Gestión de seguridad de la información en una bolsa de empleo nacional : diagnóstico, análisis de riesgos y diseño de políticas de seguridad

Abstract

El presente informe desarrolla un análisis integral de seguridad de la información aplicado a una organización dedicada a la intermediación laboral con operaciones a nivel nacional en Colombia. La empresa cuenta con más de 200 empleados distribuidos en oficinas regionales, atiende a más de 1.000 candidatos registrados y a más de 500 empresas clientes a través de un portal web cuya infraestructura opera sobre servicios de computación en la nube. El análisis parte de la identificación y clasificación de los activos de información de la organización, entre los que se destacan la base de datos de candidatos, la información comercial de empresas clientes, el portal web corporativo y los canales de comunicación institucional. Sobre estos activos se identificaron amenazas activas como ataques de phishing, intentos de acceso no autorizado a la plataforma y uso inadecuado de información por parte de empleados, las cuales encuentran condiciones favorables para materializarse debido a vulnerabilidades estructurales como la ausencia de políticas formales de seguridad, la inexistencia de un área de TI constituida formalmente y la falta de controles de acceso basados en roles. A partir de una matriz de valoración cualitativa de riesgos basada en probabilidad e impacto, se identificaron tres riesgos críticos: el robo de credenciales mediante phishing, el acceso no autorizado a la base de datos de candidatos y el incumplimiento de la Ley 1581 de 2012, normativa colombiana de protección de datos personales de obligatorio cumplimiento para la organización dado el volumen y naturaleza de la información que gestiona. En respuesta a los hallazgos del análisis, el informe propone un conjunto de políticas de seguridad prioritarias que incluyen control de acceso, uso aceptable de recursos tecnológicos, protección de datos personales, gestión de incidentes y copias de seguridad. Complementariamente, se diseña un esquema de gestión de incidentes y continuidad del negocio, y se formula un programa de cultura organizacional en seguridad orientado a fortalecer el factor humano como línea de defensa esencial. El informe concluye que la organización enfrenta un nivel de exposición significativo que requiere acciones inmediatas, y formula recomendaciones priorizadas alineadas con los estándares internacionales ISO 27001 y NIST Cybersecurity Framework, orientadas a elevar progresivamente el nivel de madurez en seguridad de la información de la organización.