Manual del Sistema de Gestión de Seguridad de la...

Página 1 de 14

Este documento impreso se considera copia no controlada

MG-05 MANUAL DEL SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN

Vigencia: 21-09-09

Versión: 1 MANUAL DE GESTIÓN INFORMACIÓN INTERNA

Manual del Sistema de

Gestión de Seguridad de la

Información

Página 2 de 14




Vigencia: 21-09-09


Tabla de contenido

MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN .................................... 4

INTRODUCCIÓN ................................................................................................... 4

ALCANCE DEL MANUAL ........................................................................................... 4

1 CONTROL DEL MANUAL ...................................................................................... 4

1.1 DISTRIBUCIÓN DEL MANUAL .......................................................................................................... 4 1.2 REVISIÓN DEL MANUAL .............................................................................................................. 4

2 VISIÓN GENERAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN....................... 5

2.1 ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ................................................................ 5 2.2 DEFINICIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ........................................................................ 5 2.3 COMPROMISO DE LA DIRECCIÓN ...................................................................................................... 5

3 PLANIFICACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ........................ 6

4 ENFOQUE ORGANIZACIONAL PARA LA VALORACIÓN DEL RIESGO ......................................... 6

4.1 METODOLOGÍA SELECCIONADA PARA LA VALORACIÓN DE RIESGOS ....................................................................... 6 4.2 CRITERIOS DE EVALUACIÓN DE RIESGOS ............................................................................................... 7 4.3 OPCIONES DE TRATAMIENTO DE RIESGOS .............................................................................................. 7 4.4 PLAN DE TRATAMIENTO DE RIESGOS .................................................................................................. 8

5 DECLARACIÓN DE APLICABILIDAD ........................................................................... 8

6 REQUISITOS DE DOCUMENTACIÓN .......................................................................... 8

7 DETECCIÓN Y RESPUESTA A LOS INCIDENTES DE SEGURIDAD .............................................. 8

8 SEGUIMIENTO Y REVISIÓN DEL SGSI ......................................................................... 9

8.1 AUDITORÍAS INTERNAS DEL SGSI ..................................................................................................... 9 8.2 INDICADORES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............................................................. 9

8.2.1 Gestión de riesgos de seguridad .......................................................................................... 9 8.2.2 Gestión segura del riesgo humano ........................................................................................ 9 8.2.3 Seguridad de aplicaciones acceso ......................................................................................... 9 8.2.4 Continuidad .............................................................................................................. 10 8.2.5 Seguridad en operaciones ............................................................................................... 10

8.3 REVISIÓN DEL SGSI POR LA DIRECCIÓN .............................................................................................. 10 8.4 RESULTADOS DE LA REVISIÓN ....................................................................................................... 10

9 MEJORA DEL SGSI .......................................................................................... 11

Página 3 de 14




Vigencia: 21-09-09


9.1 ACCIONES CORRECTIVAS Y PREVENTIVAS ............................................................................................ 11 9.1.1 Alcance ................................................................................................................... 11 9.1.2 Definiciones .............................................................................................................. 12 9.1.3 Identificación de las no Conformidades Reales y Potenciales ......................................................... 12 9.1.4 Corrección de las no Conformidades .................................................................................... 12 9.1.5 Prevención de las No Conformidades ................................................................................... 12 9.1.6 Registro de las No Conformidades Reales y Potenciales ............................................................. 13 9.1.7 Resultados de las Acciones Correctivas y Preventivas ................................................................ 13

10 PROGRAMAS DE FORMACIÓN Y DE TOMA DE CONCIENCIA ........................................... 13

1.1. OBJETIVO ...................................................................................................................... 13 1.2. POLÍTICAS ..................................................................................................................... 13

CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS ....................................................... 14

ANEXO 1. EJEMPLO PLAN DE AUDITORÍA INTERNA ........ ¡ERROR! MARCADOR NO DEFINIDO.

ANEXO 2. FORMATO DE PREGUNTAS PARA AUDITORÍA INTERNA ...........¡ERROR! MARCADOR NO

DEFINIDO.

ANEXO 3 FORMATO INFORME AUDITORÍA INTERNA ....... ¡ERROR! MARCADOR NO DEFINIDO.

ANEXO 4. EJEMPLO DE DOCUMENTACIÓN DE ACCIONES PREVENTIVAS Y CORRECTIVAS .......... ¡ERROR!

MARCADOR NO DEFINIDO.

ANEXO 5. FORMATO SEGUIMIENTO RESULTADO ACCIÓN PREVENTIVA Y CORRECTIVA ............ ¡ERROR!

MARCADOR NO DEFINIDO.

Página 4 de 14




Vigencia: 21-09-09


MANUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

INTRODUCCIÓN

Para Leasing Bolívar la seguridad de la información es un reto que se ha construido a través de un cuidadoso

proceso que articula su misión, objetivos y valores corporativos. En el desarrollo de esta estrategia se ha

revisado el enfoque basado en procesos de la organización y se han definido procedimientos documentados del

sistema de gestión de la seguridad de la información.

En las siguientes secciones de este documento, se establecen el alcance del Sistema de Gestión de Seguridad de

la Información para Leasing Bolívar S.A., así como los parámetros que orientan el plan de seguridad de la

información y las acciones a seguir para prevenir la aparición o repetición de no conformidades en la compañía.

Este manual permite visualizar la organización como un sistema que interactúa en forma alineada y articulada

con los objetivos de la organización, buscando agregar valor a los accionistas, funcionarios proveedores, a la

comunidad, su entorno y especialmente a los clientes que han depositado en nosotros la confianza al elegirnos

como compañía de financiamiento.

Alcance del manual

El Manual de Gestión de la Seguridad de Leasing Bolívar está basado en la norma internacional ISO 27001:2005

en esta norma se encuentran plasmadas las especificaciones para la creación de un sistema de gestión de la

seguridad de la información (SGSI). El manual tiene por objeto recoger, analizar y definir los diferentes

lineamientos que rigen al Sistema de Gestión de Seguridad de la Información de Leasing Bolívar.

1 Control del manual

Es responsabilidad el Jefe de Riesgo Operativo lo concerniente a su elaboración, modificación, distribución y

control. Además este documento es propiedad exclusiva de la compañía y está prohibida su distribución o copia

sin previa autorización de los responsables.

1.1 Distribución del manual Se editó una única versión del manual para la intranet de la empresa, para la fácil consulta de todos los

funcionarios de esta.

1.2 Revisión del manual Este documento será revisado como mínimo una vez al año para efectos de actualización, o por cualquier otro

motivo que arroje resultados diferentes a los planeados por el Sistema de Gestión de Seguridad de la

Información de la compañía.

Página 5 de 14




Vigencia: 21-09-09


2 Visión General del sistema de gestión de Seguridad de la información

Debido a la creciente dependencia de Leasing Bolívar S.A. sobre su tecnología y la información que maneja, se

decide adoptar un Sistema de Gestión de Seguridad de la Información.

La adopción de un Sistema de Gestión de Seguridad de la Información (SGSI) es para Leasing Bolívar una decisión

estratégica de negocio, que se ve influenciada por las necesidades, objetivos, requisitos de seguridad y los

procesos de la organización. A continuación se presentan los lineamientos estratégicos por los cuales se rige la

empresa y que ayudan a perfilar en una primera instancia al SGSI:

2.1 Alcance del Sistema de Gestión de Seguridad de la Información

El objeto del sistema de gestión planteado es incrementar la seguridad de la información mediante el

mantenimiento de la integridad, disponibilidad y confidencialidad de la información manejada en el

macroproceso de Colocación de operaciones leasing, y de los sistemas informáticos donde esta es depositada y

manejada.

Es preciso señalar que la empresa efectúa operaciones en Bogotá, Pereira, Cali, Medellín y Bucaramanga. Sin

embargo el alcance del sistema se limita las operaciones realizadas en Bogotá, debido a que allí se desarrolla un

alto porcentaje de las operaciones del negocio y se encuentran los principales centros de información de la

compañía.

2.2 Definición de la política de seguridad de la información

En el Documento “MG-06 Política de Seguridad de la Información” se encuentra definida la Política del Sistema

de gestión de Seguridad de la Información de Leasing Bolívar.

La Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes, con el

objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente

tecnológico de Leasing Bolívar S.A.

La Política aplica en todo el ámbito de Leasing Bolívar S.A., a sus recursos y a la totalidad de los procesos, ya sean

internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

Debe ser conocida y cumplida por toda la planta de personal de Leasing Bolívar.

2.3 Compromiso de la dirección

La Alta Gerencia de Leasing Bolívar está comprometida con la Seguridad de la Información al adoptar

integralmente los principios de esta, enunciados en la Norma ISO 27002.

Durante los procesos de capacitación que se realizan con los colaboradores de la empresa se hace referencia a

dichos principios y la forma de adaptarlos. Esto está registrado en las memorias de dichas capacitaciones.

Página 6 de 14




Vigencia: 21-09-09


Igualmente, este compromiso se encontrará explícito durante el desarrollo de este manual y el planteamiento de

Misión, Visión y Plan Estratégico.

Se ha definido un representante de la alta gerencia, encargado de comunicar la importancia de satisfacer los

requerimientos previstos. Así mismo los jefes de las diferentes áreas son los encargados de trasmitir el

compromiso a sus colaboradores.

Leasing Bolívar S.A. orientará su esfuerzo para minimizar la ocurrencia e impacto de los eventos de riesgo de

seguridad de la información en los procesos críticos de la Compañía

Se dedicarán los recursos necesarios para cumplir con los requerimientos de capital tecnológico, económico y

humano para la seguridad de la información.

Es responsabilidad de la Junta Directiva establecer las políticas y directrices a seguir en el Sistema de Gestión de

Seguridad de la Información, al igual que es responsabilidad del Departamento de Riesgo Operativo realizar el

seguimiento de las medidas adoptadas en Leasing Bolívar S.A. para mitigar el riesgo inherente, con el propósito

de evaluar su efectividad.

La unidad de riesgo Operativo será la responsable de estructurar un programa de capacitaciones a todos los

funcionarios, con el fin de dar a conocer y promover el seguimiento de los lineamientos establecidos para la

implementación y desarrollo del SGSI.

El SGSI se guiará bajo los siguientes lineamientos y pautas referentes al tratamiento de riesgo, los cuales darán

cumplimiento a la Circular 052 de 2007 y 038 de 2009 relativas a la seguridad de la información y a la gestión del

control interno:

Norma ISO/IEC 27002:2005

Se realizarán capacitaciones semestrales a todos los funcionarios de la compañía para establecer el papel que

juega cada uno en el desarrollo eficaz del proyecto y el avance del mismo.

3 Planificación del Sistema de Gestión de Seguridad de la Información

Las etapas definidas para el desarrollo y la implementación del Sistema de Gestión de Seguridad de la Información son:

1. Documentar el sistema

2. Implementar el sistema

3. Evaluar el sistema a través de auditorías internas y externas

4. Mejorar continuamente la eficacia del sistema a través de del análisis de datos.

4 Enfoque Organizacional para la valoración del riesgo

4.1 Metodología seleccionada para la valoración de riesgos Para hacer la valoración de riesgos de seguridad de la información de Leasing Bolívar se eligió metodología

MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Desarrollada

por El Consejo Superior de Administración Electrónica del gobierno español. Se eligió esta metodología porque

brinda una aproximación metódica con herramientas que no dejan lugar a la improvisación. A lo largo del

Página 7 de 14




Vigencia: 21-09-09


desarrollo de la metodología se establece además un paralelo con la metodología de medición de riesgo

operativo de la compañía para así poder comparar los riesgos de seguridad de la información con los demás

riesgos operativos de la compañía.

4.2 Criterios de evaluación de riesgos La identificación de los riesgos se realizará conjuntamente con los funcionarios involucrados en cada

proceso, el control y seguimiento se llevara a cabo de una manera dinámica para así mantener

actualizados los factores de riesgo y poder mitigar su impacto oportunamente.

El reconocimiento y reporte de los factores y eventos de riesgo es responsabilidad de cada área.

Los Jefes de cada departamento serán los responsables de validar, documentar y firmar el registro de

eventos o incidentes de seguridad de la información, para luego ser enviado al Área de Riesgo Operativo.

Los niveles de riesgo aceptables se encuentran plasmados en la siguiente tabla, adicionalmente en está tabla

está relacionada la escala de riesgos de SARO con su respectivo nivel de aceptación:

Escala SARO

Riesgo de

Seguridad de la

Información

Tratamiento del Riesgo

Bajo

Despreciable Los riesgos ubicados en este nivel se consideran “Altamente Aceptables” e

insignificantes, los cuales se administraran con procesos rutinarios

controlando que no suban a otro nivel. Bajo

moderado Medio Los riesgos ubicados en este nivel se consideran “Aceptables”, la

responsabilidad de mejorar y monitorear los controles será de los dueños de

procesos. Estos riesgos pueden ser objeto de estudio para su tratamiento. Alto Alto

Extremo

Muy alto Los riesgos ubicados en este nivel se consideran “inaceptables”, el

tratamiento a estos riesgos debe ser inmediato, implementando planes de

acción para que el nivel de riesgo baje, teniendo en cuenta las prioridades del

negocio.

Crítico

No todos los riesgos son susceptibles de ser tratados de manera inmediata. Esta decisión depende del nivel en

que se encuentre dentro de la matriz o perfil de riesgo. Los riesgos de nivel muy alto y crítico son considerados

como inaceptables y se dará prioridad de acción a estos riesgos.

4.3 Opciones de tratamiento de riesgos El tratamiento que se decida darle a los riesgos debe estar acorde con los lineamientos y objetivos de Leasing

Bolívar. Este tratamiento implica su preparación e implementación por parte de los dueños de los procesos,

dependiendo de la opción que se escoja:

Evitar Riesgo: Decidir no proceder con la actividad que probablemente genera el riesgo (si aplica).

Mitigar el Riesgo: Implementar controles que reduzcan la probabilidad de ocurrencia y la consecuencia.

Transferir el Riesgo: Compartir el riesgo o buscar apoyo con terceros (outsourcing, otras áreas, pólizas

de seguro, etc.)

Aceptar el Riesgo: Tolerar el riesgo sin implementar planes de acción.

Página 8 de 14




Vigencia: 21-09-09


4.4 Plan de tratamiento de riesgos Después de efectuar los análisis de riesgos el comité de seguridad de la información junto con cada una de las

áreas involucradas debe efectuar un plan de tratamiento de riesgos, para los riesgos considerados como críticos

en los activos bajo su responsabilidad, los planes de tratamiento de riesgos deben ser registrados en el siguiente

formato y serán administrados por el departamento de riesgo operativo:

5 Declaración de aplicabilidad

La declaración de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de los

riesgos. La justificación de las exclusiones permite validar que ningún control se omita involuntariamente. La

declaración de Aplicabilidad del Sistema de Gestión de Seguridad de la Información de Leasing Bolívar se

encuentra registrada en el documento “Declaración de Aplicabilidad”.

6 Requisitos de Documentación

Los parámetros de gestión documental de Leasing Bolívar se encuentran definidos en el documento: “IU-SOP-06-01

Guía para la elaboración, manejo y control de documentos” en este se definen las acciones de gestión necesarias para:

a) aprobar los documentos en cuanto a su suficiencia antes de su publicación.

b) revisar y actualizar los documentos según sea necesario y reprobarlos.

c) asegurar que los cambios y el estado de actualización de los documentos estén identificados.

d) asegurar que las versiones más recientes de los documentos pertinentes están disponibles en los puntos de uso.

e) asegurar que los documentos permanezcan legibles y fácilmente identificables.

f) asegurar que los documentos estén disponibles para quienes los necesiten, y que se apliquen los procedimientos

pertinentes, de acuerdo con su clasificación, para su transferencia, almacenamiento y disposición final.

g) asegurar que los documentos de origen externo estén identificados.

h) asegurar que la distribución de documentos esté controlada.

i) impedir el uso no previsto de los documentos obsoletos, y

j) aplicar la identificación adecuada a los documentos obsoletos, si se retienen para cualquier propósito.

7 Detección y respuesta a los incidentes de seguridad

Leasing Bolívar establece y mantiene una metodología de gestión de incidentes de seguridad de la información.

Allí se define la responsabilidad y autoridad con respecto al manejo e investigación de incidentes de seguridad de

Página 9 de 14




Vigencia: 21-09-09


la información. Esta metodología se encuentra registrada en el documento: “IU-SOP-01-02 Gestión de Incidentes

de Seguridad de la Información”

8 Seguimiento y revisión del SGSI

Leasing Bolívar establece y mantiene una metodología de gestión de incidentes de seguridad de la información.

Allí se define la responsabilidad y autoridad con respecto al manejo e investigación de incidentes de seguridad de

la información. Esta metodología se encuentra registrada en el documento: “IU-SOP-01-02 Gestión de Incidentes

de Seguridad de la Información”

8.1 Auditorías internas del SGSI

Leasing Bolívar establece una metodología de Auditorías Internas de Seguridad de la información. Allí se define la

responsabilidad y autoridad en las auditorías de Seguridad de la Información. Esta metodología se encuentra

registrada en el documento: “IU-SOP-03-01 Auditorías Internas de seguridad de la información”

8.2 Indicadores del sistema de gestión de seguridad de la información Se definen los siguientes indicadores para medir los objetivos del sistema de gestión de seguridad de la información de

Leasing Bolívar:

8.2.1 Gestión de riesgos de seguridad Número de revisiones efectuadas por la dirección al año

% de ejecución de los planes de tratamiento de riesgos

% de procesos cuyos activos de información han sido identificados y clasificados

% de procesos cuyos activos de información / datos privados tienen un análisis documentado de riesgos

% de activos de información del proceso que han sido sujetos a un análisis de riesgos documentado

% de procesos cuyos datos privados han sido identificados y clasificados

% de procesos cuyos activos de información / datos privados tiene un plan de mitigación documentado

% de activos de información del proceso que tiene un plan de mitigación documentado

8.2.2 Gestión segura del riesgo humano % de cargos que incluyen la seguridad de la información en las responsabilidades, habilidades

% de usuarios x área que han contemplado el registro de antecedentes antes de tener acceso a la

información

% de cargos que incluyen la seguridad de la información en las evaluaciones de desempeño

% de usuarios que contemplaron el plan de educación, conciencia y entrenamiento en seguridad en el

último año

8.2.3 Seguridad de aplicaciones acceso % de aplicaciones acreditadas

% de aplicaciones que cuyo acceso se controla basado en roles

Página 10 de 14




Vigencia: 21-09-09


% de aplicaciones evaluadas en el último año

% de aplicaciones cuyos usuarios y privilegios han sido certificados en e el último año por los dueños

8.2.4 Continuidad % de procesos cubiertos por un análisis de impacto al negocio

% de procesos que tienen definidas las actividades de continuidad

8.2.5 Seguridad en operaciones % de proveedores con auditoria de seguridad en el último año

% de aplicaciones con procesos periódicos eventuales y emergencias documentados

% de proveedores cuyos contratos continúen clausulas de seguridad, privacidad, continuidad y derecho

a auditoria

% de servicios con acuerdo de nivel de servicio definidos

8.3 Revisión del SGSI por la dirección La Alta Gerencia Leasing Bolívar S.A., revisará, a través del Comité de Seguridad de la Información, la efectividad

de la implementación del Sistema de Gestión de Seguridad de la Información y el comportamiento de sus

indicadores cada vez que se estime conveniente y de acuerdo con los resultados mostrados, se hará una vez cada

año. Los temas que serán tratados de forma obligatoria son:

Aspectos Registro

Revisión de la política y objetivos del sistema de gestión Acta

Resultados del análisis de riesgos y seguimiento a los planes de

tratamiento establecidos

Seguimiento plan de

tratamiento de riesgos

Evaluación de conformidad con los requisitos legales aplicables Acta

Estado de investigación y análisis de incidentes de seguridad de la

información

Acta

Resultados de auditorías internas Informe de auditorías internas

Acciones correctivas y preventivas Acta

Cambios al Sistema de Gestión de seguridad de la información Acta

Recomendaciones para la mejora Acta

Seguimiento de revisiones previas Acta

Desempeño financiero y costos relacionados con la seguridad de la

información

Acta

Necesidad de recursos Acta

8.4 Resultados de la revisión Con base en la información que realimenta al Sistema de Gestión de Seguridad de la Información, así como los procesos, la

alta gerencia toma las acciones necesarias con el propósito de mejorar su eficacia y el control de los riesgos de seguridad de

la información.

Página 11 de 14




Vigencia: 21-09-09


El Comité de Seguridad de la Información se reúne y revisa la información del sistema de gestión, realizando los ajustes

necesarios, teniendo como referencia la política del sistema. Allí se proponen las directrices, se solicitan los recursos, se

plantean los planes de tratamiento de riesgos a la alta gerencia.

De cada revisión de la dirección se deja constancia en un acta describiendo el análisis realizado por el equipo ejecutivo y las

decisiones tomadas con respecto a la eficacia y mejora del sistema de gestión y la necesidad de recursos.

9 Mejora del SGSI

Todas las áreas, según la información recolectada, se encargan de trazar planes para el mejoramiento continuo

de acuerdo con la Política y Objetivos de Seguridad de la Información. La Gerencia General y el Comité de

Seguridad de la Información participan activamente en el desarrollo y evaluación de estos planes.

Se deben revisar y monitorear los siguientes elementos que componen en el SGSI:

Contenido de los procedimientos:

Creación, modificación y actualización de los procedimientos tanto en estructura como en contenido, buscando

la descripción real de cada una de las actividades que se desarrollan dentro de la organización. Lo anterior

incluye: descripciones, caracterización, controles, objetivos, formatos, entre otros.

Contenido Intranet:

Actualización y modificación del contenido de la Intranet según las modificaciones de los procesos y la creación

de los mismos.

Manual SGSI:

Actualización o modificación del manual por las siguientes razones:

o Cambios en normatividad de entes externos.

o Cambios en la metodología (riesgos, controles fuentes de información, etc.).

o Cambios o inclusión de estrategias.

o Cambios por determinación de entes de control interno.

o Cambios por estructura organizacional.

Evolución del riesgo en el tiempo, es decir, si con la aplicación de controles ha ido disminuyendo.

Conjunto de descripciones detalladas de los incidentes, por proceso, funcionario y área.

9.1 Acciones Correctivas y preventivas

9.1.1 Alcance Este procedimiento aplica a todo el Sistema de Gestión de seguridad de la Información de Leasing Bolívar y se inicia con la

identificación de la no-conformidad hasta que es eliminada o la no conformidad potencial existente hasta que es

Página 12 de 14




Vigencia: 21-09-09


controlada.

9.1.2 Definiciones • Acción correctiva: acción implementada para lograr la eliminación de una no-conformidad detectada. • Acción preventiva: acción tomada para eliminar la causa de una no-conformidad potencial u otra situación potencial

indeseable. • Corrección: acción tomada para eliminar la no-conformidad. • No conformidad: incumplimiento de un requisito del SGSI.

9.1.3 Identificación de las no Conformidades Reales y Potenciales

Leasing Bolívar buscará el mejoramiento continuo del Sistema de Gestión de seguridad de la información, detectando las

no-conformidades reales o potenciales que pudieran afectar su operación.

Los problemas existentes (no-conformidades reales) pueden ser detectados por cualquiera de las siguientes formas: • Registro de incidentes • Observaciones en las auditorias de seguridad de la información • Bajos índices de gestión en cualquiera de las áreas de la compaña • Observaciones hechas por los mismos colaboradores de la compaña

Los problemas que pueden convertirse en no-conformidades (no-conformidades potenciales) pueden ser encontrados en

cualquiera de las siguientes actividades: • Comentarios de los clientes • Observaciones de los clientes en las encuestas de satisfacción • Observaciones realizadas a través de las auditorias de seguridad de la información • Tendencias en los índices de gestión de las áreas • Observaciones hechas por los mismos colaboradores de la compaña

9.1.4 Corrección de las no Conformidades Una vez se hace la plena identificación de la no-conformidad existente, el tratamiento definido por la empresa para el

tratamiento incluye: • Análisis de causas mediante los métodos estadísticos o inductivo-deductivos que se consideren apropiados • Elaboración del plan de acción, en donde se definen:

Actividades que se emprenderán para la eliminación de la no-conformidad Responsables de las actividades definidas para la eliminación de la no-conformidad

Plazos para la puesta en marcha y revisión de los resultados obtenidos con el plan de acción.

Evaluación de la efectividad de las acciones emprendidas para eliminar la no-conformidad.

9.1.5 Prevención de las No Conformidades Cuando se detecta una situación que pudiera ser causante de no-conformidades dentro del SGSI, la empresa, dependiendo

de la actividad en donde se detectó la situación y los posibles problemas que acarrearía su aparición (auditorías internas,

externas, grupos de trabajo, etc.), se plantearán acciones concretas para eliminar esas no-conformidades potenciales

Página 13 de 14




Vigencia: 21-09-09


dependiendo de su complejidad, en donde se incluyen responsables, plazos, tareas a seguir y próximas revisiones con su

encargado.

9.1.6 Registro de las No Conformidades Reales y Potenciales El registro de las no-conformidades reales y potenciales debe ser elaborado por el responsable del proceso o área en el

formato “FR-SOP-06-06 Documentación de Acciones Preventivas y Correctivas”. Este formato, servirá como soporte para el

seguimiento del tratamiento de la no-conformidad real o potencial.

9.1.7 Resultados de las Acciones Correctivas y Preventivas

El responsable del proceso, luego de detectar la no-conformidad real o potencial y de planear y tomar las medidas

correctivas o preventivas a que hubiere lugar, consigna en el formato destinado para tal fin “FR-SOP-06-07 Seguimiento

resultado acción preventiva y correctiva”, los resultados que se obtuvieron con tales acciones evidenciando la efectividad

de las mismas.

10 Programas de formación y de toma de conciencia

1.1. Objetivo

Brindar a los funcionarios de Leasing Bolívar S.A. y a los terceros, los procedimientos, políticas y demás elementos

teóricos y prácticos que faciliten la correcta implementación del Sistema de Gestión de Seguridad de la

Información en la Compañía.

1.2. Políticas

Realizar capacitaciones a todos los funcionarios de la empresa de forma anual evaluando el alcance de los

objetivos propuestos y su eficacia.

Realizar capacitaciones a los nuevos funcionarios durante el periodo de inducción.

Publicar todos los documentos, normas, procesos y demás temas relacionados, en lugares donde todos

los funcionarios los puedan consultar y se puedan mantener actualizados (Intranet y/o carteleras).

Mantener toda la documentación actualizada mediante la continua revisión, por parte de las personas

que se encuentran involucradas en los procesos.

Página 14 de 14




Vigencia: 21-09-09


CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS

VERSIÓN FECHA DESCRIPCIÓN DE CAMBIOS ELABORADO POR APROBADO POR

01 21/09/09 Versión inicial Nathalia Prada Hernández

Analista de procesos

Carlos Rubio

Jefe de Riesgo

Operativo

Date post:	09-Feb-2018
Category:	Documents
Upload:	lecong
View:	214 times
Download:	2 times

Manual del Sistema de Gestión de Seguridad de la...

Documents