lovato city gas s.arepository.udistrital.edu.co/bitstream/11349/13419... · a7 seguridad de los...

ANEXO A. VALORACIÓN INICIAL

Versión 1.0 Fecha: Marzo 2018 Página: 1 de 25

PROPUESTA DE IMPLEMENTACIÓN DE UN SISTEMA DE

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN LA

NORMA ISO 27001:2013 PARA LA EMPRESA LOVATO CITY GAS

S.A.S

Elaborado Por: Revisado Por: Aprobado Por:

Geraldine Alejandra Ortiz Cárdenas

Liz Mayoly Esguerra Cruz Ing. Norberto Novoa Ing. Oswaldo García Martínez

Cargo: Pasantes a cargo del SGSI Cargo: Director y Asesor del trabajo de grado Cargo: Director de proyecto Lovato City Gas S.A.S

LOVATO CITY GAS S.A.S



Tabla de Contenido

0. INTRODUCCIÓN 4

1. EVALUACIÓN INICIAL 5

A5 Política de seguridad 6

A6 Organización de la Seguridad de la Información 6

A7 Seguridad de los RRHH 7

A8 Gestión de activos 8

A9 Control de accesos 8

A10 Criptografía 9

A11 Seguridad física y ambiental 9

A12 Seguridad en las operaciones 10

A13 Seguridad en las comunicaciones 11

A14 Adquisición de sistemas, desarrollo y mantenimiento 12

A15 Relación con proveedores 13

A16 Gestión de los incidentes de seguridad 13

A17 Continuidad del negocio 14

A18 Cumplimiento con requerimientos legales y contractuales 14

2. RESULTADOS 15

A5 Política de seguridad. 16

A6 Organización de la seguridad de la información. 16

A7 Seguridad de los RRHH. 17

A8 Gestión de activos. 18

A9 Control de accesos. 18

A10 Criptografía. 19

A11 Seguridad física y ambiental. 19

A12 Seguridad en las operaciones. 20

A13 Seguridad en las Comunicaciones. 21

A14 Adquisición de sistemas, desarrollo y mantenimiento. 22



A15 Relación con proveedores. 22

A16 Gestión de los incidentes de seguridad. 23

A17 Continuidad del negocio. 23

A18 Cumplimiento con requerimientos legales y contractuales. 24



LISTA DE TABLAS Tabla 1. Parámetros de evaluación.................................................................................... 7 Tabla 2. Entrevista A5 ....................................................................................................... 8 Tabla 3. Entrevista A6 ....................................................................................................... 9 Tabla 4. Entrevista A7 ....................................................................................................... 9 Tabla 5. Entrevista A8 ..................................................................................................... 10 Tabla 6.Entrevista A9 ...................................................................................................... 11 Tabla 7. Entrevista A10.................................................................................................... 11 Tabla 8. Entrevista A11.................................................................................................... 12 Tabla 9. Entrevista A12.................................................................................................... 13 Tabla 10. Entrevista A13 .................................................................................................. 13 Tabla 11. Entrevista A14 .................................................................................................. 14 Tabla 12. Entrevista A15 .................................................................................................. 14 Tabla 13. Entrevista A16 .................................................................................................. 15 Tabla 14. Entrevista A17 .................................................................................................. 15 Tabla 15. Entrevista A18 .................................................................................................. 16



LISTA DE FIGURAS Figura 1. Resumen resultados ......................................................................................... 16 Figura 2.Resultado General ............................................................................................. 17 Figura 3. A5 Política de seguridad ................................................................................... 18 Figura 4. A6 Organización de la seguridad de la información .......................................... 18 Figura 5. A7 Seguridad de los RRHH .............................................................................. 19 Figura 6. A8 Gestión de Activos ....................................................................................... 19 Figura 7. A9 Control de Acceso ....................................................................................... 20 Figura 8. A10 Criptografía ................................................................................................ 21 Figura 9. A11 Seguridad física y Ambiental ..................................................................... 21 Figura 10. A12 Seguridad en las Operaciones ................................................................. 22 Figura 11. A13 Seguridad en las Comunicaciones ........................................................... 22 Figura 12. A14 Adquisición de sistemas, desarrollo y mantenimiento .............................. 23 Figura 13. A15 Relación con proveedores ....................................................................... 24 Figura 14. A16 Gestión de los incidentes de Seguridad ................................................... 24 Figura 15. A17 Continuidad del Negocio .......................................................................... 25 Figura 16. A18 Cumplimiento con requerimientos legales y contractuales ....................... 26



0. INTRODUCCIÓN

En la actualidad, la cantidad y complejidad de información en las empresas es

considerable, los retos y amenazas a que se enfrentan día a día son

inimaginables, un mal manejo puede causar pérdidas económicas significativas,

lo que hace indispensable proteger y reforzar su activo más valioso “la

Información”, por la cual se requiere crear una disciplina de seguridad que

establezca los riesgos y las debilidades del negocio y es evidente que estas han

sentido la necesidad de demostrar que poseen un SGSI con el fin de asegurar y

controlar sus procesos.

El presente trabajo fue desarrollado en LOVATO CITY GAS S.A.S, de la ciudad

de Bogotá, se le realizo un proceso de diagnóstico, a partir del cual se determinó

que la empresa no posee los mecanismos, ni los procesos idóneos para proteger

su información, teniendo en cuenta esta situación se decidió además de diseñar

e implementar un sistema de información, realizar el levantamiento y análisis

inicial de información con el fin de evaluar el cumplimiento de cada uno de los

dominios descritos por la norma ISO 27001:2013.



1. EVALUACIÓN INICIAL

En la implementación del proceso, la alta gerencia comprendió la importancia del

proyecto y la necesidad del apoyo del recurso humano, lo que fue vital para el

inicio del levantamiento de la información para lograr la implementación del SGSI

basado en ISO 27001:2013.

Se realiza un análisis que permite evaluar el entorno de la empresa, liderazgo,

planificación, soporte, operación, evaluación de desempeño y mejoras, que se

convierten en elementos esenciales para actuar según la norma.

La evaluación permite establecer el nivel de cumplimiento de la norma en Lovato

city gas S.A.S. Por lo tanto, las respuestas de la Entrevista se medirán a través

de un rango de cumplimiento establecido entre 1-39 para bajo, 40-69 para Medio

y 70-100 Alto. De acuerdo a la información que se presenta en la siguiente tabla:

Estado de Evaluación

Rango Descripción

BAJO 0-39

No existe y/o se requieren mejoras

sustanciales para establecer o fortalecer la

norma ISO/IEC 27001 versión 2013

MEDIO 40 a 69

Se requiere de atención con el fin de

fortalecer la norma ISO/IEC 27001 versión

2013.

ALTO 70 a 100

Existe y/o es acorde a la norma ISO/IEC

27001 versión 2013, Es importante

fortalecer su autoevaluación y mejora

continua.

Tabla 1. Parámetros de evaluación

Fuente: Autores

A continuación, se presenta la entrevista aplicada en Lovato City Gas S.A.S. a

Alexander Serrano Cubillos, Gerente de la compañía en apoyo con el

representante del área de tecnología de la empresa Ingeniero Oswaldo García

Martínez



En la entrevista se evalúan 100 ítems que hacen referencia a los dominios de:

Política de seguridad, Organización de la Seguridad de la Información, Seguridad

de los RRHH, Gestión de activos, Control de accesos, Criptografía, Seguridad

física y ambiental, Seguridad en las operaciones, Seguridad en las

comunicaciones, Adquisición de sistemas, desarrollo y mantenimiento, Relación

con proveedores, Gestión de los incidentes de seguridad, Continuidad del negocio

y Cumplimiento con requerimientos legales y contractuales.

A5. Evaluación de Política de seguridad

COMPONENTE DE SEGURIDAD RANGO

¿Existe una Política de Seguridad en la compañía? 18

En la compañía hay documento(s) de políticas de seguridad del sistema de Información

10

¿La compañía tiene debidamente identificadas y restringidas las

áreas sensibles, por ejemplo, la de redes de datos? 15

¿Posee un profesional experto o un asesor calificado en las políticas,

normas y procedimientos? 42

¿El personal de la compañía ha recibido un entrenamiento o

capacitación de seguridad? 50

¿Hay en la compañía planes, procedimientos y entrenamiento para el manejo de una crisis?

20

Tabla 2. Entrevista A5 Fuente: Autores

A6. Evaluación de Organización de la Seguridad de la Información


¿Se le han asignado roles y responsabilidades al personal de

acuerdo a sus funciones con el resguardo de la información? 47

¿Existen políticas de seguridad y se han dado a conocer a todo el personal?

52

¿Se realizan evaluaciones periódicamente acerca de la seguridad 95




de la información de cualquier proyecto implementado o a

desarrollar?

Se ha implementado la seguridad de telefonía móvil, restricciones al

ingreso a internet, (encriptación, ¿control y bloqueo de la

información)?

20

¿Existen programas de formación en seguridad para los empleados, clientes y terceros?

18

¿Existe un acuerdo de confidencialidad de la información? 90 Tabla 3. Entrevista A6

Fuente: Autores

A7. Evaluación de Seguridad de los RRHH


¿Se exponen a los usuarios con claridad los cuidados que tiene con la empresa, en cuanto a la información que van a manejar?

65

Se ha capacitado el personal sobre seguridad de la información sobre las amenazas, riesgos y vulnerabilidades, ¿así como socializar el manual de funciones?

60

¿Se ha dado a conocer los reglamentos de ética profesional? 95

¿La empresa ofrece planes de formación continúa promoviendo el desarrollo de una carrera profesional de sus empleados?

70

Existe, documentación, actas tanto para la entrega y/o recibo de los bienes de la empresa?

19

¿Se realizan inducciones al puesto de trabajo a cada empleado? 64

Se informa a los usuarios internos de la legislación sobre los delitos informáticos y sus las penalidades en caso de fraude, ¿robo o fuga de información, daño o sabotaje informático?

21

Se informa a los usuarios de que no deben, bajo ninguna circunstancia, ¿probar las vulnerabilidades?

17

¿Se realiza un proceso disciplinario en caso de violación de

la seguridad de la información? 10




A8. Evaluación de Gestión de activos


Hay una persona encargada del Área de Sistemas, que ejecute el

levantamiento total de inventarios de los activos que cuenta la

empresa, clasificado por niveles, manteniendo un inventario de

activos definidos, relación de los riesgos con tipo de activos,

¿mantener registros de personas con sus capacitaciones y realizar

las hojas de vida de cada elemento de cómputo?

68

Se realiza la individualización de los activos físicos y se dejan

soportes de los mismos?

75

Se dispone de una clasificación de la información según la

criticidad de la misma?

19

¿Existe una persona responsable de los activos? 64

¿Esta implementada una política y gestión para el manejo de Activos Fijos?

18

¿Están implementadas las políticas de usuario? 20


A9. Evaluación de Control de accesos


¿Se ha desarrollado o implementado políticas de control de acceso de la Seguridad informática?

62

¿Están definidas las políticas relacionadas con el uso y manejo de

datos? 54

¿Existen procesos de autorización uso de redes y servicios? 24

¿Existe una persona encargada de la dirección de los

usuarios? 49

¿Existen procedimientos de registro, autorización, verificación

y cancelación de usuarios para sistemas y servicios? 16

¿Se hace uso de password en los equipos y dispositivos de la empresa?

81



¿Se controla y protege el acceso a los equipos? 15

¿Existen políticas de mantenimiento y aseo en el escritorio de los

equipos? 47

¿Hay establecidos permisos de acceso a las aplicaciones

informáticas existentes en la empresa? 34

¿Se ha implementado y soportado todo proceso para el retiro o

cambio de ocupación del personal de la empresa? 13

¿Se han implementado políticas de control de acceso a

servicios informáticos? 40

¿Se han implantado políticas para no compartir contraseñas? 17

¿Se han implementado privilegios a los usuarios para que no se asignen más de dos perfiles o permisos de los diferentes sistemas o programas y nunca dejarlo como administrador del equipo?

45

¿Existe un control del routing de las redes? 10

¿Existen procesos para el control de acceso a códigos fuentes de

programas? 25

¿Se han implementado procedimientos de log-on al terminal? 19

¿Se han incorporado políticas de seguridad a la computación

móvil? 21

Tabla 6.Entrevista A9

Fuente: Autores

A10. Evaluación de Criptografía


¿Se han implementado controles criptoFiguras? 10

¿Se han implementado procedimientos para el uso de llaves

criptográficas?

13

¿Se ha diseñado una política para la protección y tiempo de vida

de las llaves criptográficas?

9

Tabla 7. Entrevista A10

Fuente: Autores



A11. Evaluación de Seguridad física y ambiental


Fuente: Autores

A12. Evaluación de Seguridad en las operaciones


Todos los procedimientos operativos identificados en la política

de seguridad han de estar documentados

65

Existe algún método para reducir el mal uso accidental o

deliberado de los Sistemas

74

Existe una separación de los entornos de desarrollo y

producción

76

Existen contratistas externos para la gestión de los Sistemas de

Información

23


Se tienen definidos perímetros, recepción, puertas, alarmas y

separación física

78

Se desarrolla un control al acceso a las instalaciones e

información vital de los sistemas de Información de la

organización

95

Un área segura ha de estar cerrada, aislada y protegida de

eventos naturales

45

En las áreas seguras existen controles adicionales al personal

propio y ajeno

52

La ubicación de los equipos está de tal manera para minimizar

accesos innecesarios

47

Existen protecciones frente a fallos en la alimentación eléctrica 15

Existe seguridad en el cableado frente a daños e intercepciones 18

Se asegura la disponibilidad e integridad de todos los equipos 54

Existe algún tipo de seguridad para los equipos retirados o

ubicados externamente

65

Se incluye la seguridad en equipos móviles 14




Existe un Plan de Capacidad para asegurar la adecuada

capacidad de proceso y de almacenamiento

76

Controles contra software maligno 68

Realizar copias de Backups de la información esencial para el

negocio

87

Existen logs para las actividades realizadas por los operadores y

administradores

49

Existen logs de los fallos detectados 25

Existen rastros de auditoría 22

Hay establecidos controles para realizar la gestión de los medios

informáticos (cintas, discos, removibles, informes impresos)

23


Fuente: Autores

A13. Evaluación de Seguridad en las comunicaciones


Existe algún control en las redes 12

Existe seguridad de la documentación de los Sistemas 56

Existen acuerdos para intercambio de información y

software

67

Existen medidas de seguridad en el comercio electrónico 24

Se han establecido e implantado medidas para proteger la

confidencialidad e integridad de información publicada

87

Existen medidas de seguridad en las transacciones en

línea

17


Fuente: Autores



A14. Evaluación de Adquisición de sistemas, desarrollo y mantenimiento


Están establecidas las responsabilidades para controlar los

cambios en equipos

23

Existen criterios de aceptación de nuevos SI, incluyendo

actualizaciones y nuevas versiones

87

Se garantiza que la seguridad está implantada en los Sistemas

de Información

68

Existe seguridad en las aplicaciones 67

Existe seguridad en los ficheros de los sistemas 59

Existe seguridad en los procesos de desarrollo, testing y

soporte 63

Existen controles de seguridad para los resultados de los

sistemas

75

Existe la gestión de los cambios en los SO 21

Se controlan las vulnerabilidades de los equipos 19


A15. Evaluación de Relación con proveedores


Existe una política de seguridad de la información para las

relaciones con proveedores

15

Existe un acuerdo documentado con cada proveedor que tenga

acceso a la infraestructura de TI

17

Se monitorean las actividades relacionadas a la seguridad con

los proveedores

11

Los acuerdos con proveedores incluyen los requisitos para tratar

los riesgos de la seguridad de la información

14




A16. Evaluación de Gestión de los incidentes de seguridad


Están establecidas responsabilidades para asegurar una respuesta

rápida, ordenada y efectiva frente a incidentes de seguridad

18

Se comunican los eventos de seguridad 67

Se comunican las debilidades de seguridad 68

Existe definidas las responsabilidades ante un incidente 73

Existe un procedimiento formal de respuesta 75

Existe la gestión de incidentes 19


A17. Evaluación de Continuidad del negocio


Fuente: Autores

A18. Evaluación de Cumplimiento con requerimientos legales y contractuales


Se tiene en cuenta el cumplimiento con la legislación por parte de

los sistemas 84

Existe el resguardo de la propiedad intelectual 93

Existe el resguardo de los registros de la organización 88


Existen procesos para la gestión de la continuidad 12

Existe un plan de continuidad del negocio y análisis de impacto 16

Existe un diseño, redacción e implantación de planes de continuidad 11

Existe un marco de planificación para la continuidad del

negocio

16

Existen prueba, mantenimiento y reevaluación de los planes de

continuidad del negocio

14




Existe una revisión de la política de seguridad y de la conformidad

técnica 14

Existen consideraciones sobre las auditorías de los sistemas 17


2. RESULTADOS

Tras el análisis se obtienen los siguientes resultados:

Figura 1. Resumen resultados

Fuente: Autores



Figura 2.Resultado General

Fuente: Autores

A nivel general, se destaca que se requiere una intervención inmediata a nivel de

los dominios relacionados con políticas de seguridad, continuidad del negocio,

criptografía y relación con los proveedores, puesto que son los que tienen mayor

índice de incumplimiento con la norma y afectan la seguridad de la información

que se requiere.

A continuación, se describen los hallazgos por cada dominio evaluado:

A5. Política de seguridad.

Es indispensable que la alta gerencia determine el control en la orientación y

soporte en la seguridad de la información de acuerdo con los requerimientos de

la empresa y con los reglamentos necesarios. En LOVATO CITY GAS S.A.S, por

el análisis realizado en este item a los resultados de la entrevista es claro que hay

falencias por la carencia documental de políticas, procedimientos y controles para

garantizar la seguridad de la información.



Figura 3. A5 Política de seguridad

Fuente: Autores

A6. Organización de la seguridad de la información.

De acuerdo a los resultados obtenidos de la entrevista realizada, se evidencia que

es necesario trabajar en definir un marco de referencia de gestión para iniciar y

controlar la implementación y operación de la seguridad de la información dentro

de la organización. En LOVATO CITY GAS S.A.S se ha trabajado en la asignación

de acuerdos de confidencialidad, la alta gerencia, quiere cambiar y mejorar los

temas de seguridad, sin embargo, falta una definición clara de roles y

responsabilidades con respecto a la seguridad.

Figura 4. A6 Organización de la seguridad de la información

Fuente: Autores

A7. Seguridad de los RRHH.

Se hace necesario orientar a los empleados y contratistas para que comprendan

sus responsabilidades y saber si son idóneos en los roles para los que se

consideran. Debido a que se realizó una revisión documental y no existe una

asignación de responsabilidades y roles de seguridad, como se mencionó en el



anterior dominio, LOVATO CITY GAS S.A.S tiene deficiencias para proteger los

intereses de la organización, principalmente, en los procesos de cambio o

terminación de empleo y la detección de vulnerabilidades.

Figura 5. A7 Seguridad de los RRHH

Fuente: Autores

A8. Gestión de activos.

Es importante clasificar los activos organizacionales y asignar las

responsabilidades de protección adecuadas garantizando que la información

recibe un nivel apropiado de seguridad, de acuerdo con su importancia para la

empresa. LOVATO CITY GAS S.A.S ha realizado un inventario de activos, pero,

no está totalmente actualizado y hacen falta procedimientos documentados y

comunicados al personal para la clasificación de la información según su

criticidad.

Figura 6. A8 Gestión de Activos

Fuente: Autores



A9. Control de accesos.

En LOVATO CITY GAS S.A.S, se hace uso de contraseñas como medida para

restringir el acceso a sus sistemas y se tiene conocimiento de la necesidad de

desarrollar políticas de control de accesos a sistemas, servicios e información y a

las instalaciones de procesamiento de información que garanticen el acceso de

los usuarios autorizados y gestión de contraseñas, razón por la que se han

tomado medidas basadas en las experiencias vividas, pero, no existe

documentación formal y/o estandarizada.

Figura 7. A9 Control de Acceso

Fuente: Autores

A10. Criptografía.

Con la criptografía se busca asegurar el uso apropiado y eficaz de esta para

proteger la confidencialidad, autenticidad y/o la integridad de la información. Con

el resultado de la entrevista se infiere que en LOVATO CITY GAS S.A.S no

existen procedimientos sobre el uso, protección y tiempo de vida de las llaves

criptográficas. Al igual, que no existen controles criptoFiguras de forma que la

información crítica puede verse expuesta fácilmente a amenazas de seguridad.



Figura 8. A10 Criptografía

Fuente: Autores

A11. Seguridad física y ambiental.

En LOVATO CITY GAS S.A.S se han restablecido procedimientos básicos para

prevenir el acceso físico al personal no autorizado, el daño y la interferencia a la

información. No obstante, se recomienda tomar acciones específicas,

documentadas y comunicadas para prevenir la pérdida, daño, robo o compromiso

de activos y la interrupción de las operaciones de la organización.

Figura 9. A11 Seguridad física y Ambiental

Fuente: Autores

A12. Seguridad en las operaciones.

La seguridad en las operaciones tiene como objetivo conseguir operaciones

correctas y seguras de las instalaciones de procesamiento de información.

Contiene controles contra códigos maliciosos, respaldo de la información,

separación de los ambientes de desarrollo, pruebas y operación, registro de



eventos. LOVATO CITY GAS S.A.S, tiene un alto índice de cumplimiento parcial

en este dominio. Se detectan problemas principalmente en:

● Implementación de logs para la detección y seguimiento a fallos.

● Ausencia de auditorías internas y/o externas.

● Falta de controles para la gestión de medios informáticos (cintas, discos,

removibles, informes impresos)

Figura 10. A12 Seguridad en las Operaciones

Fuente: Autores

A13 Seguridad en las Comunicaciones.

La necesidad por garantizar la protección de la información en las redes y la

transferencia de información en LOVATO CITY GAS S.A.S se ha orientado en la

implementación de regulaciones para proteger la confidencialidad e integridad de

información publicada y compromisos para intercambio de información y software

con los clientes. Se detectan problemas en cuanto al control de las redes y

transacciones en línea, lo cual facilita la ejecución de ataques que benefician las

vulnerabilidades existentes.

Figura 11. A13 Seguridad en las Comunicaciones

Fuente: Autores



A14 Adquisición de sistemas, desarrollo y mantenimiento.

El personal de LOVATO CITY GAS S.A.S ha implementado tareas

correspondientes a los procesos de adquisición de sistemas, desarrollo y

mantenimiento basados en la experiencia adquirida con el trabajo diario. No hay

procedimientos estandarizados. Con los procedimientos establecidos se quiere

garantizar la seguridad de la información durante todo el ciclo de vida de los

sistemas de información, es necesario establecer y cumplir reglas para el

desarrollo de software y de sistemas, con la documentación, supervisión y

seguimiento a las aplicaciones críticas del negocio.

Figura 12. A14 Adquisición de sistemas, desarrollo y mantenimiento

Fuente: Autores

A15 Relación con proveedores.

En LOVATO CITY GAS S.A.S la relación con los proveedores se ha basado en

una confidencialidad asumida pero no se ha establecido un acuerdo formal en el

que se contraten todos los requisitos de seguridad de la información pertinentes

con cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o

suministrar componentes de infraestructura de TI para la información de la

organización. Es imprescindible garantizar la protección de los activos de la

organización que sean accesibles a los proveedores y mantener el nivel acordado

de seguridad de la información y de prestación del servicio organizado con los

acuerdos que corresponden a los proveedores.



Figura 13. A15 Relación con proveedores

Fuente: Autores

A16 Gestión de los incidentes de seguridad.

Se basa en asegurar una orientación afín y eficaz para el control de incidentes de

seguridad de la información, incluida la comunicación sobre eventos de seguridad

y debilidades. En LOVATO CITY GAS S.A.S se tienen en cuenta las debilidades

y eventos de seguridad en el grupo de trabajo, pero no se tienen definidas las

responsabilidades y los procedimientos que proporcionen la evaluación de tales

eventos y la toma de las mejores decisiones. No se evidencia una gestión de

incidentes apropiada que contenga la recolección de pruebas y permite disminuir

el impacto de incidentes a través de la experiencia y el conocimiento adquirido.

Figura 14. A16 Gestión de los incidentes de Seguridad

Fuente: Autores

A17. Continuidad del negocio

LOVATO CITY GAS S.A.S debe establecer, documentar, implementar y mantener

procesos, procedimientos y controles para garantizar el nivel de continuidad



necesario para la seguridad de la información durante una situación desfavorable

y la carencia de los elementos esenciales para ello se debe planificar,

implementar, verificar, revisar y evaluar la continuidad de la seguridad de la

información.

Figura 15. A17 Continuidad del Negocio

Fuente: Autores

A18. Cumplimiento con requerimientos legales y contractuales.

Para evitar el incumplimiento de las obligaciones legales, estatutarias,

reglamentarias o contractuales relacionadas con la seguridad de la información en

LOVATO CITY GAS S.A.S se ha determinado tomar medidas parciales iniciando

por la custodia de la propiedad intelectual y de los registros de la organización: los

documentos físicos se encuentran bajo llave en zonas seguras y solo pueden ser

accedidos por personal autorizado. Sin embargo, la ausencia de políticas de

seguridad, controles criptoFiguras y conformidades técnicas crean un estado de

incertidumbre con respecto al cumplimiento de políticas y normas de seguridad

incluyendo la privacidad y protección de los datos. Si se encuentra algún

incumplimiento, se sugiere que la persona encargada deberá realizar los siguientes

procedimientos, establecer las causas que han llevado al incumplimiento, evaluar

las medidas que se tienen que tomar para asegurar que no vuelva a suceder el

incumplimiento, determinar e implementar las acciones correctivas necesarias y

revisar las acciones correctivas utilizadas, para saber si están funcionando.



Figura 16. A18 Cumplimiento con requerimientos legales y contractuales

Fuente: Autores

lovato city gas s.arepository.udistrital.edu.co/bitstream/11349/13419... · a7 seguridad de los...

Documents