MG-05

MANUAL DEL SISTEMA DE GESTIÓN DE

Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

Manual del Sistema de

Gestión de Seguridad de la
Información

Página 1 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

Tabla de contenido

MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.................................... 4

INTRODUCCIÓN ................................................................................................... 4

ALCANCE DEL MANUAL ........................................................................................... 4

1 CONTROL DEL MANUAL ...................................................................................... 4

1.1 DISTRIBUCIÓN DEL MANUAL.......................................................................................................... 4
1.2 REVISIÓN DEL MANUAL .............................................................................................................. 4

2 VISIÓN GENERAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN....................... 5

2.1 ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ................................................................ 5
2.2 DEFINICIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ........................................................................ 5
2.3 COMPROMISO DE LA DIRECCIÓN ...................................................................................................... 5

3 PLANIFICACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ........................ 6

4 ENFOQUE ORGANIZACIONAL PARA LA VALORACIÓN DEL RIESGO ......................................... 6

4.1 METODOLOGÍA SELECCIONADA PARA LA VALORACIÓN DE RIESGOS ....................................................................... 6
4.2 CRITERIOS DE EVALUACIÓN DE RIESGOS ............................................................................................... 7
4.3 OPCIONES DE TRATAMIENTO DE RIESGOS .............................................................................................. 7
4.4 PLAN DE TRATAMIENTO DE RIESGOS .................................................................................................. 8

5 DECLARACIÓN DE APLICABILIDAD ........................................................................... 8

6 REQUISITOS DE DOCUMENTACIÓN .......................................................................... 8

7 DETECCIÓN Y RESPUESTA A LOS INCIDENTES DE SEGURIDAD .............................................. 8

8 SEGUIMIENTO Y REVISIÓN DEL SGSI ......................................................................... 9

8.1 AUDITORÍAS INTERNAS DEL SGSI ..................................................................................................... 9
8.2 INDICADORES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............................................................. 9
8.2.1 Gestión de riesgos de seguridad .......................................................................................... 9
8.2.2 Gestión segura del riesgo humano ........................................................................................ 9
8.2.3 Seguridad de aplicaciones acceso ......................................................................................... 9
8.2.4 Continuidad .............................................................................................................. 10
8.2.5 Seguridad en operaciones ............................................................................................... 10
8.3 REVISIÓN DEL SGSI POR LA DIRECCIÓN .............................................................................................. 10
8.4 RESULTADOS DE LA REVISIÓN ....................................................................................................... 10

9 MEJORA DEL SGSI .......................................................................................... 11

Página 2 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

9.1 ACCIONES CORRECTIVAS Y PREVENTIVAS ............................................................................................ 11
9.1.1 Alcance ................................................................................................................... 11
9.1.2 Definiciones .............................................................................................................. 12
9.1.3 Identificación de las no Conformidades Reales y Potenciales ......................................................... 12
9.1.4 Corrección de las no Conformidades .................................................................................... 12
9.1.5 Prevención de las No Conformidades ................................................................................... 12
9.1.6 Registro de las No Conformidades Reales y Potenciales ............................................................. 13
9.1.7 Resultados de las Acciones Correctivas y Preventivas ................................................................ 13

10 PROGRAMAS DE FORMACIÓN Y DE TOMA DE CONCIENCIA ........................................... 13

1.1. OBJETIVO ...................................................................................................................... 13
1.2. POLÍTICAS ..................................................................................................................... 13

CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS ....................................................... 14

ANEXO 1. EJEMPLO PLAN DE AUDITORÍA INTERNA ........ ¡ERROR! MARCADOR NO DEFINIDO.

ANEXO 2. FORMATO DE PREGUNTAS PARA AUDITORÍA INTERNA...........¡ERROR! MARCADOR NO

DEFINIDO.

ANEXO 3 FORMATO INFORME AUDITORÍA INTERNA....... ¡ERROR! MARCADOR NO DEFINIDO.

ANEXO 4. EJEMPLO DE DOCUMENTACIÓN DE ACCIONES PREVENTIVAS Y CORRECTIVAS .......... ¡ERROR!

MARCADOR NO DEFINIDO.

ANEXO 5. FORMATO SEGUIMIENTO RESULTADO ACCIÓN PREVENTIVA Y CORRECTIVA ............ ¡ERROR!

MARCADOR NO DEFINIDO.

Página 3 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

INTRODUCCIÓN
Para Leasing Bolívar la seguridad de la información es un reto que se ha construido a través de un cuidadoso
proceso que articula su misión, objetivos y valores corporativos. En el desarrollo de esta estrategia se ha
revisado el enfoque basado en procesos de la organización y se han definido procedimientos documentados del
sistema de gestión de la seguridad de la información.

En las siguientes secciones de este documento, se establecen el alcance del Sistema de Gestión de Seguridad de
la Información para Leasing Bolívar S.A., así como los parámetros que orientan el plan de seguridad de la
información y las acciones a seguir para prevenir la aparición o repetición de no conformidades en la compañía.

Este manual permite visualizar la organización como un sistema que interactúa en forma alineada y articulada
con los objetivos de la organización, buscando agregar valor a los accionistas, funcionarios proveedores, a la
comunidad, su entorno y especialmente a los clientes que han depositado en nosotros la confianza al elegirnos
como compañía de financiamiento.

Alcance del manual

El Manual de Gestión de la Seguridad de Leasing Bolívar está basado en la norma internacional ISO 27001:2005
en esta norma se encuentran plasmadas las especificaciones para la creación de un sistema de gestión de la
seguridad de la información (SGSI). El manual tiene por objeto recoger, analizar y definir los diferentes
lineamientos que rigen al Sistema de Gestión de Seguridad de la Información de Leasing Bolívar.

1 Control del manual

Es responsabilidad el Jefe de Riesgo Operativo lo concerniente a su elaboración, modificación, distribución y
control. Además este documento es propiedad exclusiva de la compañía y está prohibida su distribución o copia
sin previa autorización de los responsables.

1.1 Distribución del manual

Se editó una única versión del manual para la intranet de la empresa, para la fácil consulta de todos los
funcionarios de esta.

1.2 Revisión del manual

Este documento será revisado como mínimo una vez al año para efectos de actualización, o por cualquier otro
motivo que arroje resultados diferentes a los planeados por el Sistema de Gestión de Seguridad de la
Información de la compañía.

Página 4 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

2 Visión General del sistema de gestión de Seguridad de la información

Debido a la creciente dependencia de Leasing Bolívar S.A. sobre su tecnología y la información que maneja, se
decide adoptar un Sistema de Gestión de Seguridad de la Información.

La adopción de un Sistema de Gestión de Seguridad de la Información (SGSI) es para Leasing Bolívar una decisión
estratégica de negocio, que se ve influenciada por las necesidades, objetivos, requisitos de seguridad y los
procesos de la organización. A continuación se presentan los lineamientos estratégicos por los cuales se rige la
empresa y que ayudan a perfilar en una primera instancia al SGSI:

2.1 Alcance del Sistema de Gestión de Seguridad de la Información

El objeto del sistema de gestión planteado es incrementar la seguridad de la información mediante el

mantenimiento de la integridad, disponibilidad y confidencialidad de la información manejada en el
macroproceso de Colocación de operaciones leasing, y de los sistemas informáticos donde esta es depositada y
manejada.

Es preciso señalar que la empresa efectúa operaciones en Bogotá, Pereira, Cali, Medellín y Bucaramanga. Sin
embargo el alcance del sistema se limita las operaciones realizadas en Bogotá, debido a que allí se desarrolla un
alto porcentaje de las operaciones del negocio y se encuentran los principales centros de información de la
compañía.

2.2 Definición de la política de seguridad de la información

En el Documento “MG-06 Política de Seguridad de la Información” se encuentra definida la Política del Sistema
de gestión de Seguridad de la Información de Leasing Bolívar.
La Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes, con el
objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente
tecnológico de Leasing Bolívar S.A.

La Política aplica en todo el ámbito de Leasing Bolívar S.A., a sus recursos y a la totalidad de los procesos, ya sean
internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

Debe ser conocida y cumplida por toda la planta de personal de Leasing Bolívar.

2.3 Compromiso de la dirección

La Alta Gerencia de Leasing Bolívar está comprometida con la Seguridad de la Información al adoptar
integralmente los principios de esta, enunciados en la Norma ISO 27002.

Durante los procesos de capacitación que se realizan con los colaboradores de la empresa se hace referencia a
dichos principios y la forma de adaptarlos. Esto está registrado en las memorias de dichas capacitaciones.
Página 5 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

Igualmente, este compromiso se encontrará explícito durante el desarrollo de este manual y el planteamiento de
Misión, Visión y Plan Estratégico.

Se ha definido un representante de la alta gerencia, encargado de comunicar la importancia de satisfacer los

requerimientos previstos. Así mismo los jefes de las diferentes áreas son los encargados de trasmitir el
compromiso a sus colaboradores.

 Leasing Bolívar S.A. orientará su esfuerzo para minimizar la ocurrencia e impacto de los eventos de riesgo de
seguridad de la información en los procesos críticos de la Compañía
 Se dedicarán los recursos necesarios para cumplir con los requerimientos de capital tecnológico, económico y
humano para la seguridad de la información.
 Es responsabilidad de la Junta Directiva establecer las políticas y directrices a seguir en el Sistema de Gestión de
Seguridad de la Información, al igual que es responsabilidad del Departamento de Riesgo Operativo realizar el
seguimiento de las medidas adoptadas en Leasing Bolívar S.A. para mitigar el riesgo inherente, con el propósito
de evaluar su efectividad.
 La unidad de riesgo Operativo será la responsable de estructurar un programa de capacitaciones a todos los
funcionarios, con el fin de dar a conocer y promover el seguimiento de los lineamientos establecidos para la
implementación y desarrollo del SGSI.
 El SGSI se guiará bajo los siguientes lineamientos y pautas referentes al tratamiento de riesgo, los cuales darán
cumplimiento a la Circular 052 de 2007 y 038 de 2009 relativas a la seguridad de la información y a la gestión del
control interno:
 Norma ISO/IEC 27002:2005

 Se realizarán capacitaciones semestrales a todos los funcionarios de la compañía para establecer el papel que
juega cada uno en el desarrollo eficaz del proyecto y el avance del mismo.

3 Planificación del Sistema de Gestión de Seguridad de la Información

Las etapas definidas para el desarrollo y la implementación del Sistema de Gestión de Seguridad de la Información son:

1. Documentar el sistema
2. Implementar el sistema
3. Evaluar el sistema a través de auditorías internas y externas
4. Mejorar continuamente la eficacia del sistema a través de del análisis de datos.

4 Enfoque Organizacional para la valoración del riesgo

4.1 Metodología seleccionada para la valoración de riesgos
Para hacer la valoración de riesgos de seguridad de la información de Leasing Bolívar se eligió metodología
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Desarrollada
por El Consejo Superior de Administración Electrónica del gobierno español. Se eligió esta metodología porque
brinda una aproximación metódica con herramientas que no dejan lugar a la improvisación. A lo largo del

Página 6 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

desarrollo de la metodología se establece además un paralelo con la metodología de medición de riesgo
operativo de la compañía para así poder comparar los riesgos de seguridad de la información con los demás
riesgos operativos de la compañía.

4.2 Criterios de evaluación de riesgos

 La identificación de los riesgos se realizará conjuntamente con los funcionarios involucrados en cada
proceso, el control y seguimiento se llevara a cabo de una manera dinámica para así mantener
actualizados los factores de riesgo y poder mitigar su impacto oportunamente.
 El reconocimiento y reporte de los factores y eventos de riesgo es responsabilidad de cada área.
 Los Jefes de cada departamento serán los responsables de validar, documentar y firmar el registro de
eventos o incidentes de seguridad de la información, para luego ser enviado al Área de Riesgo Operativo.

Los niveles de riesgo aceptables se encuentran plasmados en la siguiente tabla, adicionalmente en está tabla
está relacionada la escala de riesgos de SARO con su respectivo nivel de aceptación:

Riesgo de
Escala SARO Seguridad de la Tratamiento del Riesgo
Información
Despreciable Los riesgos ubicados en este nivel se consideran “Altamente Aceptables” e
Bajo insignificantes, los cuales se administraran con procesos rutinarios
Bajo
controlando que no suban a otro nivel.
moderado Medio Los riesgos ubicados en este nivel se consideran “Aceptables”, la
responsabilidad de mejorar y monitorear los controles será de los dueños de
Alto Alto
procesos. Estos riesgos pueden ser objeto de estudio para su tratamiento.
Muy alto Los riesgos ubicados en este nivel se consideran “inaceptables”, el
tratamiento a estos riesgos debe ser inmediato, implementando planes de
Extremo
Crítico acción para que el nivel de riesgo baje, teniendo en cuenta las prioridades del
negocio.

No todos los riesgos son susceptibles de ser tratados de manera inmediata. Esta decisión depende del nivel en
que se encuentre dentro de la matriz o perfil de riesgo. Los riesgos de nivel muy alto y crítico son considerados
como inaceptables y se dará prioridad de acción a estos riesgos.
4.3 Opciones de tratamiento de riesgos
El tratamiento que se decida darle a los riesgos debe estar acorde con los lineamientos y objetivos de Leasing
Bolívar. Este tratamiento implica su preparación e implementación por parte de los dueños de los procesos,
dependiendo de la opción que se escoja:

 Evitar Riesgo: Decidir no proceder con la actividad que probablemente genera el riesgo (si aplica).
 Mitigar el Riesgo: Implementar controles que reduzcan la probabilidad de ocurrencia y la consecuencia.
 Transferir el Riesgo: Compartir el riesgo o buscar apoyo con terceros (outsourcing, otras áreas, pólizas
de seguro, etc.)
 Aceptar el Riesgo: Tolerar el riesgo sin implementar planes de acción.
Página 7 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

4.4 Plan de tratamiento de riesgos

Después de efectuar los análisis de riesgos el comité de seguridad de la información junto con cada una de las
áreas involucradas debe efectuar un plan de tratamiento de riesgos, para los riesgos considerados como críticos
en los activos bajo su responsabilidad, los planes de tratamiento de riesgos deben ser registrados en el siguiente
formato y serán administrados por el departamento de riesgo operativo:

5 Declaración de aplicabilidad
La declaración de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de los
riesgos. La justificación de las exclusiones permite validar que ningún control se omita involuntariamente. La
declaración de Aplicabilidad del Sistema de Gestión de Seguridad de la Información de Leasing Bolívar se
encuentra registrada en el documento “Declaración de Aplicabilidad”.

6 Requisitos de Documentación
Los parámetros de gestión documental de Leasing Bolívar se encuentran definidos en el documento: “IU-SOP-06-01
Guía para la elaboración, manejo y control de documentos” en este se definen las acciones de gestión necesarias para:

a) aprobar los documentos en cuanto a su suficiencia antes de su publicación.

b) revisar y actualizar los documentos según sea necesario y reprobarlos.
c) asegurar que los cambios y el estado de actualización de los documentos estén identificados.
d) asegurar que las versiones más recientes de los documentos pertinentes están disponibles en los puntos de uso.
e) asegurar que los documentos permanezcan legibles y fácilmente identificables.
f) asegurar que los documentos estén disponibles para quienes los necesiten, y que se apliquen los procedimientos
pertinentes, de acuerdo con su clasificación, para su transferencia, almacenamiento y disposición final.
g) asegurar que los documentos de origen externo estén identificados.
h) asegurar que la distribución de documentos esté controlada.
i) impedir el uso no previsto de los documentos obsoletos, y
j) aplicar la identificación adecuada a los documentos obsoletos, si se retienen para cualquier propósito.

7 Detección y respuesta a los incidentes de seguridad

Leasing Bolívar establece y mantiene una metodología de gestión de incidentes de seguridad de la información.
Allí se define la responsabilidad y autoridad con respecto al manejo e investigación de incidentes de seguridad de
Página 8 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

la información. Esta metodología se encuentra registrada en el documento: “IU-SOP-01-02 Gestión de Incidentes
de Seguridad de la Información”

8 Seguimiento y revisión del SGSI

Leasing Bolívar establece y mantiene una metodología de gestión de incidentes de seguridad de la información.
Allí se define la responsabilidad y autoridad con respecto al manejo e investigación de incidentes de seguridad de
la información. Esta metodología se encuentra registrada en el documento: “IU-SOP-01-02 Gestión de Incidentes
de Seguridad de la Información”

8.1 Auditorías internas del SGSI

Leasing Bolívar establece una metodología de Auditorías Internas de Seguridad de la información. Allí se define la
responsabilidad y autoridad en las auditorías de Seguridad de la Información. Esta metodología se encuentra
registrada en el documento: “IU-SOP-03-01 Auditorías Internas de seguridad de la información”

8.2 Indicadores del sistema de gestión de seguridad de la información

Se definen los siguientes indicadores para medir los objetivos del sistema de gestión de seguridad de la información de
Leasing Bolívar:

8.2.1 Gestión de riesgos de seguridad

Número de revisiones efectuadas por la dirección al año
% de ejecución de los planes de tratamiento de riesgos
% de procesos cuyos activos de información han sido identificados y clasificados
% de procesos cuyos activos de información / datos privados tienen un análisis documentado de riesgos
% de activos de información del proceso que han sido sujetos a un análisis de riesgos documentado
% de procesos cuyos datos privados han sido identificados y clasificados
% de procesos cuyos activos de información / datos privados tiene un plan de mitigación documentado
% de activos de información del proceso que tiene un plan de mitigación documentado

8.2.2 Gestión segura del riesgo humano

% de cargos que incluyen la seguridad de la información en las responsabilidades, habilidades
% de usuarios x área que han contemplado el registro de antecedentes antes de tener acceso a la
información
% de cargos que incluyen la seguridad de la información en las evaluaciones de desempeño
% de usuarios que contemplaron el plan de educación, conciencia y entrenamiento en seguridad en el
último año

8.2.3 Seguridad de aplicaciones acceso

% de aplicaciones acreditadas
% de aplicaciones que cuyo acceso se controla basado en roles
Página 9 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

% de aplicaciones evaluadas en el último año
% de aplicaciones cuyos usuarios y privilegios han sido certificados en e el último año por los dueños

8.2.4 Continuidad
% de procesos cubiertos por un análisis de impacto al negocio
% de procesos que tienen definidas las actividades de continuidad

8.2.5 Seguridad en operaciones

% de proveedores con auditoria de seguridad en el último año
% de aplicaciones con procesos periódicos eventuales y emergencias documentados
% de proveedores cuyos contratos continúen clausulas de seguridad, privacidad, continuidad y derecho
a auditoria
% de servicios con acuerdo de nivel de servicio definidos

8.3 Revisión del SGSI por la dirección

La Alta Gerencia Leasing Bolívar S.A., revisará, a través del Comité de Seguridad de la Información, la efectividad
de la implementación del Sistema de Gestión de Seguridad de la Información y el comportamiento de sus
indicadores cada vez que se estime conveniente y de acuerdo con los resultados mostrados, se hará una vez cada
año. Los temas que serán tratados de forma obligatoria son:
Aspectos Registro
Revisión de la política y objetivos del sistema de gestión Acta
Resultados del análisis de riesgos y seguimiento a los planes de Seguimiento plan de
tratamiento establecidos tratamiento de riesgos
Evaluación de conformidad con los requisitos legales aplicables Acta
Estado de investigación y análisis de incidentes de seguridad de la Acta
información
Resultados de auditorías internas Informe de auditorías internas
Acciones correctivas y preventivas Acta
Cambios al Sistema de Gestión de seguridad de la información Acta
Recomendaciones para la mejora Acta
Seguimiento de revisiones previas Acta
Desempeño financiero y costos relacionados con la seguridad de la Acta
información
Necesidad de recursos Acta

8.4 Resultados de la revisión

Con base en la información que realimenta al Sistema de Gestión de Seguridad de la Información, así como los procesos, la
alta gerencia toma las acciones necesarias con el propósito de mejorar su eficacia y el control de los riesgos de seguridad de
la información.

Página 10 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

El Comité de Seguridad de la Información se reúne y revisa la información del sistema de gestión, realizando los ajustes
necesarios, teniendo como referencia la política del sistema. Allí se proponen las directrices, se solicitan los recursos, se
plantean los planes de tratamiento de riesgos a la alta gerencia.

De cada revisión de la dirección se deja constancia en un acta describiendo el análisis realizado por el equipo ejecutivo y las
decisiones tomadas con respecto a la eficacia y mejora del sistema de gestión y la necesidad de recursos.

9 Mejora del SGSI

Todas las áreas, según la información recolectada, se encargan de trazar planes para el mejoramiento continuo
de acuerdo con la Política y Objetivos de Seguridad de la Información. La Gerencia General y el Comité de
Seguridad de la Información participan activamente en el desarrollo y evaluación de estos planes.

Se deben revisar y monitorear los siguientes elementos que componen en el SGSI:

 Contenido de los procedimientos:

Creación, modificación y actualización de los procedimientos tanto en estructura como en contenido, buscando
la descripción real de cada una de las actividades que se desarrollan dentro de la organización. Lo anterior
incluye: descripciones, caracterización, controles, objetivos, formatos, entre otros.

 Contenido Intranet:
Actualización y modificación del contenido de la Intranet según las modificaciones de los procesos y la creación
de los mismos.

 Manual SGSI:
Actualización o modificación del manual por las siguientes razones:
o Cambios en normatividad de entes externos.
o Cambios en la metodología (riesgos, controles fuentes de información, etc.).
o Cambios o inclusión de estrategias.
o Cambios por determinación de entes de control interno.
o Cambios por estructura organizacional.

Evolución del riesgo en el tiempo, es decir, si con la aplicación de controles ha ido disminuyendo.

Conjunto de descripciones detalladas de los incidentes, por proceso, funcionario y área.

9.1 Acciones Correctivas y preventivas

9.1.1 Alcance
Este procedimiento aplica a todo el Sistema de Gestión de seguridad de la Información de Leasing Bolívar y se inicia con la
identificación de la no-conformidad hasta que es eliminada o la no conformidad potencial existente hasta que es

Página 11 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

controlada.

9.1.2 Definiciones
• Acción correctiva: acción implementada para lograr la eliminación de una no-conformidad detectada.
• Acción preventiva: acción tomada para eliminar la causa de una no-conformidad potencial u otra situación potencial
indeseable.
• Corrección: acción tomada para eliminar la no-conformidad.
• No conformidad: incumplimiento de un requisito del SGSI.

9.1.3 Identificación de las no Conformidades Reales y Potenciales

Leasing Bolívar buscará el mejoramiento continuo del Sistema de Gestión de seguridad de la información, detectando las
no-conformidades reales o potenciales que pudieran afectar su operación.

Los problemas existentes (no-conformidades reales) pueden ser detectados por cualquiera de las siguientes formas:
• Registro de incidentes
• Observaciones en las auditorias de seguridad de la información
• Bajos índices de gestión en cualquiera de las áreas de la compaña
• Observaciones hechas por los mismos colaboradores de la compaña

Los problemas que pueden convertirse en no-conformidades (no-conformidades potenciales) pueden ser encontrados en
cualquiera de las siguientes actividades:
• Comentarios de los clientes
• Observaciones de los clientes en las encuestas de satisfacción
• Observaciones realizadas a través de las auditorias de seguridad de la información
• Tendencias en los índices de gestión de las áreas
• Observaciones hechas por los mismos colaboradores de la compaña

9.1.4 Corrección de las no Conformidades

Una vez se hace la plena identificación de la no-conformidad existente, el tratamiento definido por la empresa para el
tratamiento incluye:
• Análisis de causas mediante los métodos estadísticos o inductivo-deductivos que se consideren apropiados
• Elaboración del plan de acción, en donde se definen:
 Actividades que se emprenderán para la eliminación de la no-conformidad
 Responsables de las actividades definidas para la eliminación de la no-conformidad
 Plazos para la puesta en marcha y revisión de los resultados obtenidos con el plan de acción.
 Evaluación de la efectividad de las acciones emprendidas para eliminar la no-conformidad.

9.1.5 Prevención de las No Conformidades

Cuando se detecta una situación que pudiera ser causante de no-conformidades dentro del SGSI, la empresa, dependiendo
de la actividad en donde se detectó la situación y los posibles problemas que acarrearía su aparición (auditorías internas,
externas, grupos de trabajo, etc.), se plantearán acciones concretas para eliminar esas no-conformidades potenciales
Página 12 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

dependiendo de su complejidad, en donde se incluyen responsables, plazos, tareas a seguir y próximas revisiones con su
encargado.

9.1.6 Registro de las No Conformidades Reales y Potenciales

El registro de las no-conformidades reales y potenciales debe ser elaborado por el responsable del proceso o área en el
formato “FR-SOP-06-06 Documentación de Acciones Preventivas y Correctivas”. Este formato, servirá como soporte para el
seguimiento del tratamiento de la no-conformidad real o potencial.

9.1.7 Resultados de las Acciones Correctivas y Preventivas

El responsable del proceso, luego de detectar la no-conformidad real o potencial y de planear y tomar las medidas
correctivas o preventivas a que hubiere lugar, consigna en el formato destinado para tal fin “FR-SOP-06-07 Seguimiento
resultado acción preventiva y correctiva”, los resultados que se obtuvieron con tales acciones evidenciando la efectividad
de las mismas.

10 Programas de formación y de toma de conciencia

1.1. Objetivo

Brindar a los funcionarios de Leasing Bolívar S.A. y a los terceros, los procedimientos, políticas y demás elementos
teóricos y prácticos que faciliten la correcta implementación del Sistema de Gestión de Seguridad de la
Información en la Compañía.

1.2. Políticas

 Realizar capacitaciones a todos los funcionarios de la empresa de forma anual evaluando el alcance de los
objetivos propuestos y su eficacia.
 Realizar capacitaciones a los nuevos funcionarios durante el periodo de inducción.
 Publicar todos los documentos, normas, procesos y demás temas relacionados, en lugares donde todos
los funcionarios los puedan consultar y se puedan mantener actualizados (Intranet y/o carteleras).
 Mantener toda la documentación actualizada mediante la continua revisión, por parte de las personas
que se encuentran involucradas en los procesos.

Página 13 de 14
Este documento impreso se considera copia no controlada
 MG-05
MANUAL DEL SISTEMA DE GESTIÓN DE
Vigencia: 21-09-09 SEGURIDAD DE LA INFORMACIÓN

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS

VERSIÓN FECHA DESCRIPCIÓN DE CAMBIOS ELABORADO POR APROBADO POR

Carlos Rubio
Nathalia Prada Hernández
01 21/09/09 Versión inicial Jefe de Riesgo
Analista de procesos
Operativo

Página 14 de 14
Este documento impreso se considera copia no controlada