Modelo de Seguridad y Privacidad de la Información

El Modelo de Seguridad y Privacidad de la Información (MSPI) es un marco integral adoptado por EAPSA, la Empresa de Servicios Públicos de Sabaneta, para garantizar la protección de la información y la privacidad de los datos en todas sus operaciones. Este modelo proporciona un conjunto de lineamientos y mejores prácticas que guían a las entidades públicas en la implementación de medidas de seguridad de la información, asegurando que se cumplan los más altos estándares internacionales.

El MSPI está estructurado en torno al ciclo de vida de la seguridad de la información, que incluye cuatro fases clave:

Planeación: En esta fase, EAPSA realiza un análisis exhaustivo de los riesgos y establece políticas y estrategias de seguridad alineadas con los objetivos organizacionales y las normativas legales vigentes. La planeación incluye la definición de roles y responsabilidades, la asignación de recursos y la identificación de las necesidades de capacitación del personal.
Implementación: En esta etapa, EAPSA lleva a cabo la instalación y configuración de medidas de seguridad técnicas y administrativas, como sistemas de control de acceso, encriptación de datos, y protocolos de seguridad en la red. Además, se implementan programas de concienciación y formación para el personal, garantizando que todos los empleados comprendan y cumplan con las políticas de seguridad establecidas.
Evaluación: EAPSA realiza evaluaciones regulares de sus sistemas de seguridad para identificar vulnerabilidades y verificar la eficacia de las medidas implementadas. Esto incluye la realización de auditorías internas y externas, pruebas de penetración, y revisiones de cumplimiento normativo. Los resultados de estas evaluaciones se utilizan para realizar ajustes y mejoras en las políticas y procedimientos de seguridad.
Mejora Continua: EAPSA se compromete a una mejora continua de su postura de seguridad, adaptándose a las nuevas amenazas y tecnologías emergentes. Esto implica la actualización constante de las políticas de seguridad, la adopción de nuevas tecnologías y prácticas de vanguardia, y la mejora de los procesos de gestión de incidentes y respuesta a emergencias.

El MSPI no solo ayuda a EAPSA a proteger la información confidencial y los datos personales de sus clientes y empleados, sino que también garantiza el cumplimiento con la normativa vigente, incluidas las directrices de la Política de Gobierno Digital. Al adoptar el MSPI, EAPSA se posiciona como una entidad comprometida con la seguridad de la información, brindando confianza y tranquilidad a sus usuarios y a la comunidad de Sabaneta en general.

Introducción

EAPSA, la Empresa de Servicios Públicos de Sabaneta, se ha comprometido a proteger la información y la privacidad de sus datos a través de la implementación del Modelo de Seguridad y Privacidad de la Información (MSPI). Este modelo, basado en estándares internacionales, proporciona un marco integral para la gestión de la seguridad de la información, asegurando que todos los procesos y operaciones de la empresa se lleven a cabo con el más alto nivel de protección.

Audiencia

El MSPI está dirigido a todos los empleados, contratistas y partes interesadas de EAPSA. Es particularmente relevante para el personal de TI, los responsables de la gestión de datos y los encargados de la seguridad de la información. Además, se extiende a los proveedores y socios que interactúan con los sistemas de información de la empresa.

Definiciones

Seguridad de la Información: Conjunto de medidas y controles diseñados para proteger la confidencialidad, integridad y disponibilidad de la información.
Privacidad de Datos: Protección de la información personal de los individuos, asegurando que sea manejada de manera legal y ética.
Ciclo de Vida de la Seguridad de la Información: Serie de etapas que incluyen Planeación, Implementación, Evaluación y Mejora Continua, utilizadas para gestionar la seguridad de la información.

Propósitos

El MSPI tiene como objetivo principal garantizar la seguridad de la información en EAPSA, protegiendo los datos personales y confidenciales de clientes, empleados y otras partes interesadas. Además, busca asegurar el cumplimiento de las normativas legales y regulaciones aplicables, promoviendo una cultura de seguridad de la información en toda la organización.

Marco Jurídico

EAPSA se adhiere a las leyes y regulaciones nacionales e internacionales sobre protección de datos y seguridad de la información, incluyendo la Ley de Protección de Datos Personales y las directrices de la Política de Gobierno Digital. El MSPI está diseñado para asegurar el cumplimiento con estas normativas, minimizando los riesgos legales y financieros asociados a las brechas de seguridad.

Diagnóstico

El diagnóstico inicial del estado de seguridad de la información en EAPSA implicó una evaluación exhaustiva de los sistemas y procesos existentes. Esto incluyó un análisis de riesgos, una auditoría de cumplimiento y una evaluación de la capacidad de respuesta ante incidentes. Los resultados identificaron áreas clave de mejora, incluyendo la necesidad de fortalecer las políticas de seguridad, mejorar la capacitación del personal y actualizar las infraestructuras tecnológicas.

Planeación

La fase de planeación del MSPI en EAPSA incluye la definición de una estrategia de seguridad integral, alineada con los objetivos de la organización y las mejores prácticas del sector. Se establecen políticas y procedimientos claros para la gestión de la información, así como planes de contingencia y continuidad del negocio para asegurar la resiliencia ante incidentes.

Contexto

EAPSA opera en un entorno dinámico, con constantes cambios tecnológicos y regulatorios. El MSPI considera este contexto, asegurando que las políticas de seguridad sean flexibles y adaptables. Se tiene en cuenta la naturaleza sensible de los datos manejados, incluyendo información personal de los clientes y detalles operativos críticos.

Soporte

El éxito del MSPI en EAPSA depende del apoyo activo de la alta dirección y la participación de todos los empleados. Se ha establecido un comité de seguridad de la información, responsable de supervisar la implementación del modelo y de proporcionar los recursos necesarios para su ejecución. Además, se realizan programas de formación y concienciación para asegurar que todos los empleados comprendan y apoyen las políticas de seguridad.

Operación

En la fase de operación, se implementan controles de seguridad técnicos y administrativos. Esto incluye el uso de tecnologías de encriptación, sistemas de control de acceso, y la implementación de procedimientos de gestión de incidentes. Se asegura la continuidad de los servicios críticos mediante planes de recuperación ante desastres y la redundancia de sistemas.

Evaluación y Desempeño

EAPSA realiza evaluaciones regulares del desempeño de sus sistemas de seguridad, utilizando métricas e indicadores clave para medir la eficacia de las medidas implementadas. Las auditorías internas y externas, junto con las pruebas de penetración, ayudan a identificar vulnerabilidades y a asegurar el cumplimiento con las políticas de seguridad.

Mejoramiento Continuo

El MSPI en EAPSA se basa en el principio de mejora continua, lo que implica la revisión constante de las políticas y procedimientos de seguridad para adaptarse a nuevas amenazas y tecnologías emergentes. Esto incluye la actualización de los sistemas de seguridad, la capacitación continua del personal y la implementación de nuevas tecnologías y prácticas de seguridad.

Modelo de Seguridad y Privacidad de la Información

EAPSA

Correo físico: Sabaneta, Antioquia