Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
TEMAS A TRATAR
# TEMAS
1 Política y objetivos de los Sistemas de Gestión de SINTEG de México,
S.A. de C.V.
2 Estructura de los Sistemas de Gestión
3 Alcance de los Sistemas de Gestión
4 Conceptos Generales de los Sistemas de Gestión
5 Contexto de la Organización y Partes Interesadas
6 ¿Cómo se gestionan los riesgos de Seguridad?
7 ¿Qué es el SoA?
8 Plan de Gestión del Servicio
9 SLA del Cliente
10 Catálogo de Servicios
2
POLÍTICA DEL SG
En Sinteg en México, S.A. de C.V., nos comprometemos con la Gestión de Soluciones, Soporte, Servicios y
Productos de Calidad en Tecnologías de la Información y Comunicaciones (TIC), Centro de Atención
Telefónica (CAT) y Mesa de Ayuda (Help Desk)
Mejorando continuamente para lograr: la satisfacción de nuestros clientes, el cumplimiento de los
objetivos establecidos, mantener la confidencialidad, integridad y disponibilidad de la información, la
eficiencia del servicio, monitoreando y optimizando los controles de seguridad y de los procesos, los
proveedores internos y externos
Considerando y cumpliendo los requisitos de nuestros clientes y los requisitos de las normas:
3
ALCANCE DEL SGSI
4
COMUNICACIÓN DE LA POLÍTICA DE CALIDAD DEL SGC
5
COMUNICACIÓN DE LA POLÍTICA DE CALIDAD DEL SGC
6
SISTEMA DE GESTIÓN Y SUS PROCESOS
Sinteg en México establece, implementa, mantiene y mejora continuamente un sistema de gestión de la calidad,
incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta Norma Internacional
ISO 9001:2015 y su equivalente mexicana NMX-CC-9001-IMNC-2015.
Sinteg en México:
a) determina los procesos necesarios para el sistema de gestión de la calidad, siendo estos;
Procesos de la Dirección y de
Gestión de Riesgos, Responsabilidad de la dirección
la Administración
7
SISTEMA DE GESTIÓN Y SUS PROCESOS
Partes
Partes Interesadas
Interesadas
Satisfacción
Necesidades y
Ventas de convenio Atención a clientes de
expectativas de servicio
Mantenimiento
8
MAPA ESTRATEGICO DE PROCESOS
“CV”
CODIGO
PROCESOS DE
CONTROL
Seguimiento
Auditorias Control de
Revisión por de
Internas y Salidas no
la Dirección proveedores
Externas conformes
y contratistas
Seguimiento
Satisfacción Mejora Gestión de de procesos y
del Cliente continua riesgos productos
13
14
15
¿QUÉ ENTENDEMOS POR SEGURIDAD DE LA
INFORMACIÓN?
La seguridad de la información, no solo es la protección a la infraestructura
tecnológica, sino también la protección de los activos de información que tienen valor
para la organización.
16
ACTIVOS DE INFORMACIÓN
DATOS:
Información que se manipula dentro de la Empresa, puede ser
en un medio físico o electrónico.
EQUIPOS:
PERSONAS:
Este es el activo principal.
17
INDUCCIÓN AL SGSI (SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN)
18
CONCEPTOS BÁSICOS
C
Disponibilidad: Propiedad de ser
accesible y utilizable a petición de una
SI entidad autorizada.
I D Integridad: Propiedad de
proteger la exactitud y
completitud de los activos .
19
OBJETIVOS DEL SGSI
ESTRUCTURA DEL OBJETIVO
ELEMENTO DESCRIPCIÓN
¿Qué se mide? Medir los respaldos de la información generada en Sinteg en México S.A. de C.V.
¿Cómo se calcula? [(Respaldos del día)-(Respaldos del día anterior)]/ Respaldos totales*100
(Fórmula)
¿A partir de que se mide? (fuente) Respaldos de información generados
Realizado
¿Cuál es el parámetro de referencia? No Realizado
20
OBJETIVOS DEL SGSI
ESTRUCTURA DEL OBJETIVO
ELEMENTO DESCRIPCIÓN
¿Qué se mide? Medir la continuidad del servicio y la disponibilidad de los procesos cuando surja un incidente
¿Cuál es el nivel de desempeño a lograr? 85% de cumplimiento
¿Cómo se calcula? [(Tiempo total de la operación) – (Tiempo consumido por incidente)]/ (Tiempo Total productivo)*100
(Fórmula)
¿A partir de que se mide? (fuente) Tiempo tomado de los incidentes
Dentro de parámetros
¿Cuál es el parámetro de referencia? Fuera de parámetros
¿Quién lo mide? Gestor de Seguridad de la Información
El Gestor de Seguridad de la Información es quien realiza el seguimiento de la disponibilidad de los
¿Cómo es su seguimiento? procesos y la continuidad del servicio frente a los incidentes ocurridos para ofrecer un servicio de calidad
superando las expectativas del cliente buscando siempre la mejora continua
¿Dónde se encuentra la información Procedimiento de Disponibilidad y continuidad del servicio
complementaria?
Recursos Requeridos Luz, Internet, Equipos de Cómputo, Líneas Telefónicas
CRM
PBX
21
OBJETIVOS DEL SGSI
ESTRUCTURA DEL OBJETIVO
ELEMENTO DESCRIPCIÓN
¿Qué se mide? Medir el conocimiento de la cultura de seguridad de la información
¿Cuál es el nivel de desempeño a lograr? 80 % de Cumplimiento
22
RIESGOS E INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
23
¿QUÉ ES UN RIESGO E INCIDENTE DE SEGURIDAD DE LA
INFORMACIÓN?
RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN.
Se puede definir como la probabilidad de sufrir daños o pérdidas, este puede ser humano o no; en el ámbito
de la Seguridad de la Información se usa lo que se conoce como Plan de Tratamiento de riesgos de Seguridad
de la Información.
Se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de
información; un impedimento en la operación normal de la red, sistemas o recursos informáticos; o una
violación a la Política de Seguridad de la información.
Ejemplos:
• Ataques Externos.
• Ataques Internos.
• Desastres naturales.
24
RIESGOS
Identificar y seleccionar
Inicio Identificar el nivel de riesgo controles y plan de
de acuerdo a la posibilidad tratamiento
de ocurrencia
Identificar el estado de
Identificar los activos
Identificar y describir implementación de
primarios
medidas de seguridad controles
existentes
Valorizar los Activos Revisar la eficacia de
Primarios controles
Identificar la prioridad del
tratamiento
Identificar los Activos
Identificar el riesgo residual
Secundarios de
vulnerabilidad Identificar al dueño del
riesgo
Incluir riesgos nuevos a la
Identificar el escenario de valoración de riesgos
riesgo Identificar la opción de
tratamiento de riesgo
26
INCIDENTES
Inicio
Escalar y atender el
incidente
Notificar incidente o
solicitud Documentar la solución del
incidente o datos de la
solicitud y notificar a usuario
Registrar incidente o
solicitud
Cerrar el incidente o
solicitud
SI ¿Es un
incidente?
Registrar el aprendizaje
NO
Elaborar el informe del
proceso
Escalar y atender la solicitud
Evaluar el incidente
Fin
27
RIESGOS POLÍTICAS
ESPECÍFICAS DEL SGSI
28
RIESGOS POLÍTICAS DE DISPOSITIVOS
MÓVILES Y TELETRABAJO
29
POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO
EQUIPO MÓVIL:
1. Registrar la información del equipo móvil en el inventario de activos, especialmente el número IMEI.
2. Activar el acceso mediante Número de Identificación Personal – PIN por sus siglas en inglés, el cual se
solicita cuando se reinicia el equipo o se cambia el chip.
3. Únicamente se permite el uso de correo electrónico de la organización, el acceso a la red interna o
sistemas de la organización está prohibido por este medio.
4. Mantener el software del dispositivo actualizado, estas actualizaciones deben descargarse de sitio de
confianza.
5. No utilizar el celular como medio de almacenamiento de información de la empresa.
6. No mantener encendida la Función Bluetooth.
7. No se podrán hacer descargas, alteraciones y/o modificaciones al equipo.
8. No utilizar funciones que permitan el “recordar contraseña o conexiones de red”.
9. No exponer el equipo a cambios de temperatura drásticos.
10. Notificar el robo o pérdida del equipo al personal de infraestructura tecnológica.
11. Permitir la verificación del cumplimiento de estas políticas por el área de Coordinación de Sistemas.
12. Firmar una responsiva sobre el buen uso y cuidado del equipo (aplica a equipo propiedad de la empresa).
31
POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO
MEDIOS REMOVIBLES:
1. No almacenar la información confidencial en cualquier medio removible.
2. No utilizar los medios removibles como medios de almacenamiento permanentes.
3. Registrar la información del medio removible en el inventario de activos.
4. Contar con una carta responsiva del medio autorizado.
5. Analizar el dispositivo antes de uso para verificar que no cuente con virus o código malicioso.
6. No exponer el equipo a cambios de temperatura drásticos.
7. Permitir la verificación del cumplimiento de estas políticas por el área de Coordinación de Sistemas.
8. Eliminar la información del dispositivo cuando ya no sea requerida.
9. Notificar el robo o pérdida del medio al personal de Coordinación de Sistemas.
10. Firmar una responsiva sobre el buen uso y cuidado del medio.
32
POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO
TELETRABAJO
Cualquier persona que realice trabajo a distancia debe cumplir con los lineamientos que apliquen al tipo de
dispositivo, establecidos en las políticas de dispositivo móvil, política de control de acceso, política de pantalla y
escritorio limpio, así como las siguientes políticas:
1. Llevar un registro de la persona, entorno y el equipo autorizado para realizar trabajo a distancia.
2. Utilizar únicamente el equipo autorizado para el teletrabajo.
3. Crear una cuenta de usuario al equipo específico para fines laborales (Si se utiliza un equipo personal).
4. Activar mecanismos de control de acceso de esa cuenta y bloqueo del equipo mediante usuario y
contraseña.
5. Toda la información creada desde un equipo propiedad de Sinteg en México S.A. de C.V., por el perfil de
usuario para fines laborales (Si se utiliza un equipo personal) será considerada como propiedad de Sinteg
en México S.A. de C.V.
6. Almacenar la información de la organización en la NAS establecido por la organización.
7. Permitir y autorizar la instalación o configuración de software establecido por el área de Coordinación de
Sistemas, el cual permite proteger la información y el uso de la misma.
8. Desactivar las funciones de red como bluetooth, funciones de red que permitan compartir recursos o
33 archivos y activarlas cuando se necesiten.
POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO
34
POLÍTICAS DE CONTROL DE ACCESO
35
POLÍTICAS DE CONTROL DE ACCESO
Generales.
1. Todo acceso está restringido a menos que este expresamente permitido.
2. Identificar y registrar el acceso a los servicios de red y sistemas operativos o aplicaciones.
3. Utilizar mecanismos de autenticación para el acceso a redes de la organización como validación por
dominio, usuario y/o contraseña.
4. Retirar los accesos de personal que dejen de laboral en la organización.
5. Revisar los accesos cada 6 meses, después de cambios mayores o cuando se produzca un incidente de
seguridad.
6. Retirar los accesos cuando se considere que la seguridad de la información está comprometida.
7. Permitir la verificación del cumplimiento de estas políticas por el Área de Coordinación de Sistemas, la cual
realiza la verificación.
36
POLÍTICAS DE CONTROL DE ACCESO
37
POLÍTICA SOBRE EL USO DE CONTROLES
CRIPTOGRÁFICOS
38
POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS
CONTROLES DE CIFRADO:
El objetivo es garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, la
autenticidad y la integración de la información, en el caso de que algún intruso pueda tener acceso físico
a la información, se establece un sistema de cifrado de la misma para dificultar la violación.
Se implementan y administran claves de cifrado de datos y se identifica a un responsable para llevarlo a
cabo.
LA CLAVE DE LOS CONTROLES CRIPTOGRÁFICOS ESTA EN IDENTIFICAR:
1. Cifrar los archivos con información sensible o crítica utilizando la herramienta definida por la
Coordinación de Sistemas.
2. Se utilizará la herramienta local de Windows llamada bitlocker.
3. Gestión de las llaves.
39
POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS
GESTIÓN DE LLAVES:
Los medios de cifrado implican mantener una gestión de claves criptográficas utilizadas por los medios de
cifrado.
La gestión de claves implica tener en cuenta el ciclo de vida completo:
1. La generación.
2. Su uso y protección.
3. La distribución.
4. La renovación o destrucción.
Parte de la función de gestión es determinar las fechas de activación y desactivación de las claves en
orden a reducir los riesgos mencionados anteriormente.
40
POLÍTICA DE PANTALLA Y ESCRITORIO
LIMPIO
41
Política de Pantalla y Escritorio Limpio
Prevenir el acceso no autorizado, pérdida y/o daño de la información que se encuentra en los puestos de trabajo,
equipos de cómputo, dispositivos de impresión y digitalización de documentos, mediante lineamientos establecidos
para que sean aplicados.
GENERALES
1. Mantener en orden su área de trabajo, asegurando que la información crítica o sensible se encuentre en un
lugar seguro cuando se ausente del lugar asignado.
2. Recoger de las impresoras los documentos con información crítica o sensible.
3. No dejar expuesta información de uso interno, critica o sensible cuando se reciban o encuentre cerca personal
externo, sin previa autorización.
4. Bloquear el equipo cuando se ausente del lugar asignado.
5. El área de Coordinación de Sistemas implementa el bloqueo automático de la sesión de usuario mediante el
Directorio Activo al transcurrir los 5 minutos de inactividad.
6. El escritorio o pantalla del equipo no debe tener accesos o archivos con información crítica o sensible, en la
medida de lo posible no debe tener accesos o archivos de uso interno.
7. Evitar dejar llaves u otro activo de acceso sobre el escritorio cuando se ausente del lugar asignado.
42
POLÍTICA DE TRASFERENCIA DE
INFORMACIÓN
43
POLÍTICA DE TRASFERENCIA DE INFORMACIÓN
44
POLÍTICA DE TRASFERENCIA DE INFORMACIÓN
45
POLÍTICA DE RESPALDO
46
POLÍTICA DE RESPALDO
GENERALES.
El objetivo de las políticas es definir los lineamientos para realizar los respaldos y recuperación de la
información de los datos institucionales.
RESPALDO DE INFORMACIÓN.
1. Servidores físicos. Todo Servidor que se instale y configure en ambiente de producción debe estar
habilitado por Rol o Característica el servicio de Copias de seguridad de Windows Server para el
respaldo de datos o una tarea de respaldo.
2. Servidores virtuales. Todo servidor virtual (en producción) debe de contar con una tarea programada
de respaldo completo y/o de forma incremental de la información crítica y/o sensible de los usuarios,
esto mediante la herramienta de Uranium Backup.
3. Frecuencia de respaldos. Esta se define según la criticidad de la información en cada servidor, en este
caso se realizarán lunes, miércoles y viernes.
47
POLÍTICA DE RESPALDO
RESTAURACIÓN DE LA INFORMACIÓN.
1. Aleatoriamente se deben de efectuar pruebas de restauración de los respaldos.
2. El usuario mediante un ticket o correo electrónico y previa autorización de su jefe directo puede
solicitar la restauración de archivos que hayan estado ubicados en la carpeta de respaldo
correspondiente.
3. El Gerente de área puede solicitar la restauración del respaldo realizado del personal que ha dejado
de laborar en la empresa.
48
POLÍTICA DE SEGUIRIDAD PARA
PERSONAL VISITANTE O EXTERNO
49
POLÍTICA DE SEGURIDAD PARA PERSONAL VISITANTE O EXTERNO
GENERALES
1. Registrar en la Bitácora de entrada y salida de externos y equipo, los siguientes datos: Fecha, nombre,
descripción (tipo de activo), marca, modelo, número de serie, hora de entrada, hora de salida y firma
del visitante que ingresa a las instalaciones.
2. Otorgar el acceso siempre y cuando la persona que se visita dé su autorización.
3. Entregar y revisar que el personal externo porte un gafete que lo identifique como tal durante su
instancia en las instalaciones.
4. Vigilar siempre al proveedor externo durante su estancia en las instalaciones críticas por parte de un
representante de la empresa.
5. Evitar el uso de equipo tecnológico, de grabación o video dentro de las instalaciones críticas.
50
POLÍTICA DE SEGURIDAD PARA PERSONAL VISITANTE O EXTERNO
ACCESO A LA INFORMACIÓN
1. Firma de un convenio de confidencialidad y acuerdo de transferencia de la información por parte del proveedor.
2. Cumplir con las medidas y protocolos de seguridad técnicas para la transferencia de la información.
3. Retirar el acceso otorgado cuando la seguridad de la información se vea comprometida o al finalizar el periodo autorizado.
52
PROCESO DISCIPLINARIO Y SANCIONES
1. Las sanciones serán aplicables para mantener el cumplimiento de las políticas y lineamientos de Sinteg en
México S.A. de C.V. y del Sistema de Gestión de Seguridad de la Información. Con la imposición de sanción se
busca:
2. Las sanciones serán aplicables a todo el personal que tenga un acuerdo legalmente ejecutable con Sinteg en
México S.A. de C.V.
53
PROCESO DISCIPLINARIO Y SANCIONES
3. Los criterios para la aplicación de sanciones son los siguientes:
4. Las personas autorizadas para la aplicación de sanciones con impacto medio y alto son: Director General,
Comité de Seguridad de la Información. Las personas autorizadas para la aplicación de sanciones con
impacto bajo son: Jefe directo, Director General y Comité de Seguridad de la Información.
54
PROCESO DISCIPLINARIO Y SANCIONES
Inicio
Ejecutar acción o aplicar sanción
Fin
Evaluar el evento
55
TOMA DE CONCIENCIA
a) La política de calidad.
b) Los objetivos de calidad pertinentes.
c) La contribución de la eficiencia del Sistema de Gestión de la
Calidad, se incluyen los beneficios de mejorar el desempeño.
d) Lo que implica incumplir los requisitos del Sistema de Gestión de
la Calidad.
56
TOMA DE CONCIENCIA
Todos los requisitos son aplicados a las personas que llevan a cabo un
trabajo bajo el control de la empresa. Las personas que realizan un
trabajo según el control de la empresa tienen que ser perfectamente
conscientes de la política de calidad, los objetivos de calidad que
persigue la organización también son relevantes, la forma en la que
constituyen a la eficiencia del Sistema de Gestión de la Calidad y las
implicaciones de no mantener los requisitos de dicho sistema.
57
GRACIAS
58