TEORÍA DE LA SEGURIDAD

Actividad en contexto - Escenario 7

Millerlandy Becerra Chávez

código 100321912

Tutor:

John Olarte

Octubre 2024
 Política de Seguridad de la Información de Datalatina

Resumen de la política: A través de esta política, Dalatina busca proteger la

información en todas sus formas, Datalatina reconoce la importancia de identificar, proteger

y preservar sus activos de información, para evitar su destrucción, divulgación,

modificación y uso no autorizado. Por lo tanto, se dedica a desarrollar, implementar,

mantener y mejorar continuamente los Sistemas de Gestión de Seguridad de la Información

(SGSI) en toda la organización.

Introducción: Datalatina es una firma latinoamericana dedicada al aseguramiento,

gestión de riesgos, calidad y seguridad de sistemas de información.

El personal de consultores y docentes de esta firma cuenta con las principales

certificaciones internacionales asociadas al alcance de sus tareas, las cuales han sido

emitidas por prestigiosas organizaciones académicas, como ISACA, PMI, DRI, entre otras.

Esto, sumado a la vasta experiencia generada a través de más de 30 años de compromiso

con el cliente, hace de Datalatina una empresa líder en las soluciones que ofrece.

Las tres líneas de negocio de Datalatina son: soluciones, software y capacitación.

1. Línea de soluciones: provee consultoría y capacitación sobre buen gobierno

corporativo, con referentes como COSO y gobierno de TI con COBIT;

gestión integral de riesgo y auditoría; gestión de riesgos de lavado de activos

y financiamiento terrorista; gestión de seguridad de la información; gestión

de continuidad del negocio, tomando como referencia la norma ISO 22301;

hacking ético; cumplimiento y legislación; y soluciones personalizadas.

 2. Línea de software: Datalatina utiliza el software Meycor; ha desarrollado

aplicaciones para el gobierno de TI con Cobit, seguridad de la información

ISO 27001 y gestión de riesgo corporativo alineado con la Norma ISO 3100.

3. Línea de capacitación: es un centro autorizado por ISACA para la

capacitación y certificación en ISA, CISM, CGEIT, CRISC, CISSP y DRI.

Alcance: La política de seguridad de la información de Datalatina se aplica a todos

los empleados, contratistas, consultores y profesionales de todos los campos que tienen

acceso a la información a través de diferentes herramientas, como documentos y equipos

informáticos, infraestructura tecnológica y canales de comunicación de la empresa.

Objetivos:

• Evaluar y revisar las vulnerabilidades y amenazas a la seguridad de la

información para cada activo que la empresa considere necesario y/o crítico

para sus operaciones y continuidad del negocio.

• Garantizar la seguridad de los procesos legales proporcionados por la

empresa, como la información de los clientes.

• Garantizar la integridad y disponibilidad de los activos de la empresa donde

se utilizan y transfieren a los clientes.

Principio:

• Establecer objetivos de control y controles relacionados basados en las

necesidades de riesgo que surjan del proceso de análisis de riesgos

gestionados.

• Establecer objetivos anuales de seguridad de la información.

 • Desarrollar un proceso de análisis de riesgos y, con base en sus resultados,

tomar las acciones adecuadas para abordar los riesgos considerados

inaceptables, de acuerdo con los criterios establecidos en el Manual de

Gestión.

• Cumplir con las obligaciones comerciales, legales, regulatorias y

contractuales de confidencialidad.

• Crear las medidas necesarias para asegurar la continuidad de las operaciones

de la empresa.

• Aplicar sanciones por cualquier violación de la política de seguridad de la

información y de cualquier política o procedimiento de SGSI.

Responsabilidades

Dirección: Apoyarán el desarrollo de políticas de seguridad de la información a

través de su liderazgo dentro de la empresa.

Jefe seguridad Información: Tiene la responsabilidad directa de mantener la

política y brindar asesoramiento y recomendaciones sobre su implementación. Además,

también es responsable de desarrollar un plan para crear conciencia sobre la seguridad y de

investigar las violaciones reportadas.

Empleados: son responsables de mantener la confidencialidad, integridad y

disponibilidad de los activos de información de acuerdo con esta política y las políticas y

procedimientos inherentes al sistema de gestión de seguridad de la información de

Datalatina.
 Cumplir con las obligaciones comerciales, legales, regulatorias y contractuales de

confidencialidad.

Crear las medidas necesarias para asegurar la continuidad de las operaciones de la

empresa.

Aplicar sanciones por cualquier violación de la política de seguridad de la

información y de cualquier política o procedimiento de SGSI.

Resultados claves:

Al concienciar a los empleados sobre la importancia de aplicar una política de

seguridad de la información, puede garantizar la confidencialidad, integridad y

disponibilidad de la información, aumentando la confianza en su empresa, expresa

compromiso con los clientes, al tiempo que aumenta la confianza de las personas en la

empresa, lo que demuestra por qué es líder en su sector.

Políticas relacionadas

• Política de software no autorizado.

• Política del sistema de gestión de seguridad de la información (SGSI).

• Política de control de acceso.

• Política de software no autorizado

• Política de backup

• Política sobre la privacidad y protección de datos

• Política tratamiento de datos personales

• Política sobre teletrabajo.

• Política sobre el uso de servicios en red.

 Plan de Implementación y Desarrollo de la Política de Seguridad de la Información

a. Objetivos del SGSI: Implementar un sistema que garantice la confidencialidad,

integridad y disponibilidad de la información en Datalatina, protegiendo así los activos de

información de la empresa y cumpliendo con los requisitos legales y contractuales.

b. Alcance y Marco de Referencia del SGSI: El SGSI se aplica a todos los activos

de información de Datalatina, incluyendo datos de clientes, empleados, procesos internos,

sistemas de información y cualquier otra información relevante para la organización. El

marco de referencia incluye estándares internacionales como ISO/IEC 27001, buenas

prácticas de la industria y requisitos legales y regulatorios aplicables.

c. Procedimientos y Controles de Apoyo: Se establecerán procedimientos y

controles específicos para proteger los activos de información, incluyendo controles de

acceso, cifrado, monitoreo de seguridad, gestión de incidentes, gestión de cambios y

continuidad del negocio.

d. Roles y Responsabilidades: Se designarán roles y responsabilidades claros para

la implementación y mantenimiento del SGSI, incluyendo un jefe de seguridad de la

información, responsables de área y usuarios designados.

e. Alcance y Límites Físicos y Organizacionales: El SGSI abarcará todos los

activos de información de la organización, incluyendo sistemas de información, redes,

dispositivos de almacenamiento y datos. Además, se establecerán límites claros en términos

de acceso físico y lógico a los activos de información, tanto dentro como fuera de las

instalaciones de la empresa.
 Definir un plan de sensibilización para la implementación de la política de

seguridad

Ítem de la estructura Descripción

Introducción El presente plan de sensibilización se justifica por la necesidad de
garantizar que todos los empleados de Datalatina estén plenamente
informados y comprometidos con la política de seguridad de la
información de la empresa. Esto es fundamental para proteger los
activos de información y cumplir con los estándares de seguridad
requeridos.
Objetivos • Promover el conocimiento y comprensión de la política de
seguridad de la información.
• Fomentar una cultura de seguridad en toda la organización.
• Capacitar al personal para identificar y abordar posibles
riesgos de seguridad.
• Reducir incidentes de seguridad debido a errores humanos o
falta de conciencia.
Alineación a política El programa de sensibilización se basará en los principios y
directrices establecidos en la política de seguridad de la información
de Datalatina, que garantizará que todas las actividades cumplan con
los objetivos y requisitos del SGSI.
Alcance El programa beneficiará a todos los empleados de Datalatina,
incluyendo consultores, docentes y personal administrativo, así como
a los contratistas y terceros que trabajan en nombre de la empresa.
Roles y Equipo de Sensibilización:
responsabilidades • Jefe de Seguridad de la Información: Supervisar y coordinar
el programa.
• Coordinador de Capacitación: Organizar y ejecutar las
actividades de sensibilización.
• Facilitadores: Líderes de equipo designados para impartir
talleres y sesiones de sensibilización.
• Equipo de Apoyo: Personal de recursos humanos y
comunicaciones para apoyar la logística y la difusión del
programa.
Metas Aumento del conocimiento sobre seguridad de la información en un
80% de los empleados para fin de año.
Reducción del 50% en incidentes de seguridad causados por errores
humanos dentro de los primeros seis meses.
Definición de • Directivos y líderes de equipo.
audiencia • Personal técnico y no técnico.
• Contratistas y terceros con acceso a los sistemas de
información de la empresa.
 Definición de • Importancia de la seguridad de la información.
temáticas • Principios y políticas de seguridad de la información.
• Identificación y gestión de riesgos de seguridad.
• Buenas prácticas de seguridad en el manejo de datos.
Actividades de • Talleres presenciales y en línea.
sensibilización • Sesiones de capacitación guiadas por expertos.
programadas • Campañas de concientización a través de correos
electrónicos y carteles.
• Ejercicios prácticos y estudios de casos.
Materiales y recursos • Presentaciones informativas.
• Folletos y guías de referencia.
• Afiches y carteles.
• Contenido multimedia (videos, animaciones).
• Pruebas de conocimiento en línea.
Duración El plan de sensibilización se ejecutará durante un período de 6 meses,
con posibilidad de revisión y extensión según sea necesario.
Definición de • Encuestas de retroalimentación al final de cada actividad.
evaluación • Pruebas de conocimiento antes y después de la capacitación.
• Monitoreo de incidentes de seguridad para evaluar la
efectividad del programa.
Conclusiones Basado en los resultados de la evaluación, se identificarán áreas de
mejora y se propondrán ajustes al programa para garantizar su eficacia
continua.
Plan de mejora • Reforzar áreas de conocimiento identificadas como débiles.
• Ampliar el alcance del programa para incluir a nuevos
empleados y contratistas.
• Actualizar materiales y recursos según sea necesario para
mantener la relevancia del programa.