.•.

FUERZAS MILITARES DE COLOMBIA na··.d . . ,5.•.

~
COMANDO GENERAL ~.

•
JEFATURA DE INTELIGENCIA Y C/!. MILITAR CONJUNTA

COPIA No. DE COPIAS

Bogotá, D.C., 11,0 SEP 201Ij
DIRECTIVA PERMANENTE
,
Directiva Permanente Número
I

t N~ O 8 4 ICGFM-JEMC-JEIMC-DISAI. 23.1

ASUNTO: Verificación de las Políticas de Seguridad Informática para las Fuerzas

Militares

PARA:

1. OBJETIVO Y ALCANCE.

a. FINALIDAD.

El Comando General de las Fuerzas Militares, emite' la presente

Directiva con el propósito de establecer las pautas e impartir órdenes e
instrucciones para verificar el cumplimiento de las políticas de seguridad
informática de las Fuerzas Militares, así:

1) Diagnosticar el estado actual de seguridad informática en las

Fuerzas Militares.

2) Fortalecer los controles para mitigar los riesgos de fuga y/o pérdida
de información.

3) Verificar el cumplimiento de las Políticas de Seguridad Informática

de las FF.MM.

4) Diseñar estrategias para fortalecer los niveles de seguridad

informática en las Fuerzas Militares
r
,

,../

Continuación Directiva Permanente No .. /CGFM-JEMC-JEIMC-DISAI-23.1 Página 2 de 6

5) Proponer mejoras a las políticas, directrices y controles establecidos

para la protección de la confidencialidad, integridad y disponibilidad
de la información en los sistemas y servicios informáticos.

b. REFERENCIAS

1) Política de Defensa y Seguridad del Gobierno Nacional.

2) Guía de Planeamiento Estratégico del Comando General

3) Manual de Contrainteligencia FF.MM. 2-6 Reservado. 11 Edición

4) Directiva Permanente 200-12/2006 Políticas de Seguridad

Informática para las FF.MM.

5) Plan de Acción JEIMC 2011

6) Plan de Contrainteligencia FF.MM. 2011

c. VIGENCIA

A partir de su expedición.

2. INFORMACiÓN

a. Antecedentes

1) La Directiva 200-12/2006 "Políticas de seguridad Informática para

las FF.MM.", fue firmada y publicada en el año 2006, para cada una
de las Fuerzas Militares, a la fecha no existe un control efectivo del
cumplimiento de las Directrices y controles establecidos para la
protección de la información enmarcados en dicha directiva.

2) La alta rotación de personal, la falta de conocimiento y

concienciación en seguridad informática, genera dificultades en la
implementación de controles efectivos para el cumplimiento de las
políticas de seguridad informática establecidas.

3) Actualmente las Fuerzas Militares no tienen incluido dentro de las

auditorias o revistas internas a las diferentes unidades el tema de
seguridad informática.

4) Las actuales amenazas informáticas generan la necesidad de ser

proactivos en el tema de seguridad informática al interior de las
Fuerzas Militares.
b. Generalidades
J

Continuación Directiva Permanente No. ,/CGFM-JEMC-JEIMC-DISAI-23.1 Página 3 de 6

1) Los Comandantes a todo nivel son los responsables por la

seguridad de la información y de ordenar el desarrollo de las
investigaciones penales, administrativas y disciplinarias a que haya
lugar, cuando se presenten conductas y/o hechos que conlleven a
la violación o incumplimiento de normas, procedimientos, directrices
o políticas establecidas para la seguridad informática y de la
información.

2) las Fuerzas Militares deben fortalecer su estado actual en seguridad

de la información por tratarse de uno de los activos más importantes
y vitales para cumplir con la misión encomendada, es por tal razón
la importancia en la verificación de todos estos tópicos que pueden
afectar o poner en riesgo la confidencialidad, integridad y
disponibilidad de la información.

3) Verificar la aplicación de los controles y procedimientos en

seguridad informática en las Fuerzas Militares a través de las
Direcciones de Contrainteligencia de las Fuerzas, se convierte en el
complemento eficaz para poder evaluar y diagnosticar el estado
actual de los niveles de seguridad informática en las Fuerzas
Militares.

4) Verificar el manejo de información digital sensible y clasificada en

las Fuerzas Militares, nos ayudará a evidenciar fallas en
procedimientos y proponer mejoras con el propósito de mantener los
altos niveles de confianzas de las demás entidades públicas y
privadas cuando depositan información de este tipo bajo nuestra
custodia

5) Recomendar acciones correctivas y/o preventivas para minimizar el

riesgo de fuga, pérdida de información en las FF.MM y/o posibles
ataques informáticos.

3. EJECUCiÓN

a. MISiÓN GENERAL

El Comando General de las Fuerzas Militares, a través de la Jefatura de

Inteligencia y CII Militar Conjunta, implementará un plan de Verificación
de cumplimiento de las Políticas de Seguridad Informática para las
Fuerzas Militares, considerando como punto esencial los procesos y
procedimientos y controles establecidos para la protección de la
información en los centros de procesamientos de datos, infraestructuras
físicas y usuarios finales.
Continuación Directiva Permanente No.__ --'/CGFM-JEMC-JEIMC-DISAI-23.1 Página 4 de 6

b. MISIONES PARTICULARES

1) Comando del Ejército Nacional, Armada Nacional y Fuerza

Aérea Colombiana

a. Difunde y ordena las actividades relacionadas en la presente

Directiva en su Fuerza hasta el nivel División y su equivalente
en cada Fuerza.

b. Ordena a la Jefatura, Dirección o Sección de

Contra inteligencia del Comando de Fuerza elaborar, difundir e
implementar un plan anual de inspecciones de seguridad de la
información al interior de la Fuerza.

c. Ordena a la Jefatura, Dirección o Sección de

Contrainteligencia del Comando de Fuerza consolidar el
resultado final de las Inspecciones realizadas en todas las
unidades de la Fuerza.

d. Ordena al Oficial del Sistema de Gestión de Seguridad de la

Información (OSGSI) de la Fuerza, elaborar un informe
trimestral de los resultados obtenidos en las diferentes
inspecciones y emitir un informe ejecutivo trimestral a la
Jefatura de Inteligencia y CII Militar Conjunta del Comando
General.

e. Adelanta las acciones disciplinarias, administrativas y penales

a que haya lugar cuando se presenten conductas y/o hechos
que conlleven a la violación o incumplimiento de normas,
procedimientos, directrices o políticas establecidas para la
seguridad informática y de la información.

f. Ordena la implementación de un plan de acción para la

corrección de los hallazgos encontrados en cada unidad.

g. Ordena a las secciones de contrainteligencia realizar

seguimiento de las acciones correctivas y/o preventivas a los
hallazgos de las diferentes unidades.

2) Jefatura de Inteligencia y C/!. Militar Conjunta.

a. A través de la Dirección de Tecnología y Seguridad Informática

coordina el desarrollo y cumplimiento de la presente directiva.

b. A través de la Dirección de Contrainteligencia y en coordinación

con el Oficial de Sistema de Gestión de la Información del
Continuación Directiva Permanente No. /CGFM-JEMC-JEIMC-DISAI-23.1 Página 5 de 6

Comando General, realiza revistas e inspecciones en seguridad

de la Información a las Jefaturas y Comandos Conjuntos del
Comando General como mínimo una vez al año.

c. A través de la Dirección de tecnología y seguridad informática

apoya con personal técnico a las revistas de seguridad de la
información desarrolladas por la Dirección de
Contrainteligencia.

d. A través de la Dirección de tecnología y seguridad informática y

en coordinación con la Dirección de Contrainteligencia
consolida el informe anual de seguridad informática de las
Fuerzas Militares y lo pública al interior de la institución.

3) Inspección General de las Fuerzas Militares

a. Difunde y ordena la inclusión de la lista de verificación (anexos

a, b y e) de la presente Directiva en las inspecciones
programadas por el Comando General y las Fuerzas.

b. Verifica y realiza el control de la utilización de las listas de

verificación en las diferentes revista e inspecciones.

INSTRUCCIONES GENERALES DE COORDINACiÓN

a. Las revistas deberán ser apoyadas por los Oficiales del Sistema de
Gestión de Seguridad de la Información (OSGSI) o los Oficiales de
Seguridad Informática (OSI) de la Fuerza.

b. Las revistas y/o auditorias en seguridad informática deberán

desarrollarse empleando las listas de verificación (Anexo A, B, Y C) de
acuerdo a su naturaleza.

c. Las revistas deben coordinarse previamente con el Jefe, Director o

encargado de la dependencia que va a ser inspeccionada.

d. Las revistas deben efectuarse en presencia de los usuarios en los

puestos de trabajo.

e. Los revistas tienen la facultad, para recomendar los correctivos y

medidas de seguridad, que a su criterio se deban aplicar de manera
inmediata; de estas observaciones se dejará constancia en los
documentos que el Inspector considere pertinentes.
Continuación Directiva Permanente No,__ -....:/CGFM-JEMC-JEIMC-DISAI-23.1 Página 6 de 6

f. Cuando se detecten novedades especiales, el Inspector deberá

informar personalmente al Comandante de la Unidad o Jefe de la
dependencia, las anomalías observadas.

g. Las revistas deben ser orientadas única y exclusivamente hacia

aspectos de seguridad de la información.

h. Los resultados de las inspecciones de seguridad deben ser entregados

al Comandante de la Unidad y/o Jefe o Director de la dependencia
Inspeccionada.

i. Los Comandos de Fuerza deben supervisar que las Unidades Militares

y otras dependencias revistas, elaboren el Plan de Acción con acciones
correctivas, con base en las observaciones consignadas en el informe
de revista correspondiente.

4. DISPOSICIONES ADMINISTRATIVAS

a. Los gastos que demande el desarrollo de las inspecciones, serán

asumidos por cada Fuerza.

b. Los formatos digitales ~~:es A, B Y C se deben solicitar a la

dirección de correo Qc-:J;·?/!J.tl1s;@j~mJMI.~o
o al teléfono 3150111-4414.

Mayor General del Aire JOS

Jefe de Estado Mayor Conj

Autentica:

Brigadier Gene~.4JA'J/.ijJf(fl;ijN
Jefe de Inteligen
Elaboró:T~ VoBo 'M'
DISTRIBUCiÓN:
ORIGINAL: Ayudantía General Comando General
COPIA No. 01: Jefatura de Inteligencia y CII Militar Conjunta
COPIA No. 02: Inspección General de las FF. MM.
COPIA No. 03: Comando Ejército Nacional
COPIA No. 04: Comando Armada República de Colombia.
COPIA No. 05: Comando Fuerza Aérea
Colombiana.
"Unión y Lealtad"
Avenida El Dorado CAN Carrera 54 No. 26-25
PBX 3150111-4414
C00812725
C008/2724

j
 ANEXO A"L1STA DE VERIFICACiÓN PARA USUARIOS FINALES"

FUERZAS MILITARES DE COLOMBIA

COMANDO GENERAL

CONSECUTIVO:

DEPENDENCIA O PROCESO:

LUGAR: FECHA: HORA:

ALCANCE: ESTA LISTA DE VERIFICACiÓN APLICA PARA LOS USUARIOS DE ACTIVOS INFORMÁTICOS DE LAS FUERZAS MILITARES

OBJETO:

· VERIFICAR LA APLICACiÓN DE LAS pOLíTICAS DE SEGURIDAD DE LA INFORMACiÓN.

· IDENTIFICAR MEJORAS
TECNOLÓGICOS.
EN LOS PROCEDIMIENTOS UTILIZADOS POR EL USUARIO PARA EL MANEJO DE INFORMACiÓN DIGITAL Y SERVICIOS

· DAR RECOMENDACIONES QUE PROPICIEN EL MEJORAMIENTO EN LOS CONTROLES ADOPTADOS POR LA DEPENDENCIA, USUARIOS O PROCESO.

GRADO Y NOMBRE DEL AUDITOR:

NUM ASPECTO A EVALUAR SI NO OBSERVACiÓN

SEGURIDAD INFORMATICA
1 CONOCE LAS FUNCIONES QUE LE FUERON ASIGNADAS. 10 O

CONOCE LA POLlTICA DE SEGURIDAD INFORMÁTICA EN LAS FUERZAS MILITARES. (Mencione

2 10 O
Alguna)

3 TIENE TARJETA DE MANEJO DOCUMENTAL. (Grado De Clasificación) 5 O

4 ESTA VIGENTE LA TARJETA DE MANEJO DOCUMENTAL. (Verificar Tarjeta) 15 O

POR RAZONES DEL SERVICIO TRANSPORTA INFORMACiÓN FUERA DE LA INSTITUCiÓN EN

5 DISPOSITIVOS PERSONALES Y/O INSTITUCIONALES. (Marque SI, si utiliza algún mecanismo de 10 O
seguridad - verificar mecanismo, de lo contrario marque NO)

CONOCE DE LOS RIESGOS DE TRANSPORTAR INFORMACION FUERA DE LA INSTITUCION.

6 5 O
(indique dos(2»

ASUME LOS RIESGOS Y ES CONCIENTE DEL PELIGRO DE TRANSPORTAR INFORMACION

7 5 O
FUERA DE LA INSTITUCiÓN.

TIENE ASIGNADO ALGUN ACTIVO INFORMATICO PARA REALIZAR SUS FUNCIONES. (Indicar
8 5 O
cuantos equipos tiene asignados)

CORRESPONDE EL GRADO DE CLASIFICACION DEL ACTIVO INFORMATICO CON EL GRADO DE

9 CLASIFICACiÓN DE LA TARJETA DE MANEJO DOCUMENTAL. (Marque si, si el grado de 10 O
clasificación de la tarjeta de manejo documental es superior)

HA RECIBIDO INFORMACION, CAPACITACION O INSTRUCCIONES REFERENTES A SEGURIDAD

10 10 O
INFORMÁTICA. (Marque si, si fue recibida igualo menor a un año)

11 SU COMPUTADOR TIENE ACCESO A INTERNET O O

ALMACENA INFORMACION INSTITUCIONAL DE CLASIFICACION RESERVADO O SUPERIOR EN

12 O 10
SU COMPUTADOR. (Marque SI, si la respuesta del numeral 11 fue afirmativa)

13 TIENE ASIGNADO CUENTA DE CORREO INSTITUCIONAL. (Indicar cuenta de correo) 5 O

14 REALIZA PERIODICAMENTE BACKUP DE LA INFORMACION. (Verificar Donde y Como) O 10

15 ESTA AUTORIZADO PARA INGRESAR A INTERNET. (Verificar autorización) 10 O

16 10 O
CAMBIA PERiÓDICAMENTE SUS CLAVES DE ACCESO AL COMPUTADOR Y AL CORREO

Página 1 de 2
 ANEXO A"L1STA DE VERIFICACiÓN PARA USUARIOS FINALES"

ELECTRONICO.

17 EL CAMBIO DE CLAVE DE ACCESO ES MENOR A UN MES. 10 O

18 TIENE ACTIVADO EL BLOQUEO AUTOMATICO DEL COMPUTADOR. 5 O

19 BLOQUEA O APAGA SU COMPUTADOR EN HORAS DE ALMUERZO 5 O

20 TIENE BLOQUEADOS LOS DISPOSITIVOS REMOVIBLES DEL COMPUTADOR. (Verificar) 10 O

21 COMPARTE SU ACTIVO INFORMATICO CON OTRO FUNCIONARIO DE LA INSTITUCION. 5 O

22 TIENE ANTIVIRUS EL EQUIPO ASIGNADO. 5 O

23 LA FECHA DE ACTUALlZACION DEL ANTIVIRUS ES MENOR A 15 DIAS 5 O

24 HA SIDO VíCTIMA DE ALGÚN ATAQUE INFORMÁTICO (VIRUS, TROYANOS, ROOTKIT, ETC). O O

25 HA PERDIDO INFORMACION POR CAUSA DE ALGUN VIRUS O TROJANO O O

26 CONOCE LOS PROCEDIMIENTOS PARA REPORTAR LOS INCIDENTES INFORMÁTICOS 10 O

CONOCE ALGUN NUMERO DE EXTENSION O TELEFONO PARA REPORTAR ATAQUES O

27 10 O
INCIDENTES INFORMÁTICOS

CONOCE EL PERSONAL ENCARGADO DE LA SEGURIDAD INFORMATICA EN SU UNIDAD O

28 10 O
COMANDO (Menciónelo)

29 POR FUNCIONES DE SU TRABAJO ENVíA INFORMACiÓN A TRAVÉS DE INTERNET. O O

SE UTILIZA SOFTWARE DE ENCRIPTACION PARA ENVIAR INFORMACION CLASIFICADA VIA

30 10 O
INTERNET. (Marque Si, si se indica y verifica el software)

TOTAL PUNTOS DE AUDITORIA

VALORES DE REFERENCIA CALlFICACION:

CALlFICACION VALOR DE REFERENCIA

EXCELENTE Entre 195-215 puntos
MUY BUENO Entre 173-194 puntos
BUENO Entre 152-172 puntos
ACEPTABLE Entre 130-151 puntos
DEFICIENTE Entre 86-129 puntos

OBSERVACIONES:

FIRMA AUDITOR FIRMA JEFE DE PROCESO O DEPENDENCIA AUDITADA

Página 2 de 2
 ANEXO B "LISTA DE VERIFICACiÓN PARA EL AREA DE INFORMÁTICA"

FUERZAS MILITARES DE COLOMBIA

COMANDO GENERAL

CONSECUTIVO:

DEPENDENCIA O PROCESO:

LUGAR: FECHA: HORA:

ALCANCE: ESTA LISTA DE VERIFICACiÓN APLICA ÚNICAMENTE PARA ÁREAS O DEPENDENCIAS DE INFORMÁTICA O TECNOLOGíA

OBJETO:

· IDENTIFICAR LA APLICACiÓN DE LAS pOLíTICAS DE SEGURIDAD DE LA INFORMACiÓN.

· IDENTIFICAR MEJORAS
TECNOLÓGICOS.
EN LOS PROCEDIMIENTOS UTILIZADOS POR LA DEPENDENCIA PARA EL MANEJO DE INFORMACiÓN DIGITAL Y SERVICIOS

· DAR RECOMENDACIONES QUE PROPICIEN EL MEJORAMIENTO EN LOS CONTROLES ADOPTADOS POR LA DEPENDENCIA O PROCESO.

GRADO Y NOMBRE DEL AUDITOR:

NUM ASPECTO A EVALUAR SI NO OBSERVACiÓN

GENERALIDADES
TIENE LOS FORMATOS DE ACEPTACiÓN DE POLlTICAS DE SEGURIDAD INFORMATICA
1 10 O
DILIGENCIADOS POR LOS USUARIOS. (Verificar formatos)

HA DADO INSTRUCCION, CAPACITACION O SENSIBILlZACION EN SEGURIDAD INFORMATICA. (

2 10 O
Marque si, si existen evidencias: actas, registros, etc)

3 EXISTE ALGUN AREA O SECCION ENCARGADA DE SEGURIDAD INFORMATICA EN LA UNIDAD. 10 O

ESTA NOMBRADO MEDIANTE ORDEN O DOCUMENTO EL OFICIAL DE SEGURIDAD INFORMATICA

4 10 O
EN SU UNIDAD.

5 CONOCE LA POLlTICA DE SEGURIDAD INFORMATICA VIGENTE PARA LAS FF MM. (Mencionar) 10 O

DIFUNDE DENTRO DE SU UNIDAD LAS POLlTICAS DE SEGURIDAD INFORMATICA. (Verificar

6 10 O
como se hace la difusión)

7 SU UNIDAD TIENE UNA MATRIZ DE RIESGOS INFORMATICOS (verificar) 10 O

LOS FUNCIONARIOS QUE LABORAN EN SU UNIDAD TIENEN ESTUDIO DE SEGURIDAD

8 10 O
ACTUALIZADO. (verificar)

9 EXISTE UN INVENTARIO DE LOS ACTIVOS INFORMÁTICOS ASIGNADOS A SU UNIDAD. (verificar) 10 O

10 EXISTE EL REGISTRO Y/O HOJA DE VIDA DE LOS ACTIVOS INFORMÁTICOS (Verificar) 10 O

EXISTE DOCUMENTO DE ASIGNACION DE ACTIVOS INFORMATICOS A CADA FUNCIONARIO.

11 10 O
(Verificar)

12 LABORA PERSONAL CIVIL EN SU UNIDAD, CUANTOS? O O

13 LABORA PERSONAL MILITAR EN SU UNIDAD, CUANTOS? O O

SE LES HA REALIZADO EXAMEN TÉCNICO PSICOFISIOLOGICO DE VERACIDAD AL PERSONAL

14 10 O
DE SU UNIDAD (Verificar con sección de Contrainteligencia)

15 SE CONTROLA EL TRABAJO FUERA DE HORARIO, COMO? 10 O

16 EXISTE CONTROL DE INGRESO Y SALIDA DE EQUIPOS EN SU UNIDAD. 10 O

17 UTILIZA LOS FORMATOS PARA AUTORIZACiÓN DE CORREO ELECTRÓNICO. 10 O

Página 1 de 3
 ANEXO B "LISTA DE VERIFICACiÓN PARA EL AREA DE INFORMÁTICA"

18 UTILIZA LOS FORMATOS PARA AUTORIZACiÓN DE ACCESO A INTERNET 10 O

SE EFECTÚA EL BLOQUEO DE CORREOS ELECTRÓNICOS INSEGUROS PARA QUE NO

19 10 O
PERMITAN EL ENVio INFORMACiÓN SENSIBLE. (Verificar)

UTILIZA ALGUNA HERRAMIENTA PARA CONTROLAR LOS DISPOSITIVOS DE ALMACENAMIENTO

20 10 O
COMO USB y SIMILARES.

21 TIENE IMPLEMENTADO UN SISTEMA DE BACKUP DE INFORMACiÓN. 10 O

TIENE COPIAS DE SEGURIDAD EN UN LUGAR DISTINTO AL CENTRO DE CÓMPUTO O AREA DE

22 10 O
SISTEMAS.

UTILIZA SU DEPENDENCIA CONEXIONES INALAMBRICAS PARA ACCESO A INTERNET O

23 O O
INTRANET

SE UTILIZA SOFTWARE Y HARDWARE PARA EVITAR LA FUGA DE INFORMACION DE EQUIPOS

24 10 O
DE CÓMPUTO QUE PROCESAN INFORMACiÓN

25 EXISTE AREA DE SANITIZACION DE MEDIOS INFORMATICOS(ANTIVIRUS, ANTI-SPYWARE, ETC) 10 O

.... - _.__ .
SEGURIDAD ENTORNO FíSICO
26 TIENE CONTROL DE ACCESO AL AREA DE SISTEMAS. 10 O

27 CUENTA CON SISTEMA DE DETECCION DE INCENDIOS. 10 O

28 CUENTA CON SISTEMA DE EXTINCION DE INCENDIOS 10 O

ESTA EL PERSONAL CAPACITADO PARA OPERAR MANUALMENTE EL SISTEMA DE EXTINCION

29 10 O
DE INCENDIOS.

30 EXISTE UN PROCEDIMIENTO DE ACCION EN CASO EMERGENCIA POR FUEGO. 10 O

31 EXISTE UNA BITACORA DE INGRESOS AL AREA DE SERVIDORES O CENTRO DE COMPUTO. 10 O

LOS CESTOS O PAPELERAS SON DE MATERIAL METALlCO QUE EVITE LA PROPAGACION DEL
32 10 O
FUEGO.

CENTRO DE COMPUTO

TIENE CONTROL DE ACCESO POR SISTEMA BIOMÉTRICO, DE PROXIMIDAD O SIMILAR EN EL

33 10 O
CENTRO DE COMPUTO

34 CUENTA CON SISTEMA DE DETECCION DE INCENDIOS PARA EL CENTRO DE COMPUTO 10 O

35 CUENTA CON SISTEMA DE EXTINCION DE INCENDIOS PARA UN CENTRO DE COMPUTO 10 O

LOS EXTINTORES MANUALES O AUTOMÁTICOS UTILIZAN UN AGENTE QUE NO DAÑE LOS

36 10 O
EQUIPOS

VERIFICA PERiÓDICAMENTE QUE LOS EXTINTORES ESTÉN CARGADOS Y FUNCIONANDO

37 10 O
CORRECTAMENTE

EXISTE PROCEDIMIENTOS PARA LA REALIZACiÓN DE MANTENIMIENTOS DE LOS EQUIPOS DEL

38 10 O
CENTRO DE CÓMPUTO.

39 EXISTE CABLEADO ESTRUCTURADO EN SU UNIDAD. 10 O

40 ESTA SEPARADO EL SERVICIO ELÉCTRICO Y DE DATOS EN EL CABLEADO ESTRUCTURADO. 10 O

Página 2 de 3
 ANEXO B "LISTA DE VERIFICACiÓN PARA EL AREA DE INFORMÁTICA"

41 TIENE AIRE ACONDICIONADO CENTRAL DE ALTA PRECISION. 10 O

42 TIENE SISTEMA DE RESPALDO ELECTRICO-UPS. 10 O

EXISTE UNA FUENTE ELÉCTRICA DE RESPALDO POR SALIDA DE FUNCIONAMIENTO DE LA

43 10 O
PRINCIPAL.

44 TIENE CIRCUITO CERRADO DE TELEVISION. 10 O

45 SE ENCUENTRA EL SISTEMA DE ADMINISTRACiÓN CCTV FUERA DE CENTRO DE CÓMPUTO. 10 O

46 LAS PUERTAS DE SEGURIDAD SON ANTIPANICO. 10 O

EXISTEN ELEMENTOS ALTAMENTE INFLAMABLES COMO CARTÓN, PAPEL, MADERA, ETC,

47 O 10
DENTRO DEL CENTRO DE CÓMPUTO O ÁREA DE SERVIDORES.

TOTAL PUNTOS DE AUDITORIA

VALORES DE REFERENCIA: CALIFICACiÓN:

CALlFICACION VALOR DE REFERENCIA

EXCELENTE Entre 397-440 puntos
MUY BUENO Entre 353-396 puntos
BUENO Entre 309-352 ountos
ACEPTABLE Entre 265-308Duntos
DEFICIENTE Entre 176-264 ountos

OBSERVACIONES:

FIRMA AUDITOR FIRMA JEFE DE PROCESO O DEPENDENCIA AUDITADA

Página 3 de 3
 ANEXO C "LISTA DE VERIFICACiÓN PARA MANEJO DE INFORMACiÓN SENSIBLE O CLASIFICADA"

FUERZAS MILITARES DE COLOMBIA

COMANDO GENERAL

CONSECUTIVO:

DEPENDENCIA O PROCESO:

LUGAR: FECHA: HORA:

ALCANCE: ESTA LISTA DE VERIFICACiÓN APLICA ÚNICAMENTE PARA ÁREAS O DEPENDENCIAS QUE MANEJEN INFORMACiÓN SENSIBLE O CLASIFICADA.

OBJETO:

· IDENTIFICAR
CLASIFICADA.
LOS CONTROLES ESTABLECIDOS POR LA DEPENDENCIA O PROCESO PARA EL MANEJO DE INFORMACiÓN SENSIBLE O

· IDENTIFICAR
CLASIFICADA.
MEJORAS EN LOS PROCEDIMIENTOS UTILIZADOS POR LA DEPENDENCIA PARA EL MANEJO DE INFORMACiÓN SENSIBLE O

· DAR RECOMENDACIONES QUE PROPICIEN EL MEJORAMIENTO EN LOS CONTROLES ADOPTADOS POR LA DEPENDENCIA O PROCESO.

GRADO Y NOMBRE DEL AUDITOR:

NUM ASPECTO A EVALUAR SI NO OBSERVACiÓN

SEGURIDAD FíSICA

1 TIENE CONTROLES DE ACCESO PARA EL PERSONAL QUE LABORA EN SU UNIDAD. 10 O

2 TIENE PUERTAS DE ACCESO CONTROLADA EN ÁREAS RESTRINGIDAS. 10 O

3 TIENE ÁREAS DE RECEPCiÓN ATENDIDAS. 10 O

4 TOMA MEDIDAS DE SEGURIDAD FíSICA PARA OFICINAS. RECINTOS E INSTALACIONES. 10 O

TIENE PROTECCiÓN FíSICA CONTRA DAÑO POR INCENDIO. INUNDACiÓN. TERREMOTO.

5 EXPLOSiÓN. MANIFESTACIONES SOCIALES Y OTRAS FORMAS DE DESASTRE NATURAL O 10 O
ARTIFICIAL.

6 TIENE AVISOS O SEÑALES QUE INDIQUEN QUE EL ÁREA ES RESTRINGIDA. 10 O

LOS EQUIPOS DE COMPUTO ESTÁN UBICADOS O PROTEGIDOS PARA REDUCIR EL RIESGO

7 DEBIDO A AMENAZAS O PELIGROS DEL ENTORNO Y LAS OPORTUNIDADES DE ACCESO NO 10 O
AUTORIZADO.

8 EXISTE BITÁCORA DE INGRESO DE PERSONAL NO AUTORIZADO AL ÁREA RESTRINGIDA. 10 O

9 LOS PUESTOS DE TRABAJO TIENE LOCKERS O CAJONES CON SEGURIDAD. 10 O

10 CUENTA CON SISTEMA DE DETECCiÓN DE INCENDIOS. 10 O

11 CUENTA CON SISTEMA DE EXTINCiÓN DE INCENDIOS. 10 O

12 TIENE SEÑALES DE SALIDA DE EMERGENCIA. 10 O

13 TIENE PLANO DE RUTA DE EVACUACiÓN EN CASO DE EMERGENCIA. 10 O

DURANTE EL ÚLTIMO AÑO HA REALIZADO INSPECCiÓN TÉCNICA AL ÁREA PARA EVITAR

14 10 O
MICRÓFONOS. CÁMARAS. ETC
.-

t[~Q,~19M>i1X~§~)~~~NTOS S~~~IIaLES O CLASIFICADp~: ~

1;'
': :','
jo;,;
'"&%:: .
15 ESTA NOMBRADO EL OFICIAL O SUBOFICIAL DE SEGURIDAD CUSTODIO 10 O

TODOS LOS FUNCIONARIOS TIENEN TARJETA DE AUTORIZACiÓN PARA CONOCER Y MANEJAR

16 10 O
INFORMACiÓN SENSIBLE (Verificar)

TIENE FIRMADA LA PROMESA DE RESERVA POR LOS FUNCIONARIOS QUE LABORAN EN ESTA
17 10 O
ÁREA. (Verificar promesas de reserva)

18 CUENTA CON CAJA FUERTE O BÓVEDA DE SEGURIDAD PARA ALMACENAR LA INFORMACiÓN. 10 O

LOS DOCUMENTOS CON CLASIFICACiÓN TIENEN SU GRADO ESTAMPADO EN LA PARTE

19 SUPERIOR E INFERIOR DE LAS HOJAS Y LA GOTA DE AGUA CENTRADA EN FORMA DIAGONAL. 10 O
(Verificar)

Página 1 de 2
 ANEXO C "LISTA DE VERIFICACiÓN PARA MANEJO DE INFORMACiÓN SENSIBLE O CLASIFICADA"

LAS HOJAS DE LOS DOCUMENTOS CLASIFICADOS SON ENUMERADAS EN FORMA

20 CONSECUTIVA Y AL FINAL ESPECIFICA EL NÚMERO DE FOLIOS QUE COMPONEN EL 10 O
DOCUMENTO. (Verificar)

10
21 TIENE CARATULAS DE SEGURIDAD PARA DOCUMENTOS CLASIFICADOS. (Verificar) o

22 TIENE LIBRO DE REGISTRO DE DOCUMENTOS CLASIFICADOS (verificar) 10 o

TIENE TRITURADORA PARA DESTRUCCiÓN DE LOS RESIDUOS Y BORRADORES DE 10
23 O
DOCUMENTOS SENSIBLES.

TIENE ACTAS DE INCINERACiÓN Y/O DESTRUCCiÓN DE LOS DOCUMENTOS CLASIFICADOS

24 O
CON LA PARTICIPACiÓN DEL OFICIAL Ó SUBOFICIAL DE CONTRAINTELlGENCIA. (Verificar) 10

TIENE BITÁCORA DE CAMBIOS DE LAS CLAVES DE LAS CAJAS FUERTES. BÓVEDAS Y 10

25 O
ARCHIVADORES DE SEGURIDAD. (Verificar)

TIENE INVENTARIO O RELACiÓN DE DOCUMENTOS CON CLASIFICACiÓN SECRETO Y

26 O
ULTRASECRETO (ACTAS, LIBROS DE REGISTRO. PLANILLAS ETC.). (Verificar) 10

27 LOS DOCUMENTOS LLEVAN LA INFORMACiÓN DE QUIEN ELABORO Y REVISO EL DOCUMENTO. 10 O

28 SE PERMITE EL ACCESO DEL PERSONAL CON EQUIPOS DE COMUNICACiÓN MÓVIL 10 O

29 SE PERMITE EL ACCESO DE CAMA RAS FOTOGRAFICAS 10 O
30 SE PERMITE EL ACCESO DE MEDIOS DE ALMACENAMIENTO (USB, DISCOS DUROS, ECT). 10 O
TIENE AVISOS DE PROHIBICION DE INGRESO DE EQUIPOS ELECTRONICOS(CAMARAS. 10 O
31
CELULARES, DISCOS DUROS,ETC)
32 REALIZA COPIAS DE SEGURIDAD DE LOS DOCUMENTOS CRíTICOS. 10 O

33 TIENE ALMACENADA INFORMACiÓN SENSIBLE O CLASIFICADA EN FORMA DIGITAL. 10 O

UTILIZA ENCRIPCIÓN PARA PROTEGER LA INFORMACiÓN SENSIBLE O CLASIFICADA 10
34 O
ALMACENADA DE FORMA DIGITAL.

PUNTAJE TOTAL
CALlFICACION:
VALORES DE REFERENCIA

CALIFICACION VALOR DE REFERENCIA

EXCELENTE Entre 307-340 puntos
MUY BUENO Entre 273-306 puntos
BUENO Entre 239-272 puntos
ACEPTABLE Entre 205-238 puntos
DEFICIENTE Entre 136-204 puntos

OBSERVACIONES:

FIRMA AUDITOR FIRMA JEFE DE PROCESO O DEPENDENCIA AUDITADA

Página 2 de 2