Políticas de SGSI

Versión 00.01.00

Mayo 2023
 2

Índice
1. Objetivo

2. Alcance

3. Vigencia

4. Responsabilidades

5. Autoridad de emisión, revisión y publicación

6. Términos y definiciones

7. Reglas de aplicación al SGSI

7.1 Comprender la organización y su contexto

7.1.1 Declaración de Objetivos

7.1.2 Contexto de SGSI

Análisis externo

Análisis interno

7.1.3 Contexto de Gestión de Riesgos

7.2 Comprender las necesidades y expectativas de las partes interesadas

7.2.1 Identificación y Análisis de las Partes Interesadas

7.2.2 Identificación y Análisis de los Requisitos del Negocio de Partes Interesadas

Identificación de requisitos de CLIENTES

Identificación de requisitos de USUARIOS FINALES

Identificación de requisitos de SOCIOS

Identificación de requisitos de PROVEEDORES

Identificación de requisitos de EMPLEADOS

Identificación de requisitos de ASEGURADORAS

Identificación de requisitos de administración, legales y regulatorios

7.2.3 Determinar el alcance del sistema de gestión de la seguridad de la información

Procesos y servicios

Características del negocio

Organización

Ubicación
 3

Activos

Tecnología

7.3 Liderazgo

7.3.1 Liderazgo y compromiso

7.3.2 Política de Seguridad

7.3.3 Roles, responsabilidades y autoridades

7.4 Planificación

7.4.1 Acciones para tratar los riesgos y oportunidades

Evaluación de los riesgos de seguridad de la información

Tratamiento de los riesgos de la seguridad de la información

7.4.2 Objetivos de Seguridad de Información y planificación para alcanzarlos

7.5 Apoyo / Soporte

7.5.1 Recursos

7.5.2 Competencia

7.5.3 Concientización

7.5.4 Comunicación

7.5.5 Documentación de la Información

General

Creación y actualización

Control de la información documentada

7.6 Operación

7.6.1 Planificación y control operacional

7.6.2 Evaluación de los riesgos de seguridad de la información

7.6.3 Tratamiento de los riesgos de seguridad de la información

7.7 Evaluación del desempeño

7.7.1 Monitoreo, medición, análisis y evaluación

7.7.2 Auditorías internas

7.7.3 Revisión por parte de la Dirección

7.8 Mejora

7.8.1 No conformidad y acción correctiva

 4

7.8.2 Mejora continua

8. Versionado

Confeccionado por:

Nombre y rol

Código de documento:

Código

Versión:

v1

Fecha última de actualización:

dd/mm/aaaa

Revisado por:

Nombre y rol

Aprobado por:

Nombre y rol
 5

1. Objetivo
La Dirección de Corporación Universitaria Remington, entendiendo la importancia de una
adecuada gestión de la información, se ha comprometido con la implementación de un
sistema de gestión de seguridad de la información buscando establecer un marco de
confianza en el ejercicio de sus servicios con sus clientes y proveedores, todo enmarcado en
el cumplimiento de las leyes y en concordancia con la misión y visión de la entidad.

El objetivo de este documento es establecer las políticas, prácticas y lineamientos internos

aplicables para el Sistema de Gestión de Seguridad de la Información (de ahora en más
SGSI) para Corporación Universitaria Remington.

2. Alcance
El siguiente documento alcanza a los procesos y controles definidos para el cumplimiento del
Sistema de Gestión de la Seguridad de la Información de toda la organización.

3. Vigencia
Su vigencia será a partir de 05/05/2023

4. Responsabilidades
➔ Arcadio Maya Elejalde:

◆ Aprobar y proporcionar los recursos necesarios para el desarrollo,

implementación y cambios de esta política.

◆ Garantizar que estas políticas sean conocidas por todos y apoyar a su

divulgación, conocimiento y carácter obligatorio.

➔ Gustavo Castrillón:

◆ Tiene la responsabilidad de supervisar la adecuada ejecución de la presente

política.

◆ Gestionar la capacitación sobre el contenido de la presente política.

◆ Establecer, documentar y distribuir la presente política.

 6

◆ Resolver posibles controversias originadas por la política.

◆ Gestionar los recursos otorgados para la implementación de la política.

➔ Ángela María Flórez Álvarez:

◆ Es el Oficial de Protección de Datos que va a asesorar en leyes de protección de

datos y las mejores prácticas.

➔ Empleados de la organización:

◆ Cumplir con los lineamientos de la presente política, apegándose a los

procedimientos establecidos. Alertar de inmediato sobre incumplimientos a esta
política.

5. Autoridad de emisión, revisión y

publicación
Esta Política ha sido desarrollada por Ángela María Flórez Álvarez directora de la sede
Montería y aprobada por la tutora Leli Diaz Izquierdo

Se revisará de manera periódica anualmente.

6. Términos y definiciones
➔ Activo de Información:
Conocimientos o datos que tienen valor para la empresa.

➔ Seguridad de la Información:
Preservación de la confidencialidad, integridad y disponibilidad de la información.

➔ Sistema de Gestión de la Seguridad de la Información (SGSI):

Parte del sistema de gestión global, basado en un enfoque hacia los riesgos del negocio,
cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y
mejorar la seguridad de la información.

➔ Riesgo de Seguridad de la Información:

Posibilidad que una amenaza explote las vulnerabilidades de un activo o de un grupo de
activos y por lo tanto cause daño a la Institución.

➔ Integridad:
Propiedad de salvaguardar que la información no sufra alteraciones conservando su
exactitud.
 7

➔ Sistema de Gestión:
Marco de políticas, procedimientos, guías y recursos asociados para lograrlos objetivos
de la Institución.

➔ Políticas:
Intenciones globales y orientación tal como se expresan formalmente por la Dirección.

➔ Acción Preventiva:
Acción tomada para eliminar la causa de una no conformidad potencial u otra situación
potencial no deseable.

➔ Procedimiento:
Forma especificada para llevar a cabo una actividad o un proceso.

➔ Registro:
Documento que presenta resultados obtenidos o proporciona evidencias de actividades
desempeñadas.

➔ Nivel de Riesgo:
Combinación de probabilidad de un evento y sus consecuencias.

➔ Aceptación del Riesgo:

Decisión de aceptar un riesgo.

➔ Análisis del Riesgo:

Uso sistemático de la información para identificar fuentes y estimar el riesgo.

➔ Gestión del Riesgo:

Actividades coordinadas para dirigir y controlar una organización en relación con el
riesgo.

7. Reglas de aplicación al SGSI

7.1 Comprender la organización y su contexto
Corporación Universitaria Remington ha determinado los objetivos, asuntos internos y
externos que son relevantes para su propósito y que intervienen en el logro de los resultados
esperados.

7.1.1 Declaración de Objetivos

La organización declara los siguientes objetivos de seguridad de la información alineados a
la estrategia establecida en el Plan de Seguridad de la Información de Corporación
Universitaria Remington.

➔ Mejorar continuamente el desempeño del sistema de gestión de seguridad de la

información mediante la implementación de acciones correctivas y de mejoras eficaces
como resultado de las auditorías internas y externas.
 8

➔ Facilitar la formación y educación para crear una cultura ecológica, de respeto a la

biodiversidad y al medioambiente y así aportar a una mejor calidad de vida.

➔ Promover la formación y consolidación de comunidades académicas que ejecuten

programas alrededor de la calidad y con capacidad de gestión en los campos nacional e
internacional.

➔ Dar cumplimiento a los requisitos legales, contractuales y vigentes en la empresa

➔ Desarrollar una gestión adecuada a los riesgos de seguridad de la información.

➔ Aplicar formas de participación a través de los medios estructurados que faciliten la

información, la transmisión de conocimientos y la obtención de resultados, como son los
procesos de autoevaluación y autorregulación para el mejoramiento de la calidad
académica.

7.1.2 Contexto de SGSI

Con el fin de definir los parámetros externos e internos que deben tenerse en cuenta al
gestionar el riesgo, se analiza el contexto interno y externo de la organización.

Análisis externo
El contexto externo incluye cualquier cosa fuera de la organización que pueda influir en la
forma en que una organización administra su riesgo de seguridad de la información.

Político Económico Socioambiental Tecnológico Legal

Política Economía y Cultura y naturaleza Avances e innovación Leyes y
gubernamental finanzas regulaciones

Libertad de prensa Flujo de capital Hábitos de Riesgos Salud y seguridad

Consume asociados a la laboral.
innovación u
Política de obsolescencia de
seguridad Disponibilidad Antecedentes las tecnologías. Regulación de
de créditos Culturales sectores.

Estabilidad del Nuevas

sistema politico Estilos de vida tecnologías para Leyes de
Impuestos. Nivel formative el software. protección.

Conflictos internos
y externos Desastres Reemplazo de Salario mínimo.
naturales. las tecnologías Licencias.

Pandemias.
 9

Análisis interno
El contexto interno incluye cualquier cosa dentro de la organización que pueda influir en la
forma en que una organización administra su riesgo de seguridad de la información.

Fortalezas Debilidades

Certificación de la norma ISO 9001:2015 Ingreso de muchas comunidades que dificultan el

Comunidad académica organizada
Métodos o mejoras practicas
Comprometidos con la excelencia en la
investigación, la innovación, el desarrollo, la
docencia, la extensión, la administración y el
medio ambiente
acceso a los programas ofrecidos
La movilidad en las regiones
Disponibilidad de redes comunicación, lo que
limitan la oferta de programas académicos
especialmente en el sur del país.

Oportunidades Amenazas

Cobertura de infraestructura innovadora Ejecución de ingresos presenta una alta

Visión del futuro de la Universidad
Globalización de la información
Actitud emprendedora por parte de la Universidad
Clasificación de grupos de investigación en
categorías superiores de Colciencias.
dependencia de las matriculas
Recursos limitados para la inversión requerida en
los procesos misionales, investigación, innovación
y Desarrollo
Deserción estudiantil
Nivel de inversión en investigación por parte del
sector privado de la misma

7.1.3 Contexto de Gestión de Riesgos

Los lineamientos acerca de esta gestión son considerados en la Metodología de Gestión de
Riesgos donde se encuentran las definiciones pertinentes al tema.

7.2 Comprender las necesidades y expectativas de las partes

interesadas
La organización a continuación determina las partes interesadas que son pertinentes para el
SGSI y los requisitos de estas partes interesadas que sean pertinentes para la seguridad de
la información.

7.2.1 Identificación y Análisis de las Partes Interesadas

Categoría Interesados detectados

Personal Gerente General - CEO.

Interno
 10

Miembros del Directorio (si aplica).

Comité de Seguridad de Información.

Oficial de Seguridad / Coordinador de Seguridad.

Jefaturas de los Procesos/Servicios.

Personal Operativo de los Procesos.

Personas Clientes.
Externas

Inversionistas.

Usuarios finales (si aplica).

Trabajadores aparte

Proveedores Proveedores de Personal Tercerizado

Proveedores de Servicios.

Proveedores de Tecnologías: Servidores en la nube, Sistemas de Alarma Ambiental,

Máquinas Virtuales, Software de Monitoreo, Software de Gestión de TI, Certificados
Digitales.

Cooperativa

7.2.2 Identificación y Análisis de los Requisitos del Negocio de Partes Interesadas

Identificación de requisitos de CLIENTES

➔ Entregar productos y servicios con soporte y mantenimiento:

◆ de acuerdo con los requisitos contractuales,

 11

◆ en caso de interrupciones,

◆ cumpliendo los requisitos legales aplicables,

◆ cumpliendo los requisitos adicionales de la industria aplicables.

➔ Dar servicio de mantenimiento en condiciones (24/7/365).

➔ Disponibilidad de sistemas (75%).

➔ SLA de respuesta a incidentes: (18) de horas desde recepción de comunicaciones en

centro de contacto.

➔ Cumplir con los requisitos de ISO 27001.

➔ Cumplir con requisitos PCI DSS v3.2.1 (si aplica).

Identificación de requisitos de USUARIOS FINALES

➔ Servicios disponibles:

◆ Sistemas de apoyo ante interrupciones.

◆ Mantener servicios de soporte ante interrupciones.

➔ Protección de datos:

◆ Los productos y servicios protegen adecuadamente los datos de los usuarios

finales cumpliendo los requisitos legales tanto para los datos de contacto como
para los datos confidenciales.

Identificación de requisitos de SOCIOS

Los socios serán empresas que contratan nuestras aplicaciones para dar servicio a usuarios
finales:

➔ Cumplir con los requisitos de desarrollo de software según los acuerdos firmados.

➔ Cumplir con los acuerdos de confidencialidad firmados.

➔ Proporcionar información técnica y soporte suficiente que les permita desarrollar y

mejorar su Interfaz de Programación de Aplicaciones (API).

➔ Proporcionar la formación necesaria tanto técnica como comercial enfocada a la venta

de los productos y servicios.

➔ Cumplir los acuerdos contractuales especialmente en los tiempos de entrega acordados.

 12

Identificación de requisitos de PROVEEDORES

➔ Cumplir con los acuerdos contractuales.

➔ Cumplir con las formas de pago acordadas.

➔ Cumplir con los acuerdos de confidencialidad firmados.

Identificación de requisitos de EMPLEADOS

➔ Proporcionar un ambiente de trabajo seguro y apropiado.

➔ Recibir capacitación y apoyo requeridos.

➔ La compañía especifica claramente sus requisitos y expectativas de los trabajadores.

➔ Protección de su información personal.

➔ La compañía paga justamente por el trabajo.

➔ Continuidad del empleo.

➔ Oportunidades para el avance y desarrollo profesional.

Identificación de requisitos de ASEGURADORAS

➔ Cumplir con los requisitos de la política.

➔ Fidelidad en los pagos.

➔ Comunicación de cambios en las circunstancias del negocio y del riesgo.

Identificación de requisitos de administración, legales y regulatorios

➔ Cumplir con políticas y procedimientos internos de la organización.

➔ Cumplir con los requisitos de las leyes de protección de datos.

➔ Identificar y cumplir con los requisitos legales propios de cada tipo de negocio
emprendido

➔ Información mediante planes de comunicación y procedimientos establecidos para

mitigar su impacto.

➔ Se debe implementar y operar el SGSI y/o sus equivalentes, contar con la aprobación de
su documentación y producir los registros requeridos por la norma:

◆ ISO/IEC 27001:2013 EDI Tecnología de la Información. Técnicas de Seguridad.

Sistemas de Gestión de Seguridad de la Información Requisitos.
 13

◆ PCI DSS v 3.2.1

◆ OTRAS NORMATIVAS/REGULACIONES

7.2.3 Determinar el alcance del sistema de gestión de la seguridad de la información

La información relacionada a los análisis internos y externos (contexto) del SGSI que
intervienen y afectan al logro de sus objetivos y que fueron desarrollados en la sección 7.1.2
Contexto de SGSI. Esta información ha sido usada para definir el alcance respecto a:

➔ Procesos.

➔ Características del negocio.

➔ Organización.

➔ Ubicación.

➔ Activos.

➔ Tecnología.

De manera similar, de la sección 7.2.2. Identificación y Análisis de los Requisitos del

Negocio de Partes Interesadas se tomaron en cuenta los Requisitos de Seguridad de la
Información que provienen de los involucrados y afectados por el SGSI para definir el
siguiente enunciado de alcance:

Seguridad en redes, tanto en hardware como software.

Características del negocio

El negocio de la corporación universitaria Uniremington se encuentra en la industria de la

educación.

El servicio provisto es el siguiente:

Secretaría e Información.

Centro de Atención al Estudiante.

Defensor Universitario.

Sistemas Informáticos.

Dirección de Comunicación.

Unidad de Desarrollo del Compromiso Social, Proyección Institucional y Cultural.

Unidad de Voluntariado y Acción Social y Unidad de Igualdad.

Conserjería.

Capacitación.
 14

Desarrollo de proyectos.

Ejecución.

Estudio de factibilidad.

Información especializada.

Servicios de consultoría y asesoría.

Servicios empresariales.

Sustentabiliad y educación ambiental.

Para un detalle más específico de las relaciones funcionales que existen se cuenta con los
descriptivos de los roles y responsabilidades de la empresa.

Ubicación
Las instalaciones donde se desarrollan los procesos alcanzado corresponden a la siguiente
ubicación geográfica:

Barrio San José, Cra. 2a #18 - 49, Sahagún, Córdoba

Activos
Los activos de información de Corporación Universitaria Remington dentro del alcance y
límites del SGSI están sujetos al proceso de Gestión de Riesgos, por lo que estos son
inventariados, clasificados y valorados con base al procedimiento de Gestión de Riesgos
vigente y pueden ser encontrados en el Inventario de Activos que se produce a partir de la
ejecución del mencionado procedimiento y teniendo en cuenta los lineamientos de la Gestión
de Activos y Clasificación de la Información de la Política de Seguridad de la Información.

Tecnología
Los activos se encuentran a su vez soportados por una estructura tecnológica compleja, la
cual cuenta con hardware, software, infraestructura y servicios que permiten procesar,
almacenar y transmitir la información del proceso. Los componentes tecnológicos más
importantes están listados en el Inventario de Activos vigente.

Con base en lo anterior, el enunciado para el alcance de nuestro SGSI es:

 15

7.3 Liderazgo

7.3.1 Liderazgo y compromiso

La Alta Gerencia y los miembros del Directorio de Corporación Universitaria Remington
demuestren su liderazgo y compromiso con el Sistema de Gestión de Seguridad de la
Información mediante las siguientes acciones:

➔ Reconociendo y suscribiendo la Política de Seguridad de la Información y la Declaración

de Objetivos de Seguridad de la Información, revisando y validando que son compatibles
con la Dirección estratégica de la organización.

➔ Asegurando que se realice la integración de los requisitos del sistema de gestión de la

información dentro de los procesos de la organización mediante la aprobación de los
procedimientos y documentos requisito del SGSI.

➔ Garantizando que los recursos necesarios para el sistema de gestión de la seguridad de

la información estén disponibles mediante la aprobación de partidas presupuestarias que
ha dispuesto consultorías para la implementación del SGSI y sus controles.

➔ Comunicando, mediante los canales que considere pertinente, la aceptación de las

políticas y procedimientos de seguridad de la información para la adecuación de la
empresa a los requisitos del SGSI.

➔ Garantizando que el sistema de seguridad de la información logre sus resultados

esperados, mediante las revisiones periódicas del sistema.

➔ Dirigiendo, indicando las correcciones que deben hacerse y brindando respaldo al

personal para la realización de las medidas para mejorar la efectividad del SGSI.

➔ Dando recomendaciones de mejora continua para el SGSI.

➔ Brindando apoyo mediante el respaldo a las convocatorias y los cambios requeridos para
la operación y mejora del SGSI.

7.3.2 Política de Seguridad

La Política de Seguridad de Información de Corporación Universitaria Remington cuenta con
las siguientes características:

➔ Ha sido revisada y aprobada por la Dirección para garantizar su alineamiento al propósito

de la organización.

➔ Referencia a los Objetivos de Seguridad de la Información.

➔ Reconoce la necesidad de atender los requisitos aplicables a la empresa en temas de

Seguridad de Información.
 16

➔ Reconoce la necesidad de mejorar y corregir continuamente el SGSI mediante la

aplicación de acciones de mejora continua y acciones correctivas.

7.3.3 Roles, responsabilidades y autoridades

La Dirección de Corporación Universitaria Remington ha suscrito el documento Roles y
Responsabilidades del SGSI que establece:

➔ Todos los roles necesarios para llevar a cabo las actividades requeridas por el estándar
ISO/IEC 27001:2013.

➔ Las responsabilidades que asume cada uno de los actores involucrados en el SGSI,
producto de la asunción de los roles establecidos y especificados.

➔ La responsabilidad del Oficial de Seguridad como encargado de informar sobre el

desempeño del SGSI a la Dirección y al resto del personal que se encuentre involucrado
o interesado.

En ese sentido, el Plan de Comunicación del SGSI deja evidencia de la comunicación de los
resultados del desempeño del SGSI a la Dirección.

7.4 Planificación

7.4.1 Acciones para tratar los riesgos y oportunidades

Corporación Universitaria Remington planifica la Gestión de Riesgos del SGSI y
oportunidades tomando como base el entendimiento obtenido 7.2 Comprender las
necesidades y expectativas de las partes interesadas. Esta gestión está orientada a:

➔ Identificar nuevos controles para garantizar el logro de resultados del SGSI, que se
evidencia mediante las mediciones de los controles.

➔ Anticiparse a los riesgos para evitar o reducir efectos perniciosos, que se evidencia con
el análisis, evaluación y tratamiento de riesgos.

➔ Constituir una fuente de robustecimiento del SGSI, apoyando a la mejora continua, que
se evidencia durante la implementación de los nuevos controles que se han definido en
el Plan de Tratamiento de Riesgos.

Para los riesgos y oportunidades identificados, la empresa establece:

➔ Las acciones para manejarlas.

 17

➔ La forma en que se implementarán en los procesos mediante Plan de Tratamiento de

Riesgos.

➔ La forma en que serán medidas en cuanto a su efectividad.

Evaluación de los riesgos de seguridad de la información

Corporación Universitaria Remington dispone de la realización de una evaluación de riesgos,
que considera:

➔ Definir los criterios de aceptación y de evaluación de los riesgos.

➔ Establecer una metodología objetiva para la evaluación de los riesgos que arroje
resultados consistentes.

➔ Identificar riesgos de seguridad de la información (asociados a pérdida de

confidencialidad, integridad y disponibilidad) y sus causantes, dentro del alcance del
SGSI.

➔ Analizar los riesgos (consecuencias del impacto, probabilidad, nivel de riesgo).

➔ Evaluar los riesgos, comparando los resultados del análisis con los criterios y
priorizándolos.

Estas actividades se encuentran documentadas en la Metodología de Gestión de Riesgos y

en los registros asociados:

➔ Inventario de activos de Información.

➔ Análisis de riesgos.

➔ Evaluación de riesgos.

Tratamiento de los riesgos de la seguridad de la información

Corporación Universitaria Remington establece el tratamiento de los riesgos de seguridad de
la Información considerando:

➔ Tomar los resultados de la evaluación de riesgos para seleccionar opciones de

tratamiento.

➔ Determinar los controles para implementar la opción seleccionada.

➔ Asociar los controles a los listados en el Anexo A de la norma ISO/IEC 27001:2013 y/o
otras normas, legislaciones y/o regulaciones a las que esté sujeta, para verificar que no
existan omisiones.

➔ Elaborar la Declaración de Aplicabilidad, que especifica los controles

requeridos/excluidos y el sustento de su inclusión/exclusión.
 18

➔ Proponer el Plan de Tratamiento de Riesgos.

➔ Obtener la aprobación de los poseedores de riesgos del Acta de Aceptación del Plan de
Tratamiento de Riesgos y los Riesgos Residuales.

Estas actividades se encuentran documentadas en la Metodología de Gestión de Riesgos y

en los registros producidos como resultado del proceso:
➔ Plan de Tratamiento de Riesgos.

➔ Declaración de Aplicabilidad.

➔ Acta de Aceptación del Plan de Tratamiento de Riesgos y los Riesgos Residuales.

7.4.2 Objetivos de Seguridad de Información y planificación para alcanzarlos

Corporación Universitaria Remington establece sus Objetivos de Seguridad, bajo un enfoque
de alto nivel, pero estrechamente relacionado a los objetivos institucionales. Estos objetivos:

➔ Son consistentes con la Política de Seguridad de Información y son referenciadas desde

ella.

➔ Están relacionados directamente con las métricas del SGSI, lo cual permite a su vez
medirlos.

➔ Sus actualizaciones toman en cuenta los resultados de los Análisis de Contexto y

Requerimientos de Seguridad de las Partes Interesadas y de los resultados de ejecución
de la Metodología de Gestión de Riesgos.

➔ Son publicadas y comunicadas conjuntamente con la Política de Seguridad de

Información, según lo establece el Plan de Comunicación del SGSI.

➔ Son actualizables, si es requerido.

➔ Se determina qué se hará, qué recursos se usarán, quién será el responsable y cuándo
será completado el Plan de Tratamiento de Acciones Correctivas y de Mejora.

➔ Son medidos y obtenidos los resultados de la efectividad de lo desarrollado

7.5 Apoyo / Soporte

7.5.1 Recursos
Corporación Universitaria Remington elabora una vez al año el Presupuesto Anual, en el que
también se consideran los recursos requeridos para el establecimiento, implementación,
mantenimiento y mejora continua del SGSI. Dicho Presupuesto es aprobado por la Alta
Gerencia.
 19

Se dispone de los recursos de infraestructura tecnológica y física (si corresponde), que han
sido establecidas en el apartado 7.2.3 Determinar el alcance del sistema de gestión de la
seguridad de la información de este documento.

7.5.2 Competencia
Corporación Universitaria Remington dispone lo siguiente:

➔ Ha determinado las competencias necesarias de las personas que operan y asumen

funciones específicas dentro del SGSI, las cuales han sido definidas en el documento
Roles y Responsabilidades del SGSI.

➔ Se ha asegurado el cumplimiento de estas competencias mediante la capacitación y

concientización del personal, lo que se ha documentado en el Plan de Capacitación y
Concientización en Seguridad.

➔ Este plan puede ser actualizado si se detectan deficiencias en el conocimiento del

personal, de manera que se programan capacitaciones adicionales. Para identificarlas
se cuenta con métricas que evalúan el know how adquirido.

7.5.3 Concientización
Las charlas de concientización son realizadas, según lo especificado en el Plan de
Capacitación y Concientización de Seguridad:

➔ Difusión de la Política de Seguridad de Información mediante envío de dicho documento

por (poner medio de comunicación) a todo el personal de la empresa.

◆ Cabe resaltar que la política forma parte de los temas tratados en las charlas
de sensibilización y concientización.

➔ Importancia de las acciones del personal para la efectividad del SGSI.

➔ Beneficios de las mejoras en el desempeño del SGSI.

➔ Las implicancias de la empresa acerca de una no conformidad sobre el SGSI.

Cada charla de capacitación y concientización programada cuenta con la Lista de Asistencia

de Capacitación.

7.5.4 Comunicación
Las comunicaciones internas y externas del SGSI son planificadas y controladas mediante el
Plan de Comunicaciones, documento que es actualizado conforme se avanza con la
operación del sistema, éste define:
 20

➔ Comunicación,

➔ Emisor,

➔ Destinatarios,

➔ Fecha de emisión,

➔ Procesos afectados,

➔ Estado.

7.5.5 Documentación de la Información

General
El SGSI cuenta con:

➔ Los documentos y registros que son requisito de la norma.

➔ Documentos que sin ser requisito de la norma son usados por Corporación Universitaria
Remington para asegurar la efectividad del SGSI (reglamentación interna, políticas
específicas de seguridad de información, documentación de controles de seguridad de
información).

Creación y actualización
Corporación Universitaria Remington dispone para la creación y actualización de sus
documentos del SGSI:

➔ La identificación y descripción del documento: título, fecha de elaboración, autor, código.

➔ Definición de formatos para los documentos y registros, ya sean en medio electrónico o

físico.

➔ La especificación de quiénes elaboran, revisan y aprueban los documentos.

Control de la información documentada

La documentación del SGSI de Corporación Universitaria Remington es controlada y
garantiza su disponibilidad e idoneidad. Adicionalmente se vela por su adecuada protección.

Esto se logra a través de la aplicación de actividades de control:

➔ Distribución restringida, acceso controlado, mecanismos de recuperación y restricciones

de uso.
 21

➔ Condiciones adecuadas de almacenamiento y conservación.

➔ Control de cambios sobre los documentos, retención y disposición.

7.6 Operación

7.6.1 Planificación y control operacional

En el punto 7.4.1 Acciones para tratar los riesgos y oportunidades de este documento se
especifican los procedimientos y actividades que se llevan a cabo para planificar, implementar
y controlar el proceso de Gestión de Riesgos.

Para todos los casos indicados anteriormente se cuenta con procedimientos documentados
que a su vez generan registros que son evidencia de las actividades realizadas.

7.6.2 Evaluación de los riesgos de seguridad de la información

La frecuencia y condiciones para la realización de las Gestiones de Riesgo son especificadas
en la Metodología Gestión de Riesgos del SGSI.

Los resultados de la Evaluación de Riesgos se encuentran documentados y dejan registros

que evidencian su realización.

7.6.3 Tratamiento de los riesgos de seguridad de la información

La empresa propone e implementa el Plan de Tratamiento de Riesgos, según lo dispone la
Metodología de Gestión de Riesgos del SGSI.

Las actividades del Tratamiento de Riesgos dejan registros que evidencian su realización.

7.7 Evaluación del desempeño

7.7.1 Monitoreo, medición, análisis y evaluación

Corporación Universitaria Remington mide y evalúa la efectividad del SGSI, para lo cual
determina:

➔ Aquello que requiere ser monitoreado y medido: procesos y controles de la seguridad de

información.

➔ Los métodos aplicados para monitorear, medir, analizar y evaluarlos, para obtener
resultados válidos.

➔ Cuándo se llevarán a cabo el monitoreo y las mediciones.

 22

➔ Quién es el responsable de las mediciones.

➔ Cuándo se analizarán y evaluarán los resultados del monitoreo y de las mediciones.

➔ Quién es el responsable del análisis y evaluación de los resultados.

Las actividades descritas anteriormente se ejecutan según lo dispone la Metodología de

Indicadores de Seguridad.

7.7.2 Auditorías internas

Corporación Universitaria Remington lleva a cabo a intervalos planificados auditorías internas
para determinar que el SGSI:

➔ Cumpla con los requerimientos de su SGSI y con los lineamientos del estándar ISO/IEC
27001:2013. Contempla, adicionalmente, otras regulaciones y/o normativas que la
empresa esté sujeta.

➔ Se encuentra implementado y se mantiene de manera efectiva.

Ambos puntos son realizados según se dispone en el Plan de Auditoría Interna De igual
forma, la empresa establece que:

➔ Planifica, establece, implementa y mantiene un programa o programas de auditoría

(frecuencia, métodos, responsabilidades, requisitos de planificación y reporte) tomando
en cuenta la importancia de los procesos involucrados y los resultados de auditorías
previas.

➔ Define los criterios y alcance de la auditoría en el Plan de Auditoría Interna.

➔ Selecciona auditores objetivos e imparciales.

➔ Comunica los resultados de las auditorías a los jefes involucrados y Alta Gerencia
dejando registro de ello en el Plan de Comunicaciones.

➔ Se mantienen registros que evidencian la planificación y ejecución de la Auditoría en el:

◆ Programa Anual de Auditoría Interna.

◆ Plan de Auditoría Interna.
◆ Cronograma de Auditoría Interna.
◆ Acta de Reunión de Comité.
◆ Auditoría Interna.
◆ Informe de Auditoría Interna.
 23

7.7.3 Revisión por parte de la Dirección

La Alta Gerencia y los miembros del Directorio que conforman a Corporación Universitaria
Remington, realizan una revisión anual del SGSI para garantizar su disponibilidad,
adecuación y efectividad. Esta revisión comprende:

➔ El estado de las acciones generadas por revisiones de la Dirección previas.

➔ Cambios significativos internos y externos, relevantes para el SGSI.

➔ El desempeño de la Seguridad de Información en la empresa:

◆ No conformidades y acciones correctivas.
◆ Resultados de métricas e indicadores.
◆ Resultados de auditoría.

➔ Grado de cumplimiento de los objetivos del SGSI.

➔ Retroalimentación de las partes interesadas.

➔ Los resultados de la Gestión de Riesgos del SGSI y el estado del Plan de Tratamiento
de Riesgos.

➔ Oportunidades de Mejora Continua.

Todos estos elementos son preparados y presentados a la Dirección mediante Informes, y

los resultados de la revisión conlleva a la emisión de acciones correctivas y de mejora.

Producto de la revisión, se cuenta con evidencias documentadas de su realización en el Acta

de Revisión por la Dirección, donde se indican los resultados y acciones definidas durante la
misma.

7.8 Mejora

7.8.1 No conformidad y acción correctiva

Al presentarse una no conformidad, la empresa dispone:

➔ Reaccionar frente a la misma, disponiendo la acción para controlarla, corregirla y atender

las consecuencias de ésta.
 24

➔ Considerar si es necesario y posible eliminar la causa de la no conformidad, mediante:

su revisión, determinación de las causas de la no conformidad y verificación de no
conformidades similares.

➔ Implementar las acciones planeadas.

➔ Revisar la efectividad de las acciones realizadas.

➔ Realizar cambios sobre el SGSI, si es requerido.

El manejo de estas condiciones para las acciones correctivas se encuentra especificado en

el procedimiento de Acciones Correctivas del SGSI. Estas acciones son acordes y
proporcionales a las no conformidades que las originaron.

Asimismo, se mantiene registro de las correcciones realizadas.

7.8.2 Mejora continua

Para realizar acciones de mejora continua sobre la idoneidad, adecuación y efectividad del
SGSI, Corporación Universitaria Remington establece los lineamientos de Mejora Continua
del SGSI mencionados anteriormente.
 25

8. Versionado
Elaborado por: Jesús Ernesto Sevilla Ortiz
Andres Molina Oviedo

Rodrigo Rodriguez Herazo

Código de documento: 00.01.00

Versión: v1

Fecha última de actualización: 05/05/2023

Revisado por: Leli Diaz Izquierdo

Aprobado por: Leli Diaz Izquierdo