Página 1 de 14
Este documento impreso se considera copia no controlada
MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN
Tabla de contenido
INTRODUCCIÓN ................................................................................................... 4
Página 3 de 14
Este documento impreso se considera copia no controlada
MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN
INTRODUCCIÓN
Para Leasing Bolívar la seguridad de la información es un reto que se ha construido a través de un cuidadoso
proceso que articula su misión, objetivos y valores corporativos. En el desarrollo de esta estrategia se ha
revisado el enfoque basado en procesos de la organización y se han definido procedimientos documentados del
sistema de gestión de la seguridad de la información.
En las siguientes secciones de este documento, se establecen el alcance del Sistema de Gestión de Seguridad de
la Información para Leasing Bolívar S.A., así como los parámetros que orientan el plan de seguridad de la
información y las acciones a seguir para prevenir la aparición o repetición de no conformidades en la compañía.
Este manual permite visualizar la organización como un sistema que interactúa en forma alineada y articulada
con los objetivos de la organización, buscando agregar valor a los accionistas, funcionarios proveedores, a la
comunidad, su entorno y especialmente a los clientes que han depositado en nosotros la confianza al elegirnos
como compañía de financiamiento.
Página 4 de 14
Este documento impreso se considera copia no controlada
MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN
La adopción de un Sistema de Gestión de Seguridad de la Información (SGSI) es para Leasing Bolívar una decisión
estratégica de negocio, que se ve influenciada por las necesidades, objetivos, requisitos de seguridad y los
procesos de la organización. A continuación se presentan los lineamientos estratégicos por los cuales se rige la
empresa y que ayudan a perfilar en una primera instancia al SGSI:
Es preciso señalar que la empresa efectúa operaciones en Bogotá, Pereira, Cali, Medellín y Bucaramanga. Sin
embargo el alcance del sistema se limita las operaciones realizadas en Bogotá, debido a que allí se desarrolla un
alto porcentaje de las operaciones del negocio y se encuentran los principales centros de información de la
compañía.
En el Documento “MG-06 Política de Seguridad de la Información” se encuentra definida la Política del Sistema
de gestión de Seguridad de la Información de Leasing Bolívar.
La Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes, con el
objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente
tecnológico de Leasing Bolívar S.A.
La Política aplica en todo el ámbito de Leasing Bolívar S.A., a sus recursos y a la totalidad de los procesos, ya sean
internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.
Debe ser conocida y cumplida por toda la planta de personal de Leasing Bolívar.
La Alta Gerencia de Leasing Bolívar está comprometida con la Seguridad de la Información al adoptar
integralmente los principios de esta, enunciados en la Norma ISO 27002.
Durante los procesos de capacitación que se realizan con los colaboradores de la empresa se hace referencia a
dichos principios y la forma de adaptarlos. Esto está registrado en las memorias de dichas capacitaciones.
Página 5 de 14
Este documento impreso se considera copia no controlada
MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN
Leasing Bolívar S.A. orientará su esfuerzo para minimizar la ocurrencia e impacto de los eventos de riesgo de
seguridad de la información en los procesos críticos de la Compañía
Se dedicarán los recursos necesarios para cumplir con los requerimientos de capital tecnológico, económico y
humano para la seguridad de la información.
Es responsabilidad de la Junta Directiva establecer las políticas y directrices a seguir en el Sistema de Gestión de
Seguridad de la Información, al igual que es responsabilidad del Departamento de Riesgo Operativo realizar el
seguimiento de las medidas adoptadas en Leasing Bolívar S.A. para mitigar el riesgo inherente, con el propósito
de evaluar su efectividad.
La unidad de riesgo Operativo será la responsable de estructurar un programa de capacitaciones a todos los
funcionarios, con el fin de dar a conocer y promover el seguimiento de los lineamientos establecidos para la
implementación y desarrollo del SGSI.
El SGSI se guiará bajo los siguientes lineamientos y pautas referentes al tratamiento de riesgo, los cuales darán
cumplimiento a la Circular 052 de 2007 y 038 de 2009 relativas a la seguridad de la información y a la gestión del
control interno:
Norma ISO/IEC 27002:2005
Se realizarán capacitaciones semestrales a todos los funcionarios de la compañía para establecer el papel que
juega cada uno en el desarrollo eficaz del proyecto y el avance del mismo.
1. Documentar el sistema
2. Implementar el sistema
3. Evaluar el sistema a través de auditorías internas y externas
4. Mejorar continuamente la eficacia del sistema a través de del análisis de datos.
Página 6 de 14
Este documento impreso se considera copia no controlada
MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN
Los niveles de riesgo aceptables se encuentran plasmados en la siguiente tabla, adicionalmente en está tabla
está relacionada la escala de riesgos de SARO con su respectivo nivel de aceptación:
Riesgo de
Escala SARO Seguridad de la Tratamiento del Riesgo
Información
Despreciable Los riesgos ubicados en este nivel se consideran “Altamente Aceptables” e
Bajo insignificantes, los cuales se administraran con procesos rutinarios
Bajo
controlando que no suban a otro nivel.
moderado Medio Los riesgos ubicados en este nivel se consideran “Aceptables”, la
responsabilidad de mejorar y monitorear los controles será de los dueños de
Alto Alto
procesos. Estos riesgos pueden ser objeto de estudio para su tratamiento.
Muy alto Los riesgos ubicados en este nivel se consideran “inaceptables”, el
tratamiento a estos riesgos debe ser inmediato, implementando planes de
Extremo
Crítico acción para que el nivel de riesgo baje, teniendo en cuenta las prioridades del
negocio.
No todos los riesgos son susceptibles de ser tratados de manera inmediata. Esta decisión depende del nivel en
que se encuentre dentro de la matriz o perfil de riesgo. Los riesgos de nivel muy alto y crítico son considerados
como inaceptables y se dará prioridad de acción a estos riesgos.
4.3 Opciones de tratamiento de riesgos
El tratamiento que se decida darle a los riesgos debe estar acorde con los lineamientos y objetivos de Leasing
Bolívar. Este tratamiento implica su preparación e implementación por parte de los dueños de los procesos,
dependiendo de la opción que se escoja:
Evitar Riesgo: Decidir no proceder con la actividad que probablemente genera el riesgo (si aplica).
Mitigar el Riesgo: Implementar controles que reduzcan la probabilidad de ocurrencia y la consecuencia.
Transferir el Riesgo: Compartir el riesgo o buscar apoyo con terceros (outsourcing, otras áreas, pólizas
de seguro, etc.)
Aceptar el Riesgo: Tolerar el riesgo sin implementar planes de acción.
Página 7 de 14
Este documento impreso se considera copia no controlada
MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN
5 Declaración de aplicabilidad
La declaración de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de los
riesgos. La justificación de las exclusiones permite validar que ningún control se omita involuntariamente. La
declaración de Aplicabilidad del Sistema de Gestión de Seguridad de la Información de Leasing Bolívar se
encuentra registrada en el documento “Declaración de Aplicabilidad”.
6 Requisitos de Documentación
Los parámetros de gestión documental de Leasing Bolívar se encuentran definidos en el documento: “IU-SOP-06-01
Guía para la elaboración, manejo y control de documentos” en este se definen las acciones de gestión necesarias para:
Leasing Bolívar establece una metodología de Auditorías Internas de Seguridad de la información. Allí se define la
responsabilidad y autoridad en las auditorías de Seguridad de la Información. Esta metodología se encuentra
registrada en el documento: “IU-SOP-03-01 Auditorías Internas de seguridad de la información”
8.2.4 Continuidad
% de procesos cubiertos por un análisis de impacto al negocio
% de procesos que tienen definidas las actividades de continuidad
Página 10 de 14
Este documento impreso se considera copia no controlada
MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN
De cada revisión de la dirección se deja constancia en un acta describiendo el análisis realizado por el equipo ejecutivo y las
decisiones tomadas con respecto a la eficacia y mejora del sistema de gestión y la necesidad de recursos.
Contenido Intranet:
Actualización y modificación del contenido de la Intranet según las modificaciones de los procesos y la creación
de los mismos.
Manual SGSI:
Actualización o modificación del manual por las siguientes razones:
o Cambios en normatividad de entes externos.
o Cambios en la metodología (riesgos, controles fuentes de información, etc.).
o Cambios o inclusión de estrategias.
o Cambios por determinación de entes de control interno.
o Cambios por estructura organizacional.
Evolución del riesgo en el tiempo, es decir, si con la aplicación de controles ha ido disminuyendo.
9.1.1 Alcance
Este procedimiento aplica a todo el Sistema de Gestión de seguridad de la Información de Leasing Bolívar y se inicia con la
identificación de la no-conformidad hasta que es eliminada o la no conformidad potencial existente hasta que es
Página 11 de 14
Este documento impreso se considera copia no controlada
MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN
9.1.2 Definiciones
• Acción correctiva: acción implementada para lograr la eliminación de una no-conformidad detectada.
• Acción preventiva: acción tomada para eliminar la causa de una no-conformidad potencial u otra situación potencial
indeseable.
• Corrección: acción tomada para eliminar la no-conformidad.
• No conformidad: incumplimiento de un requisito del SGSI.
Los problemas existentes (no-conformidades reales) pueden ser detectados por cualquiera de las siguientes formas:
• Registro de incidentes
• Observaciones en las auditorias de seguridad de la información
• Bajos índices de gestión en cualquiera de las áreas de la compaña
• Observaciones hechas por los mismos colaboradores de la compaña
Los problemas que pueden convertirse en no-conformidades (no-conformidades potenciales) pueden ser encontrados en
cualquiera de las siguientes actividades:
• Comentarios de los clientes
• Observaciones de los clientes en las encuestas de satisfacción
• Observaciones realizadas a través de las auditorias de seguridad de la información
• Tendencias en los índices de gestión de las áreas
• Observaciones hechas por los mismos colaboradores de la compaña
El responsable del proceso, luego de detectar la no-conformidad real o potencial y de planear y tomar las medidas
correctivas o preventivas a que hubiere lugar, consigna en el formato destinado para tal fin “FR-SOP-06-07 Seguimiento
resultado acción preventiva y correctiva”, los resultados que se obtuvieron con tales acciones evidenciando la efectividad
de las mismas.
Brindar a los funcionarios de Leasing Bolívar S.A. y a los terceros, los procedimientos, políticas y demás elementos
teóricos y prácticos que faciliten la correcta implementación del Sistema de Gestión de Seguridad de la
Información en la Compañía.
1.2. Políticas
Realizar capacitaciones a todos los funcionarios de la empresa de forma anual evaluando el alcance de los
objetivos propuestos y su eficacia.
Realizar capacitaciones a los nuevos funcionarios durante el periodo de inducción.
Publicar todos los documentos, normas, procesos y demás temas relacionados, en lugares donde todos
los funcionarios los puedan consultar y se puedan mantener actualizados (Intranet y/o carteleras).
Mantener toda la documentación actualizada mediante la continua revisión, por parte de las personas
que se encuentran involucradas en los procesos.
Página 13 de 14
Este documento impreso se considera copia no controlada
MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN
Página 14 de 14
Este documento impreso se considera copia no controlada