POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

ACTIVIDAD DE CONTEXTO

ESCENARIO 7

AVELLANEDA LEIVA LAURA VICTORIA

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOBIANO

MÓDULO TEÓRICO PRÁCTICO

TEORÍA DE LA SEGURIDAD

ABRIL 2019

1
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

Contenido

POLITICA DE SEGURIDAD DE LA INFORMACION ................................................................ 4

Resumen de la Política .................................................................................................................... 4
Introducción ....................................................................................................................................... 4
Alcance............................................................................................................................................... 4
Objetivos General ............................................................................................................................. 4
Objetivos Específicos....................................................................................................................... 5
Principios ........................................................................................................................................... 5
Responsabilidades ........................................................................................................................... 5
Resultados Clave ............................................................................................................................. 5
Políticas Relacionadas .................................................................................................................... 6

PLAN DE IMPLEMENTACIÓN Y DESARROLLO DE LA POLÍTICA .................................... 1

Introducción ....................................................................................................................................... 1
Objetivos ............................................................................................................................................ 1
Fases de Implementación ............................................................................................................... 1
Procedimiento y controles que apoyan la política ....................................................................... 3
Definición de roles y Responsabilidades ...................................................................................... 5

PLAN DE SENSIBILIZACIÓN PARA LA IMPLEMENTACIÓN DE LA POLÍTICA DE

SEGURIDAD ..................................................................................................................................... 1
Introducción ....................................................................................................................................... 1
Objetivos ............................................................................................................................................ 1
Alineación con la Política ................................................................................................................ 1
Alcance............................................................................................................................................... 1
Roles y responsabilidades .............................................................................................................. 1
Metas .................................................................................................................................................. 2
Definición de la Audiencia ............................................................................................................... 2
Definición de temáticas ................................................................................................................... 3
Actividades de sensibilizaciones programadas ........................................................................... 3
Materiales y Recursos ..................................................................................................................... 5

2
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

Duración ............................................................................................................................................. 5
Definición de la Evaluación ............................................................................................................. 5
Plan de Mejora .................................................................................................................................. 5

3
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

POLITICA DE SEGURIDAD DE LA INFORMACION

Resumen de la Política

Para Datalatina la información es su principal activo, por esto ha definido una Política de Seguridad
que le permita reconocer y proteger sus activos de información, mediante el aseguramiento en el
cumplimiento de los principios de confidencialidad, integridad y disponibilidad. Para ellos involucra
la participación tanto de trabajadores como de personal externo que pudiera tener acceso a
cualquier tipo de información.

Introducción

Datalatina, es una empresa que se dedica a la buena gestión y la calidad en la seguridad de

diferentes sistemas de información.

Su fuerza de trabajo está constituida por consultores y docentes con las más altas capacidades,
experiencia y respaldo en certificaciones internacionales que los facultan para ofrecer los mejores
servicios en cada una de sus tres líneas de negocio.

A través de la generación de soluciones, software y capacitaciones a la medida de las necesidad

de los clientes Datalatina busca implementar siempre las mejores prácticas y los controles
necesaria que garanticen el cumplimento de su principal objetivo en el aseguramiento de los
sistemas de información.

Alcance

La presente Política de Seguridad de la Información aplica a toda a todo Datalatina, sus

trabajadores, contratistas, proveedores, personal aprendiz y cualquier persona que tenga acceso a
la información a través de Documentos físicos y electrónicos, equipos, infraestructura, canales de
comunicación, bases de datos y sistemas de información.

Objetivos General

Definir los lineamientos necesarios y suficientes para salvaguardar la información tanto generada
como gestionada por Datalatina, asegurando la confidencialidad, integridad y disponibilidad; y con
el cumplimento de las disposiciones normativas, legales, operativas y tecnológicas que se
requieran para concordancia con los objetivos de la empresa.

4
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

Objetivos Específicos

 Asegurar el cumplimiento de los principios de la información: confidencialidad, integridad y

disponibilidad de la información.
 Evaluar y establecer anualmente los objetivos relacionados con la Seguridad de la
Información, alienados con las metas y objetivos de la empresa.
 Concientizar a los empleados en la importancia de la aplicación y cumplimiento de la
Política de la seguridad de la información
 Mantener la confianza de los clientes respecto al manejo, tratamiento y protección que se
da a la información que administra.

Principios

Todos los sistemas de información se deben ajustar a la normativa vigente.

Todo el personal de Datalatina debe conocer y aplicar la Política de seguridad de la información.

Anualmente se deben establecer objetivos con relación a la seguridad de la Información alineados

con los objetivos de la empresa.

Se deben establecer los controles necesarios en todos los procesos y se deberá evaluar
regularmente su eficiencia para realizar los ajustes correspondientes.

Se deben tener en cuenta todos los riesgos asociados a los activos de información y tomas las
acciones que se requieran para mitigarlos y/o eliminarlos.

Responsabilidades

La alta dirección debe garantizar que la presente política este alineada con los objetivos de
Datalatina.

Todo empleado es responsable de registrar y reportar las violaciones a la seguridad, confirmadas o

sospechadas.

Todos los empleados son responsables de garantizar los principios de confidencialidad, integridad
y disponibilidad de la información

El jefe de seguridad de la información es responsable directo del mantenimiento de esta política a

través de brindar consejo y guía para su implementación, así como también de investigar toda
violación reportada por el personal.

Todo el personal es responsable de la seguridad de la información como parte de su trabajo.

Resultados Clave

Se espera que toda la información cumpla con los principios de confidencialidad, integridad y
disponibilidad.

5
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

La evaluación constante y ajuste a las necesidades de la empresa a nivel de seguridad de la

información en concordancia con el cumplimiento de los objetivos misionales de Datalatina.

El sentido de pertenencia, interiorización y cumplimiento de los empleados hacia la política de

SGSI, asegurando la eliminación y mitigación de riesgos por un correcto cumplimiento de la
misma.

Políticas Relacionadas

 Política del sistema de Gestion de Seguridad de la Información

 Política de uso de correo electrónico
 Política de uso de Internet
 Política uso de Usuarios y Contraseñas
 Política uso de Dispositivos de Almacenamiento
 Política Adquisición, desarrollo y mantenimiento de software
 Política de Entrenamiento, capacitación y Formación
 Política de Protección de Datos Personales
 Política Respaldo de la Información (Backups)

6
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

PLAN DE IMPLEMENTACIÓN Y DESARROLLO DE LA POLÍTICA

Introducción

La implementación de una política de la seguridad de la información es tan importante como la

política misma, pues de nada sirve a la empresa tener definidos los objetivos que quiere alcanzar si
no tiene el plan de navegación que le permita la correcta ejecución de la misma.

Objetivos

Definir con claridad la forma de implementación del Sistema de Gestion de seguridad de la

Información, los tiempos de ejecución, documentos a elaborar, controles y responsabilidades con
base en los requisitos dados por la norma ISO 27001

Fases de Implementación

Para el desarrollo del proyecto de implantación del SGSI en Datalatina se han tomado como
referencia una base metodológica de 5 fases que se describen a continuación:

Fase 1. Aprobación de la Dirección para iniciar el proyecto de Implementación

Es importante que la Alta dirección comprenda que este no es un proyecto que le compete
únicamente al área de tecnología, sino que es transversal a todos los procesos de Datalatina,
además de requerirse el apoyo de la dirección para el levantamiento de la información. Es
importante que la dirección entienda que una correcta implementación del SGSI le permitirá
cumplir con la normatividad en lo que se refiere a protección de datos, privacidad y esto
ciertamente tendrá un impacto en el futuro de la empresa.

En esta fase se hace necesario el cumplimento de hitos que permitan el avance en la

implementación.

 Se deben establecer las prioridades de Datalatina para el desarrollo de un SGSI. Se

requiere el conocimiento de la organización al interior y en su contexto.
 Se debe definir el alcance preliminar del SGSI, a través del conocimiento de las
expectativas y necesidades de todas las partes interesadas, se debe definir que se requiere
definir que se quiere proteger de manera preliminar; así como los requisitos establecidos
por la Dirección y todas las obligaciones impuestas externamente.
 Se debe definir claramente los tiempos, recursos ECONOMICOS y de personal que se
requieren para la ejecución de la implementación, estos deben estar avalados por la
dirección pues es quien aprueba el presupuesto en caso de que se requieran realizar
actividades de mitigación de riesgos.

1
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

Fase 2. Definición del Alcance

Debido a la complejidad en la aplicación de la norma, se recomienda iniciar la implementación con

el proceso de la Línea de Soluciones, en la medida en que se avance en este se reevaluar el plan y
la dirección definirá si lo implementa en las líneas de Software y Capacitación.

Fase 3. Análisis de la Organización

Identificación de Activos: Se debe identificar y clasificar los activos de información físicos o lógicos
que tienen valor para Datalatina. Se deben identificar los procesos, hardware, software, personas,
redes, etc.

Se deben clasificar los activos de información de acuerdo con los requerimientos específicos de
seguridad y la criticidad que representan para Datalatina, así mismo se debe establecer quién es el
propietario y directo responsable de la seguridad de cada uno de ellos.

Se debe analizar además si los empleados y todo el personal que tiene acceso a los activos de
información, entiende las responsabilidades que tiene sobre estos con el fin de reducir la fuga de
información y el uso inadecuado de equipos e instalaciones.

Fase 4. Valoración y Tratamiento de Riesgos

Dado que la implementación se realizara inicialmente sobre el proceso de Soluciones de

Datalatina, sobre este mismo se realizara la identificación, valoración y tratamiento de riesgos. Se
debe realizar el análisis de las amenazas y vulnerabilidades lo cual requerirá las siguientes
actividades:

 Listado de Amenazas y Vulnerabilidades, identificando claramente cuales se presentan de

manera accidental y cuáles de manera intencional.
 Identificación de riesgos internos en el proceso de Soluciones, se deben analizar tanto las
actividades, como las amenazas identificadas.
 Identificación de los riesgos externos del Proceso de Soluciones
 Análisis de ambiente organizacional, tecnológico y otros aspectos que puedan rodear el
entorno de Datalatina.

Se deben definir los criterios de aceptación del riesgo, para delimitar de esta manera el nivel de
seguridad y los recursos y esfuerzos que requiere para mantenerse en este estado.

De acuerdo con lo establecido en la norma se deben identificar los diferentes escenarios de riesgo,
la estimación del riesgo y la evaluación de los mismos.

Fase 5: Diseño del SGSI

Durante la Implementación del SGSI se redactaran los siguientes documentos:

 Análisis de la Situación Actual y Contexto de Datalatina

2
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

 Políticas y controles
 Valoración de riesgos
 Tratamiento de riesgos
 Declaración de aplicabilidad
 Compromiso de todas las personas involucradas en el desarrollo del proyecto de
implementación
 Inventario de activos de Información
 No conformidades y Acciones correctivas
 Planes de acción preventiva / correctiva
 Planes de Monitoreo
 Planes de Auditoria
 Revisión del SGSI por parte de la Dirección

Procedimiento y controles que apoyan la política

 Procedimientos de Gestion de Usuarios

 Procedimiento de Mantenimiento
 Procedimiento de Gestion de Incidentes
 Procedimiento actualización de Software
 Procedimiento Seguridad y Monitoreo de Redes

OBJETIVO DE CONTROL CONTROL

POLITICAS DEL SGSI
ORGANIZACION INTERNA
RECURSOS HUMANOS
RESPONSABILIDAD SOBRE LOS
ACTIVOS
CONTROL DE ACCESOS
Políticas para el SGSI.
Revisión de las Políticas del SGSI
Asignación de responsabilidades para la seguridad de la
información.
Seguridad de la información en la gestión de proyectos
Investigación de Antecedentes
Términos y condiciones de contratación
Cese o cambio de puesto de trabajo
Inventario de Activos
Propiedad de los activos
Uso de los activos
Devolución de los activos
Directrices de clasificación
Etiquetado y manipulación de la información
Manipulación de Activos
Gestion de Soportes
Política de control de accesos
Control de acceso a redes y servicios asociados
Gestion de Usuarios
Gestion de Contraseñas
Restricción de Acceso a la información

3
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

OBJETIVO DE CONTROL CONTROL

Procedimientos seguros de inicio de sesión
Control de acceso al código fuente de los programas
Gestion de Claves
CIFRADO
Política de uso de los controles criptográficos
Controles físicos de entrada.
Seguridad de oficinas, despachos y recursos
Protección contra las amenazas externas y ambientales.
SEGURIDAD FISICA Seguridad de cableado
AMBIENTAL Mantenimiento de equipos
Seguridad de los activos fuera de las instalaciones
Equipo informático de usuario desatendido
Política de puesto de trabajo, despejado y bloqueado
Documentación de procedimientos de operación
Gestion de cambios
Gestion de capacidades
SEGURIDAD EN LA Separación de entornos de desarrollo, prueba y producción
OPERACIÓN Controles contra código malicioso
Copias de seguridad de la información
Instalación de Software en sistemas en producción
Restricciones en la instalación de software
Controles de Red
SEGURIDAD EN Políticas y Procedimientos de intercambio de información
TELECOMUNICACIONES Mensajería Electrónica
Acuerdos de Confidencialidad
Seguridad de las comunicaciones en servicios accesibles por
redes públicas
ADQUISICION DESARROLLO Y Política de desarrollo seguro de software.
MANTENIMIENTO DE LOS Procedimientos de control de cambios en los sistemas
SISTEMAS DE INFORMACION Seguridad en entornos de desarrollo
Pruebas de funcionalidad durante el desarrollo de los sistemas
Protección de los datos utilizados en pruebas
Responsabilidades y procedimientos
INCIDENTES EN LA Notificación de los eventos de seguridad de la información
SEGURIDAD DE LA Respuesta a los incidentes de seguridad.
INFORMACION Valoración de eventos de seguridad de la información y toma de
decisiones
GESTION DE INCIDENTES DE Planificación de la continuidad de la seguridad de la información
LA INFORMACION EN LA Verificación, revisión y evaluación de la continuidad de la
GESTION DE LA CONTINUIDAD seguridad de la información.
DEL NEGOCIO
Identificación de la legislación aplicable.
Derechos de propiedad intelectual (DPI).
Protección de los registros de la organización.
CUMPLIMIENTO
Revisión independiente de la seguridad de la información.
Cumplimiento de las políticas y normas de seguridad.
Comprobación del cumplimiento.

4
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

Definición de roles y Responsabilidades

Todos los empleados de Datalatina son los encargados de la implementación de las estrategias
para dar cumplimiento al SGSI

Jefe de Seguridad de la información es responsable directo del mantenimiento de esta política a

través de brindar consejo y guía para su implementación, así como también de investigar toda
violación reportada por el personal

 Revisar periódicamente los controles y documentos para asegurar los resultados previstos.
 Analizar los incidentes de seguridad, y validar con quien corresponda las actividades
correctivas que fueran necesarias
 Definir los lineamientos que den guía y soporte en temas se SGSI

Propietario de los activos de Información, se entiende como cualquier empleado directo,

contratista, proveedor, aprendiz al cual se le ha asignado la responsabilidad sobre cualquiera de
los activos de información de Datalatina

 Cumplir con la política de seguridad de la información aprobada por la Dirección.

 Ayudar en la identificación de los activos de información, su clasificación, las amenazas y
vulnerabilidades que aplican a cada uno de ellos.
 Identificar, evaluar y definir los riesgos a los que pudieran estar expuestos los activos de
información.
 Informar oportunamente cualquier anomalía que pudiera afectar la disponibilidad,
integridad y confidencialidad de la información.
 No divulgar la información clasificada sin autorización

Dueño de procesos, cualquier empleado o contratista que utilice información en el uso de sus
funciones.

 Utilizar los activos de información únicamente para el desempeño de las funciones

definidas por Datalatina.
 No divulgar la información clasificada sin autorización
 Conocer la clasificación de los activos de información que maneja.

5
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

PLAN DE SENSIBILIZACIÓN PARA LA IMPLEMENTACIÓN DE LA POLÍTICA DE SEGURIDAD

Introducción

Tan importante como la definición de una Política de seguridad de la Información es el plan de

sensibilización y comunicación de la misma, pues de ellos depende que todas las personas que
intervienen en el manejo y generación de la información sepan cómo se debe manejar y asegurar.
De la misma manera es importante conocer los recursos, tiempos y responsables de esta
divulgación, para de esta manera asegura una correcta implementación que se ajuste al
cumplimento de los objetivos de cada área y de la empresa.

Objetivos

Establecer los lineamientos que debe seguir Datalatina en cuanto al entrenamiento y formación de
todo el personal en lo que concierne a la Política de seguridad de la Información, asegurando el
conocimiento y las competencias para cumplir con los objetivos de la compañía.

 Definir los temas para capacitar en Seguridad de la Información.

 Crear una cultura respecto a los principios de la información en donde todo el personal
directo y contratista de Datalatina de un tratamiento adecuado a la información.
 Completar y perfeccionar las competencias de los trabajadores en lo relacionado a la
seguridad de la información de acuerdo con su perfil, cargo y funciones.

Alineación con la Política

El presente plan de sensibilización está alineado con la política general de seguridad de la

información definida por Datalatina, para el cumplimiento de los objetivos del negocio y
contempla la participación de todos los colaboradores de la empresa.

Alcance

Este plan de sensibilización esta dirigido a todo el personal directo, contratista, proveedores de
Datalatina que tenga acceso a cualquiera de los activos de información de la empresa y que
generen o manejen información de cualquier tipo.

Roles y responsabilidades

Directivos

Todo el personal en Niveles directivos y de mando que apoyará la implementación de la política se

seguridad de la información así:

 Autorizar a todo el personal que este a su cargo en la participación de las actividades de

sensibilización.

1
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

 Participar en las actividades de sensibilización que apliquen a sus roles de dirección.

 Concientizar al personal en la implementación correcta de las acciones necesarias para el
cumplimiento de los objetivos de la política de seguridad de la información.

Líderes de procesos

Los líderes de los procesos de Soluciones, Software y Capacitaciones

 Coordinar la participación de sus equipos de trabajo en las actividades que se dispongan

para la sensibilización y capacitación.
 Asegurar que sus procesos sean tenidos en cuenta dentro de las actividades de
sensibilización.
 Identificar necesidades de los procesos para poder definir actividades que permitan
cubrirlas en materia de sensibilización en seguridad de la Información.

Responsables de la Información

Cualquier empleado o contratista que utilice información en el uso de sus funciones.

 Participar en todas las actividades propuestas que apliquen a su cargo, funciones, y

procesos en que participe.
 Identificar formas de implementar las acciones de mejora y recomendaciones en temas de
seguridad de la información dadas por el plan de sensibilización en sus actividades diarias.
 Proponer actividades y nuevos temas a tratar en futuras sensibilizaciones de acuerdo a las
nuevas necesidades identificadas en los procesos.

Metas

 Cantidad de Empleados directos que asisten a todas las actividades de sensibilización

 Todo el personal de Datalatina debe conocer la Política general de seguridad de la
Información y como aplica para cada uno de sus procesos
 Los clientes y contratistas deben conocer las generalidades de la Política que les aplican.
 Identificación de acciones de mejora y nuevos riesgos para actualización de la política.

Definición de la Audiencia

La sensibilización se segmentara de acuerdo a los 3 procesos que maneja la empresa: Soluciones.

Software y Capacitaciones de manera que las actividades están orientadas a los objetivos propios
de cada segmento.

2
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

Definición de temáticas

 Conociendo la Política de la Seguridad de la Información

 Identifica tus comportamientos
 Amenazas a la Seguridad de la Información
 Las Políticas de Seguridad de la Información y su aplicación
 Información segura en Datalatina
 Protección de Datos Personales

Actividades de sensibilizaciones programadas

TEMA ACTIVIDAD FECHA TIEMPO RESPONSABLE

Conociendo la Política
de la Seguridad de la Video - Charla Julio 15 15 Minutos Juan Jose Perez
Información
A través de la visualización de un video en el que se explica y socializa la
Política los participantes tendrán un primer acercamiento con esta. Se
DESCRIPCIÓN
realizara una reunión con todo el personal. Posteriormente el video será
publicado en la Intranet de Datalatina

TEMA ACTIVIDAD FECHA TIEMPO RESPONSABLE

Identifica tus
Taller Julio 20 a Julio 25 60 Minutos Diana Rangel
comportamientos
Se realizara un taller con cada uno de los grupos de trabajadores de los
diferentes procesos para que estos identifiquen sus comportamientos
DESCRIPCIÓN seguros e inseguros respecto al manejo de la información. Posteriormente
deberán revisar a la luz de la Política cuales son las mejores prácticas para
corregir o mejorar estos comportamientos.

TEMA ACTIVIDAD FECHA TIEMPO RESPONSABLE

Amenazas a la
Seguridad de la Charla Julio 30 30 Minutos Diana Rangel
Información
Se realizara una charla en la que se explican las diferentes amenazas más
DESCRIPCIÓN comunes, las identificadas dentro de la empresa y como estas afectan cada
uno de los procesos.

3
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

TEMA ACTIVIDAD FECHA TIEMPO RESPONSABLE

Las Políticas de
Seguridad de la
Charla - Taller Agosto 2 120 Minutos Juan Jose Perez
Información y su
aplicación
Se explicara a los colaboradores de Datalatina las diferentes políticas que
DESCRIPCIÓN intervienen en el tema de Seguridad de la Información. Posteriormente se
realizara un taller de aplicación de las mismas con ejemplo prácticos.

TEMA ACTIVIDAD FECHA TIEMPO RESPONSABLE

Información segura en
Campaña Visual Permanente Permanente Ramiro Jimenez
Datalatina
A través de esta campaña que se realizara con mensajes enviados a través
del correo electrónico, publicaciones en la Intranet y publicación de
DESCRIPCIÓN carteles en diferentes áreas de la empresa, se dará a conocer a los
empleados tipos de seguridad de la información y claves a cerca de la
aplicación de la Política.

TEMA ACTIVIDAD FECHA TIEMPO RESPONSABLE

Protección de Datos
Correo electrónico Agosto 7 15 Minutos Andres Rodriguez
Personales
Se enviara correo electrónico en donde se dará a conocer la normatividad
DESCRIPCIÓN que aplica a la Protección de Datos Personales y la Política definida para tal
fin por Datalatina.

TEMA ACTIVIDAD FECHA TIEMPO RESPONSABLE

Boletín de la
Correo electrónico Permanente Cada 15 dias Ramiro Jimenez
Seguridad
Quincenalmente se enviara un boletín a través del correo electrónico a
DESCRIPCIÓN todos los empleados con nuevas noticias a cerca de la implementación de
la Política, Tips de Seguridad y otros temas relacionados.

TEMA ACTIVIDAD FECHA TIEMPO RESPONSABLE

Divulgación plan de
Sensibilización de la
Charla Septiembre 15 60 Minutos Juan Jose Perez
Seguridad de la
Información
Se dará a conocer a todos los empleados de Datalatina los resultados
DESCRIPCIÓN obtenidos luego de la divulgación, implementación y sensibilización de la
Política de Seguridad de la Información.

4
 POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0

Materiales y Recursos

Para la implementación de la política de Seguridad de la Información se necesitan los siguientes

recursos:

 Elementos de Oficina y Papelería para la elaboración de talleres y actividades

 Boletines vía mail
 Video con la presentación de la Política
 Carteles informativos en Diferentes áreas de la empresa con tips de Seguridad
 Divulgación a través de la Intranet
 Correo electrónico
 Sala de Juntas
 Diapositivas y presentaciones que apoyen las actividades.

Duración

El presente plan de sensibilización se desarrollara en un tiempo de 3 meses contados a partir del 1

de Julio del presente año. Se desarrollaran algunas actividades con fechas específicas y otras serán
de aplicación permanente mientras dura el plan.

Definición de la Evaluación

Se definen algunos métodos para la evaluación de la correcta implementación de la sensibilización

de la Política de seguridad de la Información.

 Evaluaciones y cuestionarios
 Foros
 Entrevistas selectivas a usuarios finales
 Verificación y evaluación de incidentes reportados a partir de la implementación de la
Política.
 Ataques de ingeniería social luego de las capacitaciones para evaluar reacción de los
usuarios.

Plan de Mejora

Para el plan de mejora se deberán tener en cuenta os incidentes, observaciones generadas en e

todo el proceso de sensibilización, así como los sistemas de información y software que se haya
implementado posterior a la implementación. Se deben tener en cuenta los cambios que hayan
surgido en la planta de personal para asegurar que siempre todo el personal de Datalatina conoce
la política de seguridad de la información.