Documente Academic
Documente Profesional
Documente Cultură
ACTIVIDAD DE CONTEXTO
ESCENARIO 7
TEORÍA DE LA SEGURIDAD
ABRIL 2019
1
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Contenido
2
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Duración ............................................................................................................................................. 5
Definición de la Evaluación ............................................................................................................. 5
Plan de Mejora .................................................................................................................................. 5
3
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Resumen de la Política
Para Datalatina la información es su principal activo, por esto ha definido una Política de Seguridad
que le permita reconocer y proteger sus activos de información, mediante el aseguramiento en el
cumplimiento de los principios de confidencialidad, integridad y disponibilidad. Para ellos involucra
la participación tanto de trabajadores como de personal externo que pudiera tener acceso a
cualquier tipo de información.
Introducción
Su fuerza de trabajo está constituida por consultores y docentes con las más altas capacidades,
experiencia y respaldo en certificaciones internacionales que los facultan para ofrecer los mejores
servicios en cada una de sus tres líneas de negocio.
Alcance
Objetivos General
Definir los lineamientos necesarios y suficientes para salvaguardar la información tanto generada
como gestionada por Datalatina, asegurando la confidencialidad, integridad y disponibilidad; y con
el cumplimento de las disposiciones normativas, legales, operativas y tecnológicas que se
requieran para concordancia con los objetivos de la empresa.
4
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Objetivos Específicos
Principios
Se deben establecer los controles necesarios en todos los procesos y se deberá evaluar
regularmente su eficiencia para realizar los ajustes correspondientes.
Se deben tener en cuenta todos los riesgos asociados a los activos de información y tomas las
acciones que se requieran para mitigarlos y/o eliminarlos.
Responsabilidades
La alta dirección debe garantizar que la presente política este alineada con los objetivos de
Datalatina.
Todos los empleados son responsables de garantizar los principios de confidencialidad, integridad
y disponibilidad de la información
Resultados Clave
Se espera que toda la información cumpla con los principios de confidencialidad, integridad y
disponibilidad.
5
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Políticas Relacionadas
6
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Introducción
Objetivos
Fases de Implementación
Para el desarrollo del proyecto de implantación del SGSI en Datalatina se han tomado como
referencia una base metodológica de 5 fases que se describen a continuación:
Es importante que la Alta dirección comprenda que este no es un proyecto que le compete
únicamente al área de tecnología, sino que es transversal a todos los procesos de Datalatina,
además de requerirse el apoyo de la dirección para el levantamiento de la información. Es
importante que la dirección entienda que una correcta implementación del SGSI le permitirá
cumplir con la normatividad en lo que se refiere a protección de datos, privacidad y esto
ciertamente tendrá un impacto en el futuro de la empresa.
1
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Identificación de Activos: Se debe identificar y clasificar los activos de información físicos o lógicos
que tienen valor para Datalatina. Se deben identificar los procesos, hardware, software, personas,
redes, etc.
Se deben clasificar los activos de información de acuerdo con los requerimientos específicos de
seguridad y la criticidad que representan para Datalatina, así mismo se debe establecer quién es el
propietario y directo responsable de la seguridad de cada uno de ellos.
Se debe analizar además si los empleados y todo el personal que tiene acceso a los activos de
información, entiende las responsabilidades que tiene sobre estos con el fin de reducir la fuga de
información y el uso inadecuado de equipos e instalaciones.
Se deben definir los criterios de aceptación del riesgo, para delimitar de esta manera el nivel de
seguridad y los recursos y esfuerzos que requiere para mantenerse en este estado.
De acuerdo con lo establecido en la norma se deben identificar los diferentes escenarios de riesgo,
la estimación del riesgo y la evaluación de los mismos.
2
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Políticas y controles
Valoración de riesgos
Tratamiento de riesgos
Declaración de aplicabilidad
Compromiso de todas las personas involucradas en el desarrollo del proyecto de
implementación
Inventario de activos de Información
No conformidades y Acciones correctivas
Planes de acción preventiva / correctiva
Planes de Monitoreo
Planes de Auditoria
Revisión del SGSI por parte de la Dirección
3
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
4
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Todos los empleados de Datalatina son los encargados de la implementación de las estrategias
para dar cumplimiento al SGSI
Revisar periódicamente los controles y documentos para asegurar los resultados previstos.
Analizar los incidentes de seguridad, y validar con quien corresponda las actividades
correctivas que fueran necesarias
Definir los lineamientos que den guía y soporte en temas se SGSI
Dueño de procesos, cualquier empleado o contratista que utilice información en el uso de sus
funciones.
5
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Introducción
Objetivos
Establecer los lineamientos que debe seguir Datalatina en cuanto al entrenamiento y formación de
todo el personal en lo que concierne a la Política de seguridad de la Información, asegurando el
conocimiento y las competencias para cumplir con los objetivos de la compañía.
Alcance
Este plan de sensibilización esta dirigido a todo el personal directo, contratista, proveedores de
Datalatina que tenga acceso a cualquiera de los activos de información de la empresa y que
generen o manejen información de cualquier tipo.
Roles y responsabilidades
Directivos
1
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Líderes de procesos
Responsables de la Información
Metas
Definición de la Audiencia
2
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Definición de temáticas
3
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
4
POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0
Materiales y Recursos
Duración
Definición de la Evaluación
Evaluaciones y cuestionarios
Foros
Entrevistas selectivas a usuarios finales
Verificación y evaluación de incidentes reportados a partir de la implementación de la
Política.
Ataques de ingeniería social luego de las capacitaciones para evaluar reacción de los
usuarios.
Plan de Mejora