Material de Estudio

Seguridad de la Informacion y
Ciberseguridad - 2018
Tengamos
S presente algunos conceptos S

Seguridad de la información
Ciberseguridad
Conjunto de políticas, estrategias, metodologías, Es el desarrollo de capacidades empresariales
recursos, soluciones informáticas, prácticas y para defender y anticipar las amenazas
competencias para proteger, asegurar y preservar la cibernéticas con el fin de proteger y asegurar
confidencialidad, integridad y disponibilidad de la los datos, sistemas y aplicaciones en el
información que se almacene, reproduzca o procese ciberespacio que son esenciales para la
en los sistemas informáticos de la entidad. operación de la entidad.
S

Incidente de seguridad y
Ciberseguridad Activo de Información
Ocurrencia de una situación que afecta la protección o Se refiere a cualquier información que se
el aseguramiento de los datos, sistemas y aplicaciones almacene, reproduzca o procese y que que
de la entidad que son esenciales para el negocio, tenga valor para la Compañía.
incumplimiento las políticas definidas. S

Riesgo
Es el la exposición a una situación donde hay una probabilidad latente de
que ocurra un hecho que produzca ciertos efectos.
Efecto de la incertidumbre sobre los objetivos (ISO 31000:2009).
Porque es importante la Seguridad de la Información
en Porvenir ?
Para Porvenir, la información es uno de los activos mas importantes ya que soporta los procesos y servicios
estratégicos de la Compañía.

Razón por la cual se define un Sistema de Gestión de Seguridad de la Información (SGSI), alineado a
las buenas practicas de la ISO 27001:2013, cuyo objetivo es definir los lineamientos y buenas practicas
para: resguardar y proteger la información de la compañía y de nuestros afiliados manteniendo la
confidencialidad, integridad y disponibilidad de la misma, independiente del lugar donde se
Miércoles 27
encuentre, en nuestro perímetro o en el Ciberespacio.
Septiembre
Confidencialidad
Atributos de la información

La información solo puede estar disponible y

accesible para quienes estén autorizados.

C
Integridad Disponibilidad
La información debe ser
La información debe ser exacta, accesible y utilizable en el
precisa, coherente y libre de momento que sea requerida por
modificaciones no autorizadas. las personas, sistemas o
I D procesos.
 Así clasificamos la Información en Porvenir
La información de Porvenir en términos de Confidencialidad se clasifica en cuatro categorías, los cuales se
definen según su naturaleza teniendo en cuenta el tipo de información que contienen:

Confidencial Interna Pública

Confidencial
Restringida

Miércoles 27
Septiembre
Información que solo podrá ser conocida Ejemplos:
o accedida por el responsable o dueño de  Cuentas de servicios y usuarios con privilegios
la información, por un proceso específico administrativos a los sistemas críticos
o un grupo reducido de Colaboradores. Su  Temas de fusiones o adquisiciones corporativas
divulgación podría impactar  Estrategias e Inversiones realizadas
significativamente la Compañía y  Planes de negocio
representa un riesgo Crítico para Porvenir.  Código fuente de las aplicaciones desarrolladas
inhouse o contratadas con terceros
Confidencial
Restringida
Clasificación de la Información
Confidencial Interna Pública
Confidencial
Restringida

Ejemplos:

 Información de clientes (cadena de nombre, datos de

localización, numero de documento, información
Información que solo podrá ser financiera, saldos y números de cuenta)
accedida o compartida entre  Datos personales, según (Ley 1581 de 2012),
Miércoles
procesos limitados 27
dentro de la información personal (Datos de identificación,
ubicación, Info. socio económica).
Septiembre
Compañía, su divulgación podría
impactar negativamente el proceso  Informes Jurídicos y administrativos de los procesos,
evaluado y otros procesos de la litigios o demandas.
Compañía y representa un riesgo  Incidentes y Gestión de eventos de seguridad
Alto.  Información de nómina en que el que se identifique
salarios, cargos, cuentas bancarias, información privada
del colaborador.
Confidencial  Información generada en los procesos de: vinculación,
afiliación, traslados, creación de la cuenta novedades,
contabilización, conciliación bancaria.
 Clasificación de la Información
Confidencial Interna Pública
Confidencial
Restringida

Información que contiene datos Ejemplos:

necesarios para la gestión de los
procesos internos de la organización, la  Documentos, procedimientos y formatos del sistema
circulación fuera de la compañía está de calidad.
restringida. Su divulgación representa  Encuestas de satisfacción
un riesgo moderado para  Actas y documentos de la oficina de Proyectos
Porvenir.  Información de áreas contables y administrativas
 Informes de estados financieros
Interna

Ejemplos: Información dirigida al público en general.

Su divulgación tiene bajo o ningún impacto
 Declaraciones de Prensa para el proceso y la Compañía, representa
 Boletines, Mensajes y Publicidad con un riesgo insignificante.
fines comerciales
Pública
La información se debe “Etiquetar”
Es responsabilidad de los dueños o propietarios de los activos de información, realizar la
clasificación, evaluación y respectivo etiquedado teniendo en cuenta el esquema de clasificación:

Como realizar el etiquetado  Archivos Word y Excel :

Como pie de página al lado derecho.
Ej: Información – De Uso Interno
CATEGORIAS ETIQUETA
Miércoles 27Información - Confidencial
Confidencial Restringida  Archivos Power Point:
Restringida Se deben utilizar las plantillas corporativas.
Septiembre
Confidencial Información - Confidencial
 En Correo electrónico, cuando se comparta
Interna Información - De Uso Interno información confidencial o confidencial
restringida, se debe Incluir en el asunto la
Pública Información - Pública palabra confidencial

Recordemos, los lideres de proceso tienen la

Para conocer mas información sobre la gestión de activos,
responsabilidad de mantener actualizada la
consultar:
matriz de activos de información. Estándar de gestión de activos de Información- Isolucion
 Gestión en Ciberseguridad
Los procesos de transformación digital y las nuevas
tecnologías incrementan los riesgos de Ciberseguridad en las
Compañías.

Razón por la Superintendencia Financiera de Colombia en la

Circular Externa 007 expedida en Junio 2018, define los
requerimientos mínimos para la gestión de Ciberseguridad, los
cuales deben ser adoptados por Porvenir en los tiempos
establecidos.

 Se están realizando esfuerzos importantes para definir la estrategia de

seguridad, que incluya los lineamientos que se deben aplicar para servicios
expuestos en la nube, dando cumplimiento a la legislación aplicable.
Acciones actuales
 Se creo un Centro de excelencia de Ciberseguridad, el cual el cual abre la
puerta a la investigación, la creación y la implementación de estrategias,
efectivas y eficientes de seguridad orientas a proteger la información de los
clientes y de Porvenir.
Políticas y Normas definidas en el SGSI de nuestra
compañía

Todos somos responsables de conocer y aplicar las políticas y normas definidas

en nuestro Sistema de Gestión de Seguridad de la Información (SGSI).

Las cuales podemos

consultar en: Circular interna 090

Gestión de Activos

Conozcamos algunas de ellas Gestión Control de Acceso

Comunicaciones y
Operaciones
Políticas y Normas definidas en el SGSI de nuestra
compañía
Gestión de Activos

 El Propietario o responsable de los activos de la información debe asignar los niveles

apropiados de la clasificación de la información, etiquetar la información, definir y revisar
periódicamente las restricciones y niveles de acceso definidos.

 Para el envío de información clasificada como: confidencial restringida y confidencial, se

deberán hacer uso de controles de cifrado, únicamente a correos autorizados – nunca a
correos personales. En el correo electrónico se deberá incluir la palabra confidencial en el
asunto, para que esta se envíe cifrada.

 Se debe evitar el almacenamiento de información confidencial en medios de almacenamiento

removibles (USB, DVD, CD´S, entre otros) o dispositivos móviles.

 En las estaciones de trabajo no se debe almacenar información clasificada como confidencial

restringida o confidencial, debe reposar en las unidades de red asignadas .

La Dirección de Seguridad de la Información ejecuta monitoreo de accesos y control de privilegios

con el fin de identificar posibles incumplimientos a las políticas de Seguridad de la Información.
Políticas y Normas definidas en el SGSI de nuestra
compañía

Gestión Control de Acceso

 Todos los usuarios deberán tener un identificador único (ID de usuario) es decir, que
no deben existir cuentas genéricas para el acceso o gestión sobre los sistemas
tecnológicos.

 Los usuarios y contraseñas son de uso personal e intransferible, cualquier utilización

indebida y/o irregularidad será responsabilidad del colaborador.

 La contraseña debe tener al menos doce caracteres, donde se tengan letras en

mayúscula, minúscula y números o caracteres especiales.

 Es responsabilidad de los Gerentes, Directores de área o líderes de proceso definir

los privilegios de los colaboradores a su cargo siempre bajo el concepto de menor
privilegio.
Políticas y Normas definidas en el SGSI de nuestra
compañía

Comunicaciones y
Operaciones
 No está permitido descargar o instalar software, toda instalación debe solicitarse a
través del CSP. La Dirección de Infraestructura Tecnológica controla el software que debe
ser instalado en Porvenir, previas validaciones de diferentes áreas.

 Los recursos compartidos en red (carpetas compartidas) no deben ser empleados como
mecanismo de backup, no se debe guardar archivos de correo electrónico (PST), archivos
de música, imágenes, documentos de carácter personal, scripts, entre otros, salvo que
este corresponda a una necesidad de negocio.

 Los responsables o dueños de la información, tienen la responsabilidad de validar

periódicamente los accesos definidos en estas carpetas y solicitar a la Gerencia de
Tecnología ajustar o eliminar privilegios.