Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Tabla de contenido
GLOSARIO.....................................................................................................................................3
INTRODUCCIÓN...........................................................................................................................5
OBJETIVOS...................................................................................................................................6
GENERAL...................................................................................................................................6
ESPECIFICOS............................................................................................................................6
DESARROLLO DE LA ACTIVIDAD...............................................................................................7
REFERENCIAS............................................................................................................................16
ANEXO 1......................................................................................................................................17
2
GLOSARIO
SGSI
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas
de administración de la información. El término se denomina en inglés “Information Security
Management System” (ISMS).
Fuente: https://www.firma-e.com/blog/que-es-un-sgsi-sistema-de-gestion-de-seguridad-de-la-
informacion/
Activo de Información
Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una
organización valora y por lo tanto debe proteger”.
Fuente: https://www.novasec.co/blog/67-gestion-de-activos-de-informacion
Vulnerabilidad
En informática, una vulnerabilidad es una debilidad existente en un sistema que puede ser
utilizada por una persona malintencionada para comprometer su seguridad. Las
vulnerabilidades pueden ser de varios tipos, pueden ser de tipo hardware, software,
procedimentales o humanas y pueden ser explotadas o utilizadas por intrusos o atacantes.
Fuente: https://www.bancosantander.es/glosario/vulnerabilidad-informatica
Amenaza
Se entiende como amenaza informática toda aquella acción que aprovecha una vulnerabilidad
para atacar o invadir un sistema informático. Las amenazas informáticas para las empresas
provienen en gran medida de ataques externos, aunque también existen amenazas internas
(como robo de información o uso inadecuado de los sistemas).
Fuente: https://www.ambit-bst.com/blog/tipos-de-vulnerabilidades-y-amenazas-inform
%C3%A1ticas
Riesgo
El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad
conformada por una combinación de circunstancias del entorno donde hay posibilidad de
pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los
sistemas de información.
Fuente: https://sites.google.com/site/nuestraidentidaddigital/riesgos-informaticos
Partes Interesadas
3
Una parte interesada es cualquier organización, grupo o individuo que pueda afectar o ser
afectado por las actividades de una empresa u organización de referencia. Así cada
organización dispone de sus partes interesadas, también denominadas grupos de interés,
públicos de interés, corresponsables u otros.
Fuente: https://www.aec.es/web/guest/centro-conocimiento/partes-interesadas
4
INTRODUCCIÓN
Actualmente son diversos los riesgos y las amenazas a las que se puede enfrentar cualquier
compañía por eso es de vital importancia invertir en la implementación de un modelo de SGSI
para proteger el activo más valioso de la organización.
Comfamiliar Huila es una persona jurídica de derecho privado, sin ánimo de lucro, que cuenta
con patrimonio propio, organizada como corporación de derecho civil, para cumplir funciones de
seguridad social, entre otras, el recaudo y distribución del Subsidio Familiar bajo el control y
vigilancia del Estado.
Su énfasis es brindar bienestar y felicidad a nuestra población afiliada y sus familias,
contribuyendo al fortalecimiento de la productividad empresarial de la región y a la
transformación de la sociedad haciéndola más inclusiva.
Este documento tiene por objeto presentar la construcción de estructura base para un SGSI, el
cual se encuentra fundamentado en el estándar internacional ISO 27001:2013, con el
propósito que Comfamiliar del Huila direccione las acciones hacia un sistema funcional
operado a través de procesos necesarios para garantizar la satisfacción del cliente y demás
grupos de interés.
5
OBJETIVOS
GENERAL
Implementar un SGSI efectivo alineado con la norma ISO 27001, donde se evalué de
manera objetiva los requisitos que contempla la normativa y se logre identificar
oportunidades de mejora en búsqueda de una implementación optima, alcanzando el
nivel de madurez que se requiere para asegurar la información de la organización.
ESPECIFICOS
Conocer la compañía objeto de estudio para diseñar un SGSI que cumpla con los
estándares requeridos por la norma ISO 27001 y el alcance aprobado por la alta
gerencia.
6
DESARROLLO DE LA ACTIVIDAD
ESTRATEGIA:
a) la causa raíz de la inasistencia a las capacitaciones, la cual se realizaría a través de
una encuesta, esto nos ayudaría a abarcar las causas posibles y atacarlas, dentro de
las casuísticas más comunes están:
7
c) Realizar capacitaciones involucrando a todos los directivos, líderes de proceso y
personal de la empresa, en donde se cree un indicador por líder de proceso para que
cada uno se haga responsable de la asistencia a las capacitaciones y esta sea
compartida a todos los niveles incluyendo a las directivas, estas capacitaciones
deben ser máximo dos horas: 1 hora en dar a conocer toda la parte conceptual y
técnica del SGSI y la segunda hora contratar a una persona externa que tenga
convenio por medio de alianzas con el fondo de empleados de COMFAMILIAR para
que no genere costos, un consultor experto en temas organizacionales y de
motivación que integre la primera parte conceptual con actividades lúdicas y dar
incentivos a los empleados tales como: agendas de la empresa, vasos corporativos,
etc, validar con el fondo de empleados que tenga la empresa de estos incentivos
para no genera un costo adicional.
e) Dependiendo del porcentaje alcanzado por líder de proceso se realizará una réplica
de las sesiones para las personas faltantes y que al final se garantice el 100% de la
asistencia. La evaluación para ahorrar papel se hará con envío de esta a los correos
corporativos y la asistencia se tomará por un código QR atado a la Intranet de la
compañía en donde el empleado registrará su asistencia.
8
SEDE CANTIDAD DE TRABAJADORES
NEIVA 766
GARZON 134
PITALITO 210
LA PLATA 189
BOYACÁ 235
1. Amenazas informáticas
2. Regulaciones de ley
3. Manejo de incidentes de seguridad
4. Normas aplicables en la gestión de
seguridad de la información
5. Conceptos de seguridad de la información $1.500.000
6. Procedimientos relacionados a seguridad de
la información
7. Política general de la seguridad de la
información
Cursos virtuales PRESUPUESTO
TOTA $4.000.000
L:
4. Definir los cargos (buscar organigrama de la organización) que deben hacer parte del
comité o grupo asesor de seguridad, asignar las funciones de este grupo frente a
seguridad y determinar cuáles temas requieren asesoría externa. Se busca que el grupo
sea de la alta gerencia e involucre a las áreas o procesos que mueven el negocio.
RTA:
Los que requieren asesoría externa son Seguridad y Privacidad PDP, Jurídica y Gestión
de Riesgos
RTA: METODOLOGIA
En la figura se indica la relación que tienen de forma global las metodologías de gestión
de riesgos e incidentes de seguridad de la información. Es válido aclarar que cuando se
presenta un incidente éste automáticamente se convierte en un riesgo materializado, por
lo tanto, se convierte en una entrada de la metodología de gestión de SGSI. Durante la
valoración del evento se evalúa el riesgo según la metodología, además de realizar la
evaluación del incidente, según los criterios que se definan para cada actividad. Así se
trabaje en paralelo estas actividades, la definición de un plan de mejoras del evento
ocurrido es un insumo para la decisión de la acción que se debe ejecutar según los
resultados de la evaluación. Por último, en el proceso de gestión de incidentes, se da
una respuesta al mismo, y se validan las lecciones aprendidas; por otro lado, se toma
una decisión frente al riesgo ocasionado por el incidente, se comunica y se realiza un
monitoreo sobre el mismo, según los criterios definidos para la gestión del SGSI.
RESPONSABLES:
CARGO PRINCIPALES RESPONSABILIDADES
Líder Administrativo Velar por el cumplimiento de las actividades definidas
en el presente procedimiento.
Líder de Seguridad de Analizar los documentos reporte de eventos de
Informacion Riesgo
Clasificar los Riesgos, según su criticidad en la matriz
Recopilar la información producto del incidente
reportado.
Realizar la primera y segunda evaluación del incidente.
Determinar Criticidad y Relevancia del Incidente frente
a la norma.
Adelantar e informar a los Equipos de Respuesta
12
Descripción de Documento
N° Flujograma Responsable
actividades registro
1 INICIO
sobre el avance y resultado en la investigación del
Hacer análisis de la Colaborador
incidente. No aplica
situación presentada
Líder de Gestión
ANALIZAR depara Analizar los documentos
establecer si reporte de eventos de
2Riesgo SITUACION Riesgo
corresponde a un
Clasificar
evento los r i edes g o s , según su criticidad en la
de seguridad
matriz de este.
la información
Oficial de Privacidad (PDP) • Informar a la Autoridad de Protección de Datos (SIC)
No cuando lasesituación
Desestimar presentenColaborador
violaciones a los
No códigos
aplica de
EVENTO seguridad y existan riesgos en la administración de la
información de los usuarios
3
Colaborador Detectar y reportar el evento de Seguridad d e
Si
I n f o r m a c i ó n posterior a su debido análisis.
Equipo Multidisciplinario de Registro de Incidentes ante el ente de control
SGSI competente si da lugar
Registro de Evento Diligenciar el Registro Registro de
de Riesgo Ocurrido de Evento de Riesgo Colaborador Evento de
4 Ocurrido y entregar al Riesgo
DESCRIPCIÓN RERODE ACTIVIDADES
líder de Gestión del Ocurrido
Riesgo.
No
Gestionar RERO sin Líder Gestión Registro de
implicación incidente de Riesgo Evento de
INCIDENTE
de seguridad de la Riesgo
6 información Ocurrido
Si
No
Clasificar como falso Líder de No aplica
positivo y finalizar Seguridad de
RELEVANTE
proceso. la Información
9 Pasar a la actividad 18
Si
13
A
14
ANEXO 1
Infografía Beneficios SGSI Comfamiliar Huila
15