado de TV de la PRESUPUESTO

institución

Se reforzarán y publicarán las campañas enviadas

por correo electrónico en los TV ubicados en las
$0
oficinas.

Publicaciones en las carteleras informativas de PRESUPUESTO

la institución

Se reforzarán y publicarán las campañas enviadas

por correo electrónico
$300.000

Se colocarán Fondos de pantalla en los equipos de

los colaboradores (Se alternarán con las distintas
campañas realizadas en la institución, el objetivo
10
 inicial será de obtener al menos 1 semana al mes)
$0

Elementos de recordación en los puestos de PRESUPUESTO

trabajo

Folletos, impresiones, etc. $700.000

TOTA $4.000.000
L:

Tabla 2. Actividades y presupuesto

3. Diseñar, a través de una infografía, un instructivo en el cual se socialice con la

organización los beneficios de la implementación del SGSI y cómo van a estar
involucrados en el mismo. Es posible remitir la infografía como archivo anexo o con su
URL.

RTA: Ver Anexo 1

4. Definir los cargos (buscar organigrama de la organización) que deben hacer parte del
comité o grupo asesor de seguridad, asignar las funciones de este grupo frente a
seguridad y determinar cuáles temas requieren asesoría externa. Se busca que el grupo
sea de la alta gerencia e involucre a las áreas o procesos que mueven el negocio.

RTA:

Funciones del Equipo Multidisciplinario de SGSI

La aplicación de métodos para detectar y responder a los incidentes S. I, la formación

adecuada, la comunicación de incidentes, gestión y aprendiendo de la experiencia. Para
11
 ello se formula las siguientes actividades funcionales para el Equipo Multidisciplinario de
SGSI.

• Evaluación del Riesgo

• Crear y velar por una Política de Gestión de Incidentes de Seguridad de la
Información
• Definir el Proceso y escribir los Procedimientos
• Crear un Equipo de Respuesta a Incidentes de Seguridad de la Información
• Implementar Controles de Seguridad
• Definir un Proceso Forense
• Registro de Incidentes ante el ente de control competente si da lugar
• Revisión y Medición
• Mejora Continua

Los que requieren asesoría externa son Seguridad y Privacidad PDP, Jurídica y Gestión
de Riesgos

5. Seleccionar y adaptar de una metodología de gestión de incidentes de seguridad a la

empresa, explicando en qué está basada. Construir a partir de allí un flujograma
explicativo, y exponer ambos elementos en animación, video o algún medio interactivo.

RTA: METODOLOGIA
En la figura se indica la relación que tienen de forma global las metodologías de gestión
de riesgos e incidentes de seguridad de la información. Es válido aclarar que cuando se
presenta un incidente éste automáticamente se convierte en un riesgo materializado, por
lo tanto, se convierte en una entrada de la metodología de gestión de SGSI. Durante la
valoración del evento se evalúa el riesgo según la metodología, además de realizar la
evaluación del incidente, según los criterios que se definan para cada actividad. Así se
trabaje en paralelo estas actividades, la definición de un plan de mejoras del evento
ocurrido es un insumo para la decisión de la acción que se debe ejecutar según los
resultados de la evaluación. Por último, en el proceso de gestión de incidentes, se da
una respuesta al mismo, y se validan las lecciones aprendidas; por otro lado, se toma
una decisión frente al riesgo ocasionado por el incidente, se comunica y se realiza un
monitoreo sobre el mismo, según los criterios definidos para la gestión del SGSI.
RESPONSABLES:
CARGO PRINCIPALES RESPONSABILIDADES
Líder Administrativo  Velar por el cumplimiento de las actividades definidas
en el presente procedimiento.
Líder de Seguridad de  Analizar los documentos reporte de eventos de
Informacion Riesgo
 Clasificar los Riesgos, según su criticidad en la matriz
 Recopilar la información producto del incidente
reportado.
 Realizar la primera y segunda evaluación del incidente.
 Determinar Criticidad y Relevancia del Incidente frente
a la norma.
 Adelantar e informar a los Equipos de Respuesta
12
 Descripción de Documento
N° Flujograma Responsable
actividades registro

1 INICIO
sobre el avance y resultado en la investigación del
Hacer análisis de la Colaborador
incidente. No aplica
situación presentada
Líder de Gestión
ANALIZAR depara Analizar los documentos
establecer si reporte de eventos de
2Riesgo SITUACION Riesgo
corresponde a un
 Clasificar
evento los r i edes g o s , según su criticidad en la
de seguridad
matriz de este.
la información
Oficial de Privacidad (PDP) • Informar a la Autoridad de Protección de Datos (SIC)
No cuando lasesituación
Desestimar presentenColaborador
violaciones a los
No códigos
aplica de
EVENTO seguridad y existan riesgos en la administración de la
información de los usuarios
3
Colaborador  Detectar y reportar el evento de Seguridad d e
Si
I n f o r m a c i ó n posterior a su debido análisis.
Equipo Multidisciplinario de  Registro de Incidentes ante el ente de control
SGSI competente si da lugar
Registro de Evento Diligenciar el Registro Registro de
de Riesgo Ocurrido de Evento de Riesgo Colaborador Evento de
4 Ocurrido y entregar al Riesgo
DESCRIPCIÓN RERODE ACTIVIDADES
líder de Gestión del Ocurrido
Riesgo.

Hacer análisis del Líder Gestión Registro de

ANALIZAR RERO RERO para determinar de Riesgo y Evento de
5 si implica incidente de Líder de Riesgo
RERO seguridad de la Seguridad de Ocurrido
información la Información

No
Gestionar RERO sin Líder Gestión Registro de
implicación incidente de Riesgo Evento de
INCIDENTE
de seguridad de la Riesgo
6 información Ocurrido

Si

Solicitar información Líder de Reporte de

RECOPILAR adicional al Proceso Seguridad de Incidente de
7 INFORMACION que permita realizar la la Información Seguridad de
Primera Evaluación del la
Incidente. Información

Hacer una primera Líder de Evaluación

evaluación con la Seguridad de de Incidente
EFECTUAR
8 EVALUACIÓN información recopilada la Información de Seguridad
para establecer la de la
relevancia de esta. Información

No
Clasificar como falso Líder de No aplica
positivo y finalizar Seguridad de
RELEVANTE
proceso. la Información
9 Pasar a la actividad 18
Si
13
A

Documentar una Líder de Aplicativo

REFERENCIAS

Estratego Consultoria Estratégica. (2005). Obtenido de https://www.estratego.cl/post/gestion-

del-cambio-que-modelo-seguir
Tech Consulting. (n.d.). Ventajas de Implementar SGSI. Https://Techconsulting.Es/Ventajas-de-
Implantar-Un-Sistema-de-Gestion-de-Seguridad-de-La-Informacion-Sgsi-En-Tu-Empresa/.
IsoTools. (n.d.). Beneficios de implementar un SGSI. Https://Www.Isotools.Cl/12-Beneficios-de-
Implantar-Un-Sgsi-de-Acuerdo-a-Iso-27001/.
Escuela Europea de Excelencia. (n.d.). Involucrar a los empleados a través del sistema de
gestión de calidad. Https://Www.Escuelaeuropeaexcelencia.Com/2020/05/Involucrar-a-Los-
Empleados-a-Traves-Del-Sistema-de-Gestion-de-Calidad/.
Comfamiliar Huila. (n.d.). Comfamiliar del Huila - Organización.
Https://Comfamiliarhuila.Com/Organizacion/.

Comfamiliar. (2015). Matriz de Requisitos vs Procesos.

Comfamiliar Huila. (n.d.). Matriz Grupo de Intereses corporativa.

Comfamiliar Huila. (n.d.). Matriz Objetivos de Calidad.

Comfamiliar Huila. (2022). Manual de Calidad.

Instituto Colombiano de Normas Técnicas y Certificación, I. (2015). Título: Compendio

Seguridad de la Información-Segunda edición Diseño y Diagramación: ICONTEC.

Ambit. (n.d.). Tipos de vulnerabilidades y amenazas informáticas.

Https://Www.Ambit-Bst.Com/Blog/Tipos-de-Vulnerabilidades-y-Amenazas-Inform%C3%A1ticas.

Banco Santander. (n.d.). Glosario - Vulnerabilidad informática.

Https://Www.Bancosantander.Es/Glosario/Vulnerabilidad-Informatica.

Fabián Alberto Cárdenas Varela. (n.d.). ¿Qué es la gestión de activos de la Organización?

Https://Www.Novasec.Co/Blog/67-Gestion-de-Activos-de-Informacion.

Firma-e. (n.d.). ¿Qué es un SGSI - Sistema de gestión de Seguridad de la información?

Https://Www.Firma-e.Com/Blog/Que-Es-Un-Sgsi-Sistema-de-Gestion-de-Seguridad-de-La-
Informacion/.

Asociación española de la calidad. (n.d.). Partes Interesadas.

Https://Www.Aec.Es/Web/Guest/Centro-Conocimiento/Partes-Interesadas.

14
ANEXO 1
Infografía Beneficios SGSI Comfamiliar Huila

15