LA POLÍTICA DE SEGURIDAD DEL PAPEL A LA ACCIÓN

Actividad en contexto - Escenario 7

POR

Yina Esmeralda Hernández Bernal

Yina Daniela Galeano Torres

TEORÍA DE SEGURIDAD DE LA INFORMACIÓN

Instructor

Blanco Ignacio

Colombia 2 de mayo de 2023

Política de seguridad para Datalatina

➢ Resumen de la política

Mediante la presente política se establece que anualmente van a ser creados objetivos

en relación con la seguridad de la información, desarrollar un proceso de análisis de

riesgo, establecer objetivos de control y cumplir con los requisitos legales,

reglamentarios y contractuales de seguridad. Además, se brinda concientización y

entrenamiento en materia de seguridad de la información a todo el personal, se

establecen los medios necesarios para garantizar la continuidad del negocio de la

empresa y se sancionará cualquier violación a esta política.

➢ Introducción

Datalatina es una empresa líder en Latinoamérica en soluciones de aseguramiento,

gestión de riesgos, calidad y seguridad de sistemas de información. Con más de 30

años de experiencia en el mercado, cuenta con un personal altamente capacitado y

certificado por prestigiosas organizaciones académicas internacionales. La empresa

ofrece tres líneas de negocio: soluciones, software y capacitación, y está

comprometida en desarrollar, implantar, mantener y mejorar continuamente su

Sistema de Gestión de Seguridad de la Información (SGSI) para proteger sus activos

de información y asegurar la confidencialidad, integridad y disponibilidad de estos.

En este contexto, la dirección de la firma ha establecido una política de seguridad de

 la información que busca garantizar el cumplimiento de los objetivos específicos de

seguridad de la empresa y establecer controles adecuados para prevenir la

destrucción, divulgación, modificación y utilización no autorizada de toda

información relacionada con clientes, empleados, precios, bases de conocimiento,

manuales, casos de estudio, códigos fuente, estrategia, gestión y otros conceptos. Esta

política establece objetivos anuales, un proceso de análisis de riesgos, concientización

y entrenamiento en seguridad de la información para el personal, y sanciones por

violaciones a la política de seguridad de la información y a cualquier política o

procedimiento del SGSI.

➢ Alcance

El alcance de este proyecto consiste en la implementación de un sistema de gestión

de proyectos para mejorar la eficiencia y efectividad en la planificación y ejecución

de las tareas del equipo de trabajo. Este sistema permitirá la asignación de tareas a los

miembros del equipo, el seguimiento de su progreso y la generación de informes de

avance. Además, el sistema proporcionará herramientas de comunicación y

colaboración para facilitar la coordinación entre los miembros del equipo. El equipo

de proyecto estará compuesto por expertos en desarrollo de software y en gestión de

proyectos para garantizar el éxito de la implementación.

➢ Objetivos de seguridad de la información

o Garantizar el cumplimiento de las regulaciones y leyes de seguridad aplicables

a la organización.
 o Asegurar la protección de la información y los sistemas críticos de la

organización contra amenazas internas y externas.

o Monitorear y evaluar continuamente los controles de seguridad de la

organización para garantizar su eficacia y eficiencia.

o Establecer y mantener políticas claras y consistentes para la gestión de

incidentes de seguridad, incluyendo la notificación, investigación y resolución

de incidentes.

o Mantener la capacidad de respuesta de la organización para recuperarse

rápidamente de los incidentes de seguridad y minimizar el impacto en la

continuidad del negocio.

➢ Principios de seguridad de la información

o Cumplimiento legal y regulatorio: Se deben establecer medidas de seguridad

para garantizar el cumplimiento de las leyes y regulaciones aplicables a la

protección de la información.

o Responsabilidad: Se debe establecer una política clara de responsabilidad para

garantizar que todas las partes interesadas sepan que se espera de ellas en

términos de seguridad de la información.

o Integridad: La información debe ser precisa, completa y confiable. Se deben

establecer medidas de seguridad para garantizar que la información no sea

alterada de manera no autorizada.

 o Confidencialidad: La información debe ser protegida contra accesos no

autorizados, divulgación o pérdida. Se deben establecer medidas de seguridad

para garantizar que solo aquellos que tienen permiso para acceder a la

información puedan hacerlo.

➢ Responsabilidades

o Dirección: serán responsables de liderar y apoyar el desarrollo de la política

de seguridad de la información en Datalatina, asegurándose de que esta

política esté alineada con los objetivos de la empresa y se implemente

adecuadamente en todas las áreas y niveles.

o Jefe seguridad de la información: tendrá la responsabilidad directa de

mantener la política de seguridad de la información, brindando consejo y guía

a los demás empleados para su implementación. Además, será responsable de

diseñar y ejecutar un plan de sensibilización en seguridad de la información

para asegurar que todos los empleados comprendan la importancia de la

seguridad de la información y cómo pueden contribuir a su protección.

o Empleados: serán responsables de preservar la confidencialidad, integridad y

disponibilidad de los activos de información de Datalatina. Deben cumplir

con la política de seguridad de la información y seguir los procedimientos y

políticas inherentes al sistema de gestión de la seguridad de la información de

la empresa, para garantizar la protección adecuada de los datos y la

información de la organización.
➢ Resultado Clave

o Mejora de la confidencialidad, integridad y disponibilidad de los activos de

información de la empresa Datalatina.

o Reducción del riesgo de pérdida de datos críticos y vulnerabilidades de

seguridad en la infraestructura tecnológica.

o Incremento de la cultura de seguridad en la empresa, promoviendo la

conciencia de los empleados sobre la importancia de proteger la información

y prevención de incidentes de seguridad.

➢ Políticas relacionadas

o Política de software no autorizado.

o Política del sistema de gestión de seguridad de la información (SGSI).

o Política de control de acceso.

o Política de software no autorizado

o Política de backups

o Política sobre la privacidad y protección de datos

o Política tratamiento de datos personales

o Política sobre el uso de servicios en red.

o Política sobre teletrabajo

Plan de implementación y desarrollo de política

a) Objetivos del SGS

• Garantizar la confidencialidad de la información de la empresa, asegurando

que solo aquellos con autorización tengan acceso a ella.

• Garantizar la integridad de la información de la empresa, asegurando que la

información sea precisa, completa y esté protegida contra cualquier

modificación no autorizada.

• Garantizar la disponibilidad de la información de la empresa, asegurando que

la información esté disponible para aquellos que la necesitan cuando la

necesitan.

• Identificar y evaluar continuamente los riesgos de seguridad de la información

para la empresa, y tomar medidas para mitigarlos.

• Hay que asegurar que todos los empleados, contratistas y terceros que

interactúan con la información de la empresa comprendan su responsabilidad

en la protección de la información.

• Establecer procedimientos y medidas de seguridad adecuados para prevenir,

detectar y responder a incidentes de seguridad de la información.

• Continuar mejorando el SGS y la política de seguridad de la información a

través de revisiones y actualizaciones periódicas.

 • Establecer métricas de desempeño y objetivos para el SGS y la política de

seguridad de la información, y medir y monitorear su efectividad de manera

continua.

b) Definición de alto nivel del alcance y marco de referencia para el SGSI

Alcance: El SGSI se aplicará a todos los procesos y actividades relacionados con

la gestión de la información dentro de Datalatina, incluyendo la adquisición,

creación, almacenamiento, procesamiento, transmisión y disposición de

información. El alcance también se extenderá a todos los empleados, contratistas

y terceros que tienen acceso a la información de la empresa.

Marco de referencia: El SGSI de Datalatina se basará en las normas y mejores

prácticas reconocidas internacionalmente, como ISO 27001. El marco de

referencia incluirá los siguientes elementos:

✓ Política de seguridad de la información: Esta política establece el

compromiso de Datalatina con la seguridad de la información y establece

los objetivos generales para el SGSI.

✓ Evaluación de riesgos: Datalatina realizará una evaluación de riesgos para

identificar los riesgos de seguridad de la información y tomar medidas

para mitigarlos.

✓ Controles de seguridad de la información: Datalatina implementará

controles de seguridad de la información para proteger la

confidencialidad, integridad y disponibilidad de la información.

 ✓ Procedimientos de gestión: Datalatina establecerá procedimientos de

gestión para garantizar la implementación efectiva del SGSI y para

monitorear y mejorar continuamente el sistema.

✓ Educación y concientización: Datalatina proporcionará educación y

concientización a los empleados, contratistas y terceros sobre la

importancia de la seguridad de la información y cómo cumplir con las

políticas y procedimientos de seguridad de la información de la empresa.

✓ Monitoreo y revisión: Datalatina monitoreará y revisará periódicamente

el SGSI para asegurarse de que sigue siendo efectivo y para realizar

mejoras continuas.

c) Procedimientos y controles que apoyan la política.

Los procedimientos y controles que apoyan la política de seguridad de la

información de la empresa Datalatina pueden variar según el alcance y marco de

referencia establecidos para su SGSI. Sin embargo, algunos procedimientos y

controles que se pueden implementar para apoyar la política de seguridad de la

información incluyen:

Acceso a los recursos de información: Se deben establecer controles de acceso

adecuados para asegurar que los usuarios solo tengan acceso a los recursos de

información que necesitan para realizar sus funciones.

Gestión de contraseñas: Se deben establecer políticas y procedimientos para la

gestión de contraseñas, incluyendo la complejidad de las contraseñas y la

frecuencia con la que deben ser cambiadas.

Monitoreo y detección de incidentes: Se deben establecer procedimientos y

controles para monitorear los sistemas y detectar posibles incidentes de seguridad.

Esto puede incluir la implementación de herramientas de monitoreo y análisis de

registros.

Copias de seguridad y recuperación de desastres: Se deben establecer políticas

y procedimientos para la realización de copias de seguridad de los datos y

sistemas críticos, y para la recuperación de desastres en caso de una interrupción

del servicio.

Control de acceso físico: Se deben establecer controles para asegurar que el

acceso físico a los recursos de información, como los centros de datos, estén

restringidos solo a las personas autorizadas.

Política de clasificación de información: Se deben establecer políticas y

procedimientos para la clasificación de información, lo que ayuda a determinar

qué medidas de seguridad son necesarias para proteger la información.

Seguridad de la red: Se deben establecer controles para asegurar la seguridad de

la red, incluyendo la implementación de cortafuegos y la configuración segura de

los dispositivos de red.

 Es importante que estos procedimientos y controles se ajusten a las necesidades

específicas de la organización y se adapten a los cambios en las amenazas y

riesgos de seguridad de la información.

d) Definición de roles y responsabilidades.

Alta dirección: La alta dirección es responsable de establecer la política de

seguridad de la información y asegurarse de que se cumpla en toda la

organización. También deben asignar los recursos necesarios para implementar y

mantener el SGSI, y comunicar regularmente el estado y la eficacia del SGSI a

toda la organización.

Responsable del SGSI: Esta persona es responsable de supervisar la

implementación, mantenimiento y mejora continua del SGSI. También debe ser

la persona de contacto para la comunicación y coordinación con las partes

interesadas externas, como auditores y clientes.

Propietarios de activos: Cada propietario de activos debe ser responsable de

proteger los activos que le fueron asignados, incluyendo la información. Esto

puede incluir la clasificación de la información, la implementación de controles

de acceso adecuados y la supervisión de la seguridad física de los activos.

Usuarios de la información: Todos los usuarios deben ser responsables de

cumplir con la política de seguridad de la información y usar dicha información

solo para fines autorizados. También deben reportar cualquier incidente a los

propietarios de activos o al responsable del SGSI.

 Equipo de seguridad de la información: El equipo de seguridad de la

información es responsable de desarrollar y mantener los procedimientos y

controles técnicos necesarios para implementar la política de seguridad de la

información.

Auditor interno: El auditor interno es responsable de evaluar la eficacia del SGSI

y proporcionar recomendaciones para mejorarlo. También pueden realizar

auditorías internas para asegurarse de que se están cumpliendo los procedimientos

y controles de seguridad de la información.

e) Indicación de alto nivel de alcance y limite a nivel físico de TICS y de

organización.

La dirección de Datalatina reconoce la importancia de identificar y proteger sus

activos de información evitando la destrucción, divulgación, modificación y

utilización no autorizada de toda información relacionada con clientes,

empleados, precios, bases de conocimiento, manuales, casos de estudio, códigos

fuente, estrategia, gestión, y otros conceptos; Así mismo, implantara un conjunto

de controles, tales como políticas, prácticas, procedimientos, estructuras

organizativas y funciones de software con el fin de garantizar que se cumplan con

los objetivos específicos de seguridad de la empresa. Además, se compromete a

desarrollar, implantar, mantener y mejorar continuamente el Sistema de Gestión

de Seguridad de la Información (SGSI) para lo cual se compromete a disponer los

 recursos necesarios (físicos, tecnológicos, económicos, humanos etc.) para el

mantenimiento del sistema de gestión de seguridad de la información.

Plan de sensibilización para la implementación de la política de

seguridad

A continuación, se presenta un plan de sensibilización para la implementación de la

política de seguridad de la información de la empresa Datalatina:

Introducción:

La seguridad de la información es un tema crucial para la empresa Datalatina, ya que

garantiza la confidencialidad, integridad y disponibilidad de la información. Por esta

razón, se ha desarrollado una política de seguridad de la información que establece

las medidas necesarias para proteger la información de la empresa. Para garantizar la

efectividad de esta política, es importante que todos los empleados se sensibilicen

sobre la importancia de la seguridad de la información y conozcan las prácticas

adecuadas para su protección.

Objetivos:

- Sensibilizar a los empleados sobre la importancia de la seguridad de la información.

- Conocer y comprender la política de seguridad de la información de Datalatina.

- Identificar los riesgos y amenazas que afectan la seguridad de la información en la

empresa.
- Conocer las medidas y controles de seguridad que se han implementado en la

empresa.

- Fomentar la cultura de seguridad de la información en la empresa.

Alineación a la política:

El plan de sensibilización estará alineado con los objetivos y principios establecidos

en la política de seguridad de la información de Datalatina.

Alcance:

El plan de sensibilización estará dirigido a todos los empleados de la empresa que

tengan acceso a la información de esta.

Roles y responsabilidades:

- La Dirección de la empresa será responsable de asegurar la implementación y

efectividad del plan de sensibilización.

- El área de Recursos Humanos será responsable de coordinar las actividades y de

asegurar la participación de los empleados.

- El área de Seguridad de la Información será responsable de la elaboración y difusión

del material educativo.

Metas:
- 100% de los empleados participantes en el plan de sensibilización deben conocer y

comprender la política de seguridad de la información de la empresa.

- Reducir el número de incidentes de seguridad de la información en un 50% en los

próximos 12 meses.

- Aumentar el nivel de cultura de seguridad de la información en la empresa en un

30% en los próximos 6 meses.

Definición de audiencia:

El plan de sensibilización estará dirigido a todos los empleados de la empresa que

tengan acceso a la información de esta. Se identificarán grupos específicos de

empleados según sus funciones y responsabilidades para adaptar el contenido del plan

de sensibilización.

Definición de temáticas:

- Introducción a la seguridad de la información.

- Riesgos y amenazas a la seguridad de la información.

- Política de seguridad de la información de Datalatina.

- Medidas y controles de seguridad de la información en la empresa.

- Buenas prácticas de seguridad de la información.

Actividades de sensibilización programadas:

- Sesiones de formación presenciales.

- Videos educativos.

- Correo electrónico con información relevante.

- Carteles y folletos informativos en lugares visibles de la empresa.

- Simulaciones de ataques de ingeniería social.

Materiales y recursos:

- Presentaciones de PowerPoint.

- Videos educativos.

- Folletos y carteles informativos.

- Simuladores de ataques de ingeniería social.

Duración:

El plan de sensibilización tendrá una duración de tres meses, con actividades

programadas semanalmente.

Definición de evaluación:

La evaluación del plan de sensibilización se llevará a cabo a través de encuestas de

satisfacción, análisis de estadísticas de cumplimiento de las políticas de seguridad de

la información, y revisiones periódicas del progreso en la implementación de las

prácticas de seguridad de la información.

Conclusiones:

Al finalizar el plan de sensibilización se espera que los empleados de Datalatina hayan

adquirido una comprensión clara de las políticas y procedimientos de seguridad de la

información de la empresa, así como también un compromiso activo en su

cumplimiento y una conciencia constante de los riesgos de seguridad de la

información.

Plan de mejora:

Si se identifican áreas de mejora durante la evaluación del plan de sensibilización, se

llevarán a cabo ajustes y mejoras para el plan de sensibilización en futuras iteraciones,

con el fin de mejorar su efectividad. Además, se mantendrá un enfoque continuo en

la sensibilización y educación en seguridad de la información en la empresa, con la

finalidad de mantener a los empleados actualizados y capacitados para enfrentar los

desafíos de seguridad de la información.