Plan — Fortaleza Digital
Sistema de Gestión de Seguridad de la Información · Grupo Secacao · ISO/IEC 27001:2022
📅 Sep 2025 — Ago 2026
8 Fases
12 Meses
ISO 27001:2022
Fases del Plan
8
Políticas a Integrar
20
Documentos Clave
16
Duración (meses)
12
Índice del Plan
01
Antecedentes
Contexto y motivación
02
Gobernanza y Estructura
Sep / Oct 2025
03
Controles Físicos
Sep / Oct 2025
04
Políticas y Marco Documental
Oct / Dic 2025
05
Controles Personas
Ene / Feb 2026
06
Gestión de Riesgos y Activos
Feb / Abr 2026
07
Controles Tecnológicos
Feb / May 2026
08
Mejora Continua y Optimización
Jul / Ago 2026
Sección 01
Antecedentes
Contexto y motivación del Plan Fortaleza Digital para el fortalecimiento del SGSI en Grupo Secacao.
Estado actual del SGSI
Grupo Secacao ha logrado avances importantes en la implementación de su Sistema de Gestión de Seguridad de la Información (SGSI), sin embargo, aún existen oportunidades significativas en la formalización de políticas, gobernanza, auditoría, y mejora continua.
Enfoque integral requerido
El fortalecimiento de la estructura digital de una organización requiere un enfoque integral que combine seguridad de la información, gobernanza, gestión de servicios, control de riesgos y estandarización de infraestructura.
🎯 Objetivo del planFortalecer la estructura digital de Grupo Secacao mediante un plan de trabajo de 12 meses (Sep 2025 – Ago 2026), articulado en 8 fases que cubren todos los dominios de ISO/IEC 27001:2022.
Sección 02
Gobernanza y Estructura
Establecimiento de la estructura de gobierno de seguridad de la información y definición formal de roles y responsabilidades.
📅 Meses 1–2 · Sep / Oct 2025
| Acción | Responsable | Observaciones |
|---|---|---|
| Crear el Comité de Tecnología y Seguridad | Gerencia General | BCP actual contiene la base. Comité sugerido: Juan Mendoza, Randy Montejo, CISO, Erwin Chávez y Alejandro Castro |
| Designar formalmente al Oficial de Seguridad de la Información (CISO) | Comité | Pendiente sugerencia de candidato |
| Designar o asignar Auditor de Sistemas | Comité | Randy Montejo como candidato propuesto |
| Establecer el Alcance del SGSI con aprobación institucional | CISO + Comité | Basado en el documento BCP existente |
Sección 03
Controles Físicos
Evaluación y refuerzo de controles de seguridad física para proteger instalaciones, equipos e información en sitios físicos.
📅 Meses 1–2 · Sep / Oct 2025
| Acción | Responsable | Observaciones |
|---|---|---|
| Evaluar y reforzar control de acceso físico | IT + Seguridad Física | Generar análisis de acceso al Site mediante Formulario de acceso |
| Instalar cámara en Site nueva oficina | IT | Implementación y monitoreo continuo del Site |
| Generar Política para áreas restringidas | CISO + Seg. Física | Documentación de áreas con control de acceso físico |
| Procedimientos para visitantes y contratistas | IT + Compras | Generar control de acceso a red y acceso a datos para terceros |
Sección 04
Políticas y Marco Documental
Desarrollo, aprobación y socialización del marco de políticas de seguridad de la información y la documentación requerida por ISO 27001.
📅 Meses 2–4 · Oct / Dic 2025
| Acción | Responsable | Observaciones |
|---|---|---|
| Desarrollar y aprobar políticas de seguridad | CISO + Comité | 20 políticas identificadas con sus documentos de soporte |
| Elaborar el documento de definiciones y glosario | CISO | Publicación de definiciones y glosario institucional |
| Socializar el marco documental en toda la organización | RRHH + CISO | Registro de asistencia y evidencias de capacitación |
20 Políticas a Integrar
01Política de Seguridad de la Información
02Política de Control de Accesos
03Política de Uso Aceptable de Recursos Tecnológicos
04Política de Clasificación y Etiquetado de la Información
05Política de Protección de Datos Personales
06Política de Continuidad del Negocio y Recuperación ante Desastres
07Política de Gestión de Incidentes de Seguridad de la Información
08Política de Gestión de Cambios en Sistemas y Aplicaciones
09Política de Seguridad Física y Ambiental
10Política de Seguridad en Redes y Comunicaciones
11Política de Uso y Administración de Contraseñas
12Política de Seguridad en Dispositivos Móviles
13Política de Seguridad en el Desarrollo de Software
14Política de Seguridad en la Relación con Proveedores y Terceros
15Política de Privacidad y Confidencialidad de la Información
16Política de Responsabilidades y Obligaciones en Seguridad
17Política de Auditoría y Monitoreo de Sistemas
18Política de Gestión de Activos de Información
19Política de Prevención de Lavado de Activos y Fraudes
20Política de Gestión de Vulnerabilidades Técnicas
16 Documentos y Evidencias Requeridos
01Documento de Alcance del SGSI
02Glosario y Definiciones Institucionales de Seguridad
03Matriz de Riesgos y Tratamiento de Riesgos
04Inventario Clasificado de Activos de Información
05Mapa de Infraestructura y Flujos de Información
06Registro de Accesos y Privilegios de Usuarios
07Registro de Incidentes de Seguridad
08Bitácoras de Cambios y Configuraciones
09Registros de Auditorías Internas y Revisiones por la Dirección
10Registros de Capacitación y Evaluaciones de Concienciación
11Registros de Entrega/Devolución de Bienes Tecnológicos
12Evidencias de Pruebas de Continuidad y Recuperación
13Registros de SLA y Monitoreo de Cumplimiento de Proveedores
14Registro de Mantenimiento de Controles Físicos y Ambientales
15Plan Estratégico de Seguridad de la Información
16Actas de Reuniones del Comité de Tecnología y Seguridad
Sección 05
Controles en Personas
Programa de concienciación, formación continua y gestión de identidades para el personal de Grupo Secacao.
📅 Meses 5–6 · Ene / Feb 2026
| Acción | Responsable | Observaciones |
|---|---|---|
| Comunicación de políticas a personal | CISO + RRHH | Políticas publicadas y firmadas por cada colaborador |
| Programa de concienciación y formación continua | RRHH + CISO | Registros de capacitaciones y evaluaciones documentadas |
| Procedimientos de gestión de identidades altas y bajas | IT + RRHH | Procedimiento documentado para altas, modificaciones y bajas |
| Cuestionario evaluación nivel Ciberseguridad — nuevos ingresos | RRHH + IT | Formulario generado por TI para comprobación de conocimientos en Ciberseguridad |
| Aplicar evaluaciones y seguimiento a usuarios — Plan anual | RRHH + IT | Resultados almacenados en expediente digital de cada usuario |
Plan Anual de Capacitación en Ciberseguridad
TRIMESTRE 1
Fundamentos y Cultura de Seguridad
S1 · KickoffIntroducción a la seguridad de la información: confidencialidad, integridad y disponibilidad.
S2Políticas internas de seguridad y uso aceptable de la tecnología.
📧 Refuerzo mensual: Microcápsulas en correo/intranet con tips prácticos.
TRIMESTRE 2
Amenazas Comunes y Protección
S3Ciberataques más comunes: phishing, malware, ransomware, ingeniería social.
S4 · TallerSimulación de phishing y buenas prácticas en el correo electrónico.
📧 Refuerzo: Infografías sobre contraseñas seguras, MFA y uso seguro de la nube.
TRIMESTRE 3
Gestión de la Información y Cumplimiento
S5Clasificación de la información, manejo seguro de datos sensibles y cumplimiento legal.
S6Seguridad en dispositivos móviles, trabajo remoto y uso de redes públicas.
📧 Refuerzo: Casos reales de fuga de datos y lecciones aprendidas.
TRIMESTRE 4
Respuesta a Incidentes y Continuidad
S7Procedimiento de reporte de incidentes, roles y responsabilidades del equipo.
S8 · SimulacroEjercicio de respuesta a un ataque (ejemplo: ransomware en correo corporativo).
📧 Refuerzo: Historias de ciberataques reales y cómo prevenirlos.
Sección 06
Gestión de Riesgos y Activos
Identificación, clasificación y gestión de activos de información, y elaboración del mapa de riesgos con planes de tratamiento.
📅 Meses 6–8 · Feb / Abr 2026
| Acción | Responsable | Observaciones |
|---|---|---|
| Identificar universo de Activos, clasificar y documentar | IT + Randy Montejo | Inventario actualizado en plataforma digital. Medición de confidencialidad, disponibilidad e integridad de cada activo |
| Identificar y documentar Riesgos y vulnerabilidades de los Activos | CISO + Auditor + IT | Mapa de Riesgos con plan de tratamiento por activo y nivel de riesgo |
Sección 07
Controles Tecnológicos
Implementación de métricas, plataformas de monitoreo y automatización de mediciones para los servicios de tecnología de Grupo Secacao.
📅 Meses 6–10 · Feb / May 2026
| Acción | Responsable | Observaciones |
|---|---|---|
| Implementar medición de indicadores: ① % Incidentes ② % Cierre atención usuarios ③ % Cumplimiento respaldo ④ % Cumplimiento pruebas recuperación DB |
CISO + Auditor + IT | Dashboard de métricas. Los indicadores se pueden iniciar a presentar resultados previo a la fecha planificada, la cual es límite para contar con los controles totales y medibles |
| Implementación de plataformas de medición de servicios: ① SIEM ② UPTIME ③ Parcheo ④ BI - Tickets ⑤ BI - Activos de información |
IT | Soluciones para automatización de mediciones de los servicios y funcionalidad de la tecnología del Grupo |
| Presentar resultados al Comité de Tecnología | Comité | Acta de reunión con resultados documentados |
Sección 08
Mejora Continua y Optimización
Auditorías internas, estandarización de procesos y evaluación de preparación para la certificación ISO 27001:2022.
📅 Meses 11–12 · Jul / Ago 2026 · Revisión por SG de GS
| Acción | Responsable | Observaciones |
|---|---|---|
| Auditorías internas de cumplimiento SGSI | Auditor + IT | Verificación de evidencias de cumplimiento por dominio |
| Estandarizar los procesos efectivos | CISO + IT | Manuales y procedimientos actualizados y aprobados |
| Evaluar preparación para evaluación de certificación 2026 | Comité | Gap análisis final vs. requisitos ISO/IEC 27001:2022 |
Línea del Tiempo
Cronograma General del Plan
Distribución de actividades clave del Plan Fortaleza Digital a lo largo de 12 meses (Sep 2025 – Ago 2026).
| 2025 | 2026 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Etapa del Plan | Actividad Clave | SEP | OCT | NOV | DIC | ENE | FEB | MAR | ABR | MAY | JUN | JUL | AGO |
| Gobernanza y Estructura | Crear Comité de Tecnología y Seguridad | ||||||||||||
| Designar CISO | |||||||||||||
| Designar Auditor de Sistemas | |||||||||||||
| Definir Alcance del SGSI | |||||||||||||
| Controles Físicos | Reforzar acceso físico y formularios | ||||||||||||
| Instalar cámara Site y monitoreo | |||||||||||||
| Política de áreas restringidas | |||||||||||||
| Procedimientos visitantes y contratistas | |||||||||||||
| Políticas y Marco Documental | Desarrollar y aprobar políticas | ||||||||||||
| Elaborar glosario institucional | |||||||||||||
| Socialización en la organización | |||||||||||||
| Controles en Personas | Comunicación de políticas | ||||||||||||
| Programa de concienciación | |||||||||||||
| Gestión de identidades altas/bajas | |||||||||||||
| Evaluaciones nuevos ingresos | |||||||||||||
| Seguimiento anual de usuarios | |||||||||||||
| Gestión de Riesgos y Activos | Inventario clasificado de activos | ||||||||||||
| Identificación riesgos y vulnerabilidades | |||||||||||||
| Mapa de riesgos y plan de tratamiento | |||||||||||||
| Controles Tecnológicos | Implementación de métricas clave | ||||||||||||
| Plataformas SIEM, Uptime, BI, Parcheo | |||||||||||||
| Presentación de resultados al Comité | |||||||||||||
| Mejora Continua y Optimización | Auditorías internas | ||||||||||||
| Estandarización de procesos efectivos | |||||||||||||
| Gap análisis para evaluación 2026 | |||||||||||||
Actividad planificada
Sin actividad
Resultados Prioritarios
Quick Wins
Entregables de alto impacto y corto plazo que generan valor inmediato al SGSI de Grupo Secacao.
Plan de Capacitación Anual
Ciberseguridad para usuarios — lanzamiento y sesión kickoff
Sep 2025Indicadores Etapa 1
Métricas que generan medición actual de los servicios
Sep 2025Portal de Tickets de Soporte GS
Desde el usuario final — visibilidad total del servicio IT
Sep 2025Plataforma Integrada de Activos
Inventario clasificado de activos de información
Sep 2025Evaluación de Conocimientos — RRHH
Integración en proceso de nuevas contrataciones
Oct 2025Políticas Generadas
Proceso de verificación y aprobación con Secretaría General
Nov 2025