Tabla 45.

Verificación de ISO 27002:2005

Pregunta y/o forma Descripción estado Nivel de

ISO/IEC 27001 - ISO/IEC 27002
de verificación actual madurez

A5 - Política de seguridad de la información

Administrador Soporte
Técnico: ¿En Proceso No existe
de Gestión Tic existe documento de
un documento de políticas de
políticas de seguridad seguridad.
de la información?

Director de Proceso de
Gestión Tic: ¿En
No existe
Proceso de Gestión Tic
documento de
existe un documento
políticas de
de políticas de
seguridad.
seguridad de la
A.5.1.1
información?
Documento de
política de Existen manuales de INICIAL
seguridad de funciones donde se
información. especifica cada una
5.1 - Política
de las funciones
de seguridad
específicas a realizar
de la
Verificación de en cada uno de los
información.
documento(s) cargos, donde una
relacionados con de ella es velar por
políticas de seguridad la integridad de la
de la información. información
almacenada, lo que
acarrea
implícitamente
tareas de seguridad
de la información.

Director de Proceso de No se lleva una

A.5.1.2 Revisión Gestión Tic: ¿Se revisión de los
de la política de revisan manuales de
INICIAL
seguridad de la frecuentemente los funciones.
información. Manuales de
funciones?

A6 - Organización de la seguridad de la información

 Director de Proceso de
Gestión Tic: ¿La
Dirección está Se han llevado a
comprometida con la cabo capacitaciones
seguridad de la a la parte
información y ofrece administrativa con el
instrucciones claras y fin de concientizar a
apoyo para las los funcionarios.
iniciativas de
seguridad?

En el manual de
funciones del
Director de Proceso
de Gestión Tic están
las funciones de
administrar y
A.6.1.1 coordinar el
Compromiso de la personal del
dirección con la departamento, lo REPETIBLE
seguridad de la que incluye tareas
A6.1 - de seguridad de la
información. Verificación de
Organización información.
interna responsabilidades del
El Departamento de
director en el manual
Proceso de Gestión
de funciones,
Tic programa
verificación de
reuniones periódicas
procedimientos y
con el fin de
reuniones semanales.
programar tareas a
realizar y verificar
avances en los
proyectos llevados a
cabo por el personal
del departamento, lo
que incluye
proyectos
relacionados a
seguridad de la
información.

A.6.1.2 Director de Proceso Los temas de

Coordinación de de Gestión Tic: ¿Las seguridad se tratan
iniciativas y las en las reuniones REPETIBLE
seguridad de la
información. medidas de seguridad recientemente tras
están coordinadas por la vinculación de
 medio de reuniones en personal que maneje
el que participan este tema.
activamente todos los
funcionarios del
Departamento de
Proceso de Gestión
Tic?

Administrador Soporte
Técnico: ¿Considera
que en el manual de No hay política o
funciones están bien procedimiento que
definidas las indique el correcto
responsabilidades para manejo de los
la protección de activos de
activos individuales y información.
la realización de
procesos específicos?

Director de Proceso
de Gestión Tic:
¿Considera que en el No existen unos
manual de funciones parámetros
están bien definidas adecuados a la
A.6.1.3 Asignación
las responsabilidades consecución del
de
para la protección de documento de
responsabilidades INICIAL
activos individuales y planeación.
para la seguridad
la realización de
de la información.
procesos específicos?

En los manuales de
funciones están
estipuladas
claramente las
funciones que se
Verificación de deben desempeñar
responsabilidades en en cada cargo, no
el manual de hay funciones
funciones. específicas sobre
responsabilidad
sobre activos de
información pero
está implícito en las
demás funciones.
 Administrador Soporte
Técnico: ¿Existe un
proceso de
No existe.
autorización para
nuevos activos de
información?

Director de Proceso
de Gestión Tic: ¿Existe
un proceso de
No existe.
autorización para
nuevos activos de
información?

No existe un proceso
dentro del
A.6.1.4 Proceso Departamento de
de autorización Proceso de Gestión
de recursos para Tic para la INEXISTENTE
el tratamiento de autorización de
la información. recursos para el
tratamiento de la
información, pero
Verificación en cada sin embargo para la
uno de los compra de nuevos
procedimientos del dispositivos se
Departamento de deben solicitar a
Sistemas almacén, quien pasa
la solicitud a comité
de compras quien
verifica si existe el
capital para efectuar
la compra, mas no
un proceso
verificación si el
activo es realmente
necesario o no.

Director de Proceso
de Gestión Tic:
A.6.1.5 Acuerdos ¿Existen requisitos de
No existen requisitos
de confidencialidad o no de este tipo. INEXISTENTE
confidencialidad. divulgación de la
información tanto para
empleados como
 terceros?

Director de Proceso
de Gestión Tic:
¿Existen requisitos de
confidencialidad o no No existen requisitos
divulgación de la de este tipo.
información tanto para
empleados como
terceros?

Acuerdos de
Verificación de la confidencialidad
existencia de acuerdos implícitos en las
de confidencialidad en funciones, pero en
el manual de los contratos no
funciones, reglamento existe una cláusula
y contratos de que especifique un
vinculación. acuerdo de
confidencialidad.

Administrador Soporte
Técnico: ¿El
Departamento de
Proceso de Gestión Tic
No se tiene contacto
mantiene contacto con
con estas
autoridades
autoridades.
pertinentes por ej.
Policía Nacional,
Bomberos, Cruz Roja,
A.6.1.6 Contacto Defensa civil?
con las INICIAL
autoridades. Director Proceso de
Gestión Tic: ¿El
Departamento de
Sistema mantiene
Se tiene contacto
contacto con
únicamente con
autoridades
Bomberos.
pertinentes por ej.
Policía Nacional,
Bomberos, Cruz Roja,
Defensa civil?
 Administrador Soporte
Técnico: ¿El
Departamento de
Proceso de Gestión Tic
mantiene contacto con
entidades
especializadas en SI No se tiene un
como por ejemplo de contacto directo y
protección de datos, constante, solo se
de delitos tuvo contacto
informáticos, de cuando se efectuó la
piratería software perdida de la
(Policía judicial: información de un
Brigada de servidor.
Investigación
Tecnológica, Guardia
civil: Grupo de Delitos
Informáticos, Convenio
A.6.1.7 Contacto Antipiratería de
con Colombia)?
INICIAL
organizaciones de Director de Proceso de
especial interés. Gestión Tic: ¿El
Departamento de
Proceso de Gestión Tic
mantiene contacto con
entidades
especializadas en SI
como por ej. De
No se mantiene
protección de datos,
contacto con
de delitos
ninguna entidad u
informáticos, de
organización de
piratería software
especial interés.
(Policía judicial:
Brigada de
Investigación
Tecnológica, Guardia
civil: Grupo de Delitos
Informáticos, Convenio
Antipiratería de
Colombia)?

A.6.1.8 Revisión Administrador Soporte Se realizan

independiente de Técnico: ¿Se revisan reuniones de INICIAL
la seguridad de la independientemente departamento en el
 información la seguridad de la se planean
información del actividades a realizar
Departamento de y se tocan
Proceso de Gestión Tic ligeramente los
(reuniones) de manera temas de seguridad.
regular?

Director de Proceso de
Gestión TIC: ¿Se
revisan
independientemente Se revisan en
la seguridad de la algunos ámbitos,
información del pero no en su
Departamento de totalidad.
Proceso de Gestión Tic
(reuniones) de manera
regular?

Administrador Soporte
Técnico: ¿El
Departamento de
Proceso de Gestión Tic
identifica riesgos de
No se identifican
seguridad de la
riesgos derivados del
información derivados
acceso de terceros.
del acceso de terceros
(Proveedores de
A.6.2.1 internet, organismos
Identificación de de vigilancia de los
A6.2 - procesos)?
los riesgos
Entidades INICIAL
derivados del Director de Proceso de
externas.
acceso de Gestión Tic: ¿El
terceros. Departamento de
Proceso de Gestión Tic
identifica riesgos de Se realizan algunos
seguridad de la controles a terceros
información derivados que ingresan al
del acceso de terceros departamento.
(Proveedores de
internet, organismos
de vigilancia de los
procesos)?
 Administrador Soporte
No hay
Técnico: ¿Qué
requerimiento
requerimientos se
identificados, pero
necesitan para
para el suministro de
conceder el acceso a la
información debe
información y a los
haber una
activos de información
autorización y
del Departamento de
justificación valida
Proceso de Gestión Tic
por un ente
a usuarios externos del
superior.
departamento?

Director de Proceso
de Gestión Tic: ¿Qué
requerimientos se Para el suministro de
necesitan para información debe
conceder el acceso a la haber una
información y a los autorización y
activos de información justificación valida
del Departamento de por un ente
A.6.2.2 Sistemas a usuarios superior.
Tratamiento de la externos del
seguridad en la departamento? REPETIBLE
relación con los
clientes Para obtener el
acceso a información
y/o activos de
información,
dependiendo el
grado de
confidencialidad y
Verificación delicadeza debe
requerimientos para el haber una orden
acceso a la escrita por parte de
información y a los las directivas donde
activos de información se apruebe el acceso
del Departamento de a la misma, esta
Proceso de Gestión Tic autorización debe
ser dada por la
Directora de Proceso
de Gestión Tic la cual
aprueba el acceso a
la sala de servidores,
quien acompaña a la
persona a ingresar o
 en su ausencia lo
hace el
Administrador
Soporte Técnico.

Administrador Soporte
Técnico: ¿Existen
contratos o vínculos
Solo se posee
con entidades
contrato con Media
externas (terceros)
Comerce quien es el
que impliquen el
proveedor de
acceso a la
internet y tiene
información, la
acceso a parte de la
manipulación de la
red de datos.
misma o adición de
A.6.2.3 productos o servicios a
Tratamiento de la las instalaciones?
seguridad en REPETIBLE
contratos con Director de Proceso
terceros de Gestión Tic:
¿Existen contratos o
vínculos con entidades
externas (terceros)
Si existen contratos
que impliquen el
con entidades
acceso a la
externas.
información, la
manipulación de la
misma o adición de
productos o servicios a
las instalaciones?
 Debe existir una
Administrador Soporte notificación por
Técnico: ¿Qué parte de la empresa
controles de que se realizara
implementan y que una visita a las
requerimientos se instalaciones, quien
necesitan para autoriza el ingreso
conceder el acceso a es el Director del
terceros con los cuales Departamento, al
hicieron algún momento de
contrato (Proveedores ingresar el personal
de internet, externo se valida la
organismos de identificación y
vigilancia de los vinculación de la
procesos)? misma con la
empresa.

A9 - Seguridad física y medioambiental

IMG_1 e IMG_2:
Como medida de
control de acceso a
la sala de servidores
en la puerta no se
cuenta con un
control biométrico,
sino con una
cerradura de llave la
cual no garantiza un
Fotografías perímetros control de quienes
de seguridad (paredes, tienen los privilegios
A.9.1.1 Perímetro
A9.1 - Áreas seguridad puertas o de entrar al sitio, ni
de seguridad REPETIBLE
seguras entradas). Ver carpeta manera de
física.
ANEXO F - identificarlos.
FOTOGRAFÍAS Tampoco con una
cámara de
seguridad.

IMG_3 e IMG_4:
Para ingresar a la
sala de servidores
primeramente se
debe pasar por la
oficina de Proceso
de Gestión Tic, y
 luego por la oficina
del Administrador de
Soporte Técnico
cuyos controles de
ingreso son
únicamente puertas
de madera con
ventanas de vidrio,
donde cada puerta
cuenta con una sola
cerradura de
seguridad y la llave
principal la manejan
todos los empleados
de la organización

IMG_5: Se cuenta
con una cámara de
vigilancia en el
interior de la sala de
servidores la cual se
encuentra en
funcionamiento y
graba las personas al
interior del mismo.
Control de puertas
Director Proceso de de oficinas y sala de
Gestión Tic: ¿Qué tipo servidores: Se
de controles físicos de cuenta con una
A.9.1.2 Controles entrada (ej. vigilantes) puerta metálica con
cerradura, los únicos REPETIBLE
físicos de entrada. implementan para
garantizar el acceso que poseen las llaves
únicamente a personal a los servidores son
autorizado? el Director de
Proceso de Gestión
Tic y el
Administrador de
Soporte Técnico, en
la Vigilancia: Se
contrata seguridad
privada en la
entrada de la
Gobernación,
quienes revisan y
controlan a las
 personas que
ingresan a la
organización y los
artículos que entran
y salen de ella,
adicionalmente se
cuenta con un
sistema cerrado de
cámaras de
vigilancia en toda la
organización.

Administrador Soporte
Técnico: ¿Qué tipo de
No existe ningún
controles físicos de
control o protocolo
entrada (ej. vigilantes)
que garantice el
implementan para
acceso únicamente a
garantizar el acceso
personal autorizado.
únicamente a personal
autorizado?

IMG_1, IMG_6,
IMG_7 e IMG_8:
Muestran los
controles de acceso
a las distintas áreas
Verificación seguridad del departamento
A.9.1.3 Seguridad física para oficinas, de Proceso de
de oficinas, despachos y recursos Gestión Tic. INICIAL
despachos y (Ubicación tomas, El acceso a la sala de
recursos. corriente, servidores es
refrigeración, etc.) controlado por una
puerta metálica con
cerradura.
El acceso a la oficina
de Proceso de
Gestión Tic está
 controlado por una
puerta de madera
con cerraduras con
llave, es la puerta
principal.

El acceso a la oficina
de Soporte Técnico
esta en la misma
oficina de Proceso
de Gestión Tic. En las
oficinas de Proceso
de Gestión Tic se
encuentra bien
distribuido de
acuerdo a las
necesidades los
puntos eléctricos y
de datos.
En la sala de
servidores no se
cuenta con un
sistema de
climatización.

Director Proceso de
En cuanto a la
Gestión Tic: ¿Qué tipo
información se
de medidas (físicas) se
realizan backups en
aplicarían en el
la nube y respaldo
departamento en caso
de la misma en
A.9.1.4 Protección de algún desastre discos.
contra amenazas natural?
INICIAL
externas y del Administrador de Solo conoce el plan
entorno. Soporte Técnico: ¿Qué de evacuación por
tipo de medidas sismo, desconoce las
(físicas) se aplicarían medidas físicas que
en el departamento en se aplicarían en caso
caso de algún desastre de desastres
natural? naturales.
 No existe sistema de
alarma contra
incendios.
IMG_9 e IMG10: Un
solo extintor que se
encuentra en la
oficina de Proceso
de Gestión Tic.
IMG_11 e IMG_12:
No existen planos ni
esquemas que
indiquen que hay
una fuente de
energía, solo se
cuenta con una
pequeña señal de
riesgo eléctrico en el
Verificación de panel eléctrico.
medidas de protección El sistema eléctrico
física contra incendio, del departamento
inundación, no cuenta con
terremoto, explosión, protección contra
malestar civil y otras electrocución por
formas de desastre contacto directo o
natural o humano. indirecto en las
áreas de trabajo.
No cuentan con un
sistema de
protección contra
rayos.

No están por
separado los
circuitos de la red
regulada y normal.
IMG_13, IMG_14 e
IMG_15: Los equipos
y racks cuentan con
suficiente espacio
para la circulación
de aire y acceso a
ellos.
 No tiene acceso a
Administrador Soporte sala de servidores,
Técnico: ¿Qué tipo de se aplican normas de
pautas y controles protección en
(físicos) lleva a cabo cuanto a dispositivos
para trabajar en la sala de cómputo
de servidores y demás mediante daños
áreas? causados por
electroestática.

IMG_11 e IMG_12:
No existen planos ni
esquemas que
indiquen que hay
una fuente de
energía, solo se
cuenta con una
pequeña señal de
A.9.1.5 El trabajo
riesgo eléctrico en el INICIAL
en áreas seguras.
Verificación seguridad panel eléctrico.
en la sala de El sistema eléctrico
servidores (UPS, del departamento
sistema de no cuenta con
refrigeración) y demás protección contra
áreas y electrocución por
procedimientos contacto directo o
relacionados. indirecto en las
áreas de trabajo.
No cuentan con un
sistema de
protección contra
rayos.

No están por
separado los
circuitos de la red
regulada y normal.

A.9.1.6 Áreas
aisladas de carga No Aplica. No Aplica. NO APLICA
y descarga.
 IMG_5: Se cuenta
con una cámara de
seguridad al interior
de la sala de
servidores para
controlar.
IMG_1 e IMG_2: No
existe un sistema de
seguridad que
Verificación seguridad
permita saber quién
y protección física en
ingreso a la sala de
A.9.2.1 Instalación la sala de servidores
servidores con
y protección de ante accesos no REPETIBLE
precisión, como
equipos. autorizados y
control de acceso
procedimientos
únicamente se
relacionados.
cuenta con una
puerta metálica con
cerradura, los únicos
que poseen las
llaves son el Director
A9.2 - de Proceso de
Seguridad Gestión Tic y el
del equipo Administrador de
Soporte Técnico.

Los servidores están

respaldados y
Director de Proceso
protegidos frente a
de Gestión Tic: ¿Qué
irregularidades del
tipo de protección
servicio eléctrico por
existe para los equipos
unas UPS, pero no el
frente a fallas de
rack de
servicios públicos en el
comunicaciones que
suministro de energía?
alberga los routers y
A.9.2.2 Suministro
los switch. INICIAL
eléctrico.
Los servidores están
Administrador Soporte respaldados y
Técnico: ¿Qué tipo de protegidos frente a
protección existe para irregularidades del
los equipos frente a servicio eléctrico por
fallas de servicios unas UPS, pero no el
públicos en el rack de
suministro de energía? comunicaciones que
alberga los routers y
 los switch.

Verificación de
protección frente a
fallas de servicios
públicos en el
IMG_16: UPS
suministro de energía
y revisión
procedimientos
relacionados.

La acometida
eléctrica está
Director de Proceso de
normalizada con
Gestión Tic: ¿Qué tipo
RETIE pero dentro
de protección existe
de la organización
para el cableado de
no se implementa
energía y
ninguna norma
telecomunicaciones
eléctrica, no se
frente a posibles
cuenta con planos
interceptaciones o
A.9.2.3 Seguridad daños? eléctricos. La
acometida de datos INICIAL
del cableado.
esta por fibra óptica.

Administrador Soporte
Técnico: ¿Qué tipo de
protección existe para
el cableado de energía No tiene
y telecomunicaciones conocimiento.
frente a posibles
interceptaciones o
daños?
 IMG_13, IMG_14,
IMG_17, IMG_18,
IMG_19 e IMG 20: El
cableado de datos
parte se encuentra
organizado y
etiquetado, el
cableado eléctrico va
independiente del
de datos.
IMG_11 e IMG_12:
No existen planos ni
esquemas que
indiquen que hay
una fuente de
energía, solo se
cuenta con una
Verificación protección pequeña señal de
cableado en la sala de riesgo eléctrico en el
servidores panel eléctrico.
El sistema eléctrico
del departamento
no cuenta con
protección contra
electrocución por
contacto directo o
indirecto en las
áreas de trabajo.
No cuentan con un
sistema de
protección contra
rayos.

No están por
separado los
circuitos de la red
regulada y normal.
 IMG_22 e IMG_23:
En la sala de
servidores no se
realiza una limpieza
periódica en cuanto
a contaminación por
polvo y/o suciedad,
lo que podría causar
daño en los
Verificación estado de
servidores y UPS.
los equipos en la sala
No se posee un
de servidores
sistema de control
ambiental.
Los rack en los que
están ubicados los
servidores no
cuentan con
aisladores de
emanaciones
electromagnéticas.
A.9.2.4
Mantenimiento En cuanto a software INICIAL
de equipos. se realizan backaps,
la frecuencia
depende del
servidor y la
información que
este almacene. se
revisan los logs de
Administrador Soporte
los servidores con
Técnico: ¿Qué
frecuencia para
procesos y
determinar
procedimientos de
anomalías, en
mantenimiento
cuanto a hardware
preventivo se realizan
se realiza un
en los servidores?
mantenimiento
físico
semestralmente, no
se sigue algún
protocolo o
procedimiento
específico para estas
tareas.
 Revisión del Plan de
No existe plan ni
mantenimiento
cronograma de
preventivo y
mantenimiento
procedimientos
preventivo.
relacionados.

Director Proceso de
Gestión Tic: ¿Qué tipo
Hay equipos de red
de seguridad existe
en oficinas. Estos
para equipos que se
dispositivos están
encuentran fuera de
vigilados por un
las instalaciones del
circuito de cámaras
departamento
de seguridad.
A.9.2.5 Seguridad (switches, equipos
de equipos fuera eléctricos)?
REPETIBLE
de los locales de Administrador Soporte
la Organización. Técnico ¿Qué tipo de
seguridad existe para Estos dispositivos
equipos que se están vigilados por
encuentran fuera de un circuito de
las instalaciones del cámaras de
departamento seguridad.
(switches, equipos
eléctricos)?

Director Proceso de
Gestión Tic: ¿Existen
control(es) o
procedimiento(s) para
revisar equipos que
contengan dispositivos
de almacenamiento
A.9.2.6 Seguridad
(extraíbles o fijos) con
en la reutilización No existe ningún
el fin de garantizar que INEXISTENTE
o eliminación de control.
cualquier información
equipos.
sensible o software
con licencia se haya
eliminado o
sobrescrito con
seguridad antes de la
eliminación o dada de
baja de este?
 Administrador Soporte
Técnico: ¿Existen
control(es) o
procedimiento(s) para
revisar equipos que
contengan dispositivos
de almacenamiento
(extraíbles o fijos) con
No existe ningún
el fin de garantizar que
control.
cualquier información
sensible o software
con licencia se haya
eliminado o
sobrescrito con
seguridad antes de la
eliminación o dada de
baja de este?

No existe plan ni
cronograma de
mantenimiento
preventivo.

Al presentarse
daños o cambios de
equipos se realizan
copia de seguridad
Revisión del Plan de antes de iniciar el
mantenimiento mantenimiento
preventivo y correctivo en el
procedimientos equipo o cambio del
relacionados. mismo, si un equipo
es dado de baja se
sustrae los
componentes que
pueden ser
utilizados como
repuestos en otros
equipos, incluyendo
los discos duros.

Administrador Soporte Si se va a realizar un

A.9.2.7 Traslado Técnico: ¿Si surgiera la proceso de soporte
necesidad de que lógico o físico se REPETIBLE
de activos.
usted tenga que sacar solicita al
un equipo, funcionario la
 información o autorización para
software fuera del poder acceder al
departamento, que equipo e
requerimientos debe información y
cumplir? movilizarlo al área
de soporte y
mantenimiento si es
pertinente.

Director Proceso de Debe haber una

Gestión Tic: ¿Si autorización del jefe
surgiera la necesidad inmediato y una
de que usted tenga justificación donde
que sacar un equipo, se aclare el destino
información o del equipo o
software fuera del software y el
departamento, que propósito de mover
requerimientos debe el activo fuera de la
cumplir? organización.

A5 Política de seguridad de la información

Dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo con los

requisitos institucionales, leyes y reglamentos pertinentes.

A6 Aspectos organizativos de la seguridad de la información

Establecer un marco de referencia de gestión para iniciar y controlar la implementación y

operación de la seguridad de la información dentro de la organización.

A7 Gestión de activos de información (AI)

Lograr y mantener la protección apropiada de los activos de información

A8 Seguridad ligada a los recursos humanos

Asegurar que los empleados y contratistas comprenden sus responsabilidades y son idóneos
en los roles para los que se consideran.

A9 Seguridad física y medioambiental

Prevenir el acceso físico no autorizado, daño e interferencia en las instalaciones y activos de

información.
A10 Gestión de comunicaciones operaciones

Garantizar la documentación, mantenimiento y actualización de los

procedimientos de operación y administración tecnológica.

A11 Control de acceso (lógico)

Controlar el acceso lógico a los activos de información

A12 Adquisición, desarrollo y mantenimiento de sistema de información

garantizar que la seguridad es parte integral de los sistemas de información.

A13 Gestión de incidentes de seguridad de información

Asegurar que los eventos y debilidades de seguridad de información sean comunicados de

manera tal que, permita una acción correctiva oportuna.

A14 Gestión de la continuidad del negocio

Contrarrestar las interrupciones en las actividades de negó cio y proteger sus procesos críticos
contra desastres y fallas mayores en los sistemas de información, así
Como de sus efectos. Asegurando su restablecimiento oportuno

A15 Cumplimiento

Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentación o

contractuales relacionadas con seguridad de la información y de cualquier requisito de
seguridad.

Evaluación nivel de madurez COBIT del area de TI