lOMoARcPSD|19060015

Entrega 2 - Gestion Seguridad

Gestion de la seguridad (Politécnico Grancolombiano)

Scan to open on Studocu

Studocu is not sponsored or endorsed by any college or university

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)
 lOMoARcPSD|19060015

ENTREGA 2 SEMANA 5

Estudiantes:
Carlos Javier Sánchez
Brayan Molina Pulido
Carlos Hernando Rodríguez

Docente:
JOSÉ EDUARDO PATIÑO SANTAFÉ

Especialización en seguridad de la informacion.

Gestión de la Seguridad
Noviembre 2023

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)

 lOMoARcPSD|19060015

1. Diseñar una estrategia para realizar la implementación de un plan de

generación de conciencia en seguridad de la información. Para esta actividad
se dispone de una asignación presupuestal de cuatro millones en todo el año y
se sabe que el personal no suele asistir a capacitaciones.

Plan de generación de conciencia en seguridad de la información.

1. Generar expectativa de los beneficios del SGSI.
2. Difundir y dar a conocer el SGSI.
Objetivo
3. Motivar e incentivar el uso adecuado de los objetivos y políticas del SGSI.
4. Involucrar al personal de la organización en la implementación del SGSI.
Recurrente durante el
Periodicidad Áreas Todos Lugar Organización
año
1. Correo electrónico.
2. Mensajerías instantáneas y Pop-up
3. Forms
4. Redes sociales Enfoque de
5. Canales y grupos de difusión. aprendizaje
Recursos
6. Intranet Corporativo.
7. Fondos de pantallas corporativos
8. Afiches, Publicaciones y Banners.

Enfoque comunicativo

Desarrollo
¿Cómo?
1. Medir el conocimiento del SGSI y que beneficios tenemos de implementar este sistema para ahorrar costos al
presentarse afectaciones de seguridad de la informacion.
2. Interiorizar a todos los empleados de la organización los diferentes riesgos, vulnerabilidades y ataques que se
puedan presentar generando buenos hábitos de seguridad.
3. El manejo o la gestión de un posible incidente de seguridad el cual nos genere afectación del trabajo en su labor
diaria.
4. Dar un enfoque del conocimiento que se va a adquirir o que se necesita dependiendo del rol de cada uno de los
empleados de la organización.

5. Comprobar que:

- Hayan entendido toda la Información a la perfección.

- Sepan Cuándo Aplicar lo que han aprendido.
- Sepan Cómo Aplicar lo aprendido.
- Tengan las Herramientas Necesarias para hacer su parte.

6. Diseñar un proceso de mejora continúa evaluando el conocimiento que se ha adquirido, mediante técnicas de
retroalimentación.
Resultados
1. Interés sobre el SGSI y sus responsabilidades.

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)

 lOMoARcPSD|19060015

2. Motivar la participación de todos los empleados de la organización de manera creativa y lúdica.

3. adopción de los conceptos en el desarrollo de sus actividades laborales y personales.
4. Crear espacios incluyentes dentro de la implementación del SGSI por parte de las diferentes áreas de la
organización sin importar el área a cual pertenece.

Medición periódica del avance de las actividades realizadas para medir el

Evaluación
impacto en el marco de desarrollo de la estrategia de la motivación.

2. Indicar actividades y métodos pedagógicos a aplicar (hay mejor valoración si

aplican metodologías de gestión del cambio organizacional), así como una
programación para las actividades del año indicando costo de estas con base
en el presupuesto. Tener presente si la empresa tiene sedes.
Usamos la metodología ADKAR de gestión del cambio organizacional:
El modelo ADKAR fue creado con el fin de contribuir en las organizaciones a
llevar a cabo con éxito la gestión del cambio, ya sea un cambio que desarrolla
la organización para mejorar sus procesos o por alguna situación interna o
externa que requiera implementar cambios para continuar con la operación y/o
actividad de la compañía.

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)

 lOMoARcPSD|19060015

ACTIVIDAD Periodicidad Costo

1. Enviar mensajes de correo electrónico a los

Mensual $0
empleados con pautas que lo introduzcan al SGSI.

2. Publicando pop-ups en mensajerías instantáneas del

SGSI haciendo referencia a riesgos, vulnerabilidades,
Bimensual $ 1.200.000
amenazas, malos actores, políticas, buenas prácticas,
entre otros.

3. Diseñar y/o crear encuestas, entrevistas, trivias y Bimensual $ 900.000

cuestionarios sobre los conocimientos del SGSI.
4. Publicar post, imágenes y videos para el buen manejo
y uso de la seguridad de la informacion dentro de la Bimensual $ 700.000
organización.
5. Difusión de publicaciones, noticias, eventos,
formularios, anuncios, boletines y reels en el espacio Bimensual $ 1.200.000
digital de trabajo.
Presupuesto $ 4.000.000

3. Diseñar, a través de una infografía, un instructivo en el cual se socialice con la

organización los beneficios de la implementación del SGSI y cómo van a estar
involucrados en el mismo. Es posible remitir la infografía como archivo anexo
o con su URL.

Se adjunta infografía anexa.

4. Definir los cargos (buscar organigrama de la organización) que deben hacer

parte del comité o grupo asesor de seguridad, asignar las funciones de este
grupo frente a seguridad y determinar cuáles temas requieren asesoría
externa. Se busca que el grupo sea de la alta gerencia e involucre a las áreas
o procesos que mueven el negocio.

a. Organigrama:

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)

 lOMoARcPSD|19060015

b. Funciones:
i. Junta Directiva:
1. Establecer el alcance y los objetivos que tendrá el SGSI.
2. Debe velar por el cumplimiento de las políticas de
seguridad de la informacion, comprometerse para que los
funcionarios a su cargo conozcan y apliquen las políticas
de seguridad de la informacion.
3. Se deben asignar responsabilidades "a las áreas y
personas" asociadas a temas de la seguridad de la
informacion.
4. Asignar los recursos necesarios para la puesta en marcha
del SGSI, estos incluyen tanto recursos humanos como
herramientas físicas y tecnológicas.
5. Debe apoyar, facilitar y mantener cuando se requiera
relaciones con empresas, entidades u organismos que
presten asesoría especializada en seguridad de la
informacion.

ii. Proyectos/Equipo jurídico:

1. Garantía de control sobre cualquier violación de las
disposiciones legales vigentes, los estatutos propios, los
contratos o los requisitos de seguridad de la información.
2. Garantía del cumplimiento con las políticas y estándares
internos de seguridad en la gestión de los sistemas de
información.
3. Debe incluir y tener en cuenta los lineamientos y políticas
de Seguridad de la información en la gestión de la
contratación con terceros, proveedores y contratistas.
4. Esta área, debe exigir para todo contrato con proveedores,
terceros, contratistas, etc., la firma del acuerdo de
confidencialidad y apoyar la supervisión del cumplimiento

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)

 lOMoARcPSD|19060015

de las políticas de Seguridad de la Información.

iii. Proyectos/Equipo Tecnologia:

1. Debe cumplir la función de cubrir los requerimientos de
seguridad de la información, definidos para la operación,
administración y comunicación de los sistemas y recursos
de tecnología de la organización.
2. Dar el visto bueno, concepto técnico y acompañamiento a
todas las nuevas instalaciones de procesamiento de la
informacion, soluciones o plataformas tecnológicas,
(Hardware o software), en donde se evalúan los aspectos
de viabilidad técnica (estudios, diseño, arquitectura),
compatibilidad, capacidad, integridad, disponibilidad y
confidencialidad.
3. Garantía de la protección de la información en redes y su
infraestructura de soporte.

iv. Proyectos/Equipo Finanzas:

1. Definen el presupuesto para el SGSI.
2. Definen los objetivos financieros para la distribución de los
recursos garantizando la rentabilidad a corto, mediano y
largo plazo.
3. Diseñar la estrategia para garantizar el retorno de
inversión.
4. Gestionar correctamente las diferentes problemáticas
financieras para garantizar los recursos del SGSI.

v. Director Talento Humano:

vi. Proyectos/Equipo Talento Humano:
1. Definición y comunicación documentada de los roles y las
responsabilidades de la seguridad a todo posible
empleado de la organización durante el proceso de
selección de personal.
2. Inclusión de términos y condiciones de seguridad en el
contenido de los contratos, donde se refieran las
responsabilidades.

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)

 lOMoARcPSD|19060015

3. Requerirán que todo el personal (interno y externo)

apliquen por igual la seguridad, según la política
procedimientos establecidos.
4. El personal de la organización debe ser capacitado en
materia de seguridad de la información y sus
conocimientos sobre políticas y procedimientos deben
actualizarse.

5. Seleccionar y adaptar de una metodología de gestión de incidentes de

seguridad a la empresa, explicando en qué está basada. Construir a partir de
allí un flujograma explicativo, y exponer ambos elementos en animación, video
o algún medio interactivo.

El modelo esta aplicado a una manera generalizada basado en ITIL V4 para la

gestión de incidentes de la seguridad de la informacion. Teniendo en cuenta
que cuando se presenta un incidente éste se convierte en un riesgo
materializado, por lo cual, es una entrada a la metodología de gestión del SGSI.
El en cual se evalúa el riesgo según la metodología, se evalúa el incidente y
dependiendo de los criterios definidos nos ayuda a generar un plan de mejoras
del evento siendo este un insumo para decidir las acciones a ejecutar según
los resultados obtenidos. Por último, en el proceso de gestión de incidentes,
se da una respuesta al mismo, y se validan las lecciones aprendidas; se toman
decisiones frente al riesgo ocasionado por el incidente, se comunica y se realiza
un monitoreo de este, según los criterios definidos para la gestión del SGSI.

Flujograma de gestión de incidentes:

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)

 lOMoARcPSD|19060015

Se adjunta animación anexa. Nombre: gestión de indicentes1.

Actores dentro del proceso:

No Características
Actividad Proveedores Entradas esperadas
1 No. Caso y descripción
Usuarios Solicitud de soporte de la solicitud
Inventario de Dirección Información detallada
4 Dirección Tecnologia Tecnologia de la infraestructura
tecnológica.
Formatos de
7 y 11 Planeación y documentación Formatos aprobados
Dirección tecnología (informes,
seguimientos)
Identificación del
10 Contratación Contratos de contrato, proveedor,
proveedores alcance, tiempo de
ejecución, valor, etc.
Causas, solución,
16 Proveedor Informe de soporte forma de prevenir y
recomendaciones.

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)

 lOMoARcPSD|19060015

Bibliografía
CARRANZA MEDINA, A., & YUPTÓN CULQUI, H. (2019). UNIVERSIDAD CATÓLICA SANTO TORIBIO DE
MOGROVEJO. Obtenido de
h琀琀ps://tesis.usat.edu.pe/bitstream/20.500.12423/2318/1/TL_CarranzaMedinaAlan_YuptonC
ulquiAbel.pdf

Desantes Fernández, B., Fernández Cuesta, F., & Requejo Zalama, J. (2015). RTA. Obtenido de
h琀琀p://mgd.redrta.org/mgd/site/ar琀椀c/20150122/asoc昀椀le/20150122145337/g_03_d02_g_dir
ectrices_seguridad_adme.pdf

GOBERNACION DEL VALLE DEL CAUCA. (2019). Obtenido de

h琀琀ps://www.valledelcauca.gov.co/loader.php?lServicio=Tools2&lTipo=viewpdf&id=29970

Jiménez, M. M. (06 de Abril de 2022). PIRANI. Obtenido de h琀琀ps://www.piranirisk.com/es/blog/la-

alta-direccion-y-la-seguridad-de-la-informacion

Málaga Tejada, G. (2016). Universidad Privada de Tacna. Obtenido de

h琀琀ps://www.researchgate.net/publica琀椀on/325228920_Modelo_de_Ges琀椀on_de_Incidentes_
Basado_en_ITIL_v3

Montaña Rey, A., & Torres Reyes, G. (10 de Diciembre de 2014). UNIVERSIDAD DEL ROSARIO.
Obtenido de h琀琀ps://repository.urosario.edu.co/items/d9cf7c3e-6e0d-4199-973a-
693badf7880d

Santolaria Mairal, M. (31 de Mayo de 2022). Universitat Oberta de Catalunya. Obtenido de

h琀琀ps://openaccess.uoc.edu/bitstream/10609/145994/7/osantolariaTFM0622memoria.pdf

Downloaded by WILLIAM CAMILO RINCON JIMENEZ (williamcamilo849@gmail.com)