PROCEDIMIENTOS Y CONTROLES - POLITICAS Y CONTROLES DE SEGURIDAD

4. POLITICAS Y CONTROLES DE SEGURIDAD

4.1. PROCEDIMIENTOS Y CONTROLES

De acuerdo al análisis de riesgo para la implementación del SGSI (Sistema de Gestión de Seguridad de la Información) en el caso estudio se procedió a definir una serie de controles asociados a cada objetivo de control teniendo en cuenta la norma ISO 27002:2005, en donde se identifican cuáles de ellos aplican a las amenazas identificadas por cada activo. Adicionalmente de acuerdo al desarrollo del caso estudio se plantean una serie de controles por parte de los autores con el fin de que sean tenidas en cuenta en cualquier momento de ser necesario.

Para ver el Tratamiento de Riesgos realizado remitirse:

Anexo B. Cuadro de Riesgos.xls: Pestaña Riesgos (En medio magnético).

4.2. POLITICAS DE SEGURIDAD

Las políticas de seguridad son un conjunto de leyes, reglas y prácticas que

regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma. Por esta razón, es importante definirlas y comunicarlas al personal de la entidad para que se cumplan y así se pueda garantizar la integridad, disponibilidad, confiabilidad y seguridad de la información.

Para ver las políticas de seguridad remitirse: Ver Anexo C. Políticas de Seguridad.

CAPITULO V

CONCLUSIONES,

RECOMENDACIONES Y

REFERENCIAS

5. CONCLUSIONES

Teniendo en cuenta el trabajo realizado con apoyo de la norma ISO/IEC 27005:2008 se evidencia la importancia de realizar un análisis de la situación actual de la compañía MetLife seguros de vida Colombia con respecto a su estado en la gestión del riesgo en la seguridad de la información, ya que nos permitió ver su actualidad y adicional como estaba con respecto a la normatividad vigente, fue de vital importancia realizar este análisis previo y así conocer las debilidades y fortalezas de la compañía.

Fue importante realizar una identificación de los activos que posee la compañía para el tratamiento de la información, esto con fin de clasificarlos, codificarlos, y darles un criterio dependiendo de su importancia y criticidad para la empresa, con base a esto se empezaron a establecer las vulnerabilidades e identificar las posibles amenazas a las que se encontraba expuesta la compañía.

A partir de los hallazgos identificados fue necesario realizar una valoración cualitativa y cuantitativa de los riesgos a los que se encontraba expuesta la compañía, ya que con estos se logró definir políticas de seguridad que permitieran reducir las vulnerabilidades y las amenazas identificadas previamente, y así lograr que la aseguradora MetLife seguro de vida Colombia pueda tener un mejor tratamiento de la información.

En conclusión es importante resaltar la importancia de definir un SGSI (sistema de gestión de la seguridad de la información), ya que este es de gran ayuda para las organizaciones, permite que sus clientes, usuarios, empleados etc., estén seguros de que su información está protegida, ayuda a las empresas a brindar garantías en el manejo de la información con el objetivo de garantizar la integridad, la confidencialidad y autenticidad de la misma, adicional permite a las organizaciones gozar de buena reputación y destacarse ante la competencia por su compromiso con la reducción de los riesgos y el interés en mantener seguro un activo tan importante como lo es la información.

6. RECOMENDACIONES

 Es importante que las organizaciones cuenten con un equipo especializado en seguridad de la información que constantemente revise y realice estudios pertinentes para el análisis de riesgo y el funcionamiento del core del negocio, esto con el objetivo de obtener un alto nivel de seguridad.  Es importante que las organizaciones busquen de manera continua,

garantizar la seguridad de la información a través de la optimización de sus procesos y la retroalimentación oportuna de las oportunidades de mejora.  Las organizaciones periódicamente deben identificar sus activos de

información con el fin de realizar evaluaciones precisas del riesgo y sus posibles planes de acción.

 Buscar siempre la preservación de la reputación y el buen nombre de la organización con respecto a su competencia.

 Brindar a los clientes y usuarios de la compañía la confianza necesaria, mostrando el compromiso de la organización con la protección de sus datos.

 Capacitar constantemente al personal de la empresa en temas de seguridad de la información, ayudara en gran sobremanera a proteger este activo vital en los procesos de las organizaciones.

7. REFERENCIAS

 AREITIO. Javier. Seguridad de la información. Redes, informática y sistemas de información. Madrid: Paraninfo. 2008. 566p

 BERNAL, Jorge Jimeno. Ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo de Deming de mejora continua. {En línea}. {08 de mayo de 2017} disponible en: http://www.pdcahome.com/5202/ciclo-pdca/

 CARPENTIER, Jean-Francois. La seguridad informática en la PYME: Situación actual y mejores prácticas. Barcelona: Ediciones ENI. 2016. 436p.  El portal de ISO 27001 en Español. {En línea}. {11 de mayo de 2017}

disponible en: http://www.iso27000.es/iso27000.html

 ESPINOSA, Diego, MARTINEZ, Juan y AMADOR, Siler. Gestión Del Riesgo En La Seguridad De La Información Con Base En La Norma ISO/IEC 27005 De 2011, Proponiendo Una Adaptación De La Metodología Octave-S. Caso De Estudio: Proceso De Inscripciones Y Admisiones En La División De Admisión Registro Y Control Académico (Darca) De La Universidad Del Cauca. {En línea}. {08 de mayo de 2017} disponible en: http://web.usbmed.edu.co/usbmed/fing/v5n2/pdf/Articulo_Gestion_Riesgo_S eguridad_Informacion

 GARCIA, Alfonso, HURTADO, Cervigón, ALEGRE RAMOS, María del Pilar. Seguridad Informática. Edición 11. Madrid: Paraninfo, 2011. 163p.

 IBERIA, Willis. Gerencia de riesgos: Cómo proteger los objetivos de tu empresa. {En línea}. {11 de mayo de 2017} disponible en: http://willisupdate.com/gerencia-riesgos-proteger-los-objetivos-empresa- infografia-parte-2/

 ISO/IEC 27005:2011(en). Information Technology — Security techniques — Information security risk management. {En línea}. {11 de mayo de 2017} disponible en: https://www.iso.org/obp/ui/#iso:std:iso-iec:27005:ed-2:v1:en  MENDOZA, Miguel Ángel De la identificación y análisis a la gestión de

riesgos de seguridad. {En línea}. {11 de mayo de 2017} disponible en: http://www.welivesecurity.com/la-es/2015/07/16/analisis-gestion-de-riesgos- seguridad/

 MetLife Seguros de Vida, Autorización y Política para el Tratamiento de sus

datos personales, Disponible en:

http://www.metlife.com.co/es/Individual/Servicio-al- Cliente/politicas_informacion.html

 MetLife Seguros de Vida, Misión y Visión, Disponible en: http://www.metlife.com.co/es/Individual/Quienes-Somos/Local/Mision-y- Vision.html

 MetLife Seguros de Vida, Quienes Somos, Disponible en: http://www.metlife.com.co/es/Individual/Quienes-Somos/index.html

 Ministerio de Tecnologías de la Información y las Comunicaciones. - Guía De Gestión De Riesgos. Seguridad Y Privacidad De La Información. {En

línea}. {08 de mayo de 2017} disponible en:

http://www.mintic.gov.co/gestionti/615/articles- 5482_G7_Gestion_Riesgos.pdf

 MURILLO POLANIA, Sujel. ISO/IEC 27005 Gestión de riesgos de seguridad de la Información. . {En línea}. {13 de junio de 2017} disponible en: http://segweb.blogspot.com.co/2012/04/27005.html

 NTC-ISO 27005. {13 de junio de 2017} disponible en: https://es.scribd.com/doc/124454177/ISO-27005-espanol

 PAGNOTTA, Sabrina. Infografía sobre cómo implementar un buen SGSI. {En línea}. {13 de junio de 2017} disponible en: http://www.welivesecurity.com/la-es/2015/09/23/infografia-como-

implementar-buen-sgsi/

 SANTOS, Antonio, SÁNCHEZ, Luis Enrique y FERNÁNDEZ, Eduardo. Desarrollando una metodología de análisis de riesgos para que el sector asegurador pueda tasar los riesgos en las PYMES. {En línea}. {13 de junio

de 2017} disponible en:

https://web.ua.es/va/recsi2014/documentos/papers/desarrollando-una- metodologia-de-analisis-de-riesgos-para-que-el-sector-asegurador-pueda- tasar-los-riesgos-en-las-pymes.pdf

 SUAREZ PADILLA, Sandra Yomay. Análisis Y Diseño De Un Sistema De Gestión De Seguridad Informática En La Empresa Aseguradora Suárez Padilla & Cía. Ltda., Que Brinde Una Adecuada Protección En Seguridad Informática De La Infraestructura Tecnológica De La Organización. {En

línea}. {13 de junio de 2017} disponible en: http://repository.unad.edu.co/bitstream/10596/3777/1/20904541.pdf

 VELASQUEZ GAVIRIA, John. ISO/IEC 27005. Gestión de riesgos de la Seguridad de la Información. {En línea}. {13 de junio de 2017} disponible

en: https://prezi.com/5p79m3u5wklw/isoiec-27005-gestion-de-riesgos-de-la-

87 8. ANEXOS

In document Modelo de gestión de riesgos de la seguridad de la información en empresas del sector asegurador utilizando la norma ISO/IEC 27005 (página 80-88)