[logo de la organizacin]

[nombre de la organizacin]

POLTICA DE SEGURIDAD DE INFORMACIN

Cdigo
Versin:
Fecha de la
versin:
Creado por:
Aprobado por:
Nivel de
confidencialidad:

Empresa de Servicios XYZ

PUBLICO

Historial de modificaciones
Fecha

Versin

20/04/2015

1.0

Creado por
Christian Ros
Pal Tinoco

Descripcin de la modificacin
Primera versin del documento

Tabla de contenido
Poltica de Seguridad de Informacin

ver. 1.0 del 20 de

abril del 2015

Pgina 2 de 9

Empresa de Servicios XYZ

PUBLICO

1.

OBJETIVO, ALCANCE Y USUARIOS...............................................................4

2.

DOCUMENTOS DE REFERENCIA..................................................................4

3.

POLTICA DE SEGURIDAD DE LA INFORMACIN...........................................4

3.1.
3.2.
3.3.
3.4.
3.5.

4.

OBJETIVOS............................................................................................................. 4
REQUISITOS PARA LA SEGURIDAD DE LA INFORMACIN.......................................4
EVALUACIN DE RIESGOS.....................................................................................5
RESPONSABILIDADES............................................................................................ 8
COMUNICACIN Y APOYO A LA IMPLEMENTACIN EL SGSI....................................8

VALIDEZ Y GESTIN DE DOCUMENTOS.......................................................8

Poltica de Seguridad de Informacin

ver. 1.0 del 20 de

abril del 2015

Pgina 3 de 9

Empresa de Servicios XYZ

PUBLICO

1. OBJETIVO, ALCANCE Y USUARIOS

El objetivo de esta poltica es definir la direccin, principios y reglas bsicas para
la gestin de la seguridad de informacin en el servicio de Censos de
Informacin Comercial.
Esta poltica se aplica a todo el Sistema de Gestin de Seguridad de la
Informacin (SGSI), segn se define en el Alcance y Lmites del SGSI.
Los usuarios de este documento son todos los trabajadores implicados en el
desarrollo del servicio, como tambin terceros externos a la empresa de servicios
XYZ pero implicados en su desarrollo.

2. DOCUMENTOS DE REFERENCIA

Norma ISO/IEC 27001:2013, puntos 5.2 y 5.3

Alcance y Lmites del SGSI
Declaracin de aplicabilidad
Lista de obligaciones legales, normativas y contractuales

3. POLTICA DE SEGURIDAD DE LA INFORMACIN

3.1.

OBJETIVOS

El principal objetivo de un SGSI para el servicio de Censos de Informacin

Comercial es definir las reglas de trabajo dentro de las cuales funcionar todo el
proceso de desarrollo de dicho servicio; estas reglas debe estar enfocadas en
proteger la informacin tanto utilizada como obtenida. Los principales
responsables para monitorear el cumplimiento de estas polticas son:

Gerente de Proyecto.
Lder de Proyecto.

3.2. REQUISITOS PARA LA SEGURIDAD DE LA INFORMACIN

El SGSI debe estar totalmente alineado con todos los activos utilizados en el
desarrollo del servicio, los cuales son:

Hardware.
Software.
Bases de Datos.
Redes y Telecomunicaciones.
Recursos Humanos.
Aspectos Legales.
Servicios.

Estos activos estn detallados en Alcance y Lmites del SGSI.

Poltica de Seguridad de Informacin

ver. 1.0 del 20 de

abril del 2015

Pgina 4 de 9

Empresa de Servicios XYZ

PUBLICO

3.3. EVALUACIN DE RIESGOS

La evaluacin de riesgos se realizar utilizando la metodologa NIST 800-30, que
se realiza en dos etapas, las mismas que constan de varios subprocesos
detallados a continuacin:
A. VALORACIN DE RIESGOS: en esta etapa se determina a qu nivel
puede verse afectado el servicio por las posibles amenazas existentes y su
riesgo asociado. La valoracin de riesgos se desarrolla mediante los
siguientes pasos:

Paso 1. Caracterizacin del sistema: en este primer paso vamos a

definir el alcance de los riesgos en funcin de los sistemas y procesos
que intervienen en el desarrollo del servicio, para esto es necesario
definir su alcance y lmites. El resultado de este paso es una visin
panormica de la realidad actual del servicio.

Paso 2. Identificacin de amenazas: para lo cual debemos

reconocer:
o Todas las posibles fuentes de amenazas.
o Vulnerabilidades potenciales.
o Controles existentes.

Paso 3. Identificacin de vulnerabilidades: que forma parte del

anlisis de amenazas identificadas que pueden afectar al desarrollo del
servicio.
Este paso tiene como salida una lista de las todas las amenazas reales
y potenciales que pueden ocasionar vulnerabilidades; esta lista se
obtiene como resultado de realizar:
o
o
o

Bsquedas de fuentes de vulnerabilidades.

Testing de la seguridad del proceso.
Desarrollo de un checklist de requerimientos de seguridad.

Paso 4. Anlisis de controles: en este paso se evalan los controles

ya implementados, o bien est planeada su implementacin, con la
finalidad de minimizar la probabilidad de que una amenaza explote una
o varias vulnerabilidades. Al terminar este paso se obtiene una lista de
todos los posibles controles que se pueden implementar para reducir la
probabilidad de que las amenazas identificadas exploten las
vulnerabilidades del proceso.

Paso 5. Determinacin de probabilidades: esto se realiza

considerando:
o La motivacin y la capacidad de las fuentes de amenazas.
o La naturaleza de la vulnerabilidad.
o La existencia y efectividad de los controles actuales.

Poltica de Seguridad de Informacin

ver. 1.0 del 20 de

abril del 2015

Pgina 5 de 9

Empresa de Servicios XYZ

PUBLICO

Este paso nos da un ranking de probabilidad de ocurrencia de

amenazas.

Paso 6. Anlisis de impacto: este paso es el punto de partida

para determinar el nivel de impacto que puede ocasionar la
explotacin de una vulnerabilidad. En trminos generales, las posibles
consecuencias estn abarcadas dentro de los siguientes dominios:
o Prdidas de integridad de la informacin.
o Prdidas de disponibilidad de servicios.
o Prdidas de confidencialidad.

Paso
o
o
o

7. Determinacin del riesgo: se expresa en funcin de:

La probabilidad de una amenaza explotando una vulnerabilidad
La magnitud del impacto.
La suficiencia de los posibles controles para reducir o eliminar el
riesgo.

Este paso nos arroja el nivel de riesgo que corre el servicio.

Paso 8. Recomendacin de controles: de manera que estos ayuden

a mitigar el riesgo que corre el proceso a niveles manejables. Los
controles recomendados deben escogerse en funcin de los siguientes
factores:
o Efectividad de los controles recomendados.
o Legislacin y regulacin.
o Polticas organizacionales.
o Impacto operacional.
o Seguridad y confiabilidad.

Paso 9. Documentacin de resultados: para darle un carcter

formal y oficial al trabajo hecho y los resultados obtenidos.

B. MITIGACIN DE RIESGOS: una vez determinados los controles de

riesgos en la etapa anterior, se realizarn las actividades de priorizacin,
evaluacin e implementacin de los mismos, para lo cual debemos
determinar:

Opciones de mitigacin de riesgos: tenemos las siguientes

opciones:
o Admisin del riesgo: es reconocer la existencia de riesgos que
pueden afectar negativamente al desarrollo del servicio, de
manera que se estudien e implementen las medidas de control
adecuadas.
o Evitacin del riesgo: esto se logra atacando directamente la
fuente del riesgo.
o Limitacin del riesgo: es decir, minimizar el impacto de una
amenaza explotando una vulnerabilidad utilizando los controles
adecuados.

Poltica de Seguridad de Informacin

ver. 1.0 del 20 de

abril del 2015

Pgina 6 de 9

Empresa de Servicios XYZ

PUBLICO

Planeacin del riesgo: desarrollar un plan de control de riesgos

que considere la priorizacin, implementacin y mantenimiento
de controles.
Reconocimiento
e
investigacin:
se
debe
hacer
un
reconocimiento de las vulnerabilidades en el desarrollo del
proceso y una investigacin para definir los mejores controles
para las mismas.
Transferencia del riesgo: principalmente para compensar
prdidas, por ejemplo, el uso de seguros de riesgos.

Estrategia de mitigacin de riesgos: sirve para definir cmo y

cundo actuar en caso de que se presenten amenazas y se encuentren
vulnerabilidades.

Enfoque para la implementacin de controles: para esto se aplica

la siguiente regla: Se debe abordar los riesgos ms grandes y
esforzarse por obtener la suficiente mitigacin de riesgos al menor
costo, con el impacto mnimo en otras capacidades de la misin. La
siguiente metodologa tiene un enfoque para la implementacin de
controles dividido en 7 pasos:
o

Paso 1. Priorizacin de acciones: en funcin de los reportes

de evaluacin de riesgos. La salida es un ranking de posibles
acciones a realizar desde la ms alta a la ms baja en cuanto a
factibilidad.

Paso
2.
Evaluacin
de
opciones
de
controles
recomendados: de manera que se encuentren los controles con
mayor factibilidad para su implementacin en funcin de las
necesidades del proceso. La salida es una lista de los controles
factibles.

Paso 3. Conduccin de anlisis costo beneficio: de manera

que se encuentren los controles ms factibles en cuanto a costos.
Se obtiene un anlisis costo beneficio detallado de los controles
segn los posibles resultados si se los implementa.

Paso 4. Seleccin de controles: a partir del anlisis realizado

en el paso anterior, para seleccionar los controles ms
beneficiosos para el proceso. La salida de este paso es una lista
con los controles seleccionados.

Paso 5. Asignacin de responsabilidades: es decir, escoger

el responsable entre el personal de acuerdo a sus capacidades
para implementar los controles seleccionados.

Paso 6. Desarrollar un plan de implementacin

salvaguardas: el cual debe incluir:
Riesgos y su nivel asociado de riesgo.

Poltica de Seguridad de Informacin

ver. 1.0 del 20 de

abril del 2015

de

Pgina 7 de 9

Empresa de Servicios XYZ

PUBLICO

Controles recomendados.
Priorizacin de acciones.
Planes de control escogidos.
Recursos necesarios para implementar los planes de
control.
Listas de equipos responsables.
Fecha de inicio de implementacin.
Fecha lmite para finalizar la implementacin.
Requerimientos de mantenimiento.

Paso 7. Implementacin de controles seleccionados: para

minimizar los niveles de riesgo.

Categoras de controles: se categoriza en funcin de la realidad del

desarrollo del proceso, es decir, considerando sus ambientes tcnicos,
operativos y organizacionales.

Anlisis costo beneficio: este anlisis se realiza principalmente

para determinar el tipo de control a aplicar en funcin del tipo de
circunstancia o instancia del proceso. Este anlisis debe considerar:
o Determinacin del impacto sobre el proceso del mejoramiento de
controles existentes o la implementacin de nuevos controles, o
bien de la no realizacin de estas actividades.
o Determinar el costo real de la implementacin.
o Determinar la importancia de la esta implementacin para el
desarrollo del proceso.

Riesgo residual: la implementacin o mejoramiento de controles

tienen por objetivo principal minimizar el impacto de los riesgos del
servicio; esta minimizacin generalmente deja como resultado riesgos
residuales, los mismos que deben tener un seguimiento de manera que
se tenga un control mximo sobre la seguridad del servicio.

3.4. RESPONSABILIDADES
Las responsabilidades son las siguientes:

El Gerente de Proyecto y el Lder de Proyecto:

o
o

Brindarn el apoyo necesario de manera que la implementacin del

SGSI se realice de manera exitosa.
Monitorearn el funcionamiento operativo del SGSI.

El Gerente de Proyecto revisar el SGSI anualmente o cuando ocurra algn

cambio que afecte al servicio. En el caso que ocurran cambios, estos sern
comunicados a los trabajadores a quienes se los capacitar en lo referente
a su funcionamiento.

Poltica de Seguridad de Informacin

ver. 1.0 del 20 de

abril del 2015

Pgina 8 de 9

Empresa de Servicios XYZ

PUBLICO

La responsabilidad de la seguridad de los recursos utilizados en el

desarrollo del servicio, ser mediante la designacin de propietarios y
responsables, segn sus perfiles de trabajo.

3.5. COMUNICACIN Y APOYO A LA IMPLEMENTACIN EL SGSI

El Gerente de Proyecto y el Lder de Proyecto apoyarn la implementacin y
administracin del SGSI, as como la comunicacin y capacitacin al resto del
personal implicado en el desarrollo del servicio.

4. VALIDEZ Y GESTIN DE DOCUMENTOS

Este documento es vlido hasta el [fecha].
El propietario de este documento es el Gerente de Proyecto, que debe verificar su
validez y si es necesario, actualizarlo por lo menos una vez al ao.
Al evaluar la efectividad y adecuacin de este documento, es necesario tener en
cuenta los siguientes criterios:

Cambios en el desarrollo del servicio de Censos de Informacin

Comercial.
Cambios en procesos legales, estos procesos no son controlados por el
servicio.
Actualizacin de la tecnologa utilizada en el desarrollo de este servicio.
Resultados de revisiones peridicas de la efectividad del SGSI.

Poltica de Seguridad de Informacin

ver. 1.0 del 20 de

abril del 2015

Pgina 9 de 9