Estandarizar los procesos de auditoría con respecto a las mejores

prácticas internacionales

la información es uno de los activos más importantes y valiosos de la empresa y

organizaciones, el soporte, motivo por el cual los responsables de la empresa en su
nivel jerárquico más elevado, optan por implantar métodos, modelos y sistemas de
seguridad de la información, los mismos deben ser evaluados en su eficiencia y
eficacia, es ahí donde la auditoria interviene permitiendo su revisión y análisis por
medio de estándares, buenas prácticas, guías, etc. aceptadas y de aplicación
internacional que permiten que se evidencie el estado de los Sistemas de Seguridad
de la Información.

la "Seguridad De La Información", ha cobrado una importancia relevante en gran

parte de las mismas, tanto empresas públicas como privadas, ya que la
informaciónque genera la empresa, se ha convertido en un bien (Activo Real) en
riesgo, que debe ser resguardado y protegido contra posibles daños, perdidas,
manipulación, etc., que pueden tener como origen, tanto personal interno, como
externo, personas jurídicas y naturales, con los cuales la empresa se desenvuelve
de manera cotidiana en sus actividades, procesos, operaciones y transacciones de
carácter, jurídico legal, administrativo, contable, financiero u
otro.http://www.scielo.org.bo/scielo.php?script=sci_arttext&pid=S2071-
081X2013000100004

Gestión y administración de los activos de información respecto a los

fundamentos de seguridad de la información y mejora en el desempeño de las
organizaciones.
Proyecto Clasificación/Gestión de Activos
Seguridad y privacidad de la informacion
Este proyecto pretende definir las necesidades conforme a la norma ISO 27001:2013 enfocados
en los procesos de la organización en cuanto a la clasificación y el manejo de activos en un
sistema de gestión de seguridad de la información. Fortaleciendo procesos ya existentes,
creando nuevos y apoyándose en controles que puedan responder a un ciclo de clasificación,
diferenciación, uso, dar de baja de los activos informáticos de la compañía.
Objetivo General Fortalecer el proceso de identificación, clasificación y cuidados especiales de
activos de información más relevantes de la compañía conforme al ciclo de vida del mismo.
Objetivos Específicos
Documentar el proceso del retiro del personal de la compañía. 
Documentar el proceso de inventario de activos de información para contratistas dentro de la
compañía.
Emitir un documento de responsabilidad frente a los activos de información que se le entregan
a cada empleado.
Clasificar la información con marcas respectivas que permitan diferenciar entre información
entre privada, pública, sensible.
Crear y documentar el proceso de eliminación segura de activos de información.

La clasificación de activos de activos de información se debe realizar acorde con el alcance

definido para la implementación del MSPI (es decir a los procesos en los que se implementara
seguridad de la información) la gestión de activos debe estar alineada con el Dominio 8 Gestión
de Activos del anexo A de la norma ISO 27001:2013, y la guía de controles del modelo de
seguridad y privacidad de la información, para garantizar el cumplimiento de los puntos
descritos a continuación: Inventario de activos: Se deben identificar los activos asociados con la
información y las instalaciones de procesamiento de información, y se debería elaborar y
mantener un inventario de estos activos. Propiedad de los activos: Los activos mantenidos en el
inventario deberían tener un propietario. Uso aceptable de los activos: Se deberían identificar,
documentar e implementar reglas para el uso aceptable de información y de activos asociados
con información e instalaciones de procesamiento de información. Devolución de activos:
Todos los empleados y usuarios de partes externas deberían devolver todos los activos de la
organización que se encuentren a su cargo, al terminar su empleo, contrato o acuerdo.
Clasificación de la información: La información se debería clasificar en función de los requisitos
legales, valor, criticidad y susceptibilidad a divulgación o a modificación no autorizada.
Etiquetado de la información: Se debería desarrollar e implementar un conjunto adecuado de
procedimientos para el etiquetado de la información, de acuerdo con el esquema de
clasificación de información adoptado por la organización. Manejo de activos: Se deberían
desarrollar e implementar procedimientos para el manejo de activos, de acuerdo con el
esquema de clasificación de información adoptado por la organización.

La identificación del inventario de activos de información, permite clasificar los activos a los
que se les debe brindar mayor protección, pues identifica claramente sus características y rol al
interior de un proceso.
Las actividades a realizar para obtener un inventario de activos son:
La definición consiste en determinar qué activos de información van a hacer parte del
inventario, para esta tarea debe existir un equipo que realice la gestión de activos de
información al interior de la entidad
Revisión: La actividad de revisión se refiere a la verificación que se lleva a cabo para determinar
si un activo de información continúa o no siendo parte del inventario, o si los valores de
evaluación asignados en el inventario y clasificación de activos de Información deben ser
modificados
Actualización
Una vez se ha definido qué cambios se realizarían en el inventario, desde cada proceso, se
procede a actualizar el inventario de activos de información.
PUBLICACIÓN El inventario de activos de información debe ser un documento clasificado como
“Confidencial”, y no debe tener características que lo permitan modificar por los usuarios
autorizados. Sólo debe tener acceso de modificación a este documento el líder del proceso con
previa autorización del oficial de seguridad de la información o quien hagas sus veces

gestión y administración de los activos de información respecto a los

fundamentos de seguridad de la información y mejora en el desempeño de las
organizaciones.
Estandarizar los procesos de auditoría con respecto a las mejores
prácticas internacionales

Medidas de protección de datos en las

Administraciones Públicas:
No olvidemos que todos nuestros datos se encuentran en poder de la Administración –
identificativos, domicilio, nivel de ingresos, patrimonio, datos educativos, historia clínica,
historia social, datos farmacéuticos, antecedentes penales, etc. Un acceso indiscriminado a
información pública puede suponer una transparencia absoluta no sólo de la Administración,
sino de los ciudadanos ante la sociedad, lo que vulnera no sólo nuestro derecho fundamental a
la protección de datos personales, sino también nuestro derecho a la intimidad, que es un
presupuesto para una mínima calidad de vida, tanto para la dignidad como para la libertad
personal.

Del estudio e investigación de este Trabajo Fin de Grado deducimos que corresponde al
legislador estatal regular las condiciones básicas para que los ciudadanos dispongan del mimo
derecho de acceso e información administrativa en todo el territorio nacional (art. 149.1. CE).
También son competencia exclusiva del Estado las bases del régimen jurídico de las
Administraciones Públicas, que deben garantizar, en todo caso, a los administrados un
tratamiento común ante ellas, sin perjuicio de las competencias de autoorganización
administrativa que les corresponden a las Comunidades Autónomas para la implementación de
los procedimientos y de las necesarias estructuras administrativas. Corresponde también al
legislador estatal establecer el objeto del derecho de acceso y los límites y excepciones,
configurando un modelo de acceso a información pública que delimite los distintos supuestos y
diferencie entre la información que debe ofrecer la Administración de oficio por propia

http://www.chileindica.cl/instructivos/Politica-Seguridad-Clasificacion-y-Manejo-de-
Informacion-v4.pdf

http://www.rte.espol.edu.ec/index.php/tecnologica/article/viewFile/456/321

https://core.ac.uk/download/pdf/47237696.pdf

https://www.dspace.espol.edu.ec/bitstream/123456789/21624/1/Manual%20SGSI
%20Aplicada%20a%20la%20Gestion%20de%20Activos.pdf

El inventario y clasificación de los Activos de

Información es la base para la gestión de riesgos de
seguridad de la información y para determinar los niveles
de protección requeridos.

Se denomina activo a aquello que tiene algún valor para

FINAGRO y por tanto debe protegerse. De manera que un
Activo de Información incluye la información
estructurada y no estructurada que se encuentre
presente en forma impresa, escrita en papel, transmitida
por cualquier medio electrónico o almacenada en
equipos de cómputo, incluyendo datos contenidos en
registros, archivos y bases de datos. Así mismo, un
Activo de Información tiene el mismo valor, bien sea que
se encuentre forma física o digital, aunque los controles
necesarios para protegerlo son diferentes.

Inventario de Activos de Información

A continuación se encuentra el inventario de activos de

información validado por los dueños de los diferentes
procesos a la fecha. Este inventario se actualiza de
manera periódica de acuerdo a los cambios en los
procesos y la revisión anual que realiza seguridad de la
información.

Dando cumplimiento al artículo 20 de la Ley 1712 de 2014

“Ley de Transparencia”, FINAGRO publica el índice de
información calificada como clasificada o reservada
junto con el inventario de activos de información. El
formato de este documento obedece a los lineamientos y
formatos recomendados por el Ministerio de las
Tecnologías de la Información y Telecomunicaciones
dentro del programa de Gobierno en Línea.