Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Se emite la presente declaración de aplicabilidad de controles para el Sistema de Gestión de Seguridad de la Información - SGSI, en función a la delegación de la Dirección General del Instituto de Desarrollo Urbano – IDU, a la
Subdirección General de Gestión Corporativa SGGC, como responsable de implementar, operar, mantener y mejorar el SGSI, para determinar los resultados de la identificación, y valoración de riesgos de seguridad de la información,
así como la formulación de actividades de tratamiento de riesgos, que cada líder operativo de proceso ha estimado convenientes, para mitigarlos y operar de forma segura y conforme los requisitos de los servicios ofrecidos por la
entidad.
Los controles aplicables para la operación del Sistema de Gestión de Seguridad de la Información, son los numerales que se relacionan a continuación en el “Detalle de la Declaración de Aplicabilidad”, tramitado con base en las
recomendaciones de la norma NTC/ISO 27001:2013.
La presente declaración de aplicabilidad será revisada conjuntamente con los resultados de cada nuevo proceso de valoración de riesgos y/o ante cambios significativos de los elementos de la plataforma tecnológica y/o de personal.
Esta información, será material de comparación en los procesos de revisión por la dirección del SGSI, en los periodos convenidos para su actualización.
Carlos Humberto Moreno Bermúdez Gustavo Adolfo Vélez Achury Isauro Cabrera Vega
Subdirector General de Gestión Subdirector Técnico de Recursos
Jefe Oficina Asesora de Planeación
Corporativa Tecnológicos
A continuación, se presenta el detalle de la Declaración de Aplicabilidad de los controles necesarios para gestionar los riesgos que afectan a la Seguridad de la Información, que fueron identificados y valorados en el Instituto de
Desarrollo Urbano - IDU.
Control
Dominio Subdominio Objetivos de Control Aplica Justificación Declaración de Aplicabilidad
Actual
Se adopta este control, puesto que se debe definir un
Políticas para la seguridad de la conjunto de políticas para la Seguridad de la
A.5.1.1 SI Información, aprobadas por la Dirección, publicadas y Publicación de la Resolución 34217 de 2015.
Información
A.5. POLITICAS DE LA A.5.1. ORIENTACION DE LA DIRECCION PARA LA comunicadas a los empleados y partes externas
SEGURIDAD DE LA GESTION DE LA SEGURIDAD DE LA pertinentes.
Se adopta este control, puesto que las políticas se
INFORMACION INFORMACION
deben revisar a intervalos planificados, o sí ocurren Acta de reunión del Comité SIG, en donde se
Revisión de las Políticas para la
A.5.1.2 SI cambios significativos para asegurar su conveniencia, evidencia la revisión de las políticas de los
seguridad de la Información
adecuación y eficacias continuas. Subsistemas y su debida alineación.
Se adopta este control, puesto que se deben definir y Documento Responsabilidades ante el SGSI (en
asignar todas las responsabilidades de la Seguridad de construcción). Este documento pretende
la Información. explicar las exigencias desde y hacia los
Roles y responsabilidades para la
A.6.1.1 SI colaboradores del Instituto, frente a la
Seguridad de la Información
seguridad de la Información, haciendo un
recorrido, punto a punto de la norma de
referencia NTC-ISO 27001.
Se adopta este control, puesto que los deberes y
áreas de responsabilidad en conflicto se deben Documento SERVICIOS TI VS GRUPOS DE
A.6.1.2 Separación de Deberes SI separar, para reducir las posibilidades de modificación TRABAJO. Es un documento similar a la matriz
no autorizada, o no intencional, o el uso indebido de RACI.
los activos de la organización.
A.6.1. ORGANIZACIÓN INTERNA
A.6. ORGANIZACIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
Formato: FO-AC-07 Versión: 2 Página 1
FORMATO
DECLARACIÓN DE APLICABILIDAD (DDA) PARA SEGURIDAD DE LA INFORMACIÓN
CODIGO PROCESO VERSIÓN
FO-TI-27 GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN 1
A.6.1. ORGANIZACIÓN INTERNA Se adopta este control, puesto que se deben
mantener contactos apropiados con las autoridades Documento "Guía de contactos con las
A.6.1.3 Contacto con las autoridades SI pertinentes. autoridades y grupos de interés del IDU"
A.6. ORGANIZACIÓN DE LA
SEGURIDAD DE LA Se adopta este control, puesto que se deben
INFORMACIÓN Contacto con las grupos de interés mantener contactos apropiados con los grupos de Documento "Guía de contactos con las
A.6.1.4 SI interés especial, o foros, o asociaciones profesionales autoridades y grupos de interés del IDU"
especial
especializadas en seguridad.
Se adopta este control, puesto que la seguridad de la
Seguridad de la Información en la Información se debe tratar en la gestión de proyectos, Formato Lista de chequeo - Seguridad de la
A.6.1.5 SI
Gestión de Proyectos independientemente del tipo de proyecto. Información en los Proyectos
Se adopta este control, puesto que se debe adoptar Resolución 34217 de 2015.
una política y unas medidas de seguridad de soporte,
A.6.2.1 Política para dispositivos móviles SI para gestionar los riesgos introducidos por el uso de Instructivo de uso adecuado de los dispositivos
dispositivos móviles. de almacenamiento de información (IN-TI-05)
A.6.2. DISPOSITIVOS MÓVILES Y TELETRABAJO Se adopta este control, puesto que se debe
implementar una política y unas medidas de Resolución 34217 de 2015.
A.6.2.2 Teletrabajo SI seguridad de soporte, para proteger la información a
la que se tiene acceso, que es procesada o Libro Blanco de Teletrabajo IDU (GU-TH-01)
almacenada en los lugares en los que se realiza el
teletrabajo.
Se adopta este control, puesto que las verificaciones Consideraciones en la definición de las
de los antecedentes de todos los candidatos a un requisiciones de personal de planta, o
empleo se deben llevar a cabo de acuerdo con las requisitos para contratación de prestación de
Seguridad de los Recursos humanos / leyes, reglamentaciones y ética pertinentes, y deben servicios profesionales. (Se debe procurar la
A.7.1.1 SI
Selección ser proporcionales a los requisitos del negocio, a la inclusión de elementos de seguridad de la
clasificación de la información a que se va a tener información en la definición de perfiles de
acceso, y a los riesgos percibidos. cargo. – En revisión con Gestión del Talento
A.7.1. ANTES DE ASUMIR EL EMPLEO
Humano y Gestión Contractual).
Se adopta este control, puesto que los acuerdos
Solicitud a Gestión del Talento Humano, para la
contractuales con los empleados y contratistas deben
inclusión de obligaciones y responsabilidades
establecer sus responsabilidades y las de la
A.7.1.2 Términos y condiciones del empleo SI específicas frente a la seguridad de la
organización en cuanto a la seguridad de la
información, tanto para servidores de planta
información.
como para contratistas de apoyo. (En trámite).
Se adopta este control, puesto que la dirección debe Resolución 34217 de 2015.
exigir a todos los empleados y contratistas la
aplicación de la seguridad de la información de Documento Responsabilidades ante el SGSI (en
acuerdo con las políticas y procedimientos construcción). Este documento pretende
A.7.2.1 Responsabilidades de la Dirección SI establecidos por la organización. explicar las exigencias desde y hacia los
colaboradores del Instituto, frente a la
seguridad de la Información, haciendo un
recorrido, punto a punto de la norma de
A.7. SEGURIDAD DE LOS
referencia NTC-ISO 27001.
RECURSOS HUMANOS Se adopta este control, puesto que todos los
empleados de la organización, y en donde sea
Toma de Conciencia, Educación y pertinente, los contratistas, deben recibir la
A.7.2. DURANTE LA EJECUCION DEL EMPLEO A.7.2.2 Formación en la Seguridad de la SI educación y formación en toma de conciencia Bienvenidas, Inducciones, reinducciones,
Información apropiada, y actualizaciones regulares sobre las Campañas con OAC, Tertulias.
políticas y procedimientos de la organización
pertinentes para su cargo.
FORMATO
A.7.2. DURANTE LA EJECUCION DEL EMPLEO
DECLARACIÓN DE APLICABILIDAD (DDA) PARA SEGURIDAD DE LA INFORMACIÓN
CODIGO PROCESO VERSIÓN
FO-TI-27 GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN 1
Se adopta este control, puesto que se debe contar Procedimiento de control disciplinario
con un proceso formal, el cual debe ser comunicado, ordinario (PR-007)
para emprender acciones contra empleados que
hayan cometido una violación a la seguridad de la Procedimiento de control disciplinario verbal
A.7.2.3 Proceso Disciplinario SI
información. (PR-008)
FORMATO
DECLARACIÓN DE APLICABILIDAD (DDA) PARA SEGURIDAD DE LA INFORMACIÓN
A.8.2. CLASIFICACION DE LA INFORMACION
CODIGO PROCESO VERSIÓN
FO-TI-27 GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN 1
Se adopta este control, puesto que se deben Procedimiento Gestión de activos de
desarrollar e implementar procedimientos para el información (PR-TI-13)
manejo de activos, de acuerdo con el esquema de
clasificación adoptado por la organización. Formato Matriz de activos de información (FO-
A.8.2.3 Manejo de Activos SI
TI-03)
Se adopta este control, puesto que se debe disponer Instructivo borrado seguro de datos y formateo
en forma segura de los medios cuando ya no se final de equipos (en construcción). Este
A.8.3. MANEJO DE MEDIOS requieran, usando procedimientos formales.
A.8.3.2 Disposición de los Medios SI documento describe las actividades necesarias
para eliminar permanentemente información
de los medios de almacenamiento.
Se adopta este control, puesto que Los medios que
contienen información, se deben proteger contra Instructivo de uso adecuado de los dispositivos
A.8.3.3 Transferencia de Medios Físicos SI
acceso no autorizado, uso indebido o corrupción de almacenamiento de información (IN-TI-05)
durante el transporte.
Se adopta este control, puesto que se debe
establecer, documentar y revisar una política de
A.9.1.1 Política de Control de Acceso SI control de acceso con base en los requisitos del Resolución 34217 de 2015.
negocio y de seguridad de la información.
Se adopta este control, puesto que los propietarios de Instructivo Revisión de los Derechos de Acceso
los activos deben revisar los derechos de acceso de de los Usuarios (En construcción). Pretende
Revisión de los derechos de Acceso de los usuarios, a intervalos regulares.
A.9.2.5 SI que los líderes de los procesos institucionales
Usuarios
revisen los derechos de acceso a los recursos
de TI del personal a su cargo.
Se adopta este control, puesto que los derechos de
A.9. CONTROL DE ACCESO acceso de todos los empleados y de los usuarios Procedimiento Gestionar usuarios tecnológicos
externos a la información y a las instalaciones de (PR-TI-02)
A.9.2.6 Retiro o ajuste de derechos de acceso SI procesamiento de información se deben retirar al
terminar su empleo, contrato o acuerdo, o se deben Formato Solicitud desactivación servicios
ajustar cuando se hagan cambios. tecnología(FO-TI-01)
Se adopta este control, puesto que el acceso a la Instructivo de uso adecuado de las carpetas
información y a las funciones de los sistemas de las compartidas (en construcción). Este control
A.9.4.1 Restricción de Acceso a la Información SI aplicaciones se debe restringir de acuerdo con la pretende establecer normas para la correcta
política de control de acceso. utilización de los recursos compartidos.
Se adopta este control, puesto que cuando lo requiere
la política de control de acceso, el acceso a sistemas y Procedimiento Gestionar usuarios tecnológicos
A.9.4.2 Procedimiento de Ingreso Seguro SI aplicaciones se debe controlar mediante un proceso (PR-TI-02)
de ingreso seguro.
Se adopta este control, puesto que los sistemas de Procedimiento Gestionar usuarios tecnológicos
gestión de contraseñas deben ser interactivos y deben (PR-TI-02)
A.9.4.3 Sistema de Gestión de Contraseñas SI asegurar la calidad de las contraseñas
Instructivo de administración del directorio
activo (IN-TI-07)
Se adopta este control, puesto que se debe restringir Instructivo de uso de herramientas de la mesa
y controlar estrictamente el uso de programas de servicios (Control en construcción). Este
A.9.4. CONTROL DE ACCESO A SISTEMAS Y Uso de programas utilitarios utilitarios que podrían tener capacidad de anular el control pretende identificar y delimitar el uso
APLICACIONES. A.9.4.4 SI
privilegiados sistema y los controles de las aplicaciones. las herramientas de software especializadas
para la prestación de soporte informático.
Se adopta este control, puesto que se debe restringir Manual de Gestión de la configuración para
el acceso a los códigos fuente de los programas. proyectos de tecnologías de información (En
construcción). Pretende establecer y mantener
la integridad sobre los productos que se
obtienen a lo largo de la ejecución del ciclo de
vida de un proyecto de construcción de
Control de Acceso a Códigos Fuente de software.
A.9.4.5 SI
Programas
Instructivo de definición y uso de los ambientes
de trabajo para desarrollo de software (En
construcción). Este documento pretende
formalizar las condiciones de trabajo y
responsabilidades de uso de los diferentes
ambientes de trabajo para la construcción de
Se adopta este control, puesto que las áreas seguras Memorando 20155260339143 de Gestión de
se deben proteger mediante controles de acceso Recursos Físicos respecto al SGSI
A.11.1.2 Controles de acceso físico SI apropiados para asegurar que sólo se permite el
acceso a personal autorizado. Manual seguridad y vigilancia (MG-RF-03),
numeral 6.5 Procedimientos de Ingreso.
Se adopta este control, puesto que Se debe diseñar y
Seguridad de oficinas, recintos e Memorando 20155260339143 de Gestión de
A.11.1.3 SI aplicar seguridad física a oficinas, recintos e
instalaciones Recursos Físicos respecto al SGSI
instalaciones.
A.11.1. AREAS SEGURAS.
Se adopta este control, puesto que se debe diseñar y
Protección contra amenazas externas y aplicar protección física contra desastres naturales, Memorando 20155260339143 de Gestión de
A.11.1.4 SI
ambientales ataques maliciosos o accidentes. Recursos Físicos respecto al SGSI
Se adopta este control, puesto que se debe diseñar y Memorando 20155260339143 de Gestión de
A.11.1.5 Trabajo en áreas seguras SI aplicar procedimientos para trabajo en áreas seguras. Recursos Físicos respecto al SGSI
Se adopta este control, puesto que los requisitos y Procedimiento Revisión a la plataforma de
actividades de auditoría que involucran la verificación tecnología de información (PR-TI-18)
de los sistemas operativos se deben planificar y
acordar cuidadosamente para minimizar las Auditorías regulares de OCI
interrupciones en los procesos de negocio.
A.12.7. CONSIDERACIONES SOBRE AUDITORIAS Controles de auditorias de sistemas de
A.12.7.1 SI Instructivo Revisión de registros automáticos
DE SISTEMAS DE INFORMACION información
de la plataforma de TI (en construcción). Este
documento permite que se definan aspectos
básicos para tener en cuenta en la tarea de
revisar los archivos de registro de eventos, de
los elementos de tecnología.
Se adopta este control, puesto que las redes se deben Procedimiento de Gestión de
gestionar y controlar para proteger la información en telecomunicaciones (PR-TI-23)
sistemas y aplicaciones.
Documento de gestión de las
A.13.1.1 Controles de Redes SI
telecomunicaciones del instituto (en
construcción). Este documento centraliza las
actividades que se realizan para gestionar la
conectividad de los usuarios a la red de datos.
Se adopta este control, puesto que se deben Procedimiento de Gestión de
identificar los mecanismos de seguridad, los niveles telecomunicaciones (PR-TI-23)
de servicio y los requisitos de gestión de todos los
A.13.1 GESTION DE LA SEGURIDAD DE LAS servicios de red, e incluirlos en los acuerdos de Documento de gestión de las
A.13.1.2 Seguridad en los servicios de red SI servicio de red, ya sea que los servicios se presten
REDES telecomunicaciones del instituto (en
internamente o se contraten. construcción). Este documento centraliza las
actividades que se realizan para gestionar la
conectividad de los usuarios a la red de datos.
Se adopta este control, puesto que las organizaciones Procedimiento Gestión de compras de
Seguimiento y revisión de los servicios deben hacer seguimiento, revisar y auditar con
A.15.2.1 SI productos y o servicios de tecnología de
de los proveedores regularidad la prestación de servicios de los información (PR-TI-21)
proveedores.
Se adopta este control, puesto que se deben
A.15.2. GESTIÓN DE LA PRESTACIÓN DE LOS gestionar los cambios en el suministro de servicios
Procedimiento Gestión de compras de
SERVICIOS DE PROVEEDORES. por parte de los proveedores, incluido el
productos y o servicios de tecnología de
Gestión de Cambios en los Servicios de mantenimiento y la mejora de las políticas,
A.15.2.2 SI información (PR-TI-21)
los Proveedores procedimientos y controles de la seguridad de la
información existentes, teniendo en cuenta la
Procedimiento Gestión de cambios (PR-TI-08)
criticidad de la información, sistemas y procesos del
negocio involucrados, la reevaluación de los riesgos.