Plan de Tratamiento

28/01/2015
Tabla de Tratamiento Agrupado
Nombre
- A.5.1.1 Políticas para la
Seguridad de la Información
Definición de las
Políticas de Seguridad de la
Información
Entrenamiento y
capacitación de los usuarios
en las Políticas de Seguridad
de la Información
Firma del documento de
aceptación de las políticas de
seguridad de la Información
- A.5.1.2 Revisión de las
Políticas para la seguridad de
la información
Verificación de los
indicadores de Seguridad de
la Información
Verificar el cumplimiento
de las políticas de seguridad
de la información
Definir e implementar los
puntos de mejora para las
Políticas y procedimientos
que no cumplan con las
expectativas
Responsable Recurso Plazo
Oficial de Seguridad de la Documentación del SGSI 27/02/2015 00:00:00
Información
Oficial de Seguridad de la Documentación del SGSI 30/01/2015 00:00:00
Información
Gestión de Talento Documentación del SGSI 21/02/2015 00:00:00
Humano
Gestión de Talento Documento de aceptación de 31/03/2015 00:00:00
Humano las políticas de seguridad
Oficial de Seguridad de la Documentación del SGSI 31/07/2015 00:00:00
Información
Oficial de Seguridad de la Indicadores de Seguridad de 31/07/2015 00:00:00
Información la Información
Director Administrativo Indicadores de Seguridad de 31/07/2015 00:00:00
la Información
Oficial de Seguridad de la Documentación del SGSI 28/08/2015 00:00:00
Información
- A.6.1.2 Separación de Gestión de Talento Documentación sobre la 31/03/2015 00:00:00
deberes Humano descripción de los cargos
Análisis de la Director de Área Documentación sobre la 30/04/2015 00:00:00
descripción de los cargos descripción de los cargos
para identificar actividades
que no cuenten con chequeo
cruzado, para que se
implementen
Identificación de Director de Área Documentación sobre la 30/04/2015 00:00:00
actividades de revisión, descripción de los cargos
aprobación, ejecución y
auditoría en un mismo cargo
para definir su separación
Formalización de la Gestión de Talento Documentación sobre la 30/04/2015 00:00:00
asignación de nuevas Humano descripción de los cargos
actividades a los funcionarios
correspondientes
- A.7.1.2 Términos y Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00
condiciones del empleo Humano
Formalizar con un acto Director General Acto administrativo 27/02/2015 00:00:00
administrativo la
implementación del SGSI en
CNMH
Sensibilización a los Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00
Funcionarios para entender Humano
las nuevas responsabilidades
que se asume con la
implementación del SGSI
ratificado con el acto
administrativo y la firma del
documento de aceptación de
las Políticas
- A.7.2.1 Responsabilidades
de la Dirección
Formalizar con un acto
administrativo la
implementación del SGSI en
CNMH
Gestión para la
asignación de los recursos
necesarios para la
implementación del SGSI
- A.7.2.2 Toma de conciencia,
educación y formación en la
seguridad de la información
Jornadas de
sensibilización sobre el SGSI
Entrenamiento en los
procedimientos y tecnologías
requeridas por el SGSI a los
funcionarios que aplique
- A.7.2.3 Proceso disciplinario
Implementación del
Proceso de registro de
incumplimientos de la Política
de Seguridad
Seguimiento al registro
de incumplimientos
- A.8.1.1 Mantener un
Inventario de activos
actualizado
Formación de
Director General Acto Administrativo 27/02/2015 00:00:00
Documentación del SGSI
Director General Acto Administrativo 27/02/2015 00:00:00
Director General Tecnológicos - 30/06/2015 00:00:00
Entrenamiento - Personal
Capacitado
Gestión de Talento Documentación del SGSI 31/03/2015 00:00:00
Humano
Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00
Humano
Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00
Humano
Director Administrativo Documento de Proceso 27/02/2015 00:00:00
Disciplinario Código
Disciplinario
Área de Planeación - Documento de Proceso 27/02/2015 00:00:00
Oficial de Seguridad Disciplinario
Director Administrativo - Formatos de Registro de 31/03/2015 00:00:00
Oficial de Seguridad Incidentes
Oficial de Seguridad de la Global Suite 27/02/2015 00:00:00
Información
Talento Humano Global Suite 27/02/2015 00:00:00
funcionarios de todas las
áreas para el manejo de
Global Suite
Asignación formal de la Oficial de Seguridad - Global Suite 30/03/2015 00:00:00
responsabilidad de la Director de Área
actualización del inventario de
activos de su alcance
- A.8.1.2 Definir propiedad de Director de Área Global Suite 30/03/2015 00:00:00
los activos
Asignar formalmente la Director de Área - Oficial de Global Suite 27/02/2015 00:00:00
Propiedad parr los activos de Seguridad
Información en cada Área
Verificación periódica Propietario del activo Global Suite 30/06/2015 00:00:00
por la vigencia de la
descripción y valores
asignados en Global Suite
para el activo
Asignación de Director de Área Global Suite 30/06/2015 00:00:00
Propietario para los nuevos
activos de información
- A.8.1.3 Definir uso Director de Área Global Suite 31/03/2015 00:00:00
aceptable de los activos
Validar periódicamente Propietario del Activo Documentación del SGSI 27/02/2015 00:00:00
que las Políticas y
Procedimientos del SGSI son
acordes con el manejo que se
debe dar al activo de
información
Implementar los Oficial de Seguridad de la Log de eventos de las 31/03/2015 00:00:00
registros de acceso a la Información aplicaciones
información
Implementar la Política Oficial de Seguridad de la Política de Gestión de 31/03/2015 00:00:00
de Gestión de Incidentes y Información Incidentes
hacer seguimiento a su
ejecución
- A.8.1.4 Definir el Director Administrativo Proceso Disciplinario Código 31/03/2015 00:00:00
procedimiento para Disciplinario
devolución de los activos
Incluir dentro del Gestión de Talento Proceso Disciplinario Código 27/02/2015 00:00:00
Procedimiento de Humano Disciplinario
desvinculación de un
funcionario o cambio de
cargo, la entrega formal de
los activos que sean de su
propiedad
Eliminación de la cuenta Oficial de Seguridad de la Política de Control de Acceso 31/12/2015 00:00:00
de usuario perteneciente al Información
cargo que se está finalizando
- A.8.2.1 Clasificación de la Oficial de Seguridad de la Procedimiento de 27/02/2015 00:00:00
información Información Clasificación de Información
Hacer seguimiento Propietario del Activo - Global Suite - Procedimiento 27/02/2015 00:00:00
periódico a la clasificación Oficial de Seguridad de Clasificación de
existente del SGSI Información
Validar el etiquetado de Propietario del Activo - Procedimiento de Etiquetado 31/07/2015 00:00:00
información con base en el Oficial de Seguridad de Información
Procedimiento definido para
este fin en el SGSI
- A.8.2.2 Etiquetado de la Oficial de Seguridad de la Procedimiento de Etiquetado 29/05/2015 00:00:00
Información Información de Información Tabla de
Retención Documental
Validar con Archivo Director Administrativo Procedimiento de Etiquetado 27/02/2015 00:00:00
General de la Nación el de la Información del SGSI
Procedimiento propuesto para
Etiquetado de Información del
SGSI
Actualizar la Tabla de
Retención documental con lo
pertinente del Procedimiento
de Etiquetado de Información
del SGSI
Aplicar el procedimiento
de Etiquetado de Información
del SGSI
- A.9.1.1 Política de control de
acceso
Definir para cada activo
los roles y privilegios
correspondientes para
cumplir con las funciones
establecidas
Diligenciar la Matriz de
acceso a activos
Implementar la Matriz de
acceso en las plataformas
correspondientes
Formalización del
acceso al usuario
correspondiente
- A.9.1.2 Acceso a redes y a
servicios en red
Habilitar los servicios de
red cumpliendo con la
Política de Control de Acceso
y la Política de Uso Aceptable
de los recursos informáticos
Director Administrativo Tabla de Retención 31/03/2015 00:00:00
documental - Procedimiento
de Etiquetado de la
Información del SGSI
Director Administrativo Procedimiento de Etiquetado 29/05/2015 00:00:00
de Información del SGSI
Oficial de Seguridad de la Documento de Política de 31/03/2015 00:00:00
Información Control de Acceso
Propietario del Activo - Política de Control de acceso 30/04/2015 00:00:00
Oficial de Seguridad
Propietario del Activo - Matriz de acceso a activos 31/03/2015 00:00:00
Oficial de Seguridad
Oficial de Seguridad - Matriz de acceso a activos - 30/03/2015 00:00:00
Administrador de la Política de Control de
Plataforma Acceso. Plataforma
Involucrada
Director de Sistemas - Política de Control de Acceso 30/04/2015 00:00:00
Oficial de Seguridad
Oficial de Seguridad de la Política de Control de Acceso 31/03/2015 00:00:00
Información
Oficial de Seguridad de la Mecanismos de control de 27/02/2015 00:00:00
Información acceso
 Habilitar los logs de uso
de los servicios de red
Implementar la
arquitectura de seguridad
para cumplir con la Política de
Control de Acceso
- A.9.2.1 Registro y
cancelación de cuentas de
usuario
Entrenamiento en la
aplicación del Procedimiento
de Registro y Cancelación de
cuentas de usuario
Revisión de las cuentas
existentes actualmente en los
diferentes sistemas de
información y Plataformas de
CNMH
Eliminar las cuentas que
no cumplan con la Política de
Control de Acceso
Creación de las cuentas
requeridas en los diferentes
sistemas de información y
Plataformas de CNMH
- A.9.2.2 Suministro de
acceso a usuarios
Entrenamiento y
Sensibilización de los
Oficial de Seguridad de la Logs de eventos 27/02/2015 00:00:00
Información
Oficial de Seguridad de la Documento de Arquitectura 31/03/2015 00:00:00
Información de Seguridad de red
Oficial de Seguridad de la Procedimiento de Registro y 30/04/2015 00:00:00
Información Cancelación de cuentas de
usuario
Gestión de Talento Procedimiento de Registro y 27/02/2015 00:00:00
Humano Cancelación de cuentas de
usuario
Administradores de Política de Control de Acceso 27/02/2015 00:00:00
Plataforma . Propietarios - Mecanismos de Control de
de Activos - Oficial de Acceso
Seguridad de la
Información
Administradores de Procedimiento de Registro y 27/02/2015 00:00:00
Plataforma . Propietarios Cancelación de cuentas de
de Activos - Oficial de usuario
Seguridad de la
Información
Administradores de Política de Control de Acceso 30/04/2015 00:00:00
Plataforma . Propietarios - Mecanismos de Control de
de Activos - Oficial de Acceso
Seguridad de la
Información
Gestión de Talento Política de Control de Acceso 13/03/2015 00:00:00
Humano
Gestión de Talento Procedimiento de registro y 27/02/2015 00:00:00
Humano - Oficial de cancelación de cuentas de
funcionarios en la aplicación Seguridad de la usuario
del Procedimiento de registro Información
y cancelación de cuentas de
usuario
Reporte de anomalías Todos los funcionario Procedimiento de Gestión de 13/03/2015 00:00:00
sobre el incumplimiento al Incidentes de Seguridad
Procedimiento de registro y
cancelación de cuentas de
usuario
- A.9.2.3 Gestión de derechos Oficial de Seguridad de la Procedimiento de Gestión de 31/03/2015 00:00:00
de acceso privilegiado Información roles y privilegios
Entrenar a los Gestión de Talento Procedimiento de Gestión de 27/02/2015 00:00:00
Propietarios de activos y a los Humano - Oficial de roles y Privilegios
Administradores de los Seguridad de la
Sistemas de Información y Información
Plataformas en el
Procedimiento de Gestión de
Roles y Privilegios
Reportar Todos los funcionarios Procedimiento de Gestión de 31/03/2015 00:00:00
incumplimientos sobre la Incidentes de Seguridad de la
gestión de acceso privilegiado Información
- A.9.2.4 Gestión de Oficial de Seguridad Política de Control de acceso 31/03/2015 00:00:00
autenticación secreta de
usuarios
Verificar que los Oficial de Seguridad Política de llaves 27/02/2015 00:00:00
Sistemas de Información y criptográficas
aplicaciones de CNMH hagan
uso de controles
criptográficos fuertes para la
protección de la información
de autenticación
Gestión requerida para Oficial de Seguridad Política de llaves 31/03/2015 00:00:00
reemplazar o actualizar el criptográficas
software que no cumpla con
la condición del punto anterior
- A.9.2.5 Revisión de los Oficial de Seguridad de la Matriz de acceso a activos 31/07/2015 00:00:00
derechos de acceso de Información
usuarios
Ejecutar la revisión de Propietario del Activo - Procedimiento de Gestión de 27/02/2015 00:00:00
los privilegios con base en el Gestión de Talento Roles y privilegios
Procedimiento de Gestión de Humano
roles y privilegios
Reportar las anomalías Propietario del Activo Procedimiento de Gestión de 31/03/2015 00:00:00
en la gestión de roles y incidentes
privilegios con base en el
procedimiento de Gestión de
incidentes
- A.9.2.6 Retiro o ajuste de Propietario del activo Mecanismos de control de 31/07/2015 00:00:00
los derechos de acceso acceso del software
Con base en las Propietario del Activo - Mecanismos de control de 30/07/2015 00:00:00
anomalías detectadas en la Administrador del Software acceso
aplicación del Procedimiento correspondiente
de Gestión de Roles y
Privilegios, aplicar los ajustes
correspondientes
Revisión de los logs de Oficial de Seguridad Logs de eventos 30/07/2015 00:00:00
acceso a las aplicaciones
para detectar anomalías
sobre la Política de Control de
acceso
- A.9.3.1 Uso de información Oficial de Seguridad de la Proceso disciplinario 30/06/2015 00:00:00
de autenticación secreta Información
Sensibilización de los Gestión de Talento Curso de sensibilización 27/02/2015 00:00:00
funcionarios sobre la Humano
confidencialidad de los datos
de autenticación
Reportar el Todos los funcionarios Proceso Disciplinario 30/06/2015 00:00:00
incumplimiento del manejo
confidencial de la información
de autenticación
- A.9.4.1 Restricción de Propietarios de los activos Política de Control de Acceso 30/04/2015 00:00:00
acceso a la información
Validar que los Propietario del activo Inventario de Activos - Global 31/07/2015 00:00:00
mecanismos de control de Suite
acceso al activo mitigan los
riesgos acordes con el NRA
Solicitar formalmente los Propietario del activo Documentación del SGSI 31/07/2015 00:00:00
cambios sobre el control de
acceso ejercido sobre un
activo, esto puede ser
fortalecerlos o quitar
restricciones
- A.9.4.2 Procedimiento de Oficial de Seguridad Política de Control de Acceso 20/03/2015 00:00:00
ingreso seguro
Verificar el cumplimiento Propietario del Activo Política de Control de acceso 27/02/2015 00:00:00
de la Política de Control de
acceso del SGSI en cada
activo
Seguimiento a los logs Propietario del Activo Política de Control de acceso 20/03/2015 00:00:00
de eventos para corroborar
que todos los ingresos
cumplen con las Políticas del
SGSI
- A.9.4.3 Sistema de gestión Oficial de Seguridad Mecanismos de control de 13/03/2015 00:00:00
de contraseñas acceso del software
Validar que todo el Oficial de Seguridad de la Mecanismos de control de 27/02/2015 00:00:00
software en CNMH cumpla Información acceso del software
con los requisitos de gestión
de contraseñas del SGSI
Validar que el software Oficial de Seguridad de la Mecanismos de control de 13/03/2015 00:00:00
proteja las contraseñas con el Información acceso del software
uso de algoritmos
criptográficos fuertes en
almacenamiento, tránsito y
procesamiento
- A.9.4.4 Política de uso de Oficial de Seguridad Matriz de acceso 31/03/2015 00:00:00
programas utilitarios
privilegiados
Verificar que los Oficial de Seguridad Matriz de Acceso a activos 31/03/2015 00:00:00
Programas utilitarios
privilegiados únicamente
puedan ser utilizados por los
roles de administrador
Verificar que los logs de Oficial de Seguridad Logs de eventos 31/07/2015 00:00:00
eventos del uso de los
Programas utilitarios sean
revisados por la auditoría
- A.9.4.5 Control de acceso a Director de Sistemas Mecanismos de Control de 28/03/2015 00:00:00
códigos fuente de programas acceso
Borrar todas las copias Director de Sistemas Utilidades del sistema 27/02/2015 00:00:00
de código fuente que se operativo
encuentren por fuera de los
medios de almacenamiento
permitidos por el SGSI
Verificar el cumplimiento Director de Sistemas Política de Control de acceso 27/03/2015 00:00:00
de la Política de Control de
acceso para los archivos de
código fuente de programas
- A.6.1.1 Roles y Director General Documentación del SGSI 27/02/2015 00:00:00
responsabilidades para la
seguridad de la información
Formalizar con todos los Director General Documentación del SGSI 27/02/2015 00:00:00
funcionarios las nuevas
responsabilidades adquiridas
una vez se oficialice con el
acto administrativo el SGSI
de CNMH
Definir y asignar el Rol Director General Documentación del SGSI 27/02/2015 00:00:00
de Oficial de Seguridad de la
Información quien será el
responsable por el SGSI
- A.12.3.1 Respaldo de la Oficial de Seguridad Política de Generación y 27/02/2015 00:00:00
información Restauración de Copias de
Respaldo
Entrenar a los Gestión de Talento Política de Generación y 27/02/2015 00:00:00
Responsables de Activos y Humano Restauración de copias de
Administradores de respaldo
Plataformas en la Política de
Generación y Restauración
de Copias de Respaldo
Probar las copias de Propietario del Activo - Copias de Respaldo 27/02/2015 00:00:00
respaldo existentes, en caso Administrador de la
fallido repetir el proceso de Plataforma
copia de respaldo
correspondiente
- A.12.4.2 Protección de la Oficial de Seguridad de la Mecanismos de Control de 30/04/2015 00:00:00
información de registro Información acceso
Establecer un Oficial de Seguridad Software de firma digital 30/04/2015 00:00:00
procedimiento de firma digital
para los archivos de logs de
eventos de las aplicaciones
Restringir el acceso Oficial de Seguridad Funcionalidades de las 30/04/2015 00:00:00
a los logs de eventos para los aplicaciones
administradores y habilitar
dicho acceso a roles
exclusivos de auditoría
Procedimiento de Oficial de Seguridad Funcionalidades de las 30/04/2015 00:00:00
revisión de logs periódico aplicaciones
- A.18.1.3 Protección de Oficial de Seguridad de la Mecanismos de control de 20/03/2015 00:00:00
registros Información acceso
Verificar que los Propietario del Activo Global Suite 27/02/2015 00:00:00
registros se encuentren
clasificados dentro del
Inventario de Activos de
Global Suite
Aplicar los mecanismos Propietario del Activo - Mecanismos de control de 20/03/2015 00:00:00
de control de acceso con Administrador del software acceso
base en la clasificación
definida en Global Suite
- A.6.1.3 Contacto con las Director Administrativo Documentación del SGSI 27/02/2015 00:00:00
autoridades
Definir la lista de Director Administrativo Documentación del SGSI 27/02/2015 00:00:00
Organismos gubernamentales Oficial de Seguridad
a las que se debe acudir para
reportar incidentes de
seguridad de la información
con el fin de aplicar los
mecanismos legales que
apliquen y el apoyo requerido
Definir los protocolos Director Administrativo Documentación del SGSI 27/02/2015 00:00:00
que cada entidad tiene Oficial de Seguridad
establecidos para el reporte
de los correspondientes
incidentes de seguridad de la
información
Mantener un directorio Director Administrativo Listado de Contactos 27/02/2015 00:00:00
actualizado con los
funcionarios responsables de
atender los requerimientos de
la Entidad en cada uno de los
Organismos
Gubernamentales
- A.12.2.1 Controles contra Oficial de Seguridad de la Software Antimalware 27/02/2015 00:00:00
códigos maliciosos Información
Solo se permite la Oficial de Seguridad de la Software Antimalware 27/02/2015 00:00:00
conexión de un equipo a la Información
red siempre y cuando este
protegido con un sistema
Antimalware actualizado
Habilitar la opción Oficial de Seguridad de la Software Antimalware 27/02/2015 00:00:00
heurística para detección de Información
anomalías en el
comportamiento
Responsabilizar a cada Director de Área Software Antimalware 27/02/2015 00:00:00
usuario por el uso
permanente del software
antimalware
- A.12.6.1 Gestión de las Oficial de Seguridad de la Herramienta de detección 30/06/2015 00:00:00
vulnerabilidades técnicas Información automatizada
Selección de las Oficial de Seguridad Presupuesto para el 27/02/2015 00:00:00
herramientas de detección licenciamiento y soporte
automatizada de
vulnerabilidades
Capacitación de los Talento Humano Manual de la Herramienta . 31/03/2015 00:00:00
funcionarios del área de Experto en la Herramienta
sistemas en el uso de las
herramientas
Ejecución del proceso de Oficial de Seguridad Topología de la Red 30/04/2015 00:00:00
detección
Análisis de los Oficial de Seguridad Herramienta de detección 30/05/2015 00:00:00
resultados y definición del automatizada
proceso de Remediación
Aplicación de la Oficial de Seguridad Herramienta de detección 30/06/2015 00:00:00
Remediación con base en el automatizada
nivel de Prioridad
- A.16.1.1 Responsabilidades Oficial de Seguridad de la Procedimiento de Gestión de 31/03/2015 00:00:00
y procedimientos en la Información Incidentes
respuesta a incidentes
Definir para cada Responsable del Software Especialista en el software 27/02/2015 00:00:00
software el soporte requerido (Propietario del Activo)
en caso de un incidente de
seguridad de la información
Verificar el cumplimiento Oficial de Seguridad de la Procedimiento de Gestión de 27/02/2015 00:00:00
del Procedimiento de Gestión Información incidentes
de incidentes para todo el
software en CNMH
Verificar los contratos de Director de Sistemas - Documentación del software 31/03/2015 00:00:00
soporte para los especialistas Oficial de Seguridad
requeridos por fuera de la
Entidad
- A.16.1.2 Reporte de eventos Oficial de Seguridad de la Procedimiento de Gestión de 27/02/2015 00:00:00
de seguridad de la Información Incidentes
información
Responsabilizar a los Director General Acto administrativo 27/02/2015 00:00:00
usuarios en el reporte de
eventos de seguridad de la
información
Configurar la Oficial de Seguridad de la Software Heat 31/03/2015 00:00:00
herramienta de mesa de Información
ayuda para dar el tratamiento
acorde con el SGSI a los
eventos de Seguridad de la
Información
Entrenamiento y Talento Humano Documentación del SGSI 31/03/2015 00:00:00
Sensibilización a los
funcionarios en el reporte de
eventos de seguridad
Catalogar como Director Administrativo Proceso Disciplinario 27/02/2015 00:00:00
incidente de seguridad la
omisión en el reporte de
Eventos de Seguridad
- A.16.1.3 Reporte de Oficial de Seguridad de la Documentación del SGSI 27/02/2015 00:00:00
debilidades de seguridad de Información
la información
Responsabilizar a todos Director de Área - Oficial de Procedimiento de Gestión de 27/02/2015 00:00:00
los contratistas y empleados Seguridad de la Incidentes
en el reporte de debilidades Información
de seguridad de la
información observadas o
sospechadas en el desarrollo
de sus actividades
Cursos de renovación en Gestión de Talento Cursos provistos por el 27/02/2015 00:00:00
los aspectos técnicos del Humano Fabricante
software manejado
Cursos de Oficial de Seguridad de la Información de nuevas 27/02/2015 00:00:00
entrenamiento periódicos Información amenazas y vulnerabilidades
sobre temas de seguridad de
la Información
- A.16.1.4 Evaluación de Oficial de Seguridad de la Documentación de cada 31/03/2015 00:00:00
eventos de seguridad de la Información software de CNMH
información y decisiones
sobre estos
Creación de la base de Oficial de Seguridad Base de Conocimiento 30/05/2015 00:00:00
conocimiento con los
incidentes identificados
Cada incidente resuelto Oficial de Seguridad Base de conocimiento 30/04/2015 00:00:00
debe definir en la base de
conocimiento el tratamiento
con el que fue solucionado
Solicitar información a Oficial de Seguridad Base de conocimiento 29/05/2015 00:00:00
cada fabricante sobre
incidentes de seguridad
ocurridos con el software para
establecer el mecanismo de
tratamiento en la Entidad
- A.16.1.5 Respuesta a Oficial de Seguridad de la 30/04/2015 00:00:00
incidentes de seguridad de la Información
información
Definir los posibles Oficial de Seguridad de la Documentación del 27/02/2015 00:00:00
incidentes de seguridad de la Información - Administrador Fabricante
información que se pueden del software
detectar con cada uno de los
sistemas de seguridad
perimetral y equipos activos
Definir para cada Oficial de Seguridad de la Documentación del 31/03/2015 00:00:00
incidente la forma en que Información - Administrador Fabricante
debe ser detectado y el del software
procedimiento de reporte
correspondiente
Definir para cada tipo de Oficial de Seguridad de la Documentación del 30/04/2015 00:00:00
incidente el proceso de Información - Administrador Fabricante
tratamiento y documentación del software
que debe seguir
- A.16.1.6 Aprendizaje Oficial de Seguridad de la Base de Conocimiento 31/03/2015 00:00:00
obtenido de los incidentes de Información
seguridad de la información
Establecer los Oficial de Seguridad - Log de eventos - Testimonio 31/03/2015 00:00:00
mecanismos para recopilar Director de Sistemas de los involucrados -
toda la información sobre la
detección y tratamiento de un
incidente
Tomar como insumo la Oficial de Seguridad - Base de Conocimiento 29/05/2015 00:00:00
información del punto anterior Director de Sistemas
para la Base de conocimiento
Solicitar información de Director de Sistemas Documentación del software 29/05/2015 00:00:00
soporte o adicional al
Fabricante del software
involucrado
- A.16.1.7 Recolección de Oficial de Seguridad de la Medios de almacenamiento 29/05/2015 00:00:00
evidencia Información Documentos
Establecer la cadena de Oficial de Seguridad Medios de almacenamiento - 30/06/2015 00:00:00
custodia para los incidentes Documentos - Computadores
de seguridad catalogados de
alto impacto
Definir un grupo de Gestión de Talento Procesos de selección 31/03/2015 00:00:00
funcionarios para el manejo Humano
de evidencias para análisis
forense
Entrenar al grupo de Gestión de Talento Metodologías de análisis 29/05/2015 00:00:00
funcionarios para el manejo Humano forense
de evidencias para análisis
forense
- A.6.1.4 Contacto con grupos
de interés especial
Suscripción a Grupos de
Interes
Socializar el
Conocimiento
- A.6.2.1 Política para
dispositivos móviles
Entrenar a los
funcionarios en el manejo y
aplicación de la Política de
Dispositivos Móviles
Reportar incumplimiento
a la Política de dispositivos
Móviles
- A.6.2.2 Política de
Teletrabajo
Capacitar a los
funcionarios en la Política de
Teletrabajo
Reporte de
incumplimientos a la Política
de Teletrabajo
- A.7.1.1 Política de Selección
de personal
Establecer como
requisito para el ingreso a la
Entidad un conocimiento en el
manejo de los Sistemas
Oficial de Seguridad de la Equipos de computo, canal 31/03/2015 00:00:00
Información de comunicación, Servidor de
Mail
Oficial de Seguridad de la Equipos de computo, canal 31/03/2015 00:00:00
Información de comunicación, Servidor de
Mail
Oficial de Seguridad de la Equipos de computo, canal 31/03/2015 00:00:00
Información de comunicación, Servidor de
Mail
Oficial de Seguridad de la Política de Dispositivos 27/02/2015 00:00:00
Información Móviles
Gestión de Talento Política de dispositivos 27/02/2015 00:00:00
Humano Móviles
Todos los funcionarios Procedimiento de Gestión de 27/02/2015 00:00:00
incidentes
Oficial de Seguridad de la Política de Teletrabajo 27/02/2015 00:00:00
Información
Gestión de Talento Política de Teletrabajo 27/02/2015 00:00:00
Humano
Todos los funcionarios Procedimiento de Gestión de 27/02/2015 00:00:00
incidentes
Gestión de Talento Documentación del SGSI 27/02/2015 00:00:00
Humano
Gestión de Talento Documentos del SGSI 27/02/2015 00:00:00
Humano
Operativos y aplicaciones
requeridas para el cargo
Verificar antecedentes
que validen la condición
idónea del Candidato
Establecer como
requisito para el ingreso a la
Entidad el conocimiento en el
manejo de los conceptos de
seguridad de la información
requeridos por el SGSI
- A.10.1.2 Gestión de llaves
Capacitar a los
funcionarios designados en la
Política de llaves
Criptográficas del SGSI
Aplicar la Política de
llaves criptográficas en las
aplicaciones de Cifrado y
Verificación de Integridad
- A.10.1.1 Política sobre el
uso de controles
criptográficos
Selección del software
de Cifrado y Verificación de
Integridad
Implementación del
software de Cifrado y
Verificación de Integridad
Capacitación a los
Gestión de Talento Información del Candidato 27/02/2015 00:00:00
Humano
Gestión de Talento Documentos del SGSI 27/02/2015 00:00:00
Humano
Oficial de Seguridad de la Política de llaves 27/02/2015 00:00:00
Información Criptográficas
Gestión de Talento Política de llaves 27/02/2015 00:00:00
Humano Criptográficas
Oficial de Seguridad Política de llaves 27/02/2015 00:00:00
Criptográficas
Oficial de Seguridad Procedimiento de Cifrado 27/02/2015 00:00:00
Procedimiento de Verificación
de Integridad
Oficial de Seguridad Presupuesto para el 27/02/2015 00:00:00
licenciamiento -
implementación - soporte .
Entrenamiento
Oficial de Seguridad Software de Cifrado y 31/03/2015 00:00:00
Verificación de Integridad
Oficial de Seguridad Procedimientos de Cifrado y 30/04/2015 00:00:00
funcionarios involucrados en Verificación de Integridad
el uso del software
seleccionado y los
Procedimientos de Cifrado y
Verificación de Integridad
- A.6.1.5 Seguridad de la Director de cada Área Documentación del SGSI 27/02/2015 00:00:00
Información en Gestión de
Proyectos
Involucrar al Oficial de Director del Área Documentación del SGSI 27/02/2015 00:00:00
Seguridad de la Información o responsable del Proyecto
un funcionario que haga su
tarea en cada proyecto
desarrollado por la Entidad
Cumplir con el Proceso Oficial de Seguridad de la Metodología de Gestión de 27/02/2015 00:00:00
de Gestión de Riesgos de Información Riesgos
Seguridad de la Información
acorde con la metodología del
SGSI
Registrar los resultados Oficial de Seguridad de la Global Suite 27/02/2015 00:00:00
de la gestión de riesgos en Información
Global Suite
Aplicar las políticas del Oficial de Seguridad de la Resultados análisis de 27/02/2015 00:00:00
SGSI con base en el Información riesgos
resultado del análisis de
riesgos
- A.8.2.3 Manejo de activos Propietario del Activo Clasificación del activo de 27/02/2015 00:00:00
información
Implementar los Propietario del activo - Documentación del SGSI 31/03/2015 00:00:00
mecanismos de protección Oficial de Seguridad de la
acorde con la clasificación del Información
activo de información y el
resultado del análisis de
riesgos
Entrenar a los Propietario del activo - Documentación del SGSI 31/03/2015 00:00:00
funcionarios con privilegios de Oficial de Seguridad de la
acceso al activo de Información
información en las
tecnologías, políticas y
procedimientos que el SGSI
establezca
- A.12.1.1 Procedimientos de Área de Planeación Documentación del Sistema 27/02/2015 00:00:00
operación documentados de Gestión de Calidad
Mantener la política de Área de Planeación Documentación del Sistema 27/02/2015 00:00:00
documentación basada en el de Gestión de Calidad
sistema de Gestión de
Calidad para toda la Entidad
- A.12.1.2 Gestión de Director de Sistemas Política de Gestión de 27/02/2015 00:00:00
cambios Cambios
Capacitar a los Gestión de Talento Política de Gestión de 27/02/2015 00:00:00
funcionarios en la Política de Humano Cambios
Gestión de Cambios
Verificar el cumplimiento Director de Sistemas Política de Gestión de 27/02/2015 00:00:00
de la Política de Gestión de Cambios
Cambios
- A.8.3..2 Disposición de los Oficial de Seguridad de la Software de borrado seguro 01/04/2015 00:00:00
medios Información
Establecer que todos lo Oficial de Seguridad de la Software de borrado seguro 31/03/2015 00:00:00
medios que en algún Información
momento dejen de usarse en
un área, proyecto, proceso o
por un funcionario y vaya a
cambiar su destino sin
importar el que este fuese,
dicho medio debe pasar por
un proceso de borrado seguro
con un Software que tenga
esta funcionalidad
Reportar situaciones en Todos los funcionarios Procedimiento de Gestión de 31/03/2015 00:00:00
las cuales se disponga de Incidentes
medios sin que cumplan
previamente el proceso de
borrado seguro
- A.8.3.1 Gestión de medios Oficial de Seguridad de la Procedimiento de Gestión de 22/02/2015 00:00:00
removibles Información medios removibles
Capacitar a los Gestión de Talento Procedimiento de Gestión de 27/02/2015 00:00:00
funcionarios y proveedores en Humano medios removibles
el Procedimiento de Gestión
de medios removibles del
SGSI
Reportar las anomalías o Todos los Funcionarios Procedimiento de Gestión de 27/02/2015 00:00:00
incumplimientos en el Incidentes
Procedimiento de Gestión de
medios removibles
- A.8.3.3 Transferencia de Director Administrativo Política de Transferencia de 27/02/2015 00:00:00
medios físicos Información
Previo a la transferencia Oficial de Seguridad Documentación del SGSI 27/02/2015 00:00:00
de un medio, exigir la
protección acorde con la
clasificación de la información
que se va a enviar
Reportar anomalías en Todos los funcionario Procedimiento de Gestión de 27/02/2015 00:00:00
la transferencia de Incidentes
información sin la protección
definida en el SGSI
- A.11.1.1 Perímetro de Director Administrativo Instalaciones 31/03/2015 00:00:00
Seguridad Física
 Establecer un único Director Administrativo Control de Acceso 31/03/2015 00:00:00
punto de acceso controlado
para las sedes.
Definir los perímetros Director Administrativo Descripción del Cargo 27/02/2015 00:00:00
físicos en los cuales cada
funcionario con base en su rol
esta autorizado a permanecer
- A.11.1.2 Controles de Director Administrativo Control de acceso Físico 31/03/2015 00:00:00
acceso Físico
Establecer el mecanismo Director Administrativo Tarjeta de Identificación 30/04/2015 00:00:00
de acceso a las oficinas de la
Entidad únicamente con una
tarjeta de identificación
Cambiar el control de Director Administrativo Control de acceso biométrico 30/04/2015 00:00:00
acceso biométrico para que
cubra también la entrada
auxiliar
- A.11.1.5 Trabajo en áreas Director Administrativo Procedimiento para trabajo 30/04/2015 00:00:00
seguras en Áreas Seguras
Implementar el sistema Director Administrativo Tarjetas de identificación 30/04/2015 00:00:00
de identificación por tarjetas
que se establece en el
procedimiento de trabajo en
Áreas Seguras
Capacitar a los Gestión de Talento Procedimiento para trabajo 30/04/2015 00:00:00
funcionarios en el Humano en Áreas Seguras
Procedimiento para trabajo en
Áreas seguras
Responsabilizar a todos Director General Procedimiento para trabajo 30/04/2015 00:00:00
los funcionarios para la en Áreas Seguras
aplicación del Procedimiento
para trabajo en Áreas
Seguras
- A.11.2.1 Ubicación y Director Administrativo Instalaciones 30/04/2015 00:00:00
protección de los equipos
Responsabilizar a cada Propietario del Activo - Mecanismos de Control de 30/04/2015 00:00:00
Propietario del activo de Dirección Administrativa acceso - Espacios cerrados -
hardware o equipo sobre las Aire acondicionado
condiciones de protección y
ubicación de dicho activo
Proveer los mecanismos Dirección Administrativa Mecanismos de Control de 30/04/2015 00:00:00
requeridos para proveer las acceso - Espacios cerrados -
condiciones de temperatura, Aire acondicionado
humedad relativa,
aislamiento, suministro de
energía y control de acceso
Cumplir con las Propietario del Activo - Documentación del Equipo 31/03/2015 00:00:00
recomendaciones del Dirección Administrativa
Fabricante correspondiente
en cuanto a la ubicación y
protección del hardware o
equipo correspondiente
- A.11.2.2 Servicios de Director Administrativo UPS 31/03/2015 00:00:00
suministro
Establecer un proceso Director Administrativo - UPS - Procedimientos de la 27/02/2015 00:00:00
de medición cada vez que se Director de Sistemas UPS - Procedimientos de
conecten nuevos equipos a la apagado seguro
UPS para garantizar que el
tiempo de suministro
entregado, sea el suficiente
para cumplir con los
procedimientos de apagado
controlado.
Asignar un responsable Director Administrativo UPS - Procedimientos de la 31/03/2015 00:00:00
para el reporte de cortes de UPS - Procedimientos de
nergia y ejecución del apagado seguro
apagado seguro en horario no
laboral
- A.11.2.3 Seguridad del Director Administrativo Cableado 27/02/2015 00:00:00
cableado Recomendaciones del
Fabricante
Exigir que todo el Director de Sistemas Estándares de cableado 30/05/2015 00:00:00
cableado utilizado en la
Entidad, este certificado por
una Empresa especializada.
Establecer el Director Administrativo Procedimiento de Obra en el 27/02/2015 00:00:00
Procedimiento para que cada edificio
vez que se realice cualquier
tipo de intervención sobre el
edificio, se tomen las medidas
para proteger el cableado de
voz y datos instalado.
Cuando se den cambios Director de Sistemas Estándares de cableado 27/02/2015 00:00:00
en el cableado, se debe exigir
nuevamente su certificación
- A.11.2.4 Mantenimiento de Director Administrativo Especificaciones del
equipos Fabricante
Verificar que todos los Director de Sistemas - Especificaciones del 27/02/2015 00:00:00
equipos de la Entidad Director Administrativo Fabricante
cuenten con un programa de
Mantenimiento acorde con las
Especificaciones del
Fabricante
Verificar que los Director de Sistemas - Especificaciones del 27/02/2015 00:00:00
programas de Mantenimiento Director Administrativo Fabricante
estén respaldados por los
contratos con las Empresas
idoneas.
- A.11.2.5 Retiro de activos Director Administrativo Procedimiento de Retiro de 27/02/2015 00:00:00
Activos
El propietario del activo Propietario del Activo Formato de retiro de activos 27/02/2015 00:00:00
debe enviar la información al
área administrativa previo al
retiro de un activo de las
instalaciones de la Entidad
Implementar la Director Administrativo Formato de retiro de activos 22/01/2015 00:00:00
restricción para que el retiro
de equipos, documentos y
medios en general solo
pueda hacerse con la
autorización del propietario
del activo
- A.11.2.6 Seguridad de Director Administrativo Documentación del SGSI 20/03/2015 00:00:00
equipos y activos fuera de las Especificaciones del
instalaciones Fabricante
El retiro de un activo de Director Administrativo Documentación del SGSI 27/02/2015 00:00:00
las oficinas de la Entidad solo
puede permitirse con la firma
de un documento donde se
asigne un responsable de la
aplicación de los controles
especificados en el SGSI
para ese activo.
- A.11.2.7 Disposición segura Oficial de Seguridad de la Clasificación de la 27/02/2015 00:00:00
o reutilización de equipos Información información contenida en el
equipo
Los equipos para los que Oficial de Seguridad Clasificación de la 27/02/2015 00:00:00
se defina un cambio de información contenida en el
funcionalidad, deben ser equipo
evaluados por el Oficial de
Seguridad de la Información
para determinar si el Disco
duro debe ser reemplazado .
- A.11.2.8 Equipos de usuario Oficial de Seguridad de la Política de Escritorio limpio y 27/02/2015 00:00:00
desatendido Información pantalla limpia
Capacitar a todos los Gestión de Talento Política de Escritorio Limpio y 27/02/2015 00:00:00
funcionarios y proveedores en Humano Pantalla Limpia
la Política de Escritorio Limpio
y Pantalla Limpia
Reportar anomalías al Funcionarios y Política de Escritorio limpio y 27/02/2015 00:00:00
cumplimiento de la Política de Proveedores pantalla limpia
Escritorio limpio y pantalla
limpia
- A.11.2.9 Política de Oficial de Seguridad de la Política de Escritorio Limpio y 27/02/2015 00:00:00
escritorio limpio y pantalla Información Pantalla limpia
limpia
Capacitar a todos los Gestión de Talento Política de Escritorio limpio y 27/02/2015 00:00:00
funcionarios y proveedores en Humano pantalla limpia
la Política de Escritorio limpio
y pantalla limpia
Reportar cualquier Funcionarios y proveedores Procedimiento de Gestión de 27/02/2015 00:00:00
incumplimiento a la Política Incidentes
de Escritorio limpio y pantalla
limpia
- A.13.1.1 Controles de redes Oficial de Seguridad de la FireWall - IDS - IPS - NAC- 27/02/2015 00:00:00
Información Correlación de eventos
Definición de las Oficial de Seguridad de la Firewall 27/02/2015 00:00:00
direcciones IP origen y Información
destino, puertos para el
trafico autorizado
 Incluir todas las
aplicaciones y servicios de
red en el UTM instalado
Establecer la
segmentación con base en el
nivel de criticidad de los
activos
Establecer control de
acceso por puerto en los
switches
Implementar un sistema
de Network Access control
para establecer una postura
de seguridad para los equipos
que se conecten a la red
- A.13.1.2 Seguridad de los
servicios de red
Implementar un sistema
de correlación de eventos de
los sistemas de seguridad
perimetral
Implementar el uso de
analizadores de protocolos
para seguimiento a reportes
de anomalías en la red
Establecer patrones de
comportamiento normal de
las aplicaciones en la red
- A.13.1.3 Separación en las
redes
Configurar VLANs para
Oficial de Seguridad de la UTM 27/02/2015 00:00:00
Información
Oficial de Seguridad de la Switches 27/02/2015 00:00:00
Información
Oficial de Seguridad de la Switches 27/02/2015 00:00:00
Información
Oficial de Seguridad de la NAC 27/02/2015 00:00:00
Información
Oficial de Seguridad de la FireWall - IDS - IPS - NAC - 29/05/2015 00:00:00
Información Analizadores de Protocolos -
Módulo de Correlación
Oficial de Seguridad de la Módulo de Correlación 28/05/2015 00:00:00
Información
Oficial de Seguridad de la Analizador de Protocolos 28/05/2014 00:00:00
Información
Oficial de Seguridad de la Módulo de Correlación 28/05/2015 00:00:00
Información
Oficial de Seguridad de la Switches de nivel 3 13/03/2015 00:00:00
Información
Oficial de Seguridad de la Switches de nivel 3 13/03/2015 00:00:00
crear segmentos de equipos Información
con el mismo nivel de
criticidad
- A.13.2.1 Políticas y Oficial de Seguridad de la Política de Transferencia de 18/04/2015 00:00:00
procedimientos de Información Información
transferencia de información
Aplicar la Política de Oficial de Seguridad de la Política de Transferencia de 18/04/2015 00:00:00
Transferencia de Información Información Información
en los equipos de seguridad
perimetral
- A.13.2.2 Acuerdos sobre Oficial de Seguridad de la Clasificación de la
transferencia de información Información Información
Redactar acuerdos para Oficial de Seguridad de la Acuerdo de Transferencia 27/02/2015 00:00:00
exigir los mecanismos de Información
protección establecidos en el
SGSI para la transferencia de
información
- A.13.2.3 Mensajería Oficial de Seguridad de la Documentación del SGSI 29/05/2015 00:00:00
electrónica Información
Exigir la protección Oficial de Seguridad Clasificación de la 27/03/2015 00:00:00
establecida en el SGSI para Información
los datos utilizados en la
mensajería electrónica con
base en el nivel de su
clasificación
Implementar los Oficial de Seguridad Algoritmos criptográficos 29/05/2015 00:00:00
algoritmos criptográficos para
la protección de los datos
utilizados en la mensajería
electrónica cuando así lo
establezcan las políticas del
SGSI.
- A.12.4.3 Registros del Oficial de Seguridad de la Logs de eventos 22/01/2015 00:00:00
administrador y del operador Información
Habilitar en todas las Oficial de Seguridad de la Logs de eventos 30/01/2015 00:00:00
aplicaciones el registro de Información
eventos para todos los
usuarios, incluido el
administrador
Establecer que solo los Oficial de Seguridad de la Logs de eventos 29/05/2015 00:00:00
roles con función de auditoría Información
tienen acceso a los logs de
eventos
- A.12.4.1 Registro de Director de Sistemas Logs de eventos 30/06/2015 00:00:00
eventos
Definir dentro de los Oficial de Seguridad Política de Desarrollo Seguro 30/06/2015 00:00:00
requerimientos de seguridad
los campos que se requieren
para el registro de eventos de
acuerdo con la Política de
Desarrollo Seguro
- A.12.4.2 Protección de la Director de Sistemas Algoritmos criptográficos 30/05/2015 00:00:00
información de registro
Implementar un Oficial de Seguridad de la Algoritmos criptográficos 28/05/2015 00:00:00
procedimiento de firma digital Información
para validar la integridad de
losarchivos de registros de
eventos
Restringir el acceso de Oficial de Seguridad de la Mecanismos de control de 28/05/2015 00:00:00
los logs de eventos a roles Información acceso
con función de auditoría y/o
Gestión de incidentes
- A.12.4.4 Sincronización de Director de Sistemas Servidor NTP 27/02/2015 00:00:00
relojes
 No permitir la conexión a
la red de CNMH ningún
equipo que no este
sincronizado con el NTP
Reportar los equipos que
no estén sincronizados con el
NTP de CNMH
- A.12.5.1 Instalación de
software en sistemas
operativos
Capacitar a los
funcionarios y proveedores en
el Procedimiento para
autorización de instalación de
Software
Reportar el software que
no cumpla con las Políticas
del SGSI
- A.12.6.2 Restricciones sobre
la instalación de software
Capacitar a todos los
funcionarios y proveedores en
el Procedimiento para
autorización de instalación de
Software
Reportar el software que
no cumpla con las políticas
del SGSI
- A.12.7.1 Controles de
auditorías de sistemas de
información
Director de Sistemas Servidor NTP 27/02/2015 00:00:00
Todos los usuarios Procedimiento de Gestión de 27/02/2015 00:00:00
Incidentes
Director de Sistemas Procedimiento para 27/02/2015 00:00:00
autorización de instalación de
Software
Gestión de Talento Procedimiento para 27/02/2015 00:00:00
Humano autorización de instalación de
Software
Todos los funcionarios Procedimiento de Gestión de 27/02/2015 00:00:00
Incidentes
Director de Sistemas Procedimiento para 27/02/2015 00:00:00
autorización de instalación de
Software
Gestión de Talento Procedimiento para 27/02/2015 00:00:00
Humano autorización de instalación de
Software
Funcionarios y Procedimiento para 27/02/2015 00:00:00
Proveedores autorización de instalación de
Software
Director de Sistemas Planeación de audirorías
 Planear y ejecutar las Director de Sistemas Planeación de auditorias 27/02/2015 00:00:00
labores de auditoría en
consenso con los
responsables de las
operaciones para evitar
afectar actividades misionales
- A.14.1.1 Análisis y Oficial de Seguridad de la Política de Desarrollo Seguro 13/03/2015 00:00:00
especificación de requisitos Información de software
de seguridad de la
información
Capacitar a los Gestión de Talento Política de Desarrollo Seguro 13/03/2015 00:00:00
funcionarios de Sistemas en Humano de software
la Política de Desarrollo de
Software Seguro
Desarrollar un plan para Director de Sistemas - Política de Desarrollo Seguro 28/08/2015 00:00:00
definir los requisitos de Oficial de Seguridad de la de software
seguridad de la información Información
del software existente
- A.14.1.2 Seguridad de Oficial de Seguridad de la Documentación del SGSI 29/04/2015 00:00:00
servicios de las aplicaciones Información
en redes públicas
Implementar los Oficial de Seguridad de la Documentación del SGSI 30/04/2015 00:00:00
controles de acceso y Información
protección de los datos
expuestos en los servicios de
red con base en las políticas
del SGSI
- A.14.2.1 Poítica de Oficial de Seguridad de la Política de Desarrollo Seguro 17/04/2015 00:00:00
desarrollo seguro Información de software
Exigir el cumplimiento de Oficial de Seguridad de la Política de Desarrollo Seguro 17/04/2015 00:00:00
la Política de Desarrollo Información de software
Seguro de software para
todos los sistemas y
aplicaciones autorizados en la
Entidad
- A.14.2.2 Procedimientos de Director de Sistemas Política de Gestión de 27/02/2015 00:00:00
control de cambios en Cambios
sistemas
Aplicar la Política de Director de Sistemas Política de Gestión de 27/02/2015 00:00:00
Gestión de Cambios en los Cambios
sistemas de información y
aplicaciones de la Entidad
- A.14.2.3 Revisión técnica de Oficial de Seguridad de la Clasificación de la 13/03/2015 00:00:00
las aplicaciones después de Información Información
cambios en la plataforma de
operación
Después de cambios en Oficial de Seguridad de la Clasificación de la 13/03/2015 00:00:00
la plataforma, el Oficial de Información Información
Seguridad debe conducir las
pruebas para validar que los
datos mantengan la
protección de la
confidencialidad, integridad y
disponibilidad con base en el
SGSI
- A.14.2.7 Desarrollo Oficial de Seguridad Director de Sistemas - Oficial 27/02/2015 00:00:00
contratado externamente de Seguridad de la
Información
Incluir como requisito en Director de Sistemas - Política de desarrollo seguro 27/02/2015 00:00:00
el desarrollo de software Oficial de Seguridad de la de software
contratado externamente el Información
cumplimiento de la Política de
desarrollo seguro de software
- A.14.2.8 Pruebas de Oficial de Seguridad de la Metodología de Ethical 27/02/2015 00:00:00
seguridad de sistemas Información Haking
Coordinar la ejecución Oficial de Seguridad de la Metodología de Ethical 27/02/2015 00:00:00
de pruebas de vulnerabilidad Información HAcking
y ethical hacking para el
software previo a su paso a
producción
- A.14.2.9 Prueba de Director de Sistemas Protocolos de Pruebas 27/03/2015 00:00:00
aceptación de sistemas
Definir con cada Director de Sistemas Protocolo de Pruebas 27/03/2015 00:00:00
fabricante del software
existente en la Entidad, los
protocolos de pruebas para la
aceptación correspondiente
previo paso a producción
- A.15.1.1 Política de Director Administrativo - Política de seguridad de la 10/04/2015 00:00:00
seguridad de la información Oficial de Seguridad información para relaciones
para las relaciones con los con proveedores
proveedores
Revisar los contratos Director Administrativo Política de seguridad de la 27/02/2015 00:00:00
con los proveedores para información para relaciones
verificar el cumplimiento de la con proveedores - Contratos
Política de seguridad de la con proveedores
información para relaciones
con proveedores
Verificar con el área Director Administrativo - Nuevos contratos 07/03/2015 00:00:00
legal las modificaciones Experto Jurídico - Oficial de
requeridas para las firmas de Seguridad de la
las renovaciones y los nuevos Información
contratos
Definir controles Oficial de Seguridad de la Controles temporales 10/04/2015 00:00:00
temporales para mitigar los Información
riesgos asociados con las
carencias identificadas en los
Contratos con los
proveedores
- A.15.1.2 Tratamiento de la Oficial de Seguridad de la Política de seguridad de la 13/03/2015 00:00:00
seguridad dentro de los Información información para relaciones
acuerdos con proveedores con proveedores
Especificar en los Director Administrativo Documentación del SGSI 27/03/2015 00:00:00
acuerdos con los proveedores
lo correspondiente a la
protección de los activos de
información involucrado con
base en las Políticas del
SGSI
Incluir un acuerdo de Director Administrativo Acuerdo de confidencialidad 20/02/2015 00:00:00
confidencialidad
Incluir la Política de Director Administrativo Política de Protección de 27/02/2015 00:00:00
Protección de Datos Datos Personales
Personales del SGSI
- A.15.1.3 Cadena de Director de Sistemas Especificaciones 06/03/2015 00:00:00
suministro de tecnología de deTecnología de Información
información y comunicaciones y Comunicaciones de los
contratos con los
proveedores
Verificar que los activos Oficial de Seguridad de la Especificaciones 20/02/2015 00:00:00
de información involucrados Información deTecnología de Información
en el servicio de TIC del y Comunicaciones de los
proveedor cumplan con los contratos con los
controles establecidos en el proveedores Documentación
SGSI del SGSI
Solicitar los ajustes con Director Administrativo Documentación del SGSI 06/03/2015 00:00:00
base en las carencias
identificadas
 La firma de nuevos Oficial de Seguridad de la Documentación del SGSI 06/03/2015 00:00:00
contratos debe incluir los Información
requerimientos de seguridad
de la información con base en
el SGSI
- A.15.2.1 Seguimiento y Director Administrativo Log de eventos Informes 31/03/2015 00:00:00
revisión de los servicios de
los proveedores
Requerir a los Oficial de Seguridad de la Log de eventos - Informes 27/03/2015 00:00:00
Proveedores los log de Información
eventos, estadísticas e
informes donde se pueda
corroborar el cumplimiento de
los requerimientos de
seguridad de la información
de los activos involucrados en
el servicio
Incluir en el acuerdo con Oficial de Seguridad de la Política de Gestión de 31/03/2015 00:00:00
los Proveedores el reporte de Información Incidentes
incidentes con base en la
Política de Gestión de
Incidentes del SGSI
- A.15.2.2 Gestión de Director Administrativo Política de Gestión de 24/04/2015 00:00:00
cambios en los servicios de Cambios
los proveedores
Aplicar la Política de Director de Sistemas Política de Gestión de 24/04/2015 00:00:00
Gestión de Cambios del SGSI Cambios
en la relación con los
proveedores
- A.17.1.1 Planificación de la Oficial de Seguridad de la Procedimiento de la 28/05/2015 00:00:00
continuidad de la seguridad Información continuidad de la Seguridad
de la información en caso de Contingencia
 Verificar los Director Administrativo Documentación del Sistema 20/02/2015 00:00:00
requerimientos del Sistema de Gestión de Continuidad de
de Gestión de Continuidad CNMH
General de CNMH
Verificar el cumplimiento Oficial de Seguridad de la Resultados del Análisis de 20/03/2015 00:00:00
de los mecanismos de Información Impacto de Negocio (BIA(
respaldo de los Sistemas de
Información frente a los
resultados del análisis de
Impacto de Negocio (BIA)
Implementar las mejoras Oficial de Seguridad de la Resultados del Análisis de 22/04/2015 00:00:00
identificadas en la verificación Información Impacto de NEgocio
de los requerimientos
deducidos del BIA
- A.17.1.2 Implementación de Oficial de Seguridad de la Procedimiento de la 30/06/2015 00:00:00
la continuidad de la seguridad Información continuidad de la Seguridad
de la información en caso de Contingencia
Implementar los Oficial de Seguridad de la Backups - Redundancia - 30/06/2015 00:00:00
mecanismos de Respaldo de Información Sitio Alterno
acuerdo con los resultados
del Análisis de Impacto de
Negocio para cada uno de los
Sistemas de Información
Ejecutar pruebas para Oficial de Seguridad de la Procedimiento de la 30/06/2015 00:00:00
verificar el cumplimiento del Información continuidad de la Seguridad
tiempo de recuperación en caso de Contingencia
exigido por los servicios
misionales de CNMH
- A.17.1.3 Verificación, Oficial de Seguridad de la Procedimiento de la 29/05/2015 00:00:00
revisión y evaluación de la Información continuidad de la Seguridad
continuidad de la seguridad en caso de Contingencia
de la información
 Aplicar el Procedimiento Oficial de Seguridad de la Procedimiento de la 29/05/2015 00:00:00
de la continuidad de la Información continuidad de la Seguridad
Seguridad en caso de en caso de Contingencia
Contingencia para que se
mantengan los
requerimientos de
confidencialidad e integridad
para los activos involucrados
en el evento de una
contingencia
Implementar los Oficial de Seguridad de la FireWall - Antimalware - IDS - 29/05/2015 00:00:00
respaldos requeridos para las Información IPS
plataformas de seguridad
informática en caso de una
Contingencia
- A.17.2.1 Disponibilidad de Director Administrativo Centro de Datos de CNMH 26/03/2015 00:00:00
las instalaciones de Centro de Datos de terceros
procesamiento de información
Verificar los contratos de Director Administrativo Contrato con Empresas 27/02/2015 00:00:00
Mantenimiento y atención a especializadas
emergencias con los
Proveedores de servicios de
suministro de Energía, agua,
gas y aire acondicionado,
para tener la certeza que
atienden las situaciones en el
tiempo establecido por los
resultados del BIA
Verificar los contratos de Director Administrativo Contrato con Empresas 26/03/2015 00:00:00
Mantenimiento y atención de especializadas
emergencias con los
Proveedores de Acceso
biométrico, cerraduras,
plomería, electricidad, gas,
para corroborar que atienden
emergencias de acuerdo con
los tiempos que los
resultados del BIA lo exigen.
- A.18.1.1 Identificación de la Director Jurídico Marco Legal Colombiano 27/02/2015 00:00:00
legislación aplicable y los
requisitos contractuales
Definir la revisión Director Jurídico Metodología de Identificación 30/07/2015 00:00:00
periódica de la legislación y Clasificación de Activos
aplicable plasmada en el
documento de Metodología
de Identificación y
Clasificación de Activos
- A.18.1.2 Derechos de Director Jurídico Procedimiento de verificación 29/05/2015 00:00:00
propiedad intelectual para el cumplimiento
legislativo y regulatorio en
cuanto a derechos de Autor
Aplicar el Procedimiento Director Jurídico - Oficial de Procedimiento de verificación 13/03/2015 00:00:00
de verificación para el Seguridad de la para el cumplimiento
cumplimiento legislativo y Información legislativo y regulatorio en
regulatorio en cuanto a cuanto a derechos de Autor
derechos de Autor
- A.18.1.4 Privacidad y Director Jurídico Política de protección de 20/03/2015 00:00:00
protección de los datos datos personales
personales
Aplicar la Política de Director Jurídico - Oficial de Política de protección de 20/03/2015 00:00:00
protección de datos Seguridad de la datos personales
personales Información
- A.18.2.1 Revisión Director Administrativo Empresa Especializada 05/06/2015 00:00:00
independiente de la seguridad Externa
de la información
Establecer la revisión Director Administrativo Estándares y mejores 29/01/2016 00:00:00
anual por parte de una prácticas de seguridad de la
Empresa Especializada información
Externa
- A.18.2.2 Cumplimiento de Director General Proceso Disciplinario Código 27/02/2015 00:00:00
las políticas y normas de Disciplinario
seguridad
Gestión requerida para Director General Documentos del SGSI 27/02/2015 00:00:00
cumplir con la socialización y
entrenamiento en las Políticas
y normas de seguridad de la
información
Gestión requerida para Director General Proceso Disciplinario 28/01/2015 00:00:00
aplicar el Proceso
disciplinario para exigir el
cumplimiento de las Políticas
y normas de seguridad de la
información
- A.18.2.3 Revisión del Director de Sistemas Documentación del SGSI 27/03/2015 00:00:00
cumplimiento técnico
Verificar que los Director de Sistemas Procedimientos de Cifrado 20/03/2015 00:00:00
sistemas de información y
aplicaciones que manejen
información que requiera
cifrado, que cuente con los
controles criptográfiicos que
exige el Procedimientos de
Cifrado
Verificación de los Director de Sistemas Procedimiento de Verificación 20/03/2015 00:00:00
sistemas de información y de Integridad
aplicaciones que manejen
información que requiera
verificación de integridad, que
cuenten con los algoritmos de
verificación tal como lo
específica el Procedimiento
de verificación de integridad
Verificar que los Director de Sistemas Resultados del BIA 27/03/2015 00:00:00
sistemas de información y
aplicaciones cumplan con los
niveles de disponibilidad que
establece los proceso
misionales de CNMH