Actividad 2 Teoria de La Seguridad

 

Actividad Activid ad 2 Teor´ eor´ıa de la seguridad segurid ad Angel a Mar´ Angela Mar´ıa Suarez Suare z Montoya C´ o od d 1721024034 ´ Juan  Angel Molina Velosa C´ o od d 2011024548 y Yadyr Enrique Garz´ on on D´ıaz ıa z C´o od d 1811982767. May 2021 Abstract

En este documento se busca aplicar los conocimientos adquiridos desde la clase de teor´ııa a de la seguridad de la informaci´ on on a trav´es es de d e un caso real de una empresa que presta servicios basados en informaci´ on on y tecnol tec nolog´ og´ııa a para su tratamiento tratamiento desde que se inicia el proceso con sus cliente clientes. s. Se estudia el caso de Datalatina proponiendo, con base sus pol pol´ ´ıticas estrat´eegicas gicas y servicios, la defini definici´ ci´ on on de la p ol ol´ ´ıtica de seguridad de la informaci´ inform aci´ o on, n, plan de implementaci´ o on n y plan de sensibilidad para la pol´ıtica ıtica definida. ´Indice de T´ erminos erminos – Seguridad Seguridad de la informa informaci´ ci´ on, o n, plan de implementaci´ on, on, plan de sensibilidad.

1

In Intr trodu oduct ctio ion n

La informaci´ o on n cada d´ıa representa m´ a ass valor para las organizaciones y sus clientes, por esto, es importante establecer sistemas que dentro de las organizaciones y en el desarrollo de su actividad, los cuales se rijan por los principios del manejo de la informaci´on: on: disponibilidad, disponibilidad, inte integridad gridad y confidencialidad, as as´ ´ı como autenticidad y no repudio. En el siguiente documento, con base en lo aprendido en el m´o odulo dulo de Teor´ eor´ıa de la seguridad, se busca rrealizar ealizar el an´ alisis alisis de una situaci´ o on n real con un escenario de una organizaci´on on y proponer los planes y pol pol´ ´ıticas necesarias para implementar un sistema de gesti´ o on n de la seguridad de la informaci´o on. n. Se plantea como caso de estudio estudio a Datalatina, Datalatina, la cual se presen presenta ta como una firma latino latinoamerica americana na dedica dedicada da al asegur aseguramien amiento, to, gesti´ on on de riesgos, calidad y seguridad de sistemas de informaci´ on. on. Al final de este an´a alisis lisis ssee espera espe ra lograr definir la pol pol´ ´ıtica de la calidad y los planes necesarios para su implementaci´ on on de acuerdo a las condiciones de la organizaci´o on. n.

2

Acti Activ vos de In Info form rmac aci´ i´ o on n

RESUMEN DE LA POLITICA DE SEGURIDAD

2

 

Para Datalatina es muy importante que la informaci´on on siempre este protegida, proteg ida, no importa la forma en la que se desee utiliza utilizarr la informaci´ informaci´ on on es esencial para nosotros tenerla t enerla protegida con cualquier m´ eetodo todo establecido en las la s pol p ol´ ´ıtica ıticass y normas normas.. ´ INTRODUCCION Datalatina reconoce la importancia de identificar y proteger sus activos de informaci´ o on n evitando la destruc destrucci´ ci´ on, on, la divulgaci´ on, on, modificaci´ modificaci´ on on y utiliza utilizaci´ ci´ on on no autorizada de toda informaci´o on n relacionada con clientes, empleados, precios, bases de conocimiento, manuales, casos de estudio, c´ o odigos digos fuente, estrategia, gesti´ on, y otr otros os concep conceptos tos;; ade adem´ m´ as, as, comprometi´ endose endose a desarrollar, des arrollar, implantar, mantener y mejorar continuamente continuamente el Sistema de Gesti´ o on n de Seguridad de la Informaci´o on n (SGSI). La seguridad de la informaci´ o on n se consigue implantando un conjunto adecuado adecu ado de con controles, troles, tales como pol pol´ ´ıticas, pr´ a acticas, cticas, procedimient procedimientos, os, estructuras estruct uras organiza organizativ tivas as y funcio funciones nes de softw software. are. Estos controles controles han sido establecidos para garantizar que se cumplen los objetivos espec´ıficos ıficos de seguridad de la empresa.

ALCANCE Esta es la pol pol´ ´ıtica de segurid seguridad ad que deben cumplir en las l´ıneas de negocio de soluciones y capacitaci´ on on para todo el personal asegurando la seguridad de la informaci´ on on ´ OBJETIVOS DE SEGURIDAD DE LA INFORMACION •

•

•

  Su confidencialidad, asegurando que solo quienes est´een n autorizados pueden acceder a la informaci´o on. n.   Su integrid integridad, ad, asegurand asegurando o que la informaci´ on on y sus m´eetodos tod os de p proroceso son exactos y completos.   Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informaci´ o on n y a sus activos asociados cuando lo requieran.

PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACION   Todos los empleados deben estar comprometidos a reportar cualquier violaci´on on de seguridad.

•

•

•

•

  Se debe realiza realizarr un monitoreo para veri verificar ficar que si se d´ e cumplim cumplim-iento a las pol pol´ ´ıticas de seguridad.   Se aceptar´an an riesgos que no afecten la continuidad del negocio.   Se deben crear estrategias para determinar posibles riesgos que puedan ir apareciendo con el tiempo.

3

 

•

•

•

 Los reportes que hacen referencia al SGSI deber´a an n estar disponibles para el personal.  Se sancione cualquier violaci´on on a eesta sta pol´ıtica ıtica y a cualquier cualqu ier pol´ıtica ıtica o procedimiento del SGSI.  Todo empleado es responsable de preservar la confidencialidad, integridad y disponibilidad de los activos de informaci´on on en cumplimiento de la presente p ol ol´ ´ıtica y de las pol´ıticas ıticas y procedimientos inherentes al sistema de gesti´ o on n de la seguridad de la informaci´o on. n.

RESULTADOS CLAVES incidentes incide ntes generan costos adicionales adicionales a la organi organizaci´ zaci´ on pero al tener un control sobre estas podemos observar hay mejor fluidez de caja. por parte de los clientes al ver que su informaci´ o on n est´ a segura. en los emplea empleados, dos, ya que son menore menoress los inconv inconvenien enientes tes por perdida de informaci´ o on. n. hace m´ a ass continuamente la detecci´ o on n de riesgos por lo que los activo activoss duraran durara n m´ a ass tiempo desarro des arrolle lle un proc proceso eso de an´ alisis a lisis del riesgo y, y, de acuerdo acuerdo con su resultado, se implementen las acciones correspondientes con el fin de tratar los riesgos que se consideren inaceptables, seg´ un los criterios establecidos en el Manual de Gesti´ on. on.

POLITICAS RELACIONADAS Pol´ Pol ´ıtica de ccontrol ontrol de acceso. a cceso. Pol´ Pol ´ıtica de telet teletraba raba jo. Pol´ Pol ´ıtica sobre servicios servi cios en red. red . Pol´ııtica ti ca de d e backups ba ckups.. Pol´ Pol ´ıtica de privacidad privacidad.. Pol´ Pol ´ıtica de transferencia de la informaci´on. on. Pol´ Pol ´ıtica sobre uso cript criptogr´ ogr´afico. afico. Pol´ Pol ´ıticas de seguridad y salud en el traba jo. ´ Pol´ıt ıtic ica a de  Areas seguras. seguras.

4

 

3 Pl Plna na de de im impl plem emen enta taci ci´ on on y De ´ Desa sarr rrol ollo lo de la po poll´ıtica de seguri seguridad dad OBJETIVOS OBJETIV OS DEL SGSI Identificar, controlar, prevenir y/o mitigar los riesgos de seguridad de la informaci´on, on, para evitar incidentes. Establecer Estable cer e impleme implementar ntar pol pol´ ´ıticas, normativ normativas as y procedimiento procedimientos, s, que permitan resguardar y proteger la informaci´ on. on. Desarrollar actividades act ividades para capacitar al personal sobre las pol pol´ ´ıticas de seguridad. Mantener al d´ııa a el SGSI para p ara q que ue la lass p pol´ ol´ıticas ıtica s se mantenga mantengan n vig vigentes entes seg´ un un las normas.

´ DE ALTO NIVEL DEL ALCANCE Y MARCO DE DEFINICI ON REFERENCIA PARA EL SGSI

Alcance: Limites del Sistema de Gesti´ o on. n. Pol´ıtica de segurid Pol´ seguridad ad de la informa informaci´ ci´ o on: n: Estab Establec lecee a al alto to nive nivell lo loss objetivos y metas relacionados con la seguridad de la informaci´ o on n

Activos de Informa Activos Informaci´ ci´ o on: n: Los activos de informaci´ on on son datos o informaci´ o on n propietaria en medios electr´ o onicos, nicos, impreso o entre otros medios, considerados sensitivos sensiti vos o cr´ııticos ticos para los ob jetivos del proceso.

Clasificaci´on on de la Informaci´o on: n: es el ejerci ejercicio cio por medio del del cual se determina que la informaci´o on n pertenece a uno de los niveles de clasificaci´ on o n estipulad estipulado o por la en entid tidad. ad. Tie Tiene ne como objetiv objetivo o aseg asegura urarr que la informaci´o on n tenga el nivel de protecci´o on n adecuad adecuado. o. La informac informaci´ i´ on on debe clasificarse en t´ eerminos rminos de sensibilidad e importancia para la organizaci´ on. on.

Seguridad de la Informaci´o on: n: es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnol´ ogicos ogicos que permiten resguardar y proteger la informaci´o on n buscando mantener la confidencialidad, la disponibilidad e integridad de esta.

Integridad: Mant Integridad: Mantenimien enimiento to de la exactitud y complet completitud itud de la informaci´ on on y sus m´eetodos todos de proceso.

5

 

Disponibilidad: Disponibil idad: Acceso y utilizaci´ o on n de la informaci´o on n y los sistemas de tratamiento de esta por parte de los individuos, entidades o procesos autorizados autori zados cuando lo requie requieran. ran.

Confidencialidad: La informaci´ o on n no se pone a disposici´o on n ni se revela a individuos, entidades o procesos no autorizados.

PROCEDIMIENTOS Y CONTROLES QUE APOYAN LA POL´ITICA

Datalatina es una firma latinoamericana dedicada al aseguramiento, gesti´ o on n de riesgos, riesgos, seg segurid uridad ad de sist sistemas emas de inf informa ormaci´ ci´ on on.. El pers person onal al de consultores y docentes de esta firma cuenta con las principales certificaciones internacionales, las cuales han sido emitidas por prestigiosas organizacion organi zaciones es acad acad´ ´emicas, emicas, como ISAC ISACA, A, PMI, DRI, entre otras. Esto, sumado a la va vasta sta experienc experiencia ia genera generada da a trav trav´ ´eess de m´ a ass de 30 a˜ n nos os de compromiso, hace de Datalatina una empresa l´ıder en las soluciones que ofrece. Las tres l´ıneas ıneas de negocio nego cio de Datalatina son: soluciones, software y capacitaci´ o on. n. L´ınea de soluc soluciones: iones: provee consultor´ cons ultor´ıa ıa y capacit c apacitaci´ aci´ on on sobre buen gobierno corporativo, con referentes como COSO y gobierno de TI con COBIT, gesti´on on de riesgos de lavado de activos y financiamiento terrorista; terrori sta; gesti´ on on de seguridad de la informaci´o on; n; gesti´ o on n de continuidad del negocio, tomando como referencia la norma ISO 22301.

6

 

PROCEDIMIENTO Procedimiento Monitoreo de Infraestructura

Procedimiento Destrucc Procedimiento Destrucci´ i´ on on y borrado seguro

Gesti´ o on n de med medios ios rem remov oviibles y disposici´ o on n de medios

Procedimiento Respaldo de Procedimiento la Informaci´ Informaci´ o on n

Procedimiento Construcci´ on on y principios de sistemas seguros

rocedimien rocedim iento to usuarios

Gesti´ Gesti´ on

de

Procedimiento Procedimi ento Gesti´ on d e contrase˜ nas nas

Procedimiento Procedimi ento Gesti´ on d e cambios

Procedimiento Continuid Procedimiento Continuidad ad de se segu guri rida dad d de la info inforrmaci´ o on n

Gesti´ on on de Vulnerabilidades t´ecni ec nica cass

OBJETIVO Dise˜ n nar ar un procedi procedimien miento to par para a el mon moniitoreo de la infraestructura, el cual permita gestionar de forma eficiente la misma y a su vez permita tener una visi´on on en tiempo real y gen genera erarr repo reporte rtess que permitan permitan obtene obtenerr informaci´on on del estado de los nodos de red y servidores de la compa˜ n n´ ´ıa Establecer los criterios y directrices para realizar el borrado y/o destrucci´ o on n segura de informaci´ on on contenida en medios digitales tal es y/o f´ısi ısicos cos Describir las actividades a seguir para la gesti´ on o n de medi medios os re remo movi vibl bles es,, a fin de garantizar garan tizar la confid confidenciali encialidad, dad, integ integridad ridad y di dispo sponib nibili ilida dad d de la in info form rmac aci´ i´ o on, n, de acuerd acu erdo o a los niv nivele eless de clas clasific ificaci´ aci´ on establecidos por la compa˜ n´ n´ıa. Establecer lineamientos que garanticen la protecci´on o n de la informaci´ on on cr cr´ ´ıtica y no critica de la compa˜ n´ıa, mante m antenie niendo ndo co copia piass de resp respal aldo do de f´ acil a cil rec recuper uperaci´ aci´ o on n para para cuando sea necesa necesario rio Crear, controlar y sostener ambientes separados a ni nivel vel f´ısico ısico y ll´ ogico o´gico para el desarrollo y puesta en marcha de las aplicaci´on on de software, en los ambientes de desarrollo, pruebass y producci prueba producci´ on, o´n, el cual tiene por ob jetivo principal que el ciclo de desarrollo de software softw are sea independiente independiente entre los ambientes, evitando que puedan poner en riesgo la integridad de la informaci´ o on; n; igualmente confirmando que los desarrolladores internos o externos, posean acceso limitado y controlado a los datos y archivos que se encuentren en el ambiente de producci´o on. n. Atender las solicitudes de creaci´ o on, n, modificaci´on, on, o retiro de cuentas de usuario para la disponibilidad y uso de los recursos tecnol´ ogicos ogicos como archivos, directorios, aplicaciones, cacion es, entre entre otros. Determinar los lineamientos para almacenar las cont contrase˜ rase˜ n nas as cr cr´ ´ıticas ıtica s de la compa c ompa˜ n´ n ˜´ıa consiguiendo consigu iendo as as´ ´ı, garan garantizar tizar la confidenconfidenciali cialida dad d y di dispo sponib nibili ilida dad d de esta esta in info forrmaci´on on Controlar los cambios en los procesos, en las instalaciones instalaciones y en los sistemas de procesamiento samien to de informaci´ informaci´ on o n de la compa˜ n´ n´ıa que puedan afectar la seguridad de la informaci´o on. n. Establecer estrategias que aseguren la con7 tin tinui uida dad d del del ne negoc gocio io de la co comp mpa˜ a˜ n n´ ´ıa y que ade adem´ m´ as a s re respo spond ndan an a la aten atenci ci´ on o´ n de emergencias, emergen cias, recupera recuperaci´ ci´ on o n de desas desastre tre y mitigaci´on o n de im impa pact ctos os,, en caso caso de ininterrupci´o on n parcial o total de los servicios cr´ııticos tico s de la organi organizaci´ zaci´on. on. Presentar el resultado del an´ alisis a lisis de vulnerabilidades en el escenario externo, con el fin de indicar medidas y actividades que logren la mitigaci´ mitigaci´ o on n de los hallazgos identificados y aumentar la seguridad en los sistemas y/o dispositivos.

 

´ DE ROLES Y RESPONSABILIDADES DEFINICI ON - Proceso P roceso Direccionamiento Estrat´ Estr at´ eegico gico El Proceso de Direccionamiento Direcci onamiento Estrat´egico egico en e n cab cabeza eza del Gerente apoya acti activamen vamente te la seguridad de la informaci´o on n dentro de la organizaci´on, o n, definie definiendo ndo las dir directr ectrice icess y lineamientos eamien tos bajo los cuales debe operar el SGSI; entre sus responsabilidad responsabilidades es   • se encuentran:  Mantener dentro de la planta de personal, un empleado que responda resp onda al rol de L´ıder del SGSI, quien ser´ a el encargado gestionar todo lo relacionado con la seguridad de la informaci´ on on en la organizaci´on. on. •   Establecer Establecer los lineamiento lineamientoss y pol pol´ ´ıticas del SGSI, asegurando su inteintegraci´ on o n con los dem´ a ass procesos de la organizaci´ o on n y el Plan Estrat´egico. egico. •   Velar Velar por el cumpli cumplimient miento o de las pol pol´ ´ıticas de seguridad seguridad de la informaci´ o on, n, compro comprometi´ meti´ endose endose para que los empleados empleados y cont contratista ratistas, s, a su cargo, y partes intere interesadas sadas conozcan y apliqu apliquen en los cont controles roles de seguridad seguridad establecidos   •  Asignar a los dem´ a ass a areas ´reas y procesos, las responsabilidad responsabilidades es asociadas a la seguridad de la informaci´ o on. n.   •  Velar para que se ejecute el programa de auditor auditor´ ´ıas internas, al menos una vez al a a˜ n no, ˜o, y para que se realicen las mejoras correspondientes.   •   Definir el nivel de tolerancia al riesgo.   •  Asignar los recursos necesarios para la eficacia del SGSI. - Comit´ Com it´e de Segurida Se guridad d de la l a Info Informaci rmaci´ on on Para establecer, implementar, ´ operar, supervisar, revisar revisar,, mantener mantener y mejorar el SGSI, el Comit Comit´ ´e debe incluir dentro de sus funciones las siguientes acciones:   •  Evaluar de manera semestral el desempe˜ n no o del SGSI.   •  Evaluar y aprobar las estrategias y pol´ pol´ıticas de seguridad de la informaci´o on n que requiera la organizaci´ on on de acuerdo con la din´ a amica mica y condiciones de la misma.   •  Fijar directrices institucionales para la aplicaci´ on on de los mecanismos de protecci´ o on n de seguridad de la informaci´o on. n.   •   Evaluar y aprobar las pol´ıticas ıticas b´ asicas asicas y espec es pec´ ´ıficas de seguri seguridad dad de la informaci´ on; on; garantizando su difusi´ o on n y aplicaci´on on en la organizaci´o on. n.   •  Participar en las decisiones sobre arquitecturas y soluciones de seguridad de la informaci´ o on n y con contin tinuid uidad ad de la misma.   •   Evaluar y aprobar Planes de Continuidad de seguridad de la informaci´ on on que ante una situaci´ on on cr´ cr´ıtica pueda verse amenazada de manera parcial o total.   •  Apoyar la identificaci´on on de los proc procesos esos cr cr´ ´ıticos ıtico s de la organizaci´ o on, n, as as´ ´ı ccomo omo analizar y proponer prop oner ssoluciones oluciones te tecnol´ cnol´ o ogicas gicas que requiera la misma.   •   Generar y apoyar los planes de socializaci´ on, on, sensibilizaci´ on on y transferencia de conocimiento en los temas relacionados con el SGSI. - Roles de la organizaci´ o on n de seguridad de la informaci´o on n El dise˜ n no o de roles puede ser un grupo de ´a areas reas que es b´ a asicamente sicamente c´ o omo mo las personas se organizan para lograr mejores resultados de seguridad de la informaci´on. on. Cada persona entie entiende nde su papel para apoy apoyar ar el proceso, as´ı como sus responsabilidad responsa bilidades es respecto a los otros miembros del equipo para lograr los objetivoss comunes, objetivo comunes, fomentando fomentando el desarro desarrollo llo de destrez destrezas as en un ambiente ambiente de aprendizaje continuo. •  Oficial de Seguridad de la informaci´ o on n Ej Ejerce erce como L´ıder del Sistem S istema a de Gesti´ o on n de Seguridad de la Informaci´ o on n y es el responsable de planificar, desarrollar, controlar y gestionar la implementaci´ on o n y el correcto funcionamiento del modelo de seguridad de la Informaci´on on - Debe verificar los antecedentes de todos los candidatos de acuerdo con las leyes, reglamentos y ´etica pertinentes, los cuales deben ser proporcionales a los requisitos del negocio, a la clasificaci´ on on de la informaci´ infor maci´o on na 8

 

la que se va a tener acceso, y a los riesgos percibidos. - Debe liderar los programas de inducci´o on, n, re iinducci´ nducci´o on, n, ccapacit apacitaci´ aci´on on y sensibil sensibilizaci´ izaci´ o on n enfocados a fortalecer la toma de conciencia en relaci´on a seguridad de la informaci´ o on. n. - Debe archivar y custodiar las historias laborales, conservando la informaci´o on n documentada apropiada, como evidencia de la competencia. - Debe evaluar a los empleados en relaci´ on on al desempe˜ n no o de la seguridad de la informaci´o on, n, impulsar la toma de acciones para adquirir y/o fortalecer las competencias necesarias y evaluar la eficacia de las acciones tomadas. - Debe asegurarse de que los empleados sean competentes, bas´ a andose ndose en la educaci´o on, n, formaci´ formaci´ o on n o experiencia requerida. - Debe determinar las competencias necesarias de los empleados que realicen un trabajo que afecte el desempe˜n no o de la seguridad de la informaci´ on. on. - Debe asegur asegurar ar que los usuario usuarioss que tienen acces acceso o a informaci´ informaci´ on confidencial, firmen un acuerdo confidencial, derechos de autor y/o protecci´ on on de datos, seg´ un un apliqu aplique. e. - Debe liderar las actividades requeridas para la terminaci´on o n de contratos, garantizando los aspectos de seguridad de la informaci´ on o n pertinentes. - Debe establecer acuerdos de confidencialidad o no divulgaci´on on para ser aplicados a todo el personal de DATALATINA. - Debe identificar, revisar regularmente y documentar los requisitos para par a los acuerd acuerdos os de con confide fidenci ncialid alidad ad o no div divulg ulgaci aci´ o on ´n que reflejen las necesidades de VALID CCOLOMBIA para la protecci´ o on n de la informaci´on. on. - Debe detallar las actividades por los cuales los empleados pueden ser monitoreados, a fin de no violar el derecho a la privacidad ni los derechos del empleado. - Garantizar que todos los empleados acepten y firmen los acuerdos de confide confidencialid ncialidad ad determi determinados nados por DA DAT TALA ALATINA, TINA, en los cuales se expresa la obligaci´ o on n de proteger la informaci´on on para no ser revelada. - En conjunto con la Gerencia General aplicar el procedimiento disciplinario cuando se evidencien casos de incumplimiento o violaci´o on n a las pol pol´ ´ıticas de seguridad de la informaci´ on. on. - Los empleados deber´ an an devolver todos los activos de DATALATINA que se encuentran en su poder a la terminaci´on on de su empleo, contrato o acuerdo. ´ DE ALTO NIVEL DE ALCANCE Y LIMITE A NIVEL INDICACION ´ FISICO DE TICS Y DE ORGANIZACI ON

Esta p ol ol´ ´ıtica se abarcar abarcar cada uno de los software creadaos por la empresa en la que se con presa contem templa plaron ron al mom momen ento to de eval evaluar uar los act actios ios de informacion, como tambien el control de lincencia del software “Meycor” en cual se trabajara con los procesos de las politicas realacionada como por ejemplo la politica de aceso, adicionalmente se realizara el informe

9

 

establecidoy acordado con la alta gerencia para llevar control de las infracciones que se generen y definiiones de un plan de mejoramiento, se tendra como prioriad la disponibilidad para el trato de la informaci´ on on y sus activos para que no interfieran con la continuidad de negocio y no genere represaria por parte de los clientes por incumpliento por esto se realizara un monitoreo constante cada hadware que tenga prioridad alta como servidores, nuves, repositorios y entre otros sin tener en cuenta que est estee contra contratad tado o por un tercer tercero. o. Pa Para ra los empleados empleados,, alto altoss dir direct ectivo ivoss y clientes se estaran rigiendo en base de lo que se contemplo en la politica, si al ser aprobado y implementado es necesario realizar modificaciones estas se deberan presentar, analizar y evaluar para la implementaci´ o on n de forma de anexo ealizando su debido plan de sensibilizaci´ on on o en la mejora y mantenimiento de la politica que se realizara anualmente.

4 pl plan an d de e se sens nsib ibil iliz izac aci´ i´ o on n pa para ra la im impl pleementaci´ o on n de la pol pol´ ´ıtica de seguridad ´ INTRODUCCION El plan de sensibilizaci´ on on es indispensable para Datalatina y su Sistema de Gesti´ o on n de Seguridad de la Informaci´o on, n, partiendo de la base que el ´exito eparte xito de imple implementaci mentaci´ o on del sistema, depende de todos losdel queSGSI hacen de la Datalatina, por ´ lon que busca afianzar la importancia y el valor que tiene la informaci´o on n para la organizaci´o on. n. Adem´a ass de esto, esto, el plan plan de sen sensib sibili iliza zaci´ ci´ on evaluar´ evaluar´ a y mejo mejorar rar´ a ´ el conocimiento conocimi ento que tienen los colabora colaboradores dores sobre las pol pol´ ´ıticas y accion acciones es en el entorno de trabajo, por lo tanto, es crucial para retroalimentar el SGSI y mejorar as´ı la seguridad de la informaci informaci´ on o´n en cualquier escenario para la actividad de Datalatina. OBJETIVOS Dar a conocer la pol pol´ ´ıtica de seguridad seguridad de la informa informaci´ ci´ on o n para los colaboradores. Generar conciencia sobre el valor de la informaci´ on o n para la organizaci´ on on y el compromiso con el SGSI sobre los principios del manejo de la informaci´o on. n. Incorporar al SGSI a la cultura organizacional. Evaluar Eva luar el conocimie conocimiento nto sobre la pol pol´ ´ıtica de la segurid seguridad ad de la informaci´ o on n y el SGSI. Aplicar de forma l´ u udica dica el SGSI ento con casos acticos acticos en la labor de los colaboradores, as as´ ´ı como el conocimi conocimiento de lospr´ roles y responsabilidad en el SGSI. ´ A POL´ITICA ALINEACION El plan de sensibilizaci´ o on n se alinea con la pol pol´ ´ıtica de segurid seguridad, ad, haciendo ´eenfasis nfasis en los princi principios pios que se deben regir para el manejo de la informaci´o on n dentro de la operaci´on on de Datalatina. A su vez, el plan mide el conocimiento de los colaboradores sobre la informaci´o on n e incentiva a regir sus actividades, siguiendo los lineamientos acordes a la estrategia de Datalatina desde el valor que tiene la informaci´ on. on.

10

 

ALCANCE El plan incluy incluyee todos los colaboradore colaboradoress de la organizaci´ organizaci´ on, teniendo en cuenta que se parte de los mismos principios pero que en conocimientos y actividades, se ajustan a los niveles identificados de forma que el plan se adaptee a las necesida adapt necesidades des de cada labor y sea eficien eficiente te en el uso de recursos. No obstante, permite que los colaboradores adquieran las habilidades y conocimientos necesarios para que se adapten f´ acilmente acilmente frente a un cambio dentro de la organizaci´ o on. n. ROLES Y RESPONSA RESPONSABILID BILIDADES ADES Para el plan se definen tres perfiles b´ a asicos, sicos, los cuales se defi definir´ nir´ an dentro de cada ´ a area rea o equipo de trabajo de acuerdo a los conocimientos y rol dentro de la organizaci´o on. n. Actores: Son colaboradores que integran un grupo o equipo de trabajo dentro de la organizaci´o on. n. Ser´an an quienes adopten el conocimiento y lo apliquen a su labor. Su responsabilidad es recibir el conocimiento, apropiarlo a su labor diaria, transmitir inquietudes o ap ortes del SGSI a trav´ es es del l´ııder der de su su equipo. Lideres: Dentro Dentr o de la organi organizaci´ zaci´ on on son colaboradores reconocidos por su apoyo o funci´ o on n de lide lideraz razgo, go, permitie permitiendo ndo hacer uso de sus habilid habilidade adess par para a promover el conocimiento del SGSI desde el plan de sensibilizaci´ on. on. Son responsables de servir de puente entre actores y evaluadores para aplicar el plan de sensibilizaci´ o on, n, como de las herramientas, contenido y estrategias para lograr llegar de forma eficiente a los integrantes de su grupo. As As´ ´ı mismo, resolver´ an a n las dudas y sugerencias por parte de los actores que surjan dentro de las actividades, dar´ a respuesta a aquellas que se encuentran en su nivel de conocimiento y gestionar´ a con los evaluadores la respuesta de aquellas que se encuentran fuera de su alcance de conocimiento o responsabilidad. Evaluadores: Son colaboradores colaboradores que por su conocimient conocimiento o y participaci´ on en el SGSI cuentan con la capacidad para evaluar los resultados del plan. Es responsabilidad evaluar los resultados de las actividades del plan, as as´ ´ı como eell cono conocimie cimiento nto de los actores. actore s. As´ı mismo, mism o, evaluar evaluaran an los cambios c ambios que se requieran en las actividades partiendo de la base de la retroalimentaci´ on on de los l´ıderes ıderes de los equipos y de los resulta resultados dos de las evaluaciones de conocimiento realizadas a los actores, al igual con las dudas y sugerencias remitidas remiti das a trav´ es es de los lideres desde los actores. Guardianes Guardi anes del plan: Corresponde al equipo definido por la alta direcci´ o on n para ejecutar el plan, se encargar´ a an n de definir los lineamientos para la conformaci´on o n de grupos y equipos a en la organizaci´ o on, n, as as´ ´ı mism mismo od definir efinir´ a an ´n los lideres y evaluadores. Cuentan con la capacidad para realizar modificaciones de las actividades activi dades con la informa informaci´ ci´ on on recibida de los evaluadores. METAS Obtener una partic participaci´ ipaci´ on on m´ınima del 85 Obtener una media de resultados de evaluaci´on on superior al 80

11

 

Alcanzar participaci´ o on n colaborativa de las plataformas de capacitaci´ o on n aut´ o onoma noma y guiada en al menos el 85 Dar respuesta a al menos el 90 ´ DE AUDIENCIA DEFINICI ON La audiencia para el plan se define de acuerdo al nivel de conocimiento conocimiento y a la responsabilidad dentro del SGSI. Para apoyarse en el conocimiento colaborativo, se conforma de acuerdo a grupos tanto de ´ a area rea dentro de la organizaci´ organizaci´ o on n como alcance en el SGSI, como son grupos y equipos de trabajo, de esta forma se busca hacer m´as as eficiente eficiente la apropiaci´ on o n del conocimiento presentado por el plan. ´ DE TEMATICAS ´ DEFINICI ON Ingenier´ Ingenier ´ıa so social, cial, ¿Que publico o no en las redes sociales? Copias Copi as de seg segurid uridad: ad: todo del cu´ a ando ndo y c´o omo mo hacerlas de la mejor manera. El ciclo PHVA de lo que hacemos. Practicass seguras para informa Practica informaci´ ci´ o on n y valores segures. Comunicaci´ o on n segura y eficiente, el ABC de un buen mensaje. El ABC de la informaci´on. on. ´ ACTIVIDADES DE SENSIBILIZACION Presentaci´ o on n oficial del plan: a cargo del grupo de guardianes del plan, presentando los aspectos generales del SGSI; se har´ a buscando que llegue a una participaci´ on on m´ıni ınima ma del 85 Conformaci´o on n de los equipos de trabajo: Se conforman los equipos, se hace el nombramiento de los lideres y evaluadores incluyendo a los l´ıderes. A cargo de los guardianes del plan. Duraci´o on n de 2 semanas. Capacitaci´o on n en plataforma en l´ınea: Publicaci´on on y evaluaci´o on n de las tem´ aticas aticas del plan, teniendo teniendo en cuenta los equipos de trabajo. Aunqu Aunquee los contenidos estar´ a an n disponibles estar´ a an n disponibles durante todo el plan, los periodos de evaluaciones ir´ a an n desde una semana a 2, teniendo en cuenta que no se evaluar´ a m´ as a s de 1 tem´ atica atica al tiempo para un equipo. Reuni´o on n de equ equipo: ipo: act activid ividad ad que bus busca ca integrar integrar el desa desarro rrollo llo de la capacitaci´ o on n con la labor del l´ıder en los equipos de trabajo para transmitir el conocimiento sobre la tem´ a atica, tica, las experiencias, dudas y sugerencias sobre el plan y el SGSI. Duraci´o on n 1 hora por sesi´o on, n, m´ınimo 1 vez a la semana durante el desarrollo del plan. Como va el plan: charla peri´o odica dica entre los evaluadores con los guardianes y los evaluadores para presentar los resultados y definir medidas de mejoramiento de contenidos, herramientas y evaluaciones. Duraci´on o n 2 horas y al menos una vez al mes durante el desarrollo del plan. Cierre Cier re del plan: plan: Even Evento to lidera liderado do por los guardian guardianes es del plan plan y que presentar´ a una evaluaci´on on final del plan, proponiendo mejoras y aspectos importantes importan tes para todos los colaborado colaboradores. res. Duraci´ Duracion o´n 2 semanas desde el cierre de activid actividades ades MATERIALES MA TERIALES Y RECURSOS Plan de capacitaci´ o on: n: Consta del contenido establecido de acuerdo a las tem´ a aticas ticas establecidas y de los tipos de audiencia; tambi´ een n se compone de la evaluaci´ on on del conocimiento por parte de los actores al final del desarrollo de cada tema. Publicidad interna:

12

 

Toda pieza de comunicaci´o on n f´ısica ısica o digital que se usar como apoyo al plan, indicando aspectos claves del SGSI, fechas importantes y estado del plan. En este se incluy incluyen en correo correos, s, afic afiches, hes, protectores de pant pantalla, alla, plantilla plantillass de presentaciones y videos para ser usados en eventos de los colaboradores y en actividades del plan de sensibilizaci´on. on. ´ DURACION Para el plan se estima una duraci´ on on de 6 meses desde la presentaci´ on on oficial del plan hasta el cierre del plan con la presentaci´o on n de resultados. ´ DE EVALUACION ´ DEFINICI ON La evaluaci´ o on n del plan se har´a de acuerdo a los indicadores establecidos en las metas. La evaluaci´ on on general del plan se har´a peri´ o odicamente dicamente en la activid actividad ad “Como va el plan” con una frecuencia m m´ ´ınima de 1 vez al mes durante la duraci´ o on n del plan. Al final del plan, los guardianes reali realizar´ zar´ an an la evaluaci´ o on n general, de acuerdo a la informaci´o on n recopilada en las reuniones y los indicadores generales, ponderando de acuerdo a la duraci´o on n de las actividades. Se considera aceptable el logro del 70

13