Objetivo

La presente gua tiene como objetivo, indicar los procedimientos de seguridad que
pueden generarse durante el diseo y la implementacin del modelo de seguridad y
de la informacin para las organizaciones.
Dependiendo de la organizacin, dichos procedimientos pueden variar o si la
entidad desea puede generar ms procedimientos si lo considera conveniente.

Gua

Una gua es una declaracin general utilizada para recomendar o sugerir un enfoque
para implementar polticas, estndares buenas prcticas. Las guas son
esencialmente, recomendaciones que deben considerarse al implementar la
seguridad. Aunque no son obligatorias, sern seguidas a menos que existan
argumentos documentados y aprobados para no hacerlo.

Procedimiento

Los procedimientos, definen especficamente como las polticas, estndares,

mejores prcticas y guas que sern implementadas en una situacin dada. Los
procedimientos son independientes de la tecnologa o de los procesos y se refieren
a las plataformas, aplicaciones o procesos especficos. Son utilizados para delinear
los pasos que deben ser seguidos por una dependencia para implementar la
seguridad relacionada con dicho proceso o sistema especfico.

Instructivo

Documento que describe de una manera detallada cmo debe ejecutarse una
actividad o tarea determinada para garantizar su realizacin, hablan sobre mtodos
especficos sobre plataformas, sistemas de informacin o algn proceso definido.
Seguridad y privacidad de la informacin

En este documento presenta algunas recomendaciones de procedimientos de

seguridad de la informacin para las organizaciones.
El conjunto de procedimientos que se presentar a continuacin, constituye una
base slida para que cada entidad genere sus documentaciones propias
dependiendo de sus caractersticas particulares, sus activos de informacin, sus
procesos y los servicios de informacin que pueda prestar.

Es importante aclarar que en los procedimientos, se pueden citar instructivos o

documentos informativos adicionales como complemento.

As mismo, la complejidad o extensin de cada procedimiento depender del tipo

de entidad y los recursos de los cuales disponga.

Seguridad del recurso humano

En este dominio relacionado con el personal que labora dentro de la entidad, se

pueden definir los siguientes procedimientos:

Procedimiento de capacitacin y sensibilizacin del personal

Indica la metodologa empleada por la entidad para realizar la capacitacin y

sensibilizacin del personal en temas de seguridad de la informacin teniendo en
cuenta los diferentes roles y responsabilidades, la periodicidad de dichas
capacitaciones y sensibilizaciones, otros.

Procedimiento de ingreso y desvinculacin del personal

Este procedimiento indica la manera como la entidad gestiona de manera segura el

ingreso y desvinculacin, incluyendo temas como verificacin de antecedentes,
firma de acuerdos de confidencialidad, recepcin de entregables requeridos para
generar paz y salvos entre otras caractersticas. Este procedimiento va de la mano
con el rea de gestin de recursos humanos o contratacin puede generarse con
su colaboracin.

Alcance del Sistema de Gestin de Seguridad de la Informacin

El objeto del sistema de gestin planteado es incrementar la seguridad de la

informacin mediante el mantenimiento de la integridad, disponibilidad y
confidencialidad de la informacin manejada en el macroproceso, y de los sistemas
informticos donde esta es depositada y manejada.

El alcance del sistema se limita las operaciones realizadas, debido a que all se
desarrolla un alto porcentaje de las operaciones del negocio y se encuentran los
principales centros de informacin de la compaa.

Definicin de la poltica de seguridad de la informacin

En el Documento Poltica de Seguridad de la Informacin se encuentra definida la

Poltica del Sistema de gestin de Seguridad de la Informacin.

La Poltica de Seguridad de la Informacin se dicta en cumplimiento de las

disposiciones legales vigentes, con el objeto de gestionar adecuadamente la
seguridad de la informacin, los sistemas informticos y el ambiente tecnolgico.

La Poltica aplica en todo el mbito, a sus recursos y a la totalidad de los procesos,

ya sean internos o externos vinculados a la entidad a travs de contratos o acuerdos
con terceros.

Debe ser conocida y cumplida por toda la planta de personal.

Compromiso de la direccin

La Alta Gerencia debe estar comprometida con la Seguridad de la Informacin al

adoptar integralmente los principios de esta.

Durante los procesos de capacitacin que se realizan con los colaboradores de la

empresa se hace referencia a dichos principios y la forma de adaptarlos. Esto
est registrado en las memorias de dichas capacitaciones.

Igualmente, este compromiso se encontrar explcito durante el desarrollo de este

manual y el planteamiento de Misin, Visin y Plan Estratgico.

La organizacin orientar su esfuerzo para minimizar la ocurrencia e impacto de los

eventos de riesgo de seguridad de la informacin en los procesos crticos de la
Compaa

Se dedicarn los recursos necesarios para cumplir con los requerimientos de capital
tecnolgico, econmico y humano para la seguridad de la informacin.

Es responsabilidad de la Junta Directiva establecer las polticas y directrices a seguir

en el Sistema de Gestin de Seguridad de la Informacin, al igual que es
responsabilidad del Departamento de Riesgo Operativo realizar el seguimiento de
las medidas adoptadas. para mitigar el riesgo inherente, con el propsito de evaluar
su efectividad.

La unidad de riesgo Operativo ser la responsable de estructurar un programa de

capacitaciones a todos los funcionarios, con el fin de dar a conocer y promover el
seguimiento de los lineamientos establecidos para la implementacin y desarrollo
del SGSI.
Se realizarn capacitaciones semestrales a todos los funcionarios de la compaa
para establecer el papel que juega cada uno en el desarrollo eficaz del proyecto y
el avance del mismo.

Planificacin del Sistema de Gestin de Seguridad de la Informacin

Las etapas definidas para el desarrollo y la implementacin del Sistema de Gestin

de Seguridad de la Informacin son:

Documentar el sistema
Implementar el sistema
Evaluar el sistema a travs de auditoras internas y externas
Mejorar continuamente la eficacia del sistema a travs de del anlisis de datos.

Control de acceso

En este dominio relacionado con el acceso a la informacin y a las instalaciones de

procesamiento de la informacin, se pueden generar los siguientes procedimientos:

Procedimiento para ingreso seguro a los sistemas de informacin

En este procedimiento la entidad debe indicar como gestiona el acceso a sus sistemas de
informacin de manera segura, empleando mtodos preventivos contra ataques de fuerza
bruta, validando los datos completos para ingreso a los sistemas, empleando mtodos para
cifrar la informacin de acceso a travs de la red entre otros.

Procedimiento de gestin de usuarios y contraseas

En este procedimiento, la entidad deber indicar como realiza la creacin de usuarios y la

asignacin de contraseas, con base a una poltica de contraseas seguras definida
previamente, prohibiendo su reutilizacin posterior, permitiendo a los usuarios cambiarla
regularmente, llevando un registro de las mismas. Este procedimiento debe aplicar a todos
los sistemas de informacin, tambin se debe tener en cuenta el rol que cada usuario
requiera en los determinados sistemas, para brindar el acceso necesario.

Seguridad de operaciones

Este dominio busca asegurar las operaciones correctas dentro de las instalaciones de
procesamiento de informacin:

Procedimiento de gestin de cambios

En este procedimiento la entidad deber como realiza el control de cambios en la

organizacin, los procesos de negocio y los sistemas de informacin de manera segura. Se
deben especificar aspectos como identificacin y registro de cambios significativos,
planificacin y pruebas previas de los cambios a realizar, valoracin de impactos, entre
otros.

Procedimiento de gestin de capacidad

Se debe especificar como la organizacin realiza una gestin de la capacidad para los
sistemas de informacin crticos, en especial si los recursos requeridos son escasos,
demorados en su arribo o costosos. La entidad puede realizar acciones como la eliminacin
de datos obsoletos, cierre de aplicaciones, ambientes y sistemas en desuso.

Seguridad fsica y del entorno

Este dominio est relacionado con la prevencin del acceso a reas no autorizadas, el dao
a la infraestructura, las instalaciones o de la informacin. Estos procedimientos pueden
tener la participacin del rea de seguridad y vigilancia de la entidad.

Procedimiento de control de acceso fsico

En este procedimiento se debe describir como se ejecutan los diferentes pasos para
garantizar el control de acceso seguro a las instalaciones al personal autorizado.
Procedimiento de proteccin de activos

Este procedimiento debe contener los pasos con los cuales los equipos son protegidos por
la entidad. Se recomienda que este procedimiento indique como se determina la ubicacin
de los equipos que procesan informacin confidencial, como se aseguran dichas las
instalaciones, los controles que se aplican para minimizar riesgos de desastres naturales,
amenazas fsicas, daos, por polvo, agua, interferencias, descargas elctricas entre otros.