Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

CONTROL DE CAMBIOS DEL DOCUMENTO

No Apartado Página Descripción de la modificación Aprobó Fecha del

cambio

DISTRIBUCIÓN Y COPIAS DEL PROCEDIMIENTO

Cantidad de copias Departamento Fecha en que se recibe Firma de recibido

1 Dirección General 20/07/2018
1 Planeación 20/07/2018
1 Finanzas 20/07/2018
1 Atención a Clientes 20/07/2018
1 Legal 20/07/2018
1 Ventas 20/07/2018
1 Crédito 20/07/2018
1 Tesorería 20/07/2018
1 Cobranza 20/07/2018
1 Post- venta 20/07/2018
1 TI 20/07/2018
1 Recursos Humanos 20/07/2018
1 Contabilidad 20/07/2018

Elaboró Revisó Autorizó

Responsable de Proceso Responsable Área Dirección

Este documento contiene información CONTROLADA, propiedad de CREDITOS FACILITOS SOFOM

ENR y sólo podrá ser empleada internamente, cualquier divulgación a terceros deberá ser
expresamente autorizada por el Director General

ÍNDICE
1
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

Página
INTRODUCCIÓN 4
SECCIÓN 1
1. Alcance. 5
1.1. Generalidades. 5
1.2. Aplicación. 5
SECCIÓN 2 5
2. Referencias Normativas.
2.1. Referencias del Sistema de Gestión de Seguridad de la
Información. 5
SECCIÓN 3
3. Definiciones. 6
3.1. Términos y definiciones. 6
SECCIÓN 4
4. Sistema de Gestión de Seguridad de la Información. 12
4.1. Comprensión de la organización y su contexto. 12
4.2. Comprensión de las necesidades y expectativas de
las partes interesadas. 15
4.3. Alcance del Sistema de Gestión de Seguridad de la
Información. 16
4.4. Sistema de Gestión de la Seguridad de la Información y su
Proceso. 18
SECCIÓN 5
5. Liderazgo. 19
5.1. Liderazgo y compromiso. 19
5.2. Política. 20
5.3. Roles y Responsabilidades. 21
SECCIÓN 6
6. Planificación. 22
6.1. Acciones para abordar riesgos y oportunidades. 22
6.2. Objetivos de la Seguridad de la Información y
planificación para lograrlos. 22
6.3. Planificación de los cambios. 23
SECCIÓN 7
7. Apoyo. 24
7.1. Recursos. 24
7.2. Competencia. 25

7.3. Toma de Conciencia. 26

7.4. Comunicación. 26
7.5. Información documentada. 27

2
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

SECCIÓN 8
8. Operación. 28
8.1. Planificación y control operacional 28
8.2. Apreciación de los riesgos de seguridad de la información. 28
8.3. Tratamiento de los riesgos de seguridad de información 29
SECCIÓN 9
9. Evaluación del desempeño. 29
9.1. Seguimiento Medición, Análisis y Evaluación. 29
9.2. Auditoría Interna. 30
9.3. Revisión por la dirección. 30
SECCIÓN 10
10. Mejora. 32
10.1. No conformidad y acciones correctivas. 32
10.2. Mejora Continua. 32

INTRODUCCIÓN
3
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

El presente Manual de Gestión, refleja la convicción que tenemos para que el Sistema de Gestión de
Seguridad de la Información documentado, satisfaga los requisitos de la norma internacional ISO
27001:2013 así como entender y satisfacer las necesidades y expectativas de nuestros clientes
internos y externos, al recopilar todos los conocimientos adquiridos y desarrollados a través del
tiempo, documentando las mejores prácticas adquiridas, mejorando la administración de la
empresa, agrupando el estudio y el esfuerzo continuo de los integrantes y colaboradores de B1 SOFT

En este Manual se describen los lineamientos bajo los cuales B1 SOFT, cumple con los requisitos
establecidos en la Norma Internacional ISO 27001:2013, y su equivalente Mexicana NMX-CC-27001-
IMNC-2013.

Con el fin de:

● Satisfacer los requisitos de la norma internacional ISO 27001:2013

● Documentar las mejores prácticas de negocio de la empresa
● Entender y satisfacer más adecuadamente las necesidades y las expectativas de sus clientes
● Mejorar la administración global de la empresa
● Establecer que la integridad, confidencialidad y disponibilidad de la información es
primordial para la satisfacción de los clientes

El manual describe nuestro Sistema de Gestión en la Seguridad de la Información, perfila los campos
de autoridad, las relaciones y los deberes del personal responsable del desempeño de la empresa.

El manual está dividido en secciones que están directamente relacionadas con los requisitos de la
norma Internacional ISO/IEC 27001:2013, que deben ser cumplidos y mantenidos para asegurar la
satisfacción del cliente, la mejora continua y brindar las directivas necesarias que generen una fuerza
laboral dotada de poder, autoridad y responsabilidad con integridad, confidencialidad y
disponibilidad.

SECCIÓN 1
4
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

1. Alcance

1.1. Generalidades
Este manual describe la interacción de los procesos para el otorgamiento de créditos personales
dentro de B1 SOFT, traza las políticas, los procedimientos y los requisitos de nuestro Sistema de
Gestión de Seguridad de la Información.
El sistema está estructurado de tal forma que cumpla con los requisitos establecidos en la Norma
Internacional ISO 27001:2013.
El presente manual de Seguridad de la Información tiene como objetivo dictaminar los lineamientos
de nuestro Sistema de Gestión de la Seguridad de la Información para:

 Demostrar su capacidad para proporcionar de forma coherente servicios que satisfagan los
requisitos de seguridad para con el cliente y los reglamentarios aplicables;
 Aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema,
incluidos los procesos para la mejora continua del sistema y el aseguramiento de la
seguridad de la información en conformidad con los requisitos del cliente y los
reglamentarios aplicables.

1.2. Aplicación
En B1 SOFT, se ha establecido, documentado, implementado y mantenido un Sistema de Gestión de
Seguridad de la Información, en el cual queda establecido el compromiso e involucramiento de la
dirección, en el cual se promueve y gestiona la mejora continua del Sistema de Gestión de Seguridad
de la Información.

SECCIÓN 2

2. Referencias Normativas

2.1. Referencias del Sistema de Gestión de seguridad de la Información

Durante la implementación de nuestro Sistema de Gestión de seguridad de la información se usaron
como referencia los siguientes documentos:

● Norma Mexicana NMX-CC-018:1996-IMNC Directrices para desarrollar manuales de calidad.

● Norma Mexicana NMX-CC-9000-IMNC-2015. Sistemas de Gestión de la
Calidad-Fundamentos y vocabulario.
● ISO/IEC 27000:2013, Information technology — Security techniques — Information security
management systems — Overview and vocabulary
● ISO/IEC 27001:2013, Information technology - Security Techniques - Information security
management systems — Requirements

5
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

● ISO/IEC 27002:2013, Information technology -- Security techniques -- Code of practice for

information security controls

SECCIÓN 3

3. Definiciones

3.1. Términos y definiciones

Para el propósito del Manual de Calidad, son aplicables los términos y definiciones dados en la
Norma Internacional ISO 27000:2013 Sistemas – Fundamentos y Vocabulario.

Término Definición
Acción tomada para eliminar la causa de una no conformidad detectada u otra situación no
Acción correctiva
deseable.

Aceptación del riesgo Decisión informada en favor de tomar un riesgo.

Alcance de la auditoría Extensión y límites de una auditoría.

Alta dirección Persona o grupo de personas que dirigen y controlan una organización al más alto nivel.

Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a

Amenaza
una organización.

Análisis del riesgo Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo.

Proceso global que comprende la identificación del riesgo, el análisis del riesgo y la evaluación
Apreciación del riesgo
del riesgo.

Tentativa de destruir, exponer, alterar, inhabilitar, robar o acceder sin autorización o hacer un
Ataque
uso no autorizado de un activo.

Propiedad o característica de un objeto que es cuantitativa o cualitativamente distinguible por

Atributo
medios humanos o automáticos.

Proceso sistemático, independiente y documentado para obtener registros, declaraciones de

Auditoría hechos o cualquier otra información y evaluarlas de manera objetiva con el fin de determinar el
grado en que se cumplen los criterios establecidos

Autenticación Aportación de garantías de que son correctas las características de una entidad reivindicada
para sí misma.

Autenticidad Propiedad consistente en que una identidad es lo que dice ser.

Calidad Al cumplimiento de especificaciones establecidas para garantizar la aptitud de uso.

Capacidad Aptitud de una organización, sistema o proceso para realizar un producto que cumple con los
requisitos para ese producto.

Cliente Persona o entidad que utiliza los productos o servicios de un profesional o empresa.

Colectivo que comparte Grupo de organizaciones que acuerdan compartir información.

información

6
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

Conformidad Cumplimiento de un requisito.

Competencia Aptitud demostrada para aplicar los conocimientos y habilidades.

Comunicación y consulta Procesos iterativos y continuos que realiza una organización para proporcionar, compartir u
del riesgo obtener información y para establecer el diálogo con las partes interesadas, en relación con la
gestión del riesgo.

Propiedad de la información por la que se mantiene inaccesible y no se revela a individuos,

Confidencialidad
entidades o procesos no autorizados.

Conformidad Cumplimiento de un requisito.

Consecuencia Resultado de un suceso que afecta a los objetivos.

Contexto externo Entorno externo en el que la organización busca alcanzar sus objetivos

Contexto interno Entorno interno en el que la organización busca alcanzar sus objetivos.

Continuidad de la Procesos y procedimientos para asegurar la continuidad de las actividades relacionadas con la
seguridad de la seguridad de la información.
información

Contratar externamente Establecer un acuerdo mediante el cual una organización externa realiza parte de una función
(Verbo) o proceso de una organización.

Control Medida que modifica un riesgo.

Control de acceso Medios para asegurar que el acceso a los activos está autorizado y restringido en función de
los requisitos de negocio y seguridad.

Corrección Acción para eliminar una no conformidad.

Criterios de Auditoría Conjunto de políticas, procedimientos o requisitos que se utilizan para determinar la necesidad
de una acción o de una mayor investigación. o para describir el nivel de confianza en un
resultado determinado.

Criterios de Riesgo Términos de referencia respecto a los que se evalúa la importancia de un riesgo.

Datos Conjunto de valores asociados a medidas básicas, medidas derivadas y/o indicadores.

Desempeño Resultado medible.

Disponibilidad Propiedad de ser accesible y estar listo para su uso a demanda de una entidad autorizada.

Dirección ejecutiva Persona o grupo de personas en las que los órganos de gobierno han delegado la
responsabilidad de implementar estrategias y políticas para alcanzar la misión de la
organización.
Documentos Medio en donde se soportan los datos o información necesaria para la organización.
Dueño del riesgo Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo.
Eficacia Grado en el cual se realiza las actividades planificadas y se logran los resultados planificados.

7
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

Entidad de confianza para Organización independiente que sustenta el intercambio de información dentro de un colectivo
la comunicación de que comparte información.
información

Escala Conjunto ordenado de valores, continúo o discreto o un conjunto de categorías a las que se
asigna el atributo.
Estructura organizacional Disposición de responsabilidades, autoridades y relaciones entre el personal.
Evaluación del riesgo Proceso de comparación del resultado del análisis de riesgo con los criterios de riesgo para
determinar si el riesgo y/o su magnitud son aceptables o tolerables.
Evento Ocurrencia o cambio de un conjunto particular de circunstancias.

Evento o suceso de Ocurrencia detectada en el estado de un sistema, servicio o red que indica una posible
seguridad de la violación de la política de seguridad de la información, un fallo de los controles o una situación
información desconocida hasta el momento y que puede ser relevante para la seguridad.
Fiabilidad Propiedad relativa a la consistencia en el comportamiento y en los resultados deseados.

Función de medición Algoritmo o cálculo realizado para combinar dos o más medidas básicas.
Gestión de incidentes de
Procesos para la detección, notificación, evaluación, respuesta, tratamiento, y aprendizaje de
seguridad de la
incidentes de seguridad de la información.
información
Gestión del riesgo Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.
Gobernanza de la
Conjunto de principios y procesos mediante los cuales una organización dirige y supervisa las
Seguridad de la
actividades relacionadas con la seguridad de la información.
información
Identificación del riesgo Proceso que comprende la búsqueda, el reconocimiento y la descripción de los riesgos.

Incidente de seguridad de Evento singular o serie de eventos de seguridad de la información, inesperados o no deseados,
la información que tienen una probabilidad significativa de comprometer las operaciones del negocio y de
amenazar la seguridad de la información.
Indicador Medida que proporciona una estimación o una evaluación de determinados atributos usando
un modelo analítico para satisfacer unas determinadas necesidades de información.
Información Información que una organización tiene que controlar y mantener, y el medio en el que está
documentada contenida.

Inspección Evaluación de la conformidad por medio de observación y dictamen, acompañada cuando sea
apropiado por medición, ensayo/prueba o comparación con patrones.
Integridad Propiedad de exactitud y completitud.

Manual de calidad Documento que especifica el Sistema de Gestión de la Calidad de una organización.

Medición Proceso para determinar un valor.

Medida Variable a la que se le asigna un valor como resultado de una medición.

Medida básica
Medida definida por medio de un atributo y el método para cuantificarlo.

Medida derivada Medida que se define en función de dos o más valores de medidas básicas.

Mejora Continua Actividad recurrente para aumentar la capacidad para cumplir los requisitos.

Método de medición Secuencia lógica de operaciones, descritas genéricamente, utilizada en la cuantificación de un

8
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

atributo con respecto a una escala especificada.

Modelo analítico Algoritmo o cálculo que combina una o más medidas básicas o derivadas siguiendo los
criterios de decisión asociados a las mismas.
Necesidades de
Conocimiento necesario para gestionar los objetivos, las metas, el riesgo y los problemas.
información
Nivel de riesgo Magnitud de riesgo o combinación de riesgos, expresados en términos de la combinación de
las consecuencias y de su probabilidad.

No conformidad Incumplimiento de un requisito.

No repudio Capacidad para corroborar que es cierta la reivindicación de que ocurrió un cierto suceso o se
realizó una cierta acción por parte de las entidades que la originaron.

Norma de
Documento que especifica las formas autorizadas para satisfacer las necesidades de
implementación de la
seguridad.
seguridad
Objetivo Resultado a lograr.

Objetivo de control Declaración que describe lo que se quiere lograr como resultado de la implementación de
controles.
Objetivo de la revisión Declaración que describe lo que se quiere lograr como resultado de una revisión.

Objeto Elemento caracterizado por medio de la medición de sus atributos.

Objeto en revisión Elemento específico que está siendo revisado.

Organización Conjunto de personas e instalaciones con una disposición de responsabilidades, autoridades y

relaciones para el logro de sus objetivos.

Órgano de Gobierno Conjunto de personas que responden y rinden cuentas del desempeño de la organización.

Parte Interesada Persona u organización que puede afectar, estar afectada o percibir que está afectada por una
decisión o actividad.

Perfil del Puesto Es el conjunto de los niveles educativos, el tiempo de experiencia laboral, los conocimientos y
las competencias que una persona demuestra poseer a través de los títulos, certificaciones y/o
pruebas correspondientes.

Política Intenciones y dirección de una organización, como las expresa formalmente su alta dirección.

Probabilidad Posibilidad de que algún hecho se produzca.

Producto El artículo final, que se alcanza cuando se cumplen todos los términos y condiciones del
contrato. (Por ejemplo: bienes manufacturados, mercancías, servicios, etc.).

Proceso Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman
elementos de entrada en productos.

Proceso de gestión del Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de
riesgo comunicación, consulta, establecimiento del contexto e identificación, análisis, evaluación,
tratamiento, seguimiento y revisión del riesgo.

Proyecto del SGSI Actividades estructuradas llevadas a cabo por una organización para implementar un SGSI.

Recursos (instalaciones) Cualquier sistema de tratamiento de la información, servicio o infraestructura, o los lugares
de tratamiento de físicos que los albergan.
información

Reproceso Acción tomada sobre un producto no conforme para convertirlo en aceptable.

9
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

Requisito Necesidad o expectativa establecida, generalmente implícita u obligatoria.

Resultado de las Uno o más indicadores y sus correspondientes interpretaciones que abordan una necesidad de
mediciones información.

Revisión Actividad que se realiza para determinar la idoneidad, la adecuación y la eficacia del tema
estudiado para conseguir los objetivos establecidos.

Riesgo Efecto de la incertidumbre sobre la consecución de los objetivos.

Riesgo residual Riesgo remanente después del tratamiento del riesgo.

Satisfacción del cliente Percepción del cliente sobre el grado en que se han cumplido sus expectativas y requisitos.

Seguridad de la
Preservación de la confidencialidad, la integridad y la disponibilidad de la información
información

Sistema Administrativo
de Es la Organización que debe establecer, documentar, implementar y mantener un Sistema
la Calidad Administrativo de la Calidad.

Sistema de información Aplicaciones, servicios, activos de tecnologías de la información y otros componentes para
manejar información.

Sistema de Gestión Conjunto de elementos de una organización interrelacionados o que interactúan para
establecer políticas, objetivos y procesos para lograr estos objetivos.

Supervisión, seguimiento Determinación del estado de un sistema, un proceso o una actividad.

o monitorización

Tratamiento del riesgo Proceso destinado a modificar el riesgo.

Trazabilidad Capacidad de reconstruir la historia, localización de un elemento o de una actividad, por medio
de registros de identificación

Unidad de medida Cantidad concreta, definida y adoptada por convenio, con la cual se comparan otras cantidades
de la misma naturaleza a fin de expresar su magnitud en relación a dicha cantidad.

Validación Confirmación mediante la aportación de evidencia objetiva de que se han cumplido los
requisitos para una utilización o aplicación específica prevista.

Verificación Confirmación mediante la aportación de evidencia objetiva de que se han cumplido los
requisitos específicos.

Vulnerabilidad Debilidad de un activo o de un control que puede ser explotada por una o más amenazas.

10
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

SECCIÓN 4

4. Sistema de Gestión de Seguridad de la Información

4.1. Comprensión de la organización y su contexto

B1 SOFT, determinó realizar un análisis FODA para considerar dentro de su sistema de gestión de
seguridad de la información las cuestiones externas e internas que son pertinentes para el propósito
y dirección estratégica de la empresa, para posteriormente definir y alinear los objetivos del sistema
de gestión de Seguridad de la Información.

B1 SOFT, realiza el seguimiento y la revisión de la información sobre estas cuestiones externas e

internas a través del siguiente análisis FODA.

Tabla 1. MATRIZ FODA

MATRIZ FODA

DEBILIDADES

DEBILIDADES ESTRATEGIA OBJETIVOS/CALIDAD RESPONSABILIDADES/RECURSOS

1. Falta de a) Diseñar planes de -Emisión del Plan de -Recursos humanos

cierre de créditos capacitación especializados capacitación especializada 1/$350.00 MXN
por capacitación en nuestros productos y/o en productos y/o servicios
básica del servicios a vendedores para
donde se incluya a todo el
personal de que consoliden las ventas y
personal de ventas (Marzo
ventas. mejoren la atención al -Recursos humanos /$15,00. 00 MXN
cliente. 2018).
(Mensual, suponiendo una plantilla de
5 vendedores) (1 Recursos humanos
-Inicio de plan de /550.00 MXN)
capacitación a vendedores
(abril 2018).

-Análisis de ventas antes de

capacitación VS ventas
después de capacitación

11
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

2. Posible fuga de a) Implementación -Diseño y sensibilización -Responsable de área (dueño de

información sensible de un Sistema de del SGSI ISO 27001, en un proceso), área de Calidad y Dirección
Gestión de Seguridad máximo de 6 meses, a General. / Inversión de contratación de
de los servicios
de la Información ISO
partir de Agosto del 2018. consultoría
ofrecidos por la 27001.
$300,000.00 MXN y
organización
-Implementación del SGSI -Capacitación de personal interno como
en un máximo de 6 meses, líder de proyecto Calidad, con diplomado
a partir de su liberación. de auditor líder
ISO 27001:2013 $30,000.00
MXN
-Comunicación continúa del
-Responsable de área (dueño de proceso)
SGSI, al menos cada 6
/calidad. $20,000.00 por gastos derivados
meses, después de su
de capacitación (papelería, consumibles,
implantación.
etc).
·
-Monitoreo y seguimiento
del SGSI, después de su -Responsable de área (dueño de proceso)
implantación, realizar al /calidad/recursos humanos. $30,000.00
menos cada 6 meses, las MXN anuales para implementación de
auditorías de recertificación intranet, u otro medio electrónico de
por un organismo comunicación corporativa. $10,000.00
certificador. MXN anuales para carteles, folletos, etc.

-Calidad / Dirección General, $120,000.00

MXN anuales, por concepto de servicio
de auditoría de recertificación por parte
de Organismo Certificador.

AMENAZAS

AMENAZA ESTRATEGIA OBJETIVOS/CALIDAD RESPONSABILIDADES/RECURSOS

1. Cambio en la a) Implementar los 1. Contar con por lo menos -Responsable del proceso de planeación
reglamentación cambios necesarios con 2 asesores en materia (Cotización depende del alcance y lo que
financiera Nacional y en la estructura financiera y imple los cambios)
gubernamental. interna y, procesos.
gubernamental que de
soporte al negocio para la
b) Alinearse lo más
adopción de los cambios
pronto posible a los
cambios de los de forma transparente
reglamentos para para nuestros clientes y
seguir siendo la partes interesadas.
mejor opción de
nuestros clientes.

2. Falta de flujo a) Análisis del flujo de -Aumento del 25% del -Responsable de dirección e
económico para los créditos, para flujo económico base inversionistas
cubrir monto de establecer el aumento para asegurar cubrir el
créditos de flujo para créditos. monto de créditos

OPORTUNIDADES

12
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

OPORTUNIDAD ESTRATEGIA OBJETIVOS/CALIDAD RESPONSABILIDADES/RECURSOS

1. Aplicación a) Desarrollar  Aumento del 5% de -Responsable de TI, responsable de

móvil que internamente asignación de créditos TI, Responsable de planeación
permita realizar aplicación que se (inversión de recursos internos
en zonas rurales.
asignación de enfoque a los procesos $80,000.00)
créditos en de integración de
campo expediente y
asignación de crédito

2. Colocación del b) Envió de 4 vendedores  25 levantamientos de  Responsable de planeación,

servicio especializados por una crédito por vendedor Ventas y Crédito.
“Crédito semana a los estados por semana. (Inversión de recursos internos y
personal” en piloto para la captación externos $100,000.00)
los estados de de nuevos clientes.
Monterrey y
Guadalajara

FORTALEZAS

Fortaleza ESTRATEGIA OBJETIVOS/CALIDAD RESPONSABILIDADES/RECURSOS

1. Facilidad del a) Seguir apoyando -Aumentar un 5% del  Responsable de planeación,

área de ventas al área de ventas mercado foráneo con Ventas y Crédito.
para encontrar y su personal respecto nuestro ejercicio (Inversión de recursos internos y
nuevos nichos externos $100,000.00)
para seguir anterior.
de mercado.
consiguiendo
nuevos clientes

a) Mejora de
2. Reducción en -Reducir un 10% las
procesos y
tiempos de caídas en los sistemas
optimización de  Reingeniería de diagramas de
respuesta a que atrasan el cierre de
recursos conexión de la empresa
clientes y créditos.
tecnológicos. ($ 40,000.00)
sistemas más
ágiles y
organizados b) Incrementar la
por -Digitalización de
disponibilidad de expedientes de clientes para
implementación
de sistemas de información para contar con la información
 1 nuevo recuso en la plantilla
gestión de agilizar procesos disponible en los sistemas de
base.
calidad y validación de expediente.
seguridad

4.2. Comprensión de las necesidades y expectativas de las partes

interesadas.
En B1 SOFT determinamos que los puntos que a continuación se describen, hacen referencia a las
necesidades y expectativas de las partes interesadas de nuestra organización.
● Mantener la confidencialidad e integridad de los documentos y datos a los que se tenga
acceso o estén bajo nuestro resguardo, ya sean de nuestros clientes o terceras partes con las
que guardemos relación.

13
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

● Establecer los niveles de servicio requeridos de los sistemas de información críticos para
mantenernos alineados con los objetivos de la organización.
● Mantener establecidos los acuerdos de confidencialidad con nuestros socios, proveedores,
colaboradores o cualquier involucrado en el manejo de información o documentos de la
empresa o de terceros.
● Cumplir con la normatividad y leyes relacionadas a la protección de datos, de secreto
industrial o de derechos de autor.
Enseguida se enlistan las partes interesadas y sus requisitos dentro del Sistema de Gestión de
Seguridad de la Información de B1 SOFT, así como su seguimiento.

Parte Producto (bien o servicio) que Especificaciones del Seguimiento al

interesada recibe del sistema de gestión producto (bien o servicio) cumplimiento
de la organización

Personal - Sueldo y Prestaciones - En tiempo y forma -Contrato de personal

actualizado (este debe
- Prestaciones de Ley
incluir las prestaciones a
- Acuerdos de Confidencialidad. -Cumplimiento de la ley de las que tiene derecho).
-Reglamento y políticas de protección de datos personales -Convenio de
trabajo a realizar dentro de la en posesión de particulares. confidencialidad
organización. -Políticas de seguridad internas actualizado dentro de
de la organización. contrato.
- Capacitación - Interna / Externa -Cumplimiento de las
medidas disciplinarias y
sanciones.
-Evaluación de la
capacitación y
competencias del personal.

Clientes -Información del estatus de -Notificación del seguimiento y

solicitud de su crédito. avance de su asignación de -PC-CR (Estatus de
crédito. Expediente)
- Cláusulas, convenios y -PC-CR (Crédito)
-Contrato de su crédito. amortización de su crédito. -PC-CR (Culminación
-Notificación de liquidación. de crédito)
-Cierre de crédito
Parte Producto (bien o servicio) que Especificaciones del Seguimiento al
interesada recibe del sistema de gestión producto (bien o servicio) cumplimiento
de la organización

Socios y - Información financiera. -Ingresos, egresos y utilidades. -Seguimiento financiero

Accionistas -Estado en el que se encuentra (Estados financieros)
- Revisión por la Dirección
el Sistema de Gestión de -Seguimiento de la
seguridad de la información y situación de la empresa
sus procesos. cumplimiento de metas u
objetivos del SGSI
FR-DGE-CDO.
Entidades -Contratos y acuerdos de -Obligaciones contractuales y -Contratos vigentes.
Financieras Confidencialidad convenios de confidencialidad -Convenios de
confidencialidad
actualizados.

14
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

Outsourcing - Contrato/Convenio/OC - Alcance, requerimientos y -Selección, Evaluación de

- Acuerdos de obligaciones contractuales. Proveedores.
Confidencialidad
-Acuerdos de Niveles de
Servicio (SLA)
Gobierno - Cumplimiento de normas y - Acreditaciones y certificaciones -Auditorías de tercera parte
leyes vigentes y vigilancia de cumplimiento
regulatorio

4.3. Alcance del Sistema de Gestión de Seguridad de la Información

En B1 SOFT el alcance de nuestro sistema de Gestión de Seguridad de la Información, se ha definido
mediante el Contexto de la Organización, análisis de partes interesadas y el Mapeo y Evaluación del
Riesgos inicial, estos análisis dan como resultado los procesos necesarios para nuestro SGSI:
Alcance
Alcance Objetivos
Soluciones de IT certificadas por el SAT. Reducir las caídas del sistema
Disponibilidad del sistema de expedientes
Todo el personal de la organización contara con
capacitación en seguridad de la información
Detectar cambios no autorizados en datos
Mantener la confidencialidad de los archivos digitales
Evitar fuga de información
No repudio de registros
Áreas responsables
Crédito
Áreas de soporte
Finanzas, Planeación, Recursos Humanos, Legal.
Cada proceso es supervisado, medido y analizado por el Dueño del Proceso para identificar las
acciones necesarias con el fin de evaluar los riesgos potenciales que puedan afectar la disponibilidad,
integridad y confidencialidad de la información. Ver apartado 9.1 Seguimiento, medición, análisis y
evaluación.
La siguiente imagen, representa el Mapeo de Proceso entre los departamentos y áreas del Sistema
de Gestión de Seguridad de la Información de B1 SOFT, así como la interacción de los mismos dentro
de la empresa.

Mapeo de los Procesos de B1 SOFT

15
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

Sistema de Gestión B1 SOFT

B1 SOFT, identifica los procesos necesarios para el sistema de Gestión de Seguridad de la

Información y su aplicación a través de la organización (Ver apartado 1.2. Aplicación).
B1 SOFT, asegura la disponibilidad de recursos e información necesario para apoyar la operación y el
seguimiento de estos procesos (Ver apartado 7 Apoyo).

4.4. Sistema de Gestión de la Seguridad de la Información y sus procesos

16
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

B1 SOFT, ha establecido, documentado e implementado un Sistema de Gestión de la Seguridad de la

Información de acuerdo con los requisitos de ISO 27001:2013.
El análisis FODA, los objetivos de calidad, los resultados de las auditorías internas y externas, las
acciones correctivas y gestión de riesgos, la Revisión de la Dirección, evaluaciones a los proveedores
y satisfacción de clientes son algunas de las técnicas y las herramientas que B1 SOFT, usa para medir
y mejorar el sistema continuamente.

SECCIÓN 5

5. Liderazgo

5.1. Liderazgo y compromiso

5.1.1. Generalidades
La alta dirección de B1 SOFT, demuestra su liderazgo y compromiso con respecto al sistema de
gestión de la seguridad de la información:
 Asume la responsabilidad y obligación de rendir cuentas con relación a la eficacia del sistema
de gestión de la seguridad de la información (véase procedimiento PR-DGE-RED Revisión por
la Dirección); Asegurar que se establezcan las políticas y los objetivos de seguridad de la
información para el sistema de gestión de seguridad de la información, y que éstos son
compatibles con el contexto y la dirección estratégica de la organización (véase 5.2) Política,
en este manual);
 Asegurar la integración de los requisitos del sistema de gestión de seguridad de la
información en los procesos de negocio de la organización;
 Promoviendo el uso del enfoque a procesos y el pensamiento basado en riesgos;
 Asegurar que los recursos necesarios para el sistema de gestión de la seguridad de la
información estén disponibles (ver apartado 7 Apoyo, de este manual);
 Comunicando la importancia de una gestión de la seguridad de la información eficaz y
conforme con los requisitos del sistema de gestión de seguridad de la información (véase
procedimiento PR- DGE-COM Comunicación); ü Asegurar que el sistema de gestión de
seguridad de la información logre los resultados previstos;
 Comprometiendo, dirigiendo y apoyando a las personas, para contribuir a la eficacia del
sistema de gestión de seguridad de la información;
 Promoviendo la mejora continua;
 Apoyar otros roles pertinentes de la dirección, para demostrar su liderazgo en la forma en la
que aplique a sus áreas de responsabilidad;
 La alta dirección asegura la satisfacción del cliente mediante el análisis de los indicadores
claves (efectividad del servicio y sistema de quejas y sugerencias) los cuales ayudan a la
empresa a tener un enfoque de satisfacción total hacia nuestros clientes cumpliendo sus
especificaciones y necesidades (véase FR-DGE-EQE Quejas y sugerencias).

5.1.2. Enfoque al cliente

 Se comprenden y cumplen todos los requisitos del cliente, así como los legales y
reglamentarios aplicables.

17
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

 Proporciona de forma coherente productos y servicios que cumplen los requisitos de la

norma.
 Se determinan y se consideran los riesgos y oportunidades que pueden afectar a la
conformidad de los productos y servicios y a la capacidad de aumentar la satisfacción del
cliente.
 Se mantiene el enfoque para el aumento de la satisfacción del cliente.

5.2. Política
5.2.1. Establecimiento de la Política de seguridad de la información
En nuestra organización la política de Seguridad de la Información se encuentra completamente
alineada al pensamiento estratégico de la organización debido a que fue generada a partir del objeto
estratégico Misión.

Enseguida se muestra la misión, visión y política de Seguridad de la Información de B1 SOFT

Misión

B1 SOFT es una microfinanciera que impulsa una iniciativa de generación de valor social, económico
y humano a nuestros clientes, estamos comprometidos con la sociedad en generar confianza y
oportunidades de desarrollo.

Visión
Ser una microfinanciera líder en las finanzas populares y reconocida a nivel nacional dentro de los
próximos (5) años; ofreciendo servicios de crédito seguro, rápido y accesible, innovando nuestros
esquemas y ampliando las fronteras del sector financiero.

Política de seguridad de la información

B1 SOFT tiene el objetivo de brindar servicios que cumplan con las expectativas de las partes
interesadas manteniendo la confidencialidad e integridad de todos los documentos y registros de
nuestros clientes, y conservando los niveles óptimos de disponibilidad de los servicios,
comprometidos con la mejora continua de nuestro sistema de gestión.

5.2.2. Comunicación de la Política de Calidad

La Alta Dirección ha establecido la Política de Seguridad de la Información con la finalidad de
transmitirla a toda la organización, estableciendo como responsable al área de Recursos Humanos,
encargado de difundir a través de diversas estrategias de comunicación la misma, además de evaluar
si es accesible y comprendida por el personal.

5.3. Roles y Responsabilidades

La alta dirección se asegura que las responsabilidades y autoridades están definidas y sean
comunicadas dentro de la organización por medio de su organigrama institucional.
Las responsabilidades relacionadas con el Sistema de Gestión de la Seguridad de la
18
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

Información de B1 SOFT, están definidas en la siguiente tabla.

ROL PUESTO QUE LO RESPONSABILIDAD Y AUTORIDAD

DESEMPEÑA

Director - Director de - Definir política y objetivos

Responsable Operaciones
- Evaluar el contexto de la organización
del Sistema
- Proporcionar los recursos necesarios para el Sistema de
de Gestión
Gestión
- Designar responsabilidades y autoridades
- Realizar la revisión del Sistema de Gestión
- Evaluar y aprobar las estrategias propuestas para la
administración de la información

Coordinador - Coordinador de - Fungir como el dueño de los procesos de:

del SG Procesos 1) Gestión del Conocimiento y Mejora Continua y
2) Gestión de Riesgos
- Mantener la Política del Sistema de Gestión mediante la
provisión de consejos y guías sobre su implementación
- Asegurarse que todos los directivos sean responsables
de implementar la Política del Sistema de Gestión al
interior de sus áreas de negocio y del cumplimiento de la
misma por el personal a su cargo
- Establecer las prioridades en las acciones correctivas y
de mejora

Dueño de -Personal designado - Definir la documentación requerida para el proceso

Proceso - Capacitar a los operadores de su proceso en el uso y
aplicación de la documentación
- Implementar, mantener y mejorar su proceso
- Medir el desempeño del proceso
- Identificar y analizar las no conformidades en su proceso
y aplicar las acciones correctivas y preventivas

Operador de -Personal designado - Realizar sus actividades en conformidad con la

Proceso documentación del Sistema de Gestión
- Participar en la mejora de los procesos en los que participa

Auditor Líder - Coordinador de - Coordina al equipo auditor

Procesos - Programa las auditorías al Sistema de Gestión
- Planea las auditorías
- Elabora y presenta el informe de auditoría

Auditor - Ejecuta las auditorías

Personal designado
Interno - Da seguimiento a los hallazgos de las auditorías

SECCIÓN 6

6. Planificación

19
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

6.1. Acciones para abordar riesgos y oportunidades

6.1.1. Generalidades
B1 SOFT, realizó la planificación del sistema de gestión de seguridad de la información, considerando
las cuestiones referidas en el apartado 4.1 y los requisitos referidos en el apartado 4.2, de este
manual, para determinar los riesgos y oportunidades que es necesario abordar con el fin de:
 Asegurar que el sistema de gestión de seguridad de la información pueda lograr sus
resultados previstos.
 Prevenir y reducir los efectos no deseados.
 Lograr una mejora continua.

6.1.2. Evaluación de los riesgos en la seguridad de la información.

B1 SOFT, ha establecido el procedimiento PR-PLA-GDR Gestión de riesgos de seguridad de la
información y el FR-PLA-MRI Matriz de análisis de riesgos e impactos determinando los criterios de
aceptación y evaluación de los riesgos dentro del sistema de seguridad de la información asegurando
con este que la continua evaluación produzca resultados conscientes, válidos y comparables.

Tomando en cuenta que en la gestión de riesgos se deben identificar los riesgos asociados con la
pérdida de la confidencialidad, integridad y disponibilidad de la información en el ámbito del SGSI, la
identificación de los propietarios de los riesgos y su clasificación para su tratamiento.

6.1.3. Tratamiento del riesgo de seguridad de la información

Obtenida la evaluación de los riesgos, se debe realizar su tratamiento de acuerdo al PR-PLA-GRI el

cual establece los controles y planes para abordarlos, si una vez realizado el análisis de viabilidad los
riesgos estos no pueden ser controlados, serán asumidos por la organización.

6.2. Objetivos de seguridad de la información y su planificación para lograrlos

Crear valor a nuestros clientes a través de la gestión de trámites y soluciones de crédito
comprometiéndonos con la calidad y seguridad de la información de nuestro trabajo.

Ser un proveedor con la sólida infraestructura, recursos financieros, tecnológicos y humanos para
garantizar y respaldar el éxito de los proyectos de nuestros clientes mediante nuestros créditos.

a) Son coherentes con la política de seguridad ya que se encuentra implícito que B1 SOFT, es
una organización que da solución a problemas de efectivo.
b) Nuestros objetivos son medibles ya que todos tienen un indicador de monitoreo de acuerdo
al ciclo de revisión por dirección (Ver procedimiento PR-DGE-RED Revisión por la
Dirección).
c) Se tomaron en cuenta todos los requisitos regulatorios aplicables de nuestros clientes y la
normatividad oficial mexicana para su elaboración
d) Nuestros objetivos se estructuran con base a una mejora continua

20
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

e) Los objetivos se monitorean en un tiempo determinado.

f) Se comunican de acuerdo al PR-PLA-COM Comunicación.
g) Se actualizan de acuerdo a los resultados obtenidos en las auditorías internas (véase
procedimiento PR-PLA-AUD Auditorías internas) y revisiones por la Dirección (Ver
procedimiento PR-DGE-RED Revisión por la Dirección).

B1 SOFT, para lograr sus objetivos de seguridad:

a) Realizará una planeación estratégica para el seguimiento y monitoreo que garantice el

cumplimiento de los mismos.
b) Asignará los recursos económicos, humanos y tecnológicos necesarios para el Sistema de
Gestión de Seguridad de la Información.
c) Los encargados de verificar los cumplimientos de los objetivos son los dueños de proceso.
d) Todos los objetivos están determinados para alcanzarse, revisarse y replantearse
anualmente.

6.3. Planificación de los cambios

Todo cambio en el Sistema de Gestión de Seguridad de la Información de CRÉDITOS FACILITOS
SOFOM ENR, deberá ser planificado y controlado por la Alta Dirección, quien deberá evaluar y
controlar los riesgos considerando:

a) El propósito de los cambios y las consecuencias potenciales

b) La integridad del Sistema de Gestión de Seguridad de la información.
c) La disponibilidad de los recursos para realizar los cambios
d) La asignación o reasignación de responsabilidades y autoridades.

SECCIÓN 7
7. Apoyo

7.1. Recursos

21
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

7.1.1. Generalidades
B1 SOFT, cuenta con toda la infraestructura técnica operativa y talento humano, necesarios para
implementar y mantener el Sistema de Gestión de Seguridad de la Información.
Estos recursos serán determinados y asignados en el presupuesto anual que genera la Alta Dirección,
este está orientado a cubrir los aspectos relacionados con la implantación, mantenimiento y mejora
de la eficacia del Sistema de Gestión de Seguridad de la Información, el aumento de la satisfacción
del cliente, el cumplimiento de metas y objetivos estratégicos.
En el caso de requerirse recursos adicionales para el desarrollo de sus actividades, estos son
suministrados de acuerdo a la disponibilidad presupuestal.

7.1.2. Personas
El área de Recursos Humanos, selecciona al personal que cumpla con las competencias y
características necesarias para ejecutar eficazmente el sistema de gestión de seguridad de la
información y las actividades descritas en su perfil de puesto (PR-RHH-RHH Recursos Humanos)
además de tomar en cuenta la formación educación, experiencia y habilidades de cada colaborador.

7.1.3. Infraestructura
En B1 SOFT contamos con los espacios, equipos y servicios de apoyo (sistemas de comunicación y
equipo informático), necesarios para poder brindar nuestros servicios acordes a través de una
cadena de distribuidores, estos recursos son administrados por la Dirección General ver PR-TIC-MTO
Mantenimiento.

7.1.4. Ambiente para la operación de los procesos

B1 SOFT realiza la medición del ambiente de trabajo mediante la aplicación anual de un cuestionario
de Clima Laboral el cual garantiza un ambiente de trabajo adecuado y competente para todos los
trabajadores ver FR-RHH-CLL Clima laboral.

7.1.5. Recursos de seguimiento y medición

En B1 SOFT el seguimiento y medición, se hace mediante un programa establecido de llamadas para
cumplir con la interacción entre clientes y proveedores, de acuerdo al procedimiento PR-TIC-MTO
Mantenimiento.

7.1.6. Conocimiento de la organización

B1 SOFT, con el objetivo de mantener la correcta operación de sus procesos y garantizar
conformidad de sus productos y servicios, determina los conocimientos necesarios:

A) Normas legales aplicables a la actividad de la empresa:

a. Ley federal de trabajo
b. Manuales de equipo y fichas técnicas de producto
c. Certificado de calidad de los productos
B) Normas aplicables
a. ISO 27001:2013 Sistemas de Gestión de Seguridad de la Información
b. ISO 19011:2011 Auditoría a los Sistema de Gestión

22
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

C) Conocimientos para la administración

a. Contrato con proveedores
b. Orden de compra de clientes
D) Los conocimientos técnicos relativos a la actividad propia de cada puesto están
descritos en cada FR-RHH-DEP Descripción de Puesto, apartado 10.
Capacitación/previa a la organización/indispensable.
E) Listado de procedimientos e instructivos relacionados con los procesos del SGSI (FR-
PLA-LMA Lista Maestra de documentos).

La Alta Dirección, así como gerencia de ventas realizará estudios sobre las tendencias de
comportamiento de los clientes, donde se busca la revelación del posicionamiento de B1 SOFT, en el
mercado.
Para el aprovechamiento de la experiencia y el aprendizaje de los éxitos y errores, se mantendrán
archivadas las incidencias generadas a lo largo de la historia, la resolución y evaluación.

7.2. Competencia

B1 SOFT, determina las competencias necesarias para todo el personal en base a lo siguiente:

a) Crea las competencias necesarias de los responsables de la implementación del Sistema de

Gestión de Seguridad de la Información de acuerdo al (PR-RHH-RHH Recursos Humanos)

b) Desarrolla un plan de capacitación creado por Dirección General y Recursos Humanos con el
fin de desarrollar las competencias de todos los colaboradores (PR-RHH-RHH Recursos
Humanos), así mismo evaluar la eficacia de este plan de capacitación.

Los resultados de la determinación de la competencia y capacitación, así como la evidencia de sus

habilidades, educación y experiencia son recopilados y conservados por el área de Recursos
humanos.

7.3. Toma de Conciencia

Todo el personal de B1 SOFT está informado constantemente del desempeño de sus labores a través
de:

 Mantenimiento de sus herramientas de trabajo y las condiciones de su área.

 Cumplimiento de las condiciones de comportamiento definidos.
 Aplicación de la política de calidad en su trabajo.
 Cumplimiento de sus objetivos por área.
 Cumplimiento del Sistema de Gestión de la información.

7.4. Comunicación

23
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

La Alta Dirección y el comité de calidad se aseguran de establecer los procesos de comunicación

interna dentro de la organización, siempre considerando que no solamente se comuniquen las
autoridades y responsabilidades, los objetivos y metas, los proyectos de mejora y las necesidades de
recursos, sino también los resultados alcanzados para cada uno de los procesos incluidos en el
sistema de gestión.
Como ejemplo de medios de comunicación a utilizar, estarían los siguientes, de manera enunciativa
más no limitativa:

 Utilización del correo electrónico en asuntos externos.

 Comunicación por medio de reuniones ordinarias, por área, departamento o proceso.
 Notificación por medio de la lista de correos electrónicos a todo el personal.
 Periódicos murales.
 Acceso a la documentación del SGSI en la intranet de la empresa.

Los canales de comunicación se pudieran establecer de la siguiente manera:

 Canales Verticales descendentes

Se basan en la autoridad que tiene quien manda a otros, sobre lo que deben o no deben
hacer; siempre provienen de un jefe y se dirigen a uno o varios subordinados.
 Canales verticales ascendentes
Se basan en la necesidad de que todo ser humano siente de expresarse, y de la necesidad de
que el jefe obtenga información sobre los intereses y labores del subordinado.
 Canales horizontales o de coordinación
Se basan en la necesidad de transferir e intercambiar dentro de un mismo nivel jerárquico,
información objetiva sin deformación, ideas, puntos de vista, conocimientos, experiencia etc.
En este sentido, la Alta Dirección y el Comité de Seguridad de la Información de CRÉDITOS
FACILITOS SOFOM ENR, siempre se deberá asegurar que los resultados, en términos de
eficacia, que vaya obteniendo el sistema tendrán que ser considerados dentro de la
comunicación interna establecida (se tendrá que comunicar los resultados de los procesos
del sistema a los interesados).

7.5. Información documentada

7.5.1. Generalidades
B1 SOFT, define que la información documentada requerida para asegurar el correcto desempeño y
eficacia del Sistema de Gestión de Seguridad de la Información, incluye la requerida por la Norma
Internacional ISO 27001:2013 Sistema de Gestión de Seguridad de la Información, así como la
necesaria para el desarrollo de sus procesos, y la determina en el siguiente diagrama:

Estructura Documental
7.5.2. Creación y actualización
B1 SOFT, define que los documentos requeridos por el Sistema de Gestión de Seguridad de la
Información, se controlan con base a lo establecido en el procedimiento PR-PLA-CDO Control de
documentos, el cual define los controles necesarios para:
24
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

a) Identificación y descripción (por ejemplo, título, fecha, autor o número de referencia);

b) Formato (por ejemplo, idioma, versión del software, gráficos)
c) Medios de soporte (por ejemplo, papel, electrónico);
d) Revisión y aprobación con respecto a la conveniencia y adecuación.
e) Asegurar que los documentos permanecen legibles y fácilmente identificables
f) Asegurar que se identifican los documentos de origen externo y se controla su distribución; y
g) Prevenir el uso no intencionado de documentos obsoletos.

7.5.3. Control de la información documentada

B1 SOFT, define el control para los documentos del Sistema de Gestión de Seguridad de la
Información y las necesidades operativas en la:
 Elaboración de los mismos.
 Revisión y autorización de los mismos
 Identificación de los cambios y actualizaciones
 El uso de papel es restringido dentro de la organización.
 Aquellos documentos que forzosamente requieren ser impresos, serán copias no
controladas y es responsabilidad del usuario la consulta del documento antes de su uso,
estos documentos no podrán utilizarse para reciclaje, por lo que deberán ser físicamente
destruidos.
 Los documentos y registros se resguardan de acuerdo a lo especificado en cada proceso y
durante dos años después de salido el producto de las instalaciones para los registros
generados de cada proceso.
 Los registros se establecen y mantienen para proporcionar evidencia de la conformidad con
los requisitos, así como de la operación eficaz del Sistema de Gestión de Seguridad de la
Información. Los registros permanecen legibles, fácilmente identificables y recuperables. B1
SOFT, establece un procedimiento documentado para definir los controles necesarios para la
identificación, el almacenamiento, la protección, la recuperación, el tiempo de retención y la
disposición de los registros en el PR-PLA-CDO Control de documentos

En relación al control de los registros del Sistema de Gestión de Seguridad de la Información, se ha

establecido lo siguiente:

a) Todos los registros deben ser legibles (siempre y cuando se tengan en medios físicos).
b) Los registros deben estar claramente identificables y ser fácilmente localizables y
almacenados en condiciones que eviten su daño, deterioro o pérdida.
c) La disposición final de los registros, una vez concluido el periodo de retención, será su
destrucción.

SECCIÓN 8

25
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

8. Operación

8.1. Planificación y control operacional

B1 SOFT planea, implementa y controla los procesos necesarios para cumplir los requisitos para la
provisión y análisis de riesgos mediante:
 Características y la evaluación de la calidad del servicio que presta.
 Instalaciones, herramientas y equipos que requiere para la prestación del servicio.
 Características y condiciones de operación de dichas instalaciones, herramientas y equipos.
 Competencias, desempeños y calificación del personal.
 Actividades y procesos requeridos para la prestación de servicios.
 Evaluaciones y seguimientos indispensables para demostrar la capacidad de su servicio
 Condiciones legales y contractuales del manejo de la información dentro y fuera de B1 SOFT

8.2. Evaluación de riesgos y seguridad de la información

B1 SOFT ha determinado que las revisiones de los riesgos deberán realizarse cuando los procesos
que dan soporte al servicio de préstamos individuales sufran cambios o modificaciones significativos
de acuerdo al punto 6.1.2, de no sufrir modificaciones se realizará una revisión planificada de
acuerdo a lo especificado en el procedimiento PR-PLA-GRI Gestión de Riesgos.

8.3. Tratamiento de riesgos y seguridad de la información

El tratamiento del riesgo de seguridad de la información resultante de la revisión planificada se debe

realizar de acuerdo al punto 6.1.3 y el procedimiento PR-PLA-GDR Gestión de Riesgos de seguridad
de la información.
Toda la información generada de la evaluación, análisis y tratamiento deberá ser conservada de
acuerdo al procedimiento control de PR-PLA-CDO Control de documentos.

SECCIÓN 9
9. Evaluación del desempeño
9.1. Seguimiento Medición, Análisis y Evaluación
9.1.1. Generalidades

B1 SOFT realiza un seguimiento a la medición, análisis y evaluación del desempeño y la eficiencia de

los procesos del Sistema de Gestión de Seguridad de la Información y conservación de toda la
información documentada creada necesaria como evidencia de los resultados.

a) Todos los procesos operativos y de soporte se realiza medición y análisis.

26
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

b) Los métodos de seguimiento se llevarán a cabo mediante el envío de los reportes generados
en cada uno de los procedimientos realizados.
c) Cada semana se lleva a cabo mediciones de todos los procesos
d) El análisis y evaluación de los resultados del seguimiento y la medición se llevará a cabo
trimestralmente

9.1.2. Satisfacción del Cliente

Cada área o proceso operativo de la empresa ha establecido los métodos para obtener y utilizar la
información relativa a la percepción del cliente sobre su satisfacción, con respecto al cumplimiento
de sus requisitos. La información obtenida sobre la percepción del cliente es analizada y utilizada
como uno más de los indicadores del desempeño de SGSI y se utiliza como elemento para el
establecimiento de acciones de mejora, ya sea de manera inmediata cuando así lo amerite o en las
reuniones de revisión de la alta dirección (ver 9.3 del presente manual).

9.1.3. Análisis y Evaluación

B1 SOFT analizar y evaluar los datos y la información apropiados que surgen por el seguimiento y la
medición, estos se utilizan para evaluar:

e) la conformidad de los productos y servicios;

f) el grado de satisfacción del cliente;
g) el desempeño y la eficacia del sistema de gestión de la seguridad de la información;
h) si lo planificado se ha implementado de forma eficaz.

9.2. Auditoría Interna

En B1 SOFT se llevan a cabo a intervalos planificados auditorías internas para determinar si el

sistema de gestión de seguridad de la información:

a) Es conforme con las disposiciones planificadas con los requisitos de la norma ISO 27001:2013
y con los requisitos del sistema de gestión de la seguridad de la información establecidos en
la empresa.
b) Se ha implementado y se mantiene de manera eficaz.

Para lo anterior se planifica un Programa Anual de Auditorías FR-PLA-PAA, que considera el estado y
la importancia de los procesos y las áreas a auditar, así como el resultado de auditorías anteriores.
Los criterios, alcance, frecuencia, método de las auditorías, responsabilidades y requisitos para la
planificación y la realización de la auditoría, están descritos en el procedimiento Auditorías Internas

27
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

PR-PLA-AUD El método aplicado para la selección de los auditores y la realización de las auditorías
asegura la objetividad e imparcialidad del proceso de auditoría, considerando que los auditores no
deben auditar su propio trabajo, por lo que el programa de auditorías contempla un equipo de
auditores, asignados a cada área, cuidando que no existan intereses entre el auditor y el área a
auditar, conservando la imparcialidad y objetividad. Por lo anterior, B1 SOFT a través de la
coordinación del sistema de seguridad de la información ha documentado el procedimiento
Auditorías Internas PR-PLA-AUD en donde se definen las responsabilidades y requisitos para la
planificación y realización de auditorías, informar los resultados y mantener los registros apropiados.
Los responsables de las áreas auditadas son responsables de tomar acciones correctivas para
eliminar las no conformidades detectadas y sus causas.
El seguimiento de las acciones tomadas y la verificación de su correcta implantación, es
responsabilidad de Coordinador del sistema de seguridad de la información e incluye la verificación
de las acciones tomadas y el informe de los resultados de la verificación.

9.3. Revisión por la dirección

En B1 SOFT, el ciclo de revisión por la dirección es precedido por un ciclo adicional, llamado ciclo de
revisión por comité, el cual está integrado por todas las cabezas, jefes, gerentes de las áreas o
departamentos dentro del alcance del sistema. Dicho ciclo de comité, se ejecuta cada 3 meses y es
detonado por el resultado de las auditorías internas, que son generadas trimestralmente, pero con 8
días de anticipación al ejercicio de comité. Ver procedimiento Revisión por la Dirección, ver PR-DGE-
RED.

9.3.1 Generalidades

En B1 SOFT, la revisión al sistema se realiza por la dirección en conjunto con el comité de seguridad
de la información, el cual está conformado por los gerentes de las áreas involucradas dentro del
alcance del sistema y el coordinador de procesos. Así mismo B1 SOFT, tiene calendarizado los
procesos de revisión al sistema de manera anual, el cual permite a la organización, una adecuación y
eficacia continua del sistema.

9.3.2 Entradas de la revisión por la Dirección

La información de entrada para la revisión por la dirección incluye:

a) Resultados de auditorías;
b) Retroalimentación del cliente interno (usuarios de los resultados del
c) SGSI);
d) Desempeño de los procesos y conformidad;
e) Estado de las acciones correctivas y preventivas;
f) Acciones de seguimiento de revisiones por la dirección previas;
g) Cambios que podrían afectar al sistema de gestión de seguridad de la información; y
h) Recomendaciones para la mejora.

28
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

Los resultados y acuerdos derivados de las reuniones de revisión por la dirección serán presentados
en el Informe de Revisión por la Dirección y son registrados en las minutas que se elaboran después
de cada reunión.
Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones
relacionadas con:
a) La mejora de la eficacia del sistema de gestión de la seguridad de la información y
sus procesos
b) La mejora del producto en relación con los requisitos del cliente; y Las necesidades
de recursos.

9.3.3 Salidas de la Revisión por la Dirección

B1 SOFT, incluye las salidas de la revisión por la dirección, decisiones y acciones relacionadas con:

a) las oportunidades de mejora;

b) cualquier necesidad de cambio del SGSI;
c) las necesidades de recursos.

B1 SOFT, concentra su información en el Formato Revisión por la dirección como evidencia de los
resultados de las revisiones por la dirección.

SECCIÓN 10

10. Mejora

10.1. No conformidad y acción correctiva

Los responsables de las áreas o procesos del sistema de gestión, toman acciones para eliminar la(s)
causa (s) de las no conformidades con el objeto de prevenir que vuelvan a ocurrir. Estas acciones son
apropiadas a los efectos de las no conformidades encontradas; contando para esto con el
(procedimiento de acciones correctivas y preventivas) donde se definen los requisitos generales
para:

a. Revisar las no conformidades (incluyendo las quejas de los clientes).

b. Determinar las causas de las no conformidades.
c. Evaluar la necesidad de adoptar acciones para asegurarse de que las no
conformidades no vuelvan a ocurrir.
d. Determinar e implementar las acciones necesarias.
e. Registrar los resultados de las acciones tomadas.
f. Revisar las acciones correctivas tomadas.

29
 Manual de Gestión

MANUAL DE GESTIÓN
Fecha de Elaboración - 20/07/2016

10.2. Mejora Continua

B1 SOFT realiza la mejora continúa haciendo uso de la política de seguridad, los objetivos de
seguridad de la información, los resultados de las auditorías, el análisis de datos, los procedimientos
de acciones correctivas y la Revisión por la dirección. Empleando el ciclo PDCA de Mejora continua,
el cual se establece a continuación. El proceso de mejora continua se establece para mejorar en
todos los campos, capacidades del personal, eficiencia en recursos, Relaciones entre miembros de la
organización y con los clientes y proveedores. Lo cual se traduce en la mejora de la calidad del
producto y servicio que prestamos.

30