Plan de Seguridad de la Información según NTC 1846

1. Introducción
1.1 Objetivo del Plan
El plan actual busca establecer los estándares necesarios para garantizar la seguridad de la
información. Este plan cumple con los requisitos de la Norma Técnica Colombiana NTC
1846 y tiene como objetivo principal garantizar la protección de la confidencialidad,
integridad y disponibilidad de la información esencial de la organización.
2. Alcance
2.1 Ámbito de Aplicación
Este plan se aplica a todos los activos de información y a todas las personas que interactúan
con la información de la organización, como contratistas, terceros y empleados.
3. Políticas de Seguridad
3.1 Política de Acceso
• Defina quién debe y qué debe hacer con el acceso a la información.
• Establecer métodos para administrar contraseñas seguras.
 La autenticación de dos factores para accesos críticos debe implementarse.

3.2 Política de Seguridad Física

• Restringir el acceso físico a las salas de servidores y centros de datos.

• Establecer medidas de seguridad como cámaras de vigilancia y controles de acceso.

4. Gestión de Activos de Información

4.1 Clasificación de la Información
• Determinar las categorías de clasificación de la información en función de su
importancia y sensibilidad.
 • Crear métodos para marcar y administrar la información clasificada.

4.2 Inventarios de Activos

• Mantener un inventario actualizado de todos los activos de información.
• Asignar responsabilidades para administrar y mantener el inventario actualizado.

5. Seguridad en la Operación
5.1 Controles de Acceso Lógico
• Establecer procedimientos para controlar el acceso a la red y a las aplicaciones.
• Observar y revisar con frecuencia los registros de acceso.

5.2 Gestión de Incidentes de Seguridad

• Crear un sistema para notificar y responder a incidentes de seguridad.
• Realizar simulacros regulares y formar un equipo de respuesta a incidentes.

6. Planificación para la Continuidad del Negocio

6.1 Procedimientos de Respuesta a Emergencias
 Desarrollar procedimientos para garantizar la continuidad del negocio en caso de
interrupciones.
 Realizar pruebas regulares de los planes de recuperación.
7. Concientización y Capacitación
7.1 Programa de Concientización
• Implementar un programa de concientización sobre seguridad de la información
para todos los empleados.
• Incluya sesiones de capacitación regulares sobre prácticas seguras y amenazas.

7.2 Evaluación de Competencias

• Realizar evaluaciones regulares para evaluar el grado de cumplimiento y
comprensión de las políticas de seguridad.
 • Ofrecer comentarios y capacitación adicional según sea necesario.

8. Monitoreo y Evaluación
8.1 Monitoreo Continuo
• Implemente soluciones de monitoreo de seguridad para detectar y responder a
eventos anómalos.
• Crear una estrategia para evaluar continuamente la eficacia de los controles de
seguridad.

8.2 Auditorías de Seguridad

 Realizar auditorías periódicas para evaluar el cumplimiento de las políticas y
procedimientos de seguridad.
 Implementar acciones correctivas según sea necesario.
9. Revisión y Actualización
9.1 Revisiones Periódicas
• Revisar regularmente el plan de seguridad para garantizar su pertinencia y eficacia.
• Involucrar a las partes interesadas en el proceso de revisión.

9.2 Actualización Continua

• Mantenga el plan actualizado para responder a cualquier cambio en la
infraestructura, la tecnología o las amenazas.
• Documente y comunique cualquier modificación en las políticas y procedimientos.