GESTIÓN DE LA SEGURIDAD

CASO DE ESTUDIO
EMPRESA DE ALIMENTOS LIGHT “LA VIDA”

-PRIMERA
ENTREGA-

Autores

NOMBRE
DEINER DAVID HERNANDEZ MENCO
DIEGO FERNANDO MONTIEL DURAN
LEIDY JOHANNA VELANDIA CABRA

Profesor

JEFFREY BORBON

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO

GRANCOLOMBIANO

BOGOTA D.C
2018
INTRODUCCIÓN

El sistema de seguridad de la información es el conjunto de medidas que tienen

como finalidad garantizar los principios fundamentales como lo son la integridad,
confidencialidad y disponibilidad, que buscan las razones principales para
proteger los activos de las organizaciones a través de la implementación de
procesos y controles que se han convenientes y medibles para el negocio.

OBJETIVOS

GENERAL

1. Definir la propuesta para la implementación de un sistema de gestión de

seguridad de la información y determinar cuáles son las principales
metodologías que se deben tener en cuenta para trabajar con las partes
interesadas

ESPECÍFICOS

1. Analizar cómo la entidad de alimentos LIGHT “la vida” adoptaría la

implementación del sistema de gestión de seguridad de la información.

2. Definir objetivos o los fines que busca la entidad para la implementación

del sistema de gestión de seguridad de la información.

3. Contemplar metodologías que permitan al comité de seguridad de la

información tener una visión clara de cómo las partes interesadas dan
cumplimiento a los procedimientos y políticas definidas por la entidad.
MISIÓN

Elaborar y comercializar productos que satisfagan las necesidades de nuestros

clientes con excelencia y un precio justo, con ingredientes de calidad, empleando
técnicas y tecnologías a la vanguardia de las tendencias del mercado.
Aportar al mejoramiento de la calidad de vida de una gran cantidad de personas
en nuestro departamento, a través de la prestación de nuestros servicios y de la
generación de empleos directos e indirectos.

VISIÓN

• Ser en el 2015 la empresa líder en producción y comercialización de productos

alimenticios light, a través de la tecnología, la calidez de nuestro equipo humano,
la diversidad de nuestro portafolio y la calidad de nuestros servicios.

• En el 2015, ser percibidos por la ciudadanía y por nuestros competidores como

la mejor empresa de productos alimenticios light del país.
• Ser un actor de gran influencia en el desarrollo del mercado alimenticio del país.

MAPA DE PROCESOS
 El proyecto consiste en la propuesta de construcción de un sistema de gestión de
seguridad de la información desde un grupo de trabajo, realizando división del
trabajo, elementos que hacen parte de la construcción del Sistema de Gestión de
Seguridad desde su concepción estratégica y operativa. A cada grupo se le
entregará por el mismo medio la información de una empresa ficticia la cual
requerirá la implementación de un sistema de gestión de seguridad.

ENTREGA 1 (SEMANA 2)

Por grupo debe realizarse la entrega de los siguientes puntos, cada entrega hace
parte de un mismo documento sobre el que se deben aplicar las correcciones
producto de cada entrega:

1. Identificación de partes interesadas (internas y externas) de una

organización. Mínimo 3 internas y 3 externas. Determinar cómo influye cada
parte interesada en la seguridad de la organización, es decir justificar por
qué es una parte interesada relevante para la gestión de la seguridad.

Partes Interesadas Internas

❖ Directivos
❖ Empleados
❖ Accionistas

Directivos:

Es una de las partes interesadas más importantes en la empresa, Alimentos light

“La vida” ya que son los encargados de cumplir con la misión y visión de la
empresa, lograr los objetivos y metas trazadas. Puesto quienes son los
responsables de tomar las decisiones frente a inversiones del capital para obtener
los mejores resultados frente a los productos y servicios a sus clientes.

Las funciones de los directivos frente a gestión de la seguridad:

❖ Llevar a cabo el cumplimiento de los sistemas de gestión de seguridad.

❖ Decisiones políticas y estratégicas en términos de seguridad.
❖ Comunicación de la información entre las partes interesadas.
❖ Consultar internamente sobre los procesos si son seguros para tomar las
mejores decisiones.
❖ Verificar y medir revisiones periódicas de la seguridad para tener mejora
continua.
 Empleados:

Son todos los empleados no administrativos de las empresas, y uno de los activos
más importantes de las organizaciones, cuyo papel principal es realizar lo mejor
posible la tarea asignada por los directivos.
Entre las responsabilidades de los empleados frente a la seguridad de la
información tenemos:

❖ Conocer, entender las políticas de seguridad.

❖ Conocer los riesgos del no cumplimiento de las políticas de seguridad.
❖ Cumplir con las normas y reglamentos de seguridad
❖ Contribuir al cumplimiento de los objetivos de los sistemas de gestión de
seguridad.

Accionistas

Entre las partes interesadas no podemos dejar a un lado los accionistas ya que
son los dueños de las empresas, quienes invierten su capital con el ánimo de
conseguir los objetivos y metas propuestas por la organización. Aunque su papel
no está directamente involucrado con la gestión de la seguridad si debe tener
unas obligaciones frente a esta:

· Deben actuar con lealtad a la organización.

· No divulgar información.

Partes Interesadas Externas

❖ Proveedores
❖ Clientes
❖ Sindicato

Proveedores

Entre las partes importantes externas tenemos a los proveedores quienes son los
encargados de suministrar a la empresa de alimentos con sus productos y
servicios para que podamos continuar con nuestra actividad. Parte de la eficiencia
de la empresa depende de los proveedores ya que son los que nos abastecen y
de una u otra manera ayudan a la captación de nuevos clientes.
Así mismo debemos tener una buena gestión de seguridad con nuestros
proveedores ya que en algún momento de nuestro proceso debemos dar acceso
o compartir información vital de nuestra producción y en este caso de nuestros
productos alimenticios patentados, que eventualmente pueden poner en riesgo la
confidencialidad de los mismos.

Aspectos a tener en cuenta en gestión de seguridad, con nuestros

proveedores:

❖ Control de cadena de suministros

❖ Control de cambios
❖ Respuesta ante una vulneración de seguridad
❖ Aceptación de políticas de seguridad
❖ Auditoría
❖ Cumplimiento a políticas de seguridad.

Clientes

Una parte importante son nuestros clientes ya que son una razón de ser, quienes
consumen nuestros productos, sin embargo debemos tener unas políticas
adecuadas para salvaguardar la información de nuestros clientes y la divulgación
de la información de nuestros productos o recetas. Productos patentados y demás
pueden tener los ingredientes en sus etiquetas, conservando siempre la
confidencialidad de algunos o la realización del producto.

Por ello es importante como entre las partes interesadas externas los clientes
entre la gestión de la seguridad tango guardando la confidencialidad de nuestros
clientes como que ellos puedan divulgar información.

Sindicato

El sindicato, son los representantes de los trabajadores y entre sus principales

metas es las mejores condiciones de trabajo para los empleados. Una buena
relación entre el sindicado y las organizaciones permite obtener beneficios frente
al funcionamiento de la empresa ya que entre mejor estén los trabajadores mejor
funcionamiento tendrán en sus actividades.

Siempre en toda organización debemos incluir el sindicato ya que podremos

imponer o realizar políticas de seguridad con los directivos, pero con el sindicato
Cde por medio debemos socializar cada cambio con ellos antes de ser
incorporadas.
 2. Definición y explicación de mecanismos de identificación de las
expectativas de seguridad de dichas partes interesadas.

Como mecanismos de seguridad de la información se tienen contemplado planes

de capacitación, entrevistas, encuestas y divulgación por medios digitales para
que se genere conciencia a todas las partes interesadas.

Partes internas

❖ Directivos Se tiene contemplado realizar entrevistas, para conocer de

primera mano qué conocimientos manejan sobre el sistema de gestión y
que opinión les merece, dándoles a conocer por parte del comité de
seguridad de la información, todas la ventajas y justificar el porqué de su
implementación; Todo esto con el fin de garantizar que la dirección apoye
activamente la seguridad dentro de la organización, mediante una clara
orientación, compromiso demostrado, asignando explícitamente
responsabilidades.

Esto nos asegurará:

● La identificación de los objetivos y que estos cumplan con los

requisitos de la empresa y estén integrados en todos los procesos.
● Provea una orientación clara y un apoyo visible hacia el sistema de
gestión de la seguridad de la información.
● Que se gestionen y provean los recursos necesarios para la
implementación y mantenimiento del sistema.
● Que la implementación del sistema de gestión y seguridad de la
información sea coordinada e implementada en toda la empresa.

❖ Empleados Definir un programa de capacitación y sensibilización en temas

de seguridad de la información para los empleados de la empresa LIGHT
que permita explicar de manera apropiada las reglas para el uso de los
sistemas y la información, para dar como cierre se tiene contemplado
realizar encuestas que permitan determinar cómo los funcionarios acogen
el tema de seguridad y privacidad de la información.
 Esto nos asegura:

● los empleados tendrán claridad de la implementación del sistema de

gestión de seguridad de la información y en el momento que se
presente alguna novedad en el sistema sabrán cómo actuar.
● Los empleados deben dar cumplimiento con las políticas y
procedimientos establecidos por la entidad.
● mayor seguridad para la información al igual que para todos los
activos que interactúan en el proceso.

❖ Accionistas: Se tiene definido realizar entrevistas e informar a los

accionistas de los cuáles son las áreas que tendrán mayor impacto con la
implementación del sistema de seguridad de la información, esto con el fin
de que se adapten, adopten y den cumplimiento a las políticas establecida

Esto nos asegura:

● La identificación de objetivos y que se cumplan con los requisitos de

la empresa y que sean transversal a todos los procesos.
● conocer el nivel de satisfacción y el porcentaje de cumplimiento
frente a la implementación del sistema de gestión de seguridada de
la información.

Partes externas

❖ Proveedores: Se tiene contemplado realizar encuestas periódicas que

permitan conocer el nivel de satisfacción de las medidas implementadas por
el sistema de gestión de seguridad y realizar capacitaciones cuando lo
requieran a los proveedores y terceros que permitan conocer las reglas y
procedimientos que se deben tener en cuenta al momento de gestionar
cualquier tipo de trámite.

Esto nos asegura:

● Contar con registros de las solicitudes realizadas por parte de

proveedores.
● Mantener una relación comercial basada en la confianza tecnológica
mutua, que permita compartir información de manera segura.
❖ Clientes: Se realizarán encuestas para que el comité de seguridad cuente
con estadísticas que permitan saber el nivel de satisfacción de los clientes
sobre el trato que se le da a la información que registra.

Esto nos asegura:

● Generar confianza a los clientes de que su información estará segura

y que se le dará un buen trato.
● Evitar sanciones por el ente regulatorio por el manejo de la
información.
● Conocer de primera mano las necesidades y recomendaciones de
los clientes.

❖ Sindicato: Se tiene definido realizar encuestas que permitan dar a conocer

el punto de vista frente a los temas de seguridad que se van a implementar
en la empresa.

Esto nos asegura:

● Conocer las inquietudes que puedan tener frente al sistema de

gestión de seguridad de la información.
● Colaboración en la orientación a la mejora de los procesos y a las
necesidades de la empresa y las expectativas que se puedan
presentar en todo momento.

3. Definición de 4 objetivos de la gestión de seguridad de la información

orientados a apoyar la misión, visión y estrategia de la organización. Estos
objetivos deben ser medibles, viables y reflejar que aportan al negocio.
OJO, son los objetivos de la gestión de seguridad, no objetivos del proyecto
de implementación del SGSI.

❖ Procedimientos de Capacitación:
Sensibilizar y capacitar a directivos, trabajadores, proveedores y partes
interesadas acerca del Sistema de Gestión de Seguridad de la Información
y el Modelo de Seguridad y Privacidad de la Información de la empresa,
fortaleciendo el nivel de conciencia de los mismos, en cuanto a la
necesidad de salvaguardar los activos de la información y todos aquellos
activos que interactúan.
❖ Riesgos:
Definir y evaluar riesgos de seguridad de la información con unos intervalos
programados o cuando ocurran cambios significativos teniendo como
soporte la documentación de los riesgos definidos para la empresa LIGHT,
y así lograr gestionar y administrar estos riesgos de seguridad de la
información junto a los procesos y sistemas que hacen uso de ella de la
mejor manera, para mantenerlos en niveles aceptables.

❖ Activos de Información:
Identificar la gestión de activos de información y los recursos que utiliza el
sistema de gestión de seguridad de la información para que las
organizaciones funcionen y consigan los objetivos que se han propuesto
por los directivos de la entidad que son los de proteger los activos de
información de la empresa, con base en los criterios de confidencialidad,
integridad y disponibilidad.

❖ Seguridad física y del entorno:

Definir los lugares donde se encuentra localizada la información crítica de la
empresa, está estará protegida por un perímetro de seguridad y por los
controles de acceso perimetrales, con esto se busca que en las
instalaciones de la empresa LIGHT “la vida” se encuentre solo personal
autorizado.

❖ Continuidad del Negocio:

Identificar las posibles soluciones en caso de que se presente una
interrupción del sistema, bien sea intencionada o accidental que inutilice o
degrade los recursos que interactúan con la información, por tal motivo es
importante la implementación de un plan de contingencia que nos permita
seguir operando para satisfacer las necesidades de la empresa y partes
interesadas.
CONCLUSIÓN

Los activos de información de las entidades hoy en día se han vuelto blanco de
muchos ataques informáticos debido a la gran importancia que esta representa,
por tal motivo es importante la implementación de un sistema de gestión de
seguridad de la información y así mitigar y controlar los riesgos.
La información junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una empresa, la confidencialidad, integridad y disponibilidad
de la información sensible son esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios
para lograr los objetivos de la empresa y asegurar beneficios económicos.
WEBGRAFÍA

Benavides Claudia (octubre 2018) las partes interesadas:

https://calidadparapymes.com/definiendo-las-partes-interesadas-en-iso-90012015/
http://www.iso27000.es/download/doc_sgsi_all.pdf

SGSI(23 Noviembre 2016) cuál es papel del gerente en el sistema de gestión de

seguridad y salud en el trabajo: https://www.nueva-iso-
45001.com/2016/11/sistema-de-gestion-de-seguridad-y-salud-en-el-trabajo/

SGSI(13Diciembre2017) Gestion de proveedores iso 27001:clausula de seguridad

a incluir en los contratos: https://www.isotools.cl/gestion-de-proveedores-en-iso-
27001-clausulas-seguridad-contratos/

(13 Agosto 2017) Responsabilidades de los trabajadores en el SGSST

https://safetya.co/responsabilidades-de-los-trabajadores-sgsst/

Moreno yuli paola (22 septiembre 2017) los trabajadores también tiene
responsabilidades en el nuevo sistema de gestion de seguridad y salud en el
trabajo SG-SST: https://www.gerencie.com/los-trabajadores-tambien-tienen-
responsabilidades-en-el-nuevo-sistema-de-gestion-de-la-seguridad-y-salud-en-el-
trabajo-sg-sst.html

SGSI(23 febrero 2013) como realizar un inventario de activos de informacion:

https://www.pmg-ssi.com/2017/02/realizar-inventario-activos-de-informacion/

(1 septiembre 2014) Iso 27001 gestion de la seguridad fisca y del entorno:

https://www.pmg-ssi.com/2014/09/iso-27001-gestion-seguridad-fisica-entorno/