Datalatina Sgsi PDF

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 12

POLÍTICA DE SEGURIDAD DATALATINA

DOCENTE
ANDRÉS FELIPE ESTUPIÑAN

ELMER ANDRES COTRINO ANGEL

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO


MODALIDAD VIRTUAL
JUNIO 2020
Tabla de contenido
1. INTRODUCCIÓN ................................................................................................................... 3
2. OBJETIVO ............................................................................................................................. 3
3. GLOSARIO ............................................................................................................................ 4
4. CASO O PROBLEMA ............................................................................................................. 5
4.1. Defina la política de seguridad para Datalatina, según la estructura vista en el
Escenario 5. ................................................................................................................................. 6
4.1.1. Resumen de la política ............................................................................................... 6
4.1.2. Introducción ................................................................................................................ 6
4.1.3. Alcance ........................................................................................................................ 6
4.1.4. Objetivo....................................................................................................................... 7
4.2. Proponga un plan de implementación y desarrollo de política que contenga lo
siguiente ...................................................................................................................................... 7
4.2.1. Objetivos ..................................................................................................................... 7
4.2.2. Definición de alto nivel ............................................................................................... 8
 Marco de referencia para el SGSI ........................................................................................ 8
4.2.3. Procedimientos y controles que apoyan la política ................................................ 10
4.2.4. Definición de roles y responsabilidades .................................................................. 11
4.2.5. Indicación de alto nivel de alcance y límite a nivel físico de TICS y de organización.
12
4.1. Definir un plan de sensibilización para la implementación de la política de seguridad.
12
5. CONCLUSIONES ................................................................................................................. 12
1. INTRODUCCIÓN

Hoy en día las amenazas tecnológicas hacen parte de nuestro cotidiano trasegar y más aún
en las organizaciones, las cuales van desde diversas formas de suplantación, pasando por
los recientes ataques de ransomware y/o amenazas sofisticadas de nueva generación lo
cual nos exhorta a la implementación de controles que puedan ser gestionados a través de
un sistema enfocado de seguridad de la información que vaya alineado a los objetivos
corporativos.

Para Datalatina, la información es un activo fundamental para la prestación de sus servicios


y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de
protección de sus propiedades más significativas como parte de una estrategia orientada a
la continuidad del negocio, la administración de riesgos y la consolidación de una cultura
de seguridad. Consciente de sus necesidades actuales, Datalatina implementa un modelo
de gestión de seguridad de la información como herramienta que permite identificar y
minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costos
operativos y financieros, orienta a una cultura de seguridad y garantiza el cumplimiento de
los requerimientos legales, contractuales, regulatorios y de negocio vigentes.

2. OBJETIVO

A través del análisis que se realiza a la empresa Datalatina y de la idea de una política para
el Sistema de Gestión de Seguridad de la Información (SGSI), se procura entender los
conceptos básicos de esta, su estructura, su propósito y alternativa a manera de
implementación alineado al estándar de la serie ISO/IEC 27000.
3. GLOSARIO

 Política: Declaración de alto nivel que describe la posición de la entidad sobre un


tema específico.
 Estándar: Regla que especifica una acción o respuesta que se debe seguir a una
situación dada. Los estándares son orientaciones obligatorias que buscan hacer
cumplir las políticas. Los estándares son diseñados para promover la
implementación de las políticas de alto nivel de la entidad antes de crear nuevas
políticas.
 Alcance: La capacidad de cubrir una distancia o de alcanzar algo. Límites del
Sistema de Gestión.
 Activo: cualquier cosa que tenga valor para la empresa.
 Amenaza: causa potencial de un incidente no deseado, que puede ocasionar daño
a un sistema o a la empresa.
 Impacto: la consecuencia que al interior de la empresa se produce al materializarse
una amenaza.
 Procesos: se define un proceso de negocio como cada conjunto de actividades que
reciben una o más entradas para crear un producto de valor para el cliente o para
la propia empresa (concepto de cliente interno de calidad). Típicamente una
actividad empresarial cuenta con múltiples procesos de negocio que sirven para el
desarrollo de la actividad en sí misma.
 Desastre o contingencia: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras u otros medios necesarios
para la operación normal de un negocio.
 Integridad: Propiedad de salvaguardar la exactitud y el estado completo de los
activos.
 Disponibilidad: Propiedad de que la información sea accesible y utilizable por
solicitud de una entidad autorizada.
 Confidencialidad: propiedad que determina que la información no esté disponible
ni sea revelada a individuos, entidades o procesos no autorizados.
4. CASO O PROBLEMA

Datalatina es una firma latinoamericana dedicada al aseguramiento, gestión de riesgos,


calidad y seguridad de sistemas de información. El personal de consultores y docentes de
esta firma cuenta con las principales certificaciones internacionales asociadas al alcance
de sus tareas, las cuales han sido emitidas por prestigiosas organizaciones académicas,
como ISACA, PMI, DRI, entre otras. Esto, sumado a la vasta experiencia generada a través
de más de 30 años de compromiso con el cliente, hace de Datalatina una empresa líder en
las soluciones que ofrece. Las tres líneas de negocio de Datalatina son: soluciones,
software y capacitación. Línea de soluciones: provee consultoría y capacitación sobre buen
gobierno corporativo, con referentes como COSO y gobierno de TI con COBIT; gestión
integral de riesgo y auditoría; gestión de riesgos de lavado de activos y financiamiento
terrorista; gestión de seguridad de la información; gestión de continuidad del negocio,
tomando como referencia la norma ISO 22301; hacking ético; cumplimiento y legislación; y
soluciones personalizadas. Línea de software: Datalatina utiliza el software Meycor; ha
desarrollado aplicaciones para el gobierno de TI con Cobit, seguridad de la información ISO
27001 y gestión de riesgo corporativo alineado con la Norma ISO 31000. Línea de
capacitación: es un centro autorizado por ISACA para la capacitación y certificación en ISA,
CISM, CGEIT, CRISC, CISSP y DRI.

Datalatina es certifcada ISO/IEC 27001, lo cual asegura la calidad en términos de seguridad


según dicho estándar y cuenta con importantes clientes a nivel mundial, además, trabaja a
través de representantes en diferentes países.
4.1. Defina la política de seguridad para Datalatina, según la estructura vista en el
Escenario 5.

4.1.1. Resumen de la política

En una organización la información hace parte de los activos más importantes y valorados,
por lo tanto es menester que se aúnen esfuerzos para establecer, implementar, operar,
supervisar, mantener y mejorar un SGSI, siendo este un componente importante para
alcanzar los objetivos de la organización.

4.1.2. Introducción

Datalatina en función de su misión, visión y estrategia de negocio opta por implementar un


SGSI que pretende satisfacer la necesidad de mantener la confidencialidad, integridad y
disponibilidad de la información de la compañía y la de sus clientes, teniendo como
premisas la gestión del riesgo, el compromiso de los colaboradores en el mantenimiento y
en la mejora continua de los procesos.

Datalatina integra la Política de Seguridad de la Información como iniciativa para la


adopción de estándares, procedimientos, controles y demás políticas que aportan al buen
uso de la información proporcionando un ambiente que de forma continua minimice los
impactos que puedan afectar a la organización, cumpliendo con los requerimientos de
seguridad contractuales, normativos y legales vigentes.

4.1.3. Alcance

Esta política aplica a toda la entidad, sus funcionarios, terceros, aprendices, practicantes,
proveedores, clientes de Datalatina.
4.1.4. Objetivo
Establecer al interior de la organización las medidas, técnicas, físicas y legales, necesarias
para proteger los activos de información contra acceso no autorizado, divulgación,
duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo, o mal uso,
que se pueda presentar en forma intencional o accidental.

4.2. Proponga un plan de implementación y desarrollo de política que contenga lo


siguiente

4.2.1. Objetivos

 Proteger, preservar y administrar objetivamente la información de la


organización junto con las tecnologías utilizada para su procesamiento, frente a
amenazas internas o externas, deliberadas o accidentales, con el fin de
asegurar el cumplimiento de las características de confidencialidad, integridad,
disponibilidad, legalidad, confiabilidad y no repudio de la información.
 Mantener la Política de Seguridad de la Información actualizada, vigente,
operativa y auditada dentro de la metodología determinado por los riesgos
globales y específicos de la organización para asegurar su permanencia y nivel de
eficacia.
 Definir las directrices de la organización para la correcta valoración, análisis y
evaluación de los riesgos de seguridad asociados a la información y su impacto,
identificando y evaluando diferentes opciones para su tratamiento con el fin de
garantizar la continuidad e integridad de los sistemas de información.
4.2.2. Definición de alto nivel

 La alta dirección de la organización será responsable de asegurar que la política de


la seguridad de la información se gestione dentro, y a su vez establecerá
lineamientos para que esta política sea uniforme a los objetivos corporativos.
También se gestionará de forma periódica su verificación y mejora continua.
 Todas las personas cubiertas por el alcance, se espera se adhieran en un 100% a
la política, dando curso a los procedimientos y orientaciones dadas en el marco del
SGSI.
 Se define un lider de seguridad de la información, quien se encargara de gestionar
los controles que orienta la norma hacia la organización, dando continuo avance al
ciclo de este SGSI.

 Marco de referencia para el SGSI


Esta política es aplicable a las tres líneas de negocio; soluciones, software y capacitación
de Datalatina orientada a los tres ejes fundamentales para la seguridad de la información,
así como también a sus funcionarios (directivos, consultores y docentes), proveedores,
contratista y todo aquel que por su ejercicio tenga acceso a los activos de información de
la compañía y/o de sus clientes.

La seguridad de la información se caracteriza por la preservación de:

A. Su confidencialidad, asegurando que solo quienes estén autorizados pueden acceder a


la información.

B. Su integridad, asegurando que la información y sus métodos de proceso son exactos y


completos.

C. Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la


información y a sus activos asociados cuando lo requieran.

La seguridad de la información se consigue implantando un conjunto adecuado de


controles, tales como políticas, prácticas, procedimientos, estructuras organizativas y
funciones de software. Estos controles han sido establecidos para garantizar que se
cumplen los objetivos específicos de seguridad de la empresa.
Para la construcción del Sistema de Gestión Seguridad de la Información de Datalatina se
ha tomado como referencia:

o NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001:20013. Tecnologías de la


Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la
Información. Requisitos y su anexo A.
o Elaboración de la política general de seguridad y privacidad de la información.
MinTic
4.2.3. Procedimientos y controles que apoyan la política
Es política de Datalatina que:

N° Política Control
Se establezcan anualmente objetivos en relación con la seguridad de la
1 A.18
información.
Se desarrolle un proceso de análisis del riesgo y, de acuerdo con su resultado, A.12
se implementen las acciones correspondientes con el fin de tratar los riesgos
2 A.7
que se consideren inaceptables, según los criterios establecidos en el Manual
de Gestión. A.15
Se establezcan los objetivos de control y los controles correspondientes, en A.12
3 virtud de las necesidades que en materia de riesgos surjan del proceso de A.7
análisis de riesgos manejado.
A.15
Se cumpla con los requisitos del negocio, legales o reglamentarios, y las
4 A.18
obligaciones contractuales de seguridad.
Se brinde concientización y entrenamiento en materia de seguridad de la
5 A.7
información a todo el personal.
Se establezcan los medios necesarios para garantizar la continuidad del
6 A.17
negocio de la empresa.
Se sancione cualquier violación a esta política y a cualquier política o
7 A.7
procedimiento del SGSI.
Todo empleado es responsable de registrar y reportar las violaciones a la
8 A.7
seguridad, confirmadas o sospechadas.
Todo empleado es responsable de preservar la confidencialidad, integridad y
disponibilidad de los activos de información en cumplimiento de la presente
9 A.18
política y de las políticas y procedimientos inherentes al sistema de gestión de
la seguridad de la información
El jefe de seguridad de la información es responsable directo del
mantenimiento de esta política a través de brindar consejo y guía para su A.16
10
implementación, así como también de investigar toda violación reportada por
el personal.
4.2.4. Definición de roles y responsabilidades

 Seguridad previa a la contratación del personal.


Para toda persona que sea vinculada a la compañía, el área de Gestión Humana y
Administrativa debe asegurar las responsabilidades sobre seguridad de manera previa a la
contratación. Esta tarea debe reflejarse en una adecuada descripción del cargo y en los
términos y condiciones de la contratación.
 Seguridad durante el contrato.
El área de Gestión Humana y Administrativa debe desarrollar un programa efectivo y
continuo de concientización de protección de la información para todo el personal. También
se requiere de capacitación específica en administración de riesgos tecnológicos para
aquellos individuos que están a cargo de responsabilidades especiales de protección y los
conceptos básicos con que debe cumplir todo colaborador. Es responsabilidad y deber de
cada colaborador de Datalatina asistir a los cursos de concientización en seguridad de la
información que la empresa programe y aplicar la seguridad según las políticas y los
procedimientos establecidos por la empresa.
 Finalización o cambio de puesto.
El área de Gestión Humana y Administrativa debe asegurar que todos los colaboradores,
consultores, contratistas, terceras partes, que salgan de la empresa o cambien de puesto
de trabajo, hayan firmado un acuerdo de confidencialidad, cuyo cumplimiento será vigente
hasta que Datalatina lo considere conveniente, incluso después de la finalización del
contrato de trabajo. Se asegurará que la salida o movilidad de los colaboradores,
contratistas o terceros sea gestionada hasta la completa devolución de todos los activos y
retirada de los derechos de acceso.
4.2.5. Indicación de alto nivel de alcance y límite a nivel físico de TICS y de
organización.

La información es reconocida como uno de los activos más importantes y valorados para
Datalatina, por lo tanto es menester que se aúnen esfuerzos para establecer, implementar,
operar, supervisar, mantener y mejorar un SGSI, siendo este un componente importante
para alcanzar los objetivos de la organización. Es por eso que se compromete a disponer
de recursos tanto físicos, tecnológicos, financieros, informativos, de conocimiento y
humanos para liderar y fortalecer la seguridad de la información; cuyo fin es el
aseguramiento de la integridad, disponibilidad y confidencialidad de la información a través
de la gestión y tratamiento adecuado de los riesgos, en el marco de los requisitos de la
entidad, los legales o reglamentarios, y las obligaciones de seguridad contractuales; con
clientes, servidores públicos, proveedores y partes interesadas.

4.1. Definir un plan de sensibilización para la implementación de la política de


seguridad.
Se establece un plan de sensibilización para la política de seguridad de la información en
Datalatina como parte conexa a la búsqueda de los objetivos propuestos en la misma,
fundamento en que la información para que sea útil debe ser empleada y manipulada por
los usuarios, quienes a su vez hacen parte del factor de la ocurrencia de un evento de
seguridad, asi pues la integración de los usuarios a SGSI como actor estratégico en la
mitigación, manipulación y aceptación de riesgos. Ver: Plan de Sensibilización para la
implementación de la política de seguridad de la información en Datalatina.

5. CONCLUSIONES

 Se confirma la importancia de contar con objetivos de negocio bien establecidos,


divulgados y en constante evaluación.
 Se contempla la adaptabilidad de un SGSI con demás sistemas de gestión.
 Se encuentra importante profundizar y procurar autoestudio en gestión de riesgos
como una fuente importante de información para los sistemas de gestión y análisis
estratégicos de una organización.
 Se abre la oportunidad de actualizar los conocimientos ofrecidos en los escenarios
propuestos, orientando hacia sistemas o marcos de trabajo de ultima o reciente
implementación.

También podría gustarte

pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy