Entrega Final
Entrega Final
Entrega Final
PAIPA TOURS
MIRANDA JULIÁN
AUTORES
POLITECNICO GRANCOLOMBIANO
GESTIÓN DE LA SEGURIDAD
i
ii
PAIPA TOURS
BORBÓN JEFFREY
DOCENTE
POLITECNICO GRANCOLOMBIANO
GESTION DE LA SEGURIDAD
Tabla de Contenido
Introducción....................................................................................................................1
ii
iii
Misión.............................................................................................................................2
Visión..............................................................................................................................2
Mapa de Procesos............................................................................................................3
Partes Interesadas............................................................................................................3
Organigrama
Conclusión
Referencias.
Lista de Figuras
Figura 3. Capacitaciones
iii
iv
Figura 4. Carteles
Figura 5. Presupuesto.
Figura 6. Organigrama.
Lista de Tabla
Tabla 3. Evaluación.
Tabla 8. MAGERIT
v
PRIMERA ENTREGA
Introducción
Hoy en día toda organización emplea, gestiona y archiva información, pero en esta era
implementar los mecanismos para poder garantizar la información que pueda llegar a
tener una relevancia ya sea para la organización, sus proveedores, sus clientes e inclusive
información, es fundamental para toda organización ya que esto les permitirá a sus
clientes asociados, proveedores, así como los aliados estratégicos mayor confianza en la
1
PRIMERA ENTREGA
Misión
Visión
mejor Agencia de viajes y turismo del departamento y una de las empresas líderes del
2
PRIMERA ENTREGA
Mapa de Procesos
Partes Interesadas
Internas
- Gerencia
- Gerencia Comercial
- Gerencia Financiera
Externas
- Clientes
- Proveedores
- Aliados de Sector
3
Justificación Partes Interesadas
crecimiento de la compañía, tiende dentro su gestión natural velar por que los productos y
servicios tengan las herramientas necesarias para que estos sean de calidad y
seguridad de los manejos financieros ya sean internos como externos, es por ello que la
4
Clientes: Los clientes siendo uno de los pilares más importantes para la compañía, por
ello, se convierte en una de las partes interesadas más relevantes en nuestro sistema de
Proveedores: Para el modelo del SGSI de PAIPA TOURS nuestros proveedores son
Aliados de Sector: Los aliados del sector hacen referencia a agencias de viaje,
La información que se maneja son el principal activo para cada una de estas empresas,
por tal razón se debe tratar y procesar como tal; de una forma segura. Estas empresas
información, aplicando las medidas necesarias que garantice la seguridad. Esta inversión
últimos años. La tecnología impacta desde la búsqueda para seleccionar el destino al que
5
se quiere viajar hasta los planes de turismo que se quieren realizar en el destino; la
tecnología ha facilitado y enriquecido la vida del turista y las empresas que brindan
servicios de turismo.
Gerencia: Las expectativas de las partes interesadas deben estar relacionadas con los
ámbito comercial.
financiero.
6
Por lo tanto, se contempla en implementar los mecanismos que a continuación se
relacionan.
próximos 5 años: Para alinear la estructura del sistema con la visión de cambio
- Entrevista con los Colaboradores del área: Con el fin de determina que
administran.
seguridad de la información.
7
- Encuesta de imagen y percepción a clientes: Con el fin de determinar qué tan
- Entrevista con los clientes: Con el fin de recuperar la confianza de los clientes
siguientes mecanismos:
- Entrevista con los proveedores: Con el fin de tener una idea clara del alcance
8
Aliados del Sector: Los mecanismos para los aliados del sector son muy importantes,
- Entrevista con los clientes: Con el fin de recuperar la confianza de los clientes
seguro de la información.
compañía.
9
SEGUNDA ENTREGA
conciencia:
Objetivo
Contribuir y facilitar para que los colaboradores sean, sientan y se identifiquen como
parte activa del SGSI e identifiquen su rol dentro de este y de esta manera fortalecerlo.
Medio: Los recursos por los cuales serán los canales de comunicación con el
- Correo electrónico.
- Intranet.
- Carteleras.
- Capacitaciones.
- Concursos.
Público Objetivo
10
SEGUNDA ENTREGA
Estrategia
TOURS.
9226 ]
2. Security News, en este espacio, se publicarán notas breves de noticas de seguridad
- https://nakedsecurity.sophos.com/
- https://www.welivesecurity.com/
- https://www.incibe.es/
- http://www.colcert.gov.co/
11
SEGUNDA ENTREGA
de PAIPA TOURS.
Fre10 \l 9226 ] 12
SEGUNDA ENTREGA
Figura 4. Carteles
6. Presupuesto
Figura 5. Presupuesto
Actividades y Métodos Pedagógicos
13
SEGUNDA ENTREGA
la cual fluye de forma constante sin importar cuál sea su rublo o el tamaño de esta,
toda empresa tiene un grado de vulnerabilidad es por ello que se requiere de una
del SGSI
MESES ENERO FEBRERO MARZO ABRIL MAYO JUNIO JULIO AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE
CAPACITACIÓN 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Introducción a la Seguridad de
la Informacion
Fundamentos de la seguridad de
la información
Implementación Modulo SGSI
16
NOMBRE DEL EVALUADOR:
LOGO EMPRESA FECHA: DÍA MES AÑO
EVALUACION
EMPLEADO 1 2 3 4 5 COMENTARIO ADICIONAL
Organigrama
17
Figura 6. Organigrama
18
Comité De Seguridad de la Información
integrantes.
seguridad y el conocimiento de los procesos internos con el fin de alinear el SGSI a las
necesidades de la compañía.
este comité, estos son los integrantes del comité y las funciones del mismo.
Internos
19
Dir. Gestión de Calidad y Servicio al cliente.
internos.
Dir. Comercial.
servicios de la compañía.
Tercerizados
se determinó tercerizar estos cargos y así complementar el comité para asegurar que el
Apoyo Jurídico.
Justificación: Encargado de velar que se cumplan las políticas del SGSI, e identificar
21
Considerando que el comité está conformado por un grupo interdisciplinario, donde
siguientes funciones:
Hacer diagnósticos del estado de cumplimiento del SGSI y efectividad sobre los
la información
PAIPA TOURS.
Definir y aprobar las metodologías y procesos específicos que deben usarse para
la seguridad de la información.
22
Coordinar y dirigir acciones especificar que ayuden a promover un ambiente
seguro y establecer los recursos necesarios que sean coherentes a las metas y
23
TERCERA ENTREGA
una manera muy facíl para los usuarios realizar la identificación y clasificación de los
Se definen los lineamientos, donde el lider del proceso o colaborador designado por
24
TERCERA ENTREGA
Los activos de información además de ser identificados, estos debern ser clasificados
Confidencialidad:
25
Tabla 4. Formato (F-01-SI)
ACTIVOS DE INFORMACIÓN
FINANCIER
Proceso A
JOSÉ
Líder de proceso GARZÓN
Fecha de elaboración 27/06/2020
Fecha de revisión y
aprobación 30/06/2020
DEPARTAMENT COD NOMBRE DE IDENTIFICADOR DESCRIPCIÓN UBICACIÓ USUARIO
O CARPETA CARPETA ACTIVO CARPETA N CUSTODIO
FACTURAS ACT- Facturas emitidas por los JOHN
FINANCIERA 1 PROVEEDOR FINANCIERA-01 proveedores GABINETE GARZÓN
FACTURAS ACT- Facturas emitidas por los JOHN
FINANCIERA 1 PROVEEDOR FINANCIERA-02 proveedores Exterior GABINETE GARZÓN
FACTURAS ACT- JOHN
FINANCIERA 2 EMITIDAS FINANCIERA-03 Facturas emitidas a clientes GABINETE GARZÓN
ACT- Soporte transferencias JESÚS
FINANCIERA 3 TRANSFERENCIAS FINANCIERA-04 realizadas a proveedores CAJÓN CAMARGO
ACTIVOS DE INFORMACIÓN
Proceso FINANCIERA
Líder de proceso JOSÉ GARZÓN
Fecha de elaboración 27/06/2020
Fecha de revisión y aprobación
30/06/2020
COD CARPETA NOMBRE DE CARPETA IDENTIFICADOR ACTIVO NOMBRE ACTIVO TIPO ACTIVO CLASIFICACIÓN DISPONIBILIDAD INTEGRIDAD CRITICIDAD ESTADO RESPONSABLE DUEÑO
1 FACTURAS PROVEEDOR ACT-FINANCIERA-01 DATOS FINANCIEROS FACTURAS PRIVADA MEDIA MEDIA ALTA ACTIVA JOSÉ GARZON
1 FACTURAS PROVEEDOR ACT-FINANCIERA-02 DATOS FINANCIEROS FACTURAS PRIVADA MEDIA MEDIA MEDIA ACTIVA JOSÉ GARZON
2 FACTURAS EMITIDAS ACT-FINANCIERA-03 DATOS FINANCIEROS FACTURAS PRIVADA MEDIA MEDIA MEDIA ACTIVA JOSÉ GARZON
26
3 TRANSFERENCIAS ACT-FINANCIERA-04 DATOS FINANCIEROS FACTURAS PRIVADA BAJA MEDIA MEDIA ACTIVA JOSÉ GARZON
27
Así mismo, de acuerdo a los siguientes atributos se valora el activo de información en
cuanto a su confidencialidad:
un responsable asignado.
requiere
28
Metodologías de Gestión de Riesgo
AMBITO DE
METODOLOGIA VENTAJAS DESVENTAJAS
APLICACIÓN
Cuenta con una guía para la evaluación de riesgos de
seguridad en la infraestructura TI.
Clasifica los activos de la organización en grupos, para No involucra los procesos, recursos
identificar riesgos y tomar medidas para impedir cualquier y vulnerabilidades en su modelo.
Organizaciones riesgo.
MAGERIT grandes Tiene inexactitudes en el inventario
comerciales y no Concientiza sobre los riesgos y la necesidad de impedirlos de políticas.
comerciales, a tiempo.
gobierno, Pymes. Su aplicación es costosa.
Cuenta con un método sistemático para analizar riesgos.
31
Con base a las tres metodologías descritas, en la organización PAIPA TOURS se
implementación puede ser costosa, está metodología es muy completa ya que aborda
cuenten con las medidas oportunas para mantener los riesgos controlados, además
Uno de los factores más importantes que tiene esta metodología es que los resultados
Por último, cuenta con un software de libre descarga, denominado PILAR, el cual
32
Indicadores y Criterios de Medición
HERNÁN DEZ JHON - MIRA NDA HER NANDEZ J ULI ÁN A NDRES
LO GO EMPRE SA
Periodo de la c apaci tac ión: 2021
INDETIFICADOR I1
DEFINICIÓN
Determinar la eficiencia en el tratamiento de eventos de riesgo relacionados con la
seguridad de la información. Los eventos serán reportados por los usuarios, el comité de
seguridad de la información o determinadas en las auditorías planeadas para el sistema.
OBJETIVO
El objetivo del indicador es reflejar la gestión y evolución del modelo de seguridad y
privacidad
de la información al interior de una entidad
TIPO DE INDICADOR
Indicador de gestión del SGSI (medición mensual)
FUENTES DE
VARIABLES FORMULA INFORMACION
Reportes de gestión de
eventos de riesgos.
V1I1: Numero de eventos
Auditorías Internas.
reportados
(V1I1/V2I1) *100 Herramientas de
monitoreo.
V2I1: Numero de variables Reportes de gestión de
cerradas a satisfacción eventos de riesgos
METAS
MINIM 75% - SATISFACTORI 100
81% - 99% SOBRESALIENTE
A 80% A %
33
Tabla 11. Indicador Planes de Sensibilización
LO GO EMPRE SA
Objetivo de la capacitac ió n:
Nombre del ca pacitador:
Periodo de la c apacitaci ón :
CAMAR GO J ESÚS - GA RZÓN GA RCÍ A JOH N EDISSON
HERNÁN DEZ J HON - MIRA NDA HER NANDEZ J ULI ÁN A NDRES
INDETIFICADOR I2
DEFINICION
34
Tabla 12. Indicador Ataques Informáticos
CA MAR GO J ESÚ S - G ARZÓN G ARC ÍA JO HN EDISSON
Nombre del capac ita dor: HERNÁ NDEZ JHO N - MIRA NDA HER NANDEZ J UL IÁN ANDR ES
LOGO EMPRESA
Peri od o de la cap acitación : 2021
Ob je tivo de la ca pa citación:
TEMA
Introdu cción a l a
Segurida d de la
Informacion
Fundame nto s de la
O BJET IVO
C o noc er qué es la
Seguridad de la
I nf ormac ión
IMPL EMENTAC ION Y FORT AL EC IMIE NTO SGSI
C ONTE NID O
C on ceptos bás icos s obre
Seguridad de l a info rma ción.
C ómo aplicar la Se gurid ad de
la Información e n la e mpresa
El cic lo P HVA y l a Norma ISO
HERRAMIENT AS
Co nfe re nc ia
DE SERVICIOS
Terceras Partes semin ario
Aplicar Seguridad Organi zativa
Rec ursos Humano s
C on ceptos bás icos de
auditoría s
I de ntifi c ar c onocer e Programa de auditorías,
i mplementar las preparac ión, ges tión y riesgos
Auditoria d el SGSI auditoria
h erramien tas de la mejora de la auditoría
c ontinua Plan de auditoría y
preparac ión de l as listas de
verifi caci ón
INDETIFICADOR I3
DEFINICION
Porcentaje de ataques informáticos recibidos en la entidad que impidieron la prestación de
alguno de sus servicios.
OBJETIVO
Busca conocer el número de ataques informáticos que recibe la entidad.
TIPO DE INDICADOR
Indicador de cumplimiento del SGSI
VARIABLES FORMULA FUENTES DE INFORMACION
35
Para toda organización ya sea pequeña o grande, local o trasnacional la seguridad de la
forma digital, por lo cual debe ser parte de todos los procesos de las organizaciones
Referencias
36
Arango, P. A. (06 de Junio de 2016). PLAN DE IMPLEMENTACIÓN DEL SGSI
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/53466/8/pmayaaTFM061
6memoria.pdf
CTMA15. (28 de Mayo de 2019). ISO 27001: Precio y aspectos a tener en cuenta.
Obtenido de https://ctmaconsultores.com/precio-de-iso-27001/
Informacion/Implementador-Lider-ISO-27001-Seguridad-de-la-Informacion-258
Obtenido de https://www.protecciondatos.org/ventajas-e-inconvenientes-de-la-
iso-27001/
https://hemeroteca.unad.edu.co/index.php/publicaciones-e-
investigacion/article/view/1435/1874#:~:text=En%20el%20%C3%A1mbito
%20de%20la%20seguridad%20inform%C3%A1tica%2C%20las%20metodolog
%C3%ADas%20de,de%20modelos%20y%20procesos%20para%2C
37
SGSI, B. e. (28 de Abril de 2015). ISO 27001: La importancia de capacitar y
27001-la-importancia-de-capacitar-y-concienciar-a-los-empleados/
Anexos
38
1) Infografía
https://www.canva.com/design/DAD-
l8Hs2WA/BxtJtxT9aAjXZ43T6ligQA/view?utm_content=DAD-
l8Hs2WA&utm_campaign=designshare&utm_medium=link&utm_source=p
ublishsharelink
gestión de incidentes.
39