i

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

PAIPA TOURS

CAMARGO JESÚS, GARZON JHON, HERNÁNDEZ JHON,

MIRANDA JULIÁN

AUTORES

POLITECNICO GRANCOLOMBIANO

ESPECIALIZACIÓN SEGURIDAD DE LA INFORMACIÓN

GESTIÓN DE LA SEGURIDAD

BOGOTÁ D.C JUNIO DE 2020

i
 ii

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

PAIPA TOURS

BORBÓN JEFFREY

DOCENTE

POLITECNICO GRANCOLOMBIANO

ESPECIALIZACIÓN SEGURIDAD DE LA INFORMACIÓN

GESTION DE LA SEGURIDAD

BOGOTÁ D.C JUNIO DE 2020

Tabla de Contenido

Introducción....................................................................................................................1
ii
 iii

Misión.............................................................................................................................2

Visión..............................................................................................................................2

Mapa de Procesos............................................................................................................3

Partes Interesadas............................................................................................................3

Justificación Partes Interesadas.......................................................................................4

Mecanismos de Identificación de expectativas...............................................................7

Objetivos del SGSI.......................................................................................................10

Plan de Generación de Conciencia

Actividades y Métodos Pedagógicos

Organigrama

Comité De Seguridad de la Información.

Funciones del Comité de Seguridad

Identificación e Inventario de la Información

Metodologías de Gestión de Riesgo

Indicadores y Criterios de Medición

Conclusión

Referencias.

Lista de Figuras

Figura 1. Comunicados Semanales

Figura 2. Formato Corporativo

Figura 3. Capacitaciones
iii
 iv

Figura 4. Carteles

Figura 5. Presupuesto.

Figura 6. Organigrama.

Figura 7. Inventario de información

Figura 8. Clasificación de Activos

Figura 9. Niveles de confidencialidad

Lista de Tabla

Tabla 1. Implementación y Fortalecimiento SGSI

iv
 v

Tabla 2. Cronograma de Actividades

Tabla 3. Evaluación.

Tabla 4. Formato (F-01-SI)

Tabla 5. Formato (F-02-SI)

Tabla 6. Tabla 6. Formato (F-03-SI)

Tabla 7. NIST SP 800-30

Tabla 8. MAGERIT

Tabla 9. ISO -270001

Tabla 10. Indicador Gestión de Eventos

Tabla 11. Indicador Planes de Sensibilización

Tabla 12. Indicador Ataques Informáticos

v
 PRIMERA ENTREGA

Introducción

Hoy en día toda organización emplea, gestiona y archiva información, pero en esta era

de la tecnología informática y las diferentes vulnerabilidades que se puedan llegar a

presentar es fundamental que las organizaciones puedan tener las herramientas e

implementar los mecanismos para poder garantizar la información que pueda llegar a

tener una relevancia ya sea para la organización, sus proveedores, sus clientes e inclusive

para sus aliados estratégicos.

Es así; como la implementación de un sistema de gestión de la seguridad de la

información, es fundamental para toda organización ya que esto les permitirá a sus

clientes asociados, proveedores, así como los aliados estratégicos mayor confianza en la

confidencialidad y privacidad de la corporación, es por ello que para PAIPA TOURS es

fundamental la implementación de SGSI, garantizando de esta manera el manejo de la

información y dándole soporte a la confianza de nuestros clientes socios y de más

personas o entidades relacionadas con PAIPA TOURS.

1
 PRIMERA ENTREGA

Misión

• Elaborar y comercializar productos y servicios turísticos que satisfagan las

necesidades de nuestros clientes con excelencia y un precio justo, asesorándolos para su

mejor elección y prestando nuestros servicios a través de un equipo humano calificado y

actualizado con las tendencias del turismo y la tecnología.

• Aportar al mejoramiento de la calidad de vida de una gran cantidad de personas en

nuestro departamento, a través de la prestación de nuestros servicios y de la generación

de empleos directos e indirectos.

Visión

• Ser en el 2015 la empresa líder en la prestación y comercialización de productos y

servicios turísticos en Boyacá, a través de la tecnología, la calidez de nuestro equipo

humano, la diversidad de nuestro portafolio y la calidad de nuestros servicios.

• En el 2015, ser percibidos por la ciudadanía y por nuestros competidores como la

mejor Agencia de viajes y turismo del departamento y una de las empresas líderes del

país en atención, variedad y calidad de productos y servicios turísticos.

• Ser un actor de gran influencia en el desarrollo del turismo en Boyacá

2
 PRIMERA ENTREGA

Mapa de Procesos

Partes Interesadas

 Internas

- Gerencia

- Gerencia Comercial

- Gerencia Financiera

 Externas

- Clientes

- Proveedores

- Aliados de Sector

3
 Justificación Partes Interesadas

Gerencia: La gerencia como cabeza responsable de las decisiones e interesada en el

crecimiento de la compañía, tiende dentro su gestión natural velar por que los productos y

servicios tengan las herramientas necesarias para que estos sean de calidad y

competitivos en el mercado, dentro de esos aspectos la seguridad de la información se

hace de interés de la gerencia, considerando la información el segundo activo más

importante de la organización luego de su material humano, de esta manera la gerencia

está comprometida con brindar el escenario propicio a nivel económico y de estructura

organizacional que permita el diseño e implantación de un SGSI ajustado a las

necesidades y nivel de madurez de la compañía.

Gerencia Comercial: La gerencia comercial hace parte de la estructura misional de la

compañía y en consideración a que es la encargada de comercializar los productos y

servicios de la organización, debe estar comprometida con el cuidado y manejo de la

información de la compañía y sus clientes, siendo esta gerencia la responsable de

exteriorizar la confianza del manejo seguro y responsable de la información.

Gerencia Financiera: Para nuestra gerencia financiera es fundamental garantizar la

seguridad de los manejos financieros ya sean internos como externos, es por ello que la

implementación del sistema de gestión de la seguridad de la información es una de las

garantías de privacidad y confidencialidad que se le pueden ofrecer a nuestros clientes

4
 Clientes: Los clientes siendo uno de los pilares más importantes para la compañía, por

ello, se convierte en una de las partes interesadas más relevantes en nuestro sistema de

gestión de seguridad de la información y con la sinergia de otros componentes

organizacionales para cumplimiento de las leyes vigentes ley.

Proveedores: Para el modelo del SGSI de PAIPA TOURS nuestros proveedores son

un elemento importante en nuestras operaciones y dentro de las necesidades y

expectativas, identificadas se tienen:

Aliados de Sector: Los aliados del sector hacen referencia a agencias de viaje,

alojamientos, plataformas digitales de turismo, etc. Estos aliados juegan un papel

importante en cuanto a la gestión de la seguridad de la información, ya que en cada uno

de estos se preserva la confidencialidad, integridad y disponibilidad, así como los

sistemas implicados en su tratamiento dentro de la organización.

La información que se maneja son el principal activo para cada una de estas empresas,

por tal razón se debe tratar y procesar como tal; de una forma segura. Estas empresas

deben invertir en los diferentes mecanismos de seguridad a la hora de gestionar la

información, aplicando las medidas necesarias que garantice la seguridad. Esta inversión

a la ciberseguridad de la empresa, conlleva a mejorar la imagen corporativa y aumentar la

confianza de sus clientes.

Para nadie es un secreto que el sector turismo se ha digitalizado radicalmente en los

últimos años. La tecnología impacta desde la búsqueda para seleccionar el destino al que

5
se quiere viajar hasta los planes de turismo que se quieren realizar en el destino; la

tecnología ha facilitado y enriquecido la vida del turista y las empresas que brindan

servicios de turismo.

Mecanismos de Identificación de expectativas

Gerencia: Las expectativas de las partes interesadas deben estar relacionadas con los

resultados productivos, con el fin de identificar las expectativas más acertadas a la

estructura organizacional por parte de la gerencia.

Gerencia Comercial: Siendo esa dirección el filtro comercial y que exterioriza la

imagen de la organización, se pretende identificar las expectativas de seguridad en el

ámbito comercial.

Gerencia Financiera: Teniendo en cuenta que la gerencia financiera es la encargada

de salvaguardar la información, movimientos y flujos económicos de la corporación, s e

requiere poder identificar las expectativas de seguridad de la información en el ámbito

financiero.

6
 Por lo tanto, se contempla en implementar los mecanismos que a continuación se

relacionan.

- Encuesta de confianza a clientes y proveedores: Con el fin de determinar la

imagen que proyecta actualmente la compañía.

- Consultoría de estado actual de la infra estructura tecnológica: Con el fin de

determinar el nivel de madurez que desea y puede alcanzar la organización

- Encuesta sobre la proyección que se quiere dar a la organización en los

próximos 5 años: Para alinear la estructura del sistema con la visión de cambio

en de la organización en los próximos años.

- Encuesta de percepción de seguridad interna: Identificar la percepción de

seguridad de la información en los colaboradores.

- Entrevista con los Colaboradores del área: Con el fin de determina que

concepto tiene actualmente con respecto a la seguridad de la información que

administran.

- Encuesta de prácticas seguras sobre el manejo de la información: Con el fin

determinar el tratamiento que se le da actualmente a la información de la empresa,

los clientes y proveedores.

- Auditoría: Para verificar el empleo de los mecanismos y tratamiento de la

seguridad de la información.

Clientes: La opinión de la percepción de los clientes referente a la seguridad de la

compañía. Se considera aplicar los siguientes mecanismos.

7
 - Encuesta de imagen y percepción a clientes: Con el fin de determinar qué tan

seguros y confiados están los clientes a entregar su información.

- Entrevista con los clientes: Con el fin de recuperar la confianza de los clientes

en caso de una eventualidad.

- Auditorías a portales de servicios y PQRS: Con el fin de asegurar los

mecanismos en que los clientes interactúan son la compañía.

Proveedores: El uso de alianzas con los proveedores se considera aplicar los

siguientes mecanismos:

- Formatos de calificación de proveedores: Con el fin de determinar qué los

proveedores tengan implementado in SGSI adecuado, para asegura la información

que ellos tengan de la compañía.

- Contratos y acuerdos de confidencialidad de información: Con ello se asegura

legalmente el uso y tratamiento de la información que sea utilizada en doble vía.

- Entrevista con los proveedores: Con el fin de tener una idea clara del alcance

que requieran los clientes e el SGSI.

- Encuesta de imagen y percepción a proveedores: Con el fin de determinar qué

tan seguros y confiados están los proveedores a entregar su información para la

realización de las alianzas comerciales y de operación.

8
 Aliados del Sector: Los mecanismos para los aliados del sector son muy importantes,

por tal razón se considera aplicar los siguientes:

- Formulario de Satisfacción: Con el fin de determinar qué tan satisfechos están

los clientes frente al servicio proporcionado.

- Entrevista con los clientes: Con el fin de recuperar la confianza de los clientes

en caso de una eventualidad.

Objetivos del SGSI

- Identificar y gestionar correctamente los riesgos de seguridad de la información

con el fin de evitar su materialización, en especial, en aquellos que afecten los

procesos objetivos estratégicos de la compañía.

- Incentivar la cultura de seguridad de la información, estableciendo buenas

prácticas y conciencia en los colaboradores y partes interesadas en el manejo

seguro de la información.

- Garantizar la continuidad del negocio, implementando planes y estrategias

adecuadas en prevención y mitigación de incidentes de seguridad.

- Fortalecer la seguridad de la información, de forma tal que se genere confianza en

los actores que intervienen directa e indirectamente el desarrollo misional de la

compañía.

9
 SEGUNDA ENTREGA

Plan de Generación de Conciencia

Se ha identificado que la capacitación, educación y conciencia de los colaboradores

referente a seguridad de la información es muy importante, se debe alinear a los líderes

referente a los objetivos estratégicos, para ello se ha definido el siguiente plan de

conciencia:

Objetivo

Contribuir y facilitar para que los colaboradores sean, sientan y se identifiquen como

parte activa del SGSI e identifiquen su rol dentro de este y de esta manera fortalecerlo.

DEFINICIÓN COMUNICACIÓN CAPACITACIÓN EVALUACIÓN MEJORAR

Definición: Alinear desde la dirección de PAIPA TOURS y a cada uno de los

líderes sobre cómo desde su rol se apoya el plan de conciencia de seguridad.

Medio: Los recursos por los cuales serán los canales de comunicación con el

fin de informar y crear compromiso serán:

- Correo electrónico.

- Intranet.

- Carteleras.

- Capacitaciones.

- Concursos.

Público Objetivo

10
 SEGUNDA ENTREGA

Todos los funcionarios de PAIPA TOURS.

Estrategia

- Comunicados Semanales vía correo electrónico.

- Security News en la intranet corporativa.

- Tips seguros en las carteleras corporativas.

- Capacitaciones personalizadas a todos los colaboradores de PAIPA

TOURS.

- Concursos trimestrales ¿seguro estás seguro?

1. Los comunicados semanales contendrán tips, recomendaciones básicas y noticias

referentes a seguridad de la información, bajo un estándar de iconos o imágenes

obtenidas bajo suscripción del repositorio FREEPIK.

Figura 1. Comunicados Semanales [ CITATION Fre10 \l

9226 ]
2. Security News, en este espacio, se publicarán notas breves de noticas de seguridad

de diferentes fuentes como:

- https://nakedsecurity.sophos.com/

- https://www.welivesecurity.com/

- https://www.incibe.es/

- http://www.colcert.gov.co/

11
 SEGUNDA ENTREGA

Entre otras, se aplicará un formato corporativo para ser publicado en la intranet.

Figura 2. Formato Corporativo

3. Carteleras corporativas; se instalarán carteles con tips de seguridad

4. Las capacitaciones se realizarán con base en la segmentación de los colaboradores

de PAIPA TOURS.

5. Carteles Tips Figura 3. Capacitaciones [ CITATION

Fre10 \l 9226 ] 12
 SEGUNDA ENTREGA

Figura 4. Carteles

6. Presupuesto

Figura 5. Presupuesto
Actividades y Métodos Pedagógicos

13
 SEGUNDA ENTREGA

La agencia de viajes Paipa Tours, es una empresa dedicada a la prestación

de servicio la cual requiere de la implementación del Sistema de Gestión de

Seguridad de la Información, lo cual no es un paso más, sino que se debe realizar

un entretenimiento de forma permanente, para así conseguir que sea efectivo.

Uno de los recursos más importantes para las empresas es la información,

la cual fluye de forma constante sin importar cuál sea su rublo o el tamaño de esta,

toda empresa tiene un grado de vulnerabilidad es por ello que se requiere de una

implementación del sistema de gestión de la seguridad de la información, pero

esto conlleva de una concientización de todo el personal que labora en la empresa,

para lo cual se requiere de una capacitación y auto evaluación constante

Esta capacitación se realizará de la siguiente forma:

1. Catedra: para dar a conocer el SGSI

2. Talleres: para la implementación del SGSI

3. Seminarios: para fortalecer el SGSI

4. Auditorias: para la implementación de la mejora continua

Mencionadas actividades se realizarán mediante programación en cronograma y con

evaluación de resultados por empleado para medir la comprensión y la implementación

del SGSI

Para este proyecto se requiere de una inversión de $4.000.000, cuatro millones de

pesos en lo que está incluido las conferencias seminarios y talleres.

Tabla 1. Implementación y Fortalecimiento SGSI

14
 CAMARGO JESÚS - GARZÓN GARCÍA JOHN EDISSON
Nombre del capacitador: HERNÁNDEZ JHON - MIRANDA HERNANDEZ JULIÁN ANDRES
LOGO EMPRESA
Periodo de la capacitación: 2021

Objetivo de la capacitación: IMPLEMENTACION Y FORTALECIMIENTO SGSI

TEMA OBJETIVO CONTENIDO HERRAMIENTAS

Conceptos básicos sobre
Introducción a la Conocer qué es la
Seguridad de la información.
Seguridad de la Seguridad de la Conferencia
Cómo aplicar la Seguridad de
Informacion Información
la Información en la empresa
Fundamentos de la El ciclo PHVA y la Norma ISO
Identificar el ciclo PHVA y
seguridad de la 27001 talleres
la norma iso 270001
información Enfoque por procesos
implantación de un SGSI en
Implementación Modulo Planear, Ejecutar y
base a la norma ISO 27001 seminario
SGSI Monitorear
Planificar y documentar
La Identificación de los
Conocer e identificar las
Análisis y Gestión de Activos.
herramientas de la talleres
Riesgos Análisis, Gestión y
gestion de riesgo
Tratamiento de Riesgos
Organización Interna.
Objetivo de Control a Política de Seguridad.
Terceras Partes seminario
Aplicar Seguridad Organizativa
Recursos Humanos
Conceptos básicos de
auditorías
Identificar conocer e Programa de auditorías,
implementar las preparación, gestión y riesgos
Auditoria del SGSI auditoria
herramientas de la mejora de la auditoría
continua Plan de auditoría y 15
preparación de las listas de
verificación
 Tabla 2. Cronograma de Actividades

Tabla 3. Evaluación CAMARGO JESÚS - GARZÓN GARCÍA JOHN EDISSON

Personal encargado de la capacitación:
HERNÁNDEZ JHON - MIRANDA HERNANDEZ JULIÁN ANDRES
LOGO EMPRESA
las conferencias se realizarán los días jueves y viernes de 02:00 a 04:00 de la tarde
Días y horarios semanal: los talleres se efectuarán los días jueves y viernes de 02:00 a 04:00 de la tarde
los seminarios se llevarán a cabo de miércoles a viernes de 02: a 05:00 de la tarde

MESES ENERO FEBRERO MARZO ABRIL MAYO JUNIO JULIO AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE
CAPACITACIÓN 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Introducción a la Seguridad de
la Informacion
Fundamentos de la seguridad de
la información
Implementación Modulo SGSI

Análisis y Gestión de Riesgos

Objetivo de Control a Aplicar

Auditoria del SGSI

16
 NOMBRE DEL EVALUADOR:
LOGO EMPRESA FECHA: DÍA MES AÑO

NOTA: Marque de 1 a 5, siendo 1 la evaluacion más baja y 5 la más alta

EVALUACION
EMPLEADO 1 2 3 4 5 COMENTARIO ADICIONAL

Organigrama
17
Figura 6. Organigrama
18
 Comité De Seguridad de la Información

Con el fin de mantener los niveles de seguridad de la información alineados

eficazmente con las necesidades operativas de PAIPA TOURS y responder de manera

eficaz y eficiente a los retos de la seguridad de la información se organiza y se estructura

las responsabilidades y funciones relacionadas con la seguridad de la información para

asegurar el máximo cubrimiento en este aspecto.

El objeto de este apartado es el de describir y documentar la estructura de

responsabilidades y competencias del comité de seguridad de la información y sus

integrantes.

Los integrantes del comité fueron elegidos por su idoneidad de conocimiento en

seguridad y el conocimiento de los procesos internos con el fin de alinear el SGSI a las

necesidades de la compañía.

Para la integración del comité es necesario contar con profesionales con

conocimientos específicos en áreas de la tecnología, derecho, gestión documental y

seguridad informática, de esta manera al analizar la estructura organizacional de PAIPA

TOURS es necesario incluir terceros con idoneidad suficiente para la conformación de

este comité, estos son los integrantes del comité y las funciones del mismo.

Internos

19
  Dir. Gestión de Calidad y Servicio al cliente.

Justificación: Aportar lo necesario para alinear el SGSI con el sistema de Calidad de

PAIPA TOURS, y enfocado en el cumplimiento de los objetivos estratégicos.

 Asistente Administrativa y Talento Humano.

Justificación: Aportar su conocimiento de la estructura organizacional y de los procesos

internos.

 Dir. Comercial.

Justificación: Aportar su conocimiento del proceso de cara al cliente y los productos y

servicios de la compañía.

Tercerizados

En consideración que en el organigrama de PAIPA TOURS no cuenta con cargos

específicos en lo correspondiente a tecnología, derecho, gestión documental, por lo tanto,

se determinó tercerizar estos cargos y así complementar el comité para asegurar que el

SGSI tenga el soporte necesario.

 Proveedor y/o soporte de infraestructura tecnológica.

Justificación: El proveedor conoce la infraestructura tecnológica de PAIPA

TOURS y aportara a identificar los riesgos y controles que se pueden detectar e

implementar dentro del SGSI dentro del ambiente tecnológico.

 Apoyo Jurídico.

Justificación: Asegurar que el SGSI este conforme a la normativa legal vigente,

20
  Gestor Documental.

Justificación: Asegurar que la estructura documental del SGSI este almacenada,

ordenada accesible y actualizada según lo determine el comité.

 Oficial de seguridad de la información:

Justificación: Encargado de velar que se cumplan las políticas del SGSI, e identificar

y gestionar de forma adecuada los incidentes de seguridad de la información.

El oficial de seguridad tiene como función principal es la de alinear los principios de

seguridad contenidos en el SGSI, con los objetivos misionales de PAIPA TOURS

garantizando que los activos de información estén adecuadamente protegidos dentro de

los entandares de madurez de la compañía.

Funciones del Comité de Seguridad

21
 Considerando que el comité está conformado por un grupo interdisciplinario, donde

cada uno aporta su conocimiento de negocio y conocimiento específico, se definen las

siguientes funciones:

 Coordinar la implementación del modelo de seguridad y privacidad de la

información de PAIPA TUORS.

 Hacer diagnósticos del estado de cumplimiento del SGSI y efectividad sobre los

procesos de PAIPA TOURS.

 Acompañar e impulsar la generación de cultura de seguridad de la información

para los empleados, terceros y clientes de PAIPA TOURS.

 Sugerir roles y responsabilidades específicas que se relaciones con la seguridad de

la información

 Formular planes de acción para mitigar y/o eliminar riesgos.

 Promover la difusión y sensibilización de la seguridad de la información dentro de

PAIPA TOURS.

 Poner en conocimiento a la alta dirección los documentos generados al interior del

comité de seguridad de la información que impacten a toda la compañía.

 Hacer análisis e informe de los incidentes de seguridad de información y plantear

planes de acción frente a los mismos.

 Definir y aprobar las metodologías y procesos específicos que deben usarse para

la seguridad de la información.

22
 Coordinar y dirigir acciones especificar que ayuden a promover un ambiente

seguro y establecer los recursos necesarios que sean coherentes a las metas y

objetivos de PAIPA TOURS.

23
 TERCERA ENTREGA

Identificación e Inventario de la Información

Con la aprobación de la alta dirección, se define la metodología aplicada para que de

una manera muy facíl para los usuarios realizar la identificación y clasificación de los

activos de información, con el fin de establer su importanción en PAIPA TOURS.

Se definen los lineamientos, donde el lider del proceso o colaborador designado por

este deberán seguir los procedimientos establecidos, para ello, se ha establecido el

siguiente flujo, el cuál le indicará a los custodios y responsables de la información los

formatos a diligencias para armar sus respectivas matrices de información.

Figura 7. Inventario de información

24
 TERCERA ENTREGA

Los activos de información además de ser identificados, estos debern ser clasificados

en cuanto su confidencialidad, integridad y disponibilidad; del nivel asignado al activo de

información, determinará el nivel y condiciones de seguridad definidas.

Confidencialidad:

Con el fin de identificar el nivel de confidencialidad de los activos de información, los

formatos (F-01-SI, F-02-SI y F-03-SI), indican la valoración de la confidencialidad del

activo de información acorde con el nivel de clasificación seleccionado en el campo.

Figura 8. Clasificación de Activos

25
 Tabla 4. Formato (F-01-SI)
ACTIVOS DE INFORMACIÓN
FINANCIER
Proceso A          
JOSÉ
Líder de proceso GARZÓN          
Fecha de elaboración 27/06/2020          
Fecha de revisión y
aprobación 30/06/2020          
DEPARTAMENT COD NOMBRE DE IDENTIFICADOR DESCRIPCIÓN UBICACIÓ USUARIO
O CARPETA CARPETA ACTIVO CARPETA N CUSTODIO
FACTURAS ACT- Facturas emitidas por los JOHN
FINANCIERA 1 PROVEEDOR FINANCIERA-01 proveedores GABINETE GARZÓN
FACTURAS ACT- Facturas emitidas por los JOHN
FINANCIERA 1 PROVEEDOR FINANCIERA-02 proveedores Exterior GABINETE GARZÓN
FACTURAS ACT- JOHN
FINANCIERA 2 EMITIDAS FINANCIERA-03 Facturas emitidas a clientes GABINETE GARZÓN
ACT- Soporte transferencias JESÚS
FINANCIERA 3 TRANSFERENCIAS FINANCIERA-04 realizadas a proveedores CAJÓN CAMARGO

ACTIVOS DE INFORMACIÓN
Proceso FINANCIERA
Líder de proceso JOSÉ GARZÓN
Fecha de elaboración 27/06/2020
Fecha de revisión y aprobación
30/06/2020
COD CARPETA NOMBRE DE CARPETA IDENTIFICADOR ACTIVO NOMBRE ACTIVO TIPO ACTIVO CLASIFICACIÓN DISPONIBILIDAD INTEGRIDAD CRITICIDAD ESTADO RESPONSABLE DUEÑO
1 FACTURAS PROVEEDOR ACT-FINANCIERA-01 DATOS FINANCIEROS FACTURAS PRIVADA MEDIA MEDIA ALTA ACTIVA JOSÉ GARZON
1 FACTURAS PROVEEDOR ACT-FINANCIERA-02 DATOS FINANCIEROS FACTURAS PRIVADA MEDIA MEDIA MEDIA ACTIVA JOSÉ GARZON
2 FACTURAS EMITIDAS ACT-FINANCIERA-03 DATOS FINANCIEROS FACTURAS PRIVADA MEDIA MEDIA MEDIA ACTIVA JOSÉ GARZON
26
3 TRANSFERENCIAS ACT-FINANCIERA-04 DATOS FINANCIEROS FACTURAS PRIVADA BAJA MEDIA MEDIA ACTIVA JOSÉ GARZON

Tabla 5. Formato (F-02-SI)

 Tabla 6. Formato (F-03-SI)
CLASIFICACIÓN NIVEL DESCRIPCIÓN

Es la información cuya divulgación de forma no autorizada genera

desventajas competitivas, pérdidas económicas significativas, afecta
negativamente al negocio, a los colaboradores y/o a los clientes. El acceso a
CONFIDENCIAL ALTA este tipo de información debe ser basado en el criterio estricto de la
necesidad de saber. Su divulgación requiere de la aprobación del propietario
de la información y en el caso de terceros requiere que se firmen
previamente acuerdos de confidencialidad.

ALTA/ Es información creada y usada por los procesos estratégicos y tácticos de la

Organización, puede ser accedida solo por usuarios debidamente
PRIVADA MEDIA autorizados.

Es información creada y usada por los procesos de apoyo de PAIPA

TOURS, puede ser accedida por personal y su revelación sin autorización
podría conllevar a pérdidas económicas bajas o lesionar levemente al
negocio. La mayoría de la información del día a día cae bajo esta
clasificación y sólo deberá estar al alcance del personal autorizado.
INTERNA MEDIA

Es información que está al alcance o puede ser accedida públicamente y sin

restricciones, por tanto, su divulgación no representa ninguna consecuencia
para PAIPA TORUS, sus clientes, proveedores y/o empleados. La
información puede ser pública independientemente si esta información es
PUBLICA BAJA originada al interior de la Organización o proviene de un tercero.

27
 Así mismo, de acuerdo a los siguientes atributos se valora el activo de información en

cuanto a su confidencialidad:

 Restricción: La cual puede ser interna o externa, y hace referencia a la limitación

de su acceso de acuerdo a la clasificación.

 Custodio responsable: Hace referencia a si el activo de información tiene o no

un responsable asignado.

 Custodio Espacio: Corresponde al tiempo de permanencia que debe tener o no el

activo de información, para lo cual sugiere sea permanente, temporal o no

requiere

Figura 9. Niveles de confidencialidad

28
 Metodologías de Gestión de Riesgo

AMBITO DE
METODOLOGIA VENTAJAS DESVENTAJAS
APLICACIÓN
Cuenta con una guía para la evaluación de riesgos de
seguridad en la infraestructura TI.

Resume los elementos clave de las pruebas de

seguridad técnica y la evaluación enfatizada a técnicas
específicas, beneficios, limitaciones y recomendaciones
para su uso.

Cuenta con herramientas para la evaluación y

Organizaciones mitigación de los riesgos.
NIST SP 800-30 gubernamentales No contempla elementos como los
y no Optimiza la administración con base a los resultados activos, procesos y dependencias de la
gubernamentales. obtenidos en el análisis de riesgos. organización.

Protege los sistemas informáticos que almacenan,

procesan y comunican información.

Su aplicación es de bajo costo.

Se aplica en el análisis y gestión de los riesgos.

Tabla 7. NIST SP 800-30

METODOLOGIA AMBITO DE VENTAJAS DESVENTAJAS

29
 APLICACIÓN
Alcance completo en el análisis y gestión de los riesgos.

Documentación completa en cuanto a recursos de

información, amenazas y tipos de activos. No requiere
autorización para su uso.

Usa un análisis completo de riesgo cuantitativo y

cualitativo.

Clasifica los activos de la organización en grupos, para No involucra los procesos, recursos
identificar riesgos y tomar medidas para impedir cualquier y vulnerabilidades en su modelo.
Organizaciones riesgo.
MAGERIT grandes Tiene inexactitudes en el inventario
comerciales y no Concientiza sobre los riesgos y la necesidad de impedirlos de políticas.
comerciales, a tiempo.
gobierno, Pymes. Su aplicación es costosa.
Cuenta con un método sistemático para analizar riesgos.

Revela y planifica las medidas oportunas para controlar

los riesgos.

Prepara a la organización en procesos de certificación,

auditoria y evaluación.

Permite que el proceso esté controlado en todo momento y

contempla aspectos prácticos para la ejecución efectiva del
análisis y gestión de riesgos.
Tabla 8. MAGERIT

Tabla 9. ISO -270001

30
 AMBITO DE
METODOLOGIA VENTAJAS DESVENTAJAS
APLICACIÓN
Refuerza el valor competitivo de la empresa.

Reduce sustancialmente el riesgo de fuga y

deterioro de la información de clientes,
proveedores y trabajadores de la empresa.

Cuenta con una documentación completa para

establecer, implementar, monitorear, revisar,
mantener y mejorar un SGSI.

Mejora continua de los procesos de gestión de la Su implementación, implica una inversión

Organizaciones información. inicial.
grandes
ISO- 270001 comerciales y no Su implementación, favorece la imagen Los procesos de implantación del SGSI,
comerciales, organizacional, confianza de clientes y exigen un cambio de mentalidad y de rutinas
gobierno, Pymes proveedores. laborales.

Mayor orden en la gestión de los procesos

productivos, lo cual reduce los costos.

Cumple con los requerimientos legales exigidos

por los entes de control.

Equilibra y coordina los procesos de seguridad.

31
 Con base a las tres metodologías descritas, en la organización PAIPA TOURS se

llevará a cabo la implementación de la metodología MAGERIT. Aunque su

implementación puede ser costosa, está metodología es muy completa ya que aborda

desde la identificación, evaluación y gestión de los riesgos hasta las recomendaciones y

establecimiento de controles de seguridad, entre otros.

Su método sistemático y organizacional de la información hace que las organizaciones

cuenten con las medidas oportunas para mantener los riesgos controlados, además

prepara a la organización para procesos de evaluación, auditoria y certificación; lo cual

mejora la imagen y fortalece la confianza de la empresa.

Uno de los factores más importantes que tiene esta metodología es que los resultados

de evaluación se obtienen y se enuncian en valores económicos, lo que permite que las

propuestas y planes de tratamiento sean mejor formados y fundamentados, lo cual

conlleva a explicar y lograr mejores resultados.

Por último, cuenta con un software de libre descarga, denominado PILAR, el cual

permite realizar análisis de riesgos (modelamiento de activos, riesgos, ponderación y

clasificación), además no requiere autorización para su uso. [ CITATION San \l 9226 ]

32
 Indicadores y Criterios de Medición

Tabla 10. Indicador Gestión de Eventos

CA MAR GO J ESÚS - G ARZÓN G ARC ÍA JO HN EDISSON
Nombre del ca pacitador:

 
HERNÁN DEZ JHON - MIRA NDA HER NANDEZ J ULI ÁN A NDRES
LO GO EMPRE SA
Periodo de la c apaci tac ión: 2021

Objetivo de l a capacitac ió n: IMPLEMENTA C IO N Y FORTALEC IMIENT O SGSI

TE MA OBJETIVO C ONTENIDO HERR AMIENTAS

C once ptos básico s sob re
Introducc ión a la C onocer qué es la
Se gu ri da d de la información.
Se guridad de la Seguridad de la C onferencia
C ómo apli car la Seguridad de
Informaci on Información
la In formaci ón en la empresa
Fu ndamentos de la El ci clo PHVA y la No rma ISO
Identifi car el ci clo PHVA y

INDICADOR DE GESTION EVENTOS DE RIESGO RELACIONADOS

se guridad de la 27001 talleres
la norma is o 270001
informaci ón Enfoque p or proc es os
impl antac ión de un SGSI en
Impl ementa ción Modulo Planear, Ejec utar y
base a la norma ISO 27001 semi nari o
SGSI Monitorear
Plan ifi ca r y documen ta r
La Id entifi cación de l os
C onocer e iden tifi c ar las
Anális is y Gestión de Activo s.
herramientas de la talleres
Ries gos Anális is , Ge stió n y
gestion d e ries go
Tratamiento de Riesgo s
Organ izac ió n In te rna .

CON LA SEGURIDAD DE LA INFORMACION

O bjetivo de C ontrol a Política d e Seguridad.
Terc eras Partes semi nari o
Aplica r Seguridad O rganizativ a
Recurso s Huma nos
C once ptos básico s de
audi torías
Identifi car co noc er e Programa de aud itorías ,
implementar las preparación , ge stión y ries gos
Auditoria del SGSI auditoria
herramientas de la me jo ra de la au dito ría
continua Plan d e auditoría y
preparación d e las listas de
ve rifi c ac ión

INDETIFICADOR I1
DEFINICIÓN
Determinar la eficiencia en el tratamiento de eventos de riesgo relacionados con la
seguridad de la información. Los eventos serán reportados por los usuarios, el comité de
seguridad de la información o determinadas en las auditorías planeadas para el sistema.
OBJETIVO
El objetivo del indicador es reflejar la gestión y evolución del modelo de seguridad y
privacidad
de la información al interior de una entidad
TIPO DE INDICADOR
Indicador de gestión del SGSI (medición mensual)
FUENTES DE
VARIABLES FORMULA INFORMACION
 Reportes de gestión de
eventos de riesgos.
V1I1: Numero de eventos
 Auditorías Internas.
reportados
(V1I1/V2I1) *100  Herramientas de
monitoreo.
V2I1: Numero de variables Reportes de gestión de
cerradas a satisfacción eventos de riesgos
METAS
MINIM 75% - SATISFACTORI 100
81% - 99% SOBRESALIENTE
A 80% A %

33
 Tabla 11. Indicador Planes de Sensibilización

LO GO EMPRE SA

Objetivo de la capacitac ió n:
Nombre del ca pacitador:

Periodo de la c apacitaci ón :
 
CAMAR GO J ESÚS - GA RZÓN GA RCÍ A JOH N EDISSON
HERNÁN DEZ J HON - MIRA NDA HER NANDEZ J ULI ÁN A NDRES

IMPLEMENTA CIO N Y FORTALEC IMIENT O SGSI

20 21

TEMA OBJETIVO C ONTENID O HERR AMIENTAS

C onceptos b ásico s sobre
Introducc ión a la C onocer qué es la
Segu rida d de la información.
Se gu ri da d de la Seguridad de la C onferencia
C ómo aplica r la Seguridad de
Informacion Información
la Informaci ón e n la empresa

INDICADOR DE PLANES DE SESASIBILIZACION

Fu nd amentos de la El ci clo PHVA y la Norma ISO
Identifi car el ci clo PHVA y
se gu ri da d de la 27001 talleres
la norma is o 27 0001
información Enfoque por proces os
implantac ión de un SGSI en
Impl eme nta ción Modulo Planear, Ejec ut ar y
base a l a norma ISO 27 001 semi nari o
SGSI Monitorear
Planifi ca r y documentar
La Id enti fica ción de los
C onocer e iden tifi c ar las
Anális is y Gestión de Activos.
herramientas de la talleres
Ries gos Análisis , Ge stió n y
gestion de ries go
Tratamiento de Riesgo s
Organizació n In te rna.
Ob je tivo de C ontrol a Política de Se guridad.
Terceras P artes semi nari o
Aplica r Seguridad Or ga nizativa
Recurso s Huma nos
C onceptos b ásico s de
auditorías
Identifi car conoc er e Programa de audi torías ,
implementar las preparación , ge stión y ries gos
Auditoria del SGSI auditoria
herramientas de la me jo ra de la au di to ría
continua Plan de au ditoría y
preparación d e las listas de
verifi cac ión

INDETIFICADOR I2
DEFINICION

Medición de los planes de sensibilización relacionados con seguridad de la información a los

usuarios del SGSI. Estas mediciones se hacen por medio de auditorías especializadas en temas de
seguridad de la información, por parte de los responsables de la capacitación y sensibilización
OBJETIVO
Establecer la efectividad de un plan de capacitación y sensibilización previamente definido
como medio para el control de incidentes de seguridad.
TIPO DE INDICADOR
Indicador de gestión del SGSI (medición mensual)
VARIABLES FORMULA FUENTES DE INFORMACION

V1I2: total de personas

Lista de asistencia y/o
capacitadas o actores del sistema
participación
SGSI

V2I2: Número de fallas en el (V1I2/V2I2) *100  Reportes de resultados

cumplimiento, encontrados en la
evaluados por el Comité
evaluación de la sensibilizaciones
de seguridad de la
programadas o eventos realizados
información.
para evaluar temas de seguridad
 Auditorías internas.
de la información.
METAS
MINIM SATISFACTORI 75% -
81% - 99% SOBRESALIENTE 100%
A A 80%
OBERVACIONES
Para el levantamiento de la información permita obtener datos para la medición el comité de
seguridad de la información ideara planes, laboratorios o actividades periódicas que permitan
medir la capacitación y la idoneidad de los usuarios de SGSI en temas de seguridad de la
información difundidos asertivamente y oportunamente por el comité.

34
 Tabla 12. Indicador Ataques Informáticos
CA MAR GO J ESÚ S - G ARZÓN G ARC ÍA JO HN EDISSON
Nombre del capac ita dor: HERNÁ NDEZ JHO N - MIRA NDA HER NANDEZ J UL IÁN ANDR ES
LOGO EMPRESA
Peri od o de la cap acitación : 2021

Ob je tivo de la ca pa citación:

TEMA
Introdu cción a l a
Segurida d de la
Informacion
Fundame nto s de la
O BJET IVO
C o noc er qué es la
Seguridad de la
I nf ormac ión
 
IMPL EMENTAC ION Y FORT AL EC IMIE NTO SGSI

C ONTE NID O
C on ceptos bás icos s obre
Seguridad de l a info rma ción.
C ómo aplicar la Se gurid ad de
la Información e n la e mpresa
El cic lo P HVA y l a Norma ISO
HERRAMIENT AS

Co nfe re nc ia

I de ntifi c ar e l ciclo P HVA y

segurida d de la 27001 talle re s

INDICADOR DE ATAQUES INFORMATICOS CON AFECTACION

l a norma iso 27000 1
información Enfoque por procesos
implantación de un SGSI en
Impleme ntaci ón Mo dulo P la near, Ejecutar y
base a la n orma ISO 2700 1 semin ario
SGSI Mon itorear
Planifi car y do cumentar
La Identifi caci ón de los
C o noc er e identifi car las
Análisis y Ges tión de Activos.
h erramien tas de la talle re s
Riesgos Aná lisis, Gestión y
g estion de riesgo
Trata mie nto de Ri esgos
Organiza ción Interna.
Objetivo de C on trol a P olític a de Se gu ri da d.

DE SERVICIOS
Terceras Partes semin ario
Aplicar Seguridad Organi zativa
Rec ursos Humano s
C on ceptos bás icos de
auditoría s
I de ntifi c ar c onocer e Programa de auditorías,
i mplementar las preparac ión, ges tión y riesgos
Auditoria d el SGSI auditoria
h erramien tas de la mejora de la auditoría
c ontinua Plan de auditoría y
preparac ión de l as listas de
verifi caci ón

INDETIFICADOR I3
DEFINICION
Porcentaje de ataques informáticos recibidos en la entidad que impidieron la prestación de
alguno de sus servicios.
OBJETIVO
Busca conocer el número de ataques informáticos que recibe la entidad.
TIPO DE INDICADOR
Indicador de cumplimiento del SGSI
VARIABLES FORMULA FUENTES DE INFORMACION

V1I3: Número de ataques

Herramientas de
informáticos a la entidad en el
Monitoreo/Usuarios Internos.
último año

V2I3: Número de ataques (V2I3/V1I3) *100 

informáticos recibidos en el último
año que impidieron la prestación Herramientas de
de algunos de los servicios Monitoreo/Usuarios Internos
misionales ofrecidos a clientes,
usuarios y proveedores
METAS
99.7% - NO
CUMPLE   <99.7%
100% CUMPLE
OBERVACIONES
Los ataques informáticos que generen perdida de servicios dentro de los entandares del
SLA, se miden en tiempo de servicio en consideración de una prestación de los mismo de
24x7
Conclusiones

35
 Para toda organización ya sea pequeña o grande, local o trasnacional la seguridad de la

información es fundamental, en la actualidad con el crecimiento de la informática en las

operaciones empresariales de hoy día y el flujo de información en la red o almacenada de

forma digital, por lo cual debe ser parte de todos los procesos de las organizaciones

siempre buscar y garantizar la protección de la información propia y de sus clientes, la

norma ISO 270001, busca cubrir las múltiples dimensiones de la seguridad de la

información, dándole la tranquilidad a los dueños, gerentes operarios y clientes,

garantizando un alto nivel de confidencialidad, integridad y disponibilidad de la

información tratada en las labores diarias de las organizaciones, permitiendo así la

continuidad del negocio dentro de la competitividad organizacional en el medio,

permitiendo un plus ante la competencia.

Referencias

36
Arango, P. A. (06 de Junio de 2016). PLAN DE IMPLEMENTACIÓN DEL SGSI

BASADO EN LA NORMA ISO 27001:2013 . Obtenido de

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/53466/8/pmayaaTFM061

6memoria.pdf

CTMA15. (28 de Mayo de 2019). ISO 27001: Precio y aspectos a tener en cuenta.

Obtenido de https://ctmaconsultores.com/precio-de-iso-27001/

Freepik Company. (2010). Freepik. Obtenido de https://www.freepik.es/

Institute, B. (1 de Junio de 2020). Implementador Líder ISO 27001 Seguridad de la

Información. Obtenido de https://bsginstitute.com/Seguridad-de-la-

Informacion/Implementador-Lider-ISO-27001-Seguridad-de-la-Informacion-258

Protección de Datos. (24 de 07 de 2018). Ventajas e inconvenientes de la ISO 27001.

Obtenido de https://www.protecciondatos.org/ventajas-e-inconvenientes-de-la-

iso-27001/

Rodriguez, H. A. (s.f.). Metodologías para el análisis de riesgos en los sgsi. Obtenido de

https://hemeroteca.unad.edu.co/index.php/publicaciones-e-

investigacion/article/view/1435/1874#:~:text=En%20el%20%C3%A1mbito

%20de%20la%20seguridad%20inform%C3%A1tica%2C%20las%20metodolog

%C3%ADas%20de,de%20modelos%20y%20procesos%20para%2C

Sanabria, J. S. (s.f.). Lectura Fundamental: Etapas de un plan de comunicación .

37
SGSI, B. e. (28 de Abril de 2015). ISO 27001: La importancia de capacitar y

concienciar a los empleados. Obtenido de https://www.pmg-ssi.com/2015/04/iso-

27001-la-importancia-de-capacitar-y-concienciar-a-los-empleados/

Anexos

38
1) Infografía

https://www.canva.com/design/DAD-

l8Hs2WA/BxtJtxT9aAjXZ43T6ligQA/view?utm_content=DAD-

l8Hs2WA&utm_campaign=designshare&utm_medium=link&utm_source=p

ublishsharelink

2) Metodología de Gestión de Incidentes: Para el desarrollo de esta guía, se

recogieron aspectos importantes de mejores prácticas y documentos de uso libre

por parte de la NIST (National Institute of Standards and Technology – Computer

Security Incident Handling Guide), tomando como base los lineamientos

recomendados en la norma ISO 27001 -2013 Numeral 16 de la misma, para la

gestión de incidentes.

Nota: Se adjunta en el .rar

39