Anexo C - Politicas de Seguridad

POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
POLITICAS DE
SEGURIDAD
Versión 1.0
2017
0
LOGO EMPRESA
CONTROL DE VERSIONES
Código Versión Fecha Descripción Elaborado por Aprobó

de
Cambios
MP-PSI-01 1.0 29/03/2017 Primera Ing. Heiner Suarez Ing. Heiner Suarez
Versión Ing. Hawin Tapiero Ing. Hawin Tapiero
1
LOGO EMPRESA
Tabla de contenido
1. OBJETIVO ................................................................................................................. 3
2. ALCANCE .................................................................................................................. 3
3. GLOSARIO ................................................................................................................ 4
4. ASPECTO REGLAMENTARIO .................................................................................. 6
4.1. REGULACIÓN EXTERNA................................................................................... 6
4.2. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES ............................................. 6
4.2.1. Políticas de Seguridad de la Información ................................................. 6
4.2.2. Políticas Específicas de Seguridad de la Información ............................. 8
4.2.3. Acuerdos de Niveles de Servicio – ANS Internos .................................. 34
5. REPRESENTACIÓN GRÁFICA DEL PROCESO ..................................................... 35
6. DESCRIPCIÓN DE PROCEDIMIENTOS .................................................................. 36
6.1. PLANEACIÓN ................................................................................................... 36
6.1.1. Políticas Generales................................................................................... 36
6.1.2. Plan de Sensibilización y Capacitación .................................................. 37
6.2. INSPECCIÓN, ANÁLISIS, MEJORAMIENTO Y SERVICIOS DE SGSI ............ 38
6.2.1. Monitoreo .................................................................................................. 38
6.2.2. Detección y Análisis de Vulnerabilidades............................................... 43
6.2.3. Gestión de Incidentes .............................................................................. 46
6.2.4. Gestión de Usuarios ................................................................................. 51
6.3. GOBERNABILIDAD DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN –
SGSI 54
6.3.1. Cumplimiento............................................................................................ 54
7. VIGENCIA, CONSULTAS Y APROBACIONES ....................................................... 56
2
LOGO EMPRESA
INTRODUCCIÓN
Las entidades del sector asegurador tienen en cuenta la información como un componente
indispensable en la conducción y consecución de los objetivos definidos por la estrategia
de la organización, razón por la cual es necesario que se establezca un marco en el cual
se asegure que la información es protegida de una manera adecuada independientemente
de la forma en la que ésta sea manejada, procesada, transportada o almacenada.
Este documento describe las políticas y normas de seguridad de la información definidas
por las entidades del sector asegurador. Para la elaboración del mismo, se toman como
base las leyes y demás regulaciones aplicables, la norma ISO 27001:2013 y las
recomendaciones del estándar ISO 27002:2013.
Las políticas incluidas en este manual se constituyen como parte fundamental del sistema
de gestión de seguridad de la información de las entidades del sector asegurador y se
convierten en la base para la implantación de los controles, procedimientos y estándares
definidos. La seguridad de la información es una prioridad para las entidades y por tanto es
responsabilidad de todos velar por que no se realicen actividades que contradigan la
esencia y el espíritu de cada una de estas políticas.
1. OBJETIVO
 Formalizar el procedimiento de Gestión de Seguridad de la Información, que hace

parte del proceso de Gestión de Riesgos y Control.
 Definir y reglamentar los procedimientos requeridos para la operación del Sistema
de Gestión de la Seguridad de la Información - SGSI, con el fin de asegurar que se
ejecuten las actividades requeridas para proteger la información de las amenazas
que recaigan sobre ella.
 Generar una cultura para disminuir el riesgo de información que le permita a la
Entidad mantener el monitoreo, control y medición de las amenazas y
vulnerabilidades, y aplicar procedimientos que salvaguarden la confidencialidad,
integridad, disponibilidad y privacidad de la información.
2. ALCANCE
Este manual reglamenta el proceso, desde la definición de políticas y la planeación, hasta

el mejoramiento del proceso, pasando por la implementación de los planes, la ejecución y
monitoreo continuo, extractando lecciones y aplicando nuevas y mejores prácticas.
3
LOGO EMPRESA
3. GLOSARIO
Activo de Información: Es un dato o elemento que tiene valor para la Entidad.

Amenaza: Hecho que puede producir un daño provocado por un evento.
ASI: Analista de Seguridad de la Información.
Auditoria. Practica de buen gobierno que permite identificar el nivel de cumplimiento y
adherencia dentro de la organización a las normas, principios o buenas prácticas de la
disciplina que se está analizando.
Confidencialidad: Seguridad de que la información es accesible solamente por quienes
están autorizados para ello.
Disponibilidad: Seguridad de que los usuarios autorizados tienen acceso a la información
y a los activos asociados cuando los requieren.
Dispositivo de almacenamiento de información: Cualquier elemento fijo o removible que
haga parte de un equipo o que pueda ser conectado a los equipos de procesamiento o
transmisión de información, en el que resida o pueda residir información, entre los más
conocidos están: memorias USB, dispositivos de reproducción de multimedia, unidades de
CD-DVD fijas o removibles, Tape Back-ups, unidades de disco USB, unidades de ZIP
Driver, cámaras fotográficas, dispositivos móviles.
Doble Participación. Principio por el cual un empleado no puede concentrar varias
funciones dentro de un mismo proceso para llevar a cabo, de forma unilateral, labores de
modificación y/o aprobaciones.
Dueño de la Información: Un individuo o unidad organizacional que tiene responsabilidad
por clasificar y tomar decisiones de control con respecto al uso de su información.
Evento: Suceso repentino que puede generar alguna afectación o alarma en un sistema de
información.
Incidente: Hecho o evento que puede afectar un activo de información.
Integridad: Protección de la exactitud, del estado completo de la información y de los
métodos de procesamiento.
Logs: Registro oficial de eventos durante un periodo de tiempo en particular. Identifica
información sobre quién, qué, cuándo, dónde y por qué un evento ocurre en cualquier
sistema de información.
Norma: Conjunto de reglas requeridas para implantar las políticas. Las normas hacen
mención específica de tecnologías, metodologías, procedimientos de aplicación y otros
factores involucrados y son de obligatorio cumplimiento.
4
LOGO EMPRESA
Nivel de Sensibilidad: Es un indicador del valor o importancia que tiene la información

para la organización, dependiendo de la clasificación asignada a cada uno de las
características de integridad, disponibilidad y privacidad de dicha información.
Procedimientos: Pasos operacionales específicos que los individuos deben tomar para
lograr las metas definidas en las políticas.
Riesgo: Probabilidad de ocurrencia de un evento de seguridad.
Seguridad física: La protección de los equipos de procesamiento de la información de
daños físicos, destrucción o robo; Protege las facilidades asignadas para el procesamiento
de la información de daño, destrucción o ingreso desautorizados; y al personal de las
situaciones potencialmente dañosas.
Seguridad de la Información: Preservación de la confidencialidad, la integridad y la
disponibilidad de la información; además, puede involucrar otras propiedades tales como:
autenticidad, trazabilidad, no repudio y afinidad.
Segregación de Funciones. Principio por el cual se reglamentan las funciones de uno o
más funcionarios para la implementación del principio de la doble participación. Igualmente
dichas funciones no deben ser contradictorias entre sí o sobreponer responsabilidades
entre los actores de un procedimiento.
Sistema de Gestión de la Seguridad de la Información (SGSI): Parte del sistema de
gestión global basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es
garantizar que los riesgos de la seguridad de la información son conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos,
el entorno y las tecnologías.
El Sistema de Gestión incluye la estructura organizacional, políticas, actividades de
planificación, responsabilidades, prácticas, procedimientos, procesos, recursos.
Usuarios: Un individuo que tiene autoridad limitada y específica del dueño de información
para ver, modificar, adicionar, divulgar o eliminar información.
Vulnerabilidad: Debilidad de un sistema que compromete la integridad, disponibilidad o la
confidencialidad del mismo.
VPN: Tecnología de red, que permite una extensión segura de la red local sobre una red
pública o no controlada.
5
LOGO EMPRESA
4. ASPECTO REGLAMENTARIO
4.1. REGULACIÓN EXTERNA
 Ley 1581 de 2012 Protección de Datos Personales

 Ley 1328 de 2009 Régimen de Protección al Consumidor Financiero
4.2. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES
4.2.1. Políticas de Seguridad de la Información
a. Declaración de la Política
La política de seguridad de la información de las entidades del sector asegurador tiene
como objetivo garantizar la protección de los activos de información involucrados en la
ejecución de los procesos que desarrolla la Organización en el ejercicio de su actividad,
mediante un equipo calificado y comprometido con la seguridad de la información,
garantizando la continuidad en las operaciones y procesos que soportan los objetivos del
negocio y la mejora continua.
b. Objetivos de la Política
 Fortalecer la gestión de seguridad de la información a través de la implementación

y sostenimiento de un Sistema de Gestión de Seguridad de la Información - SGSI.
 Optimizar los procesos, estableciendo mecanismos que garanticen el mejoramiento
continuo.
 Promover programas de formación y sensibilización de los funcionarios de la
Entidad, en torno a la seguridad de la información y a la continuidad del negocio
 Crear y mantener una cultura organizacional en seguridad de la información.
c. Alcance de la Política
La Política de Seguridad de la Información aplica para todos los niveles de la Entidad:
usuarios (que incluye funcionarios, accionistas, clientes), terceros (que incluye proveedores
y contratistas), entes de control y entidades relacionadas que acceden, ya sea interna o
externamente a cualquier activo de información independiente de su ubicación.
Adicionalmente la presente Política aplica a toda la información creada, procesada o
6
LOGO EMPRESA
utilizada a nivel corporativo, sin importar el medio, formato, presentación o lugar en el cual
se encuentre.
d. Principios de Seguridad
Confidencialidad: La información solo podrá ser accedida, modificada y/o eliminada por
quienes estén autorizados para ello.
Disponibilidad: La información deberá estar accesible siempre que se requiera.
Integridad: La información deberá preservar su veracidad y fidelidad a la fuente,
independientemente del lugar y de la forma de almacenamiento y transmisión.
e. Cumplimiento
La Política de Seguridad de la Información y Continuidad del Negocio, la normatividad
interna, procesos, procedimientos, estándares, controles y directrices derivados de aquella,
son de obligatorio cumplimiento por los funcionarios, miembros, afiliados, clientes,
proveedores, titulares de información, entes de control, autoridades administrativas o
judiciales y, en general, toda persona natural o jurídica que acceda a cualquier activo de
información. Su incumplimiento acarreará las acciones a que hubiere lugar.
f. Aplicabilidad
La gestión de la continuidad estará enfocada a controlar los riesgos actuales y potenciales
de la información de acuerdo con el impacto sobre las operaciones y los objetivos de
negocio de la Entidad, bajo el marco de la norma de Seguridad Internacional ISO 27001, y
las recomendaciones de estamentos de control y vigilancia.
g. Compromiso de la Dirección
La Alta Dirección de la Organización, declara estar comprometida con la información, como
uno de sus activos más importantes, por lo tanto, manifiesta su total compromiso con el
establecimiento, implementación y gestión de un Sistema de Seguridad de la Información
que incluye el diseño e implementación de un plan de continuidad y recuperación ante
desastres.
La Alta Dirección demostrará su compromiso a través de:
 La revisión y aprobación de la política contenida en este documento.

 La divulgación de esta política a todos los funcionarios de la Compañía,
 El aseguramiento de los recursos adecuados para implementar y mantener la
política de Seguridad de la Información.
7
LOGO EMPRESA
4.2.2. Políticas Específicas de Seguridad de la Información
A continuación se desarrollan políticas específicas asociadas directamente a los dominios,

objetivos de control y controles del Anexo A de la Norma ISO 27001:2013 y relacionadas
directamente con la Política General, que especifican la conducta aceptada por la Entidad
en el manejo de su información y las acciones que deben ser tomadas para lograr los
objetivos de la presente política.
A.5. POLÍTICA DE SEGURIDAD

A.5.1. Directrices de la Dirección en seguridad de la información
Objetivo: La dirección debe brindar apoyo y orientación para la seguridad de la información
de acuerdo con los requisitos del negocio de los seguros y con las leyes y reglamentos
pertinentes.
A.5.1.1. Conjunto de políticas para la seguridad de la información.
Control: se debe definir en conjunto de las políticas de seguridad de la información de
acuerdo a las necesidades identificadas en el análisis de riesgos, aprobada por la dirección,
publicada y comunicada a los empleados y partes externas pertinentes.
A.5.1.2. Revisión de las políticas para la seguridad de la información.
Control: se debe verificar que se definan, implementen, revisen y actualicen las políticas de
seguridad de la información.
Diseñar, programar y realizar los programas de auditoría del sistema de gestión de
seguridad de la información, los cuales estarán a cargo del área de Seguridad de la
Información.
A.6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
A.6.1. Organización interna
Objetivo: establecer un marco de referencia de gestión para iniciar y controlar la
implementación y la operación de la seguridad de la información dentro de la organización.
A.6.1.1. Asignación de responsabilidades para la seguridad de la información.
Control: se debe mantener una organización de seguridad, donde los roles y
responsabilidades estén definidas y asignadas a los participantes en el modelo de
seguridad establecido por la Entidad.
Cada activo de información de la Entidad debe tener un dueño que debe ser responsable
de su seguridad.
8
LOGO EMPRESA
La información que la Entidad utilice para el desarrollo de sus objetivos de negocio debe
tener asignado un dueño, quién la utiliza en su área y es el responsable por su correcto
uso. Así, él toma las decisiones que son requeridas para la protección de su información y
determina quiénes son los usuarios y sus privilegios de uso.
Los dueños de la información son los responsables de asegurar que la información del
negocio cuente con las políticas para la protección y preservación de la confidencialidad,
integridad, disponibilidad y privacidad de la información.
El uso de la información de la Entidad por personal de terceros, socios, entidades
relacionadas, ya sea local o remotamente, debe ser formalizado por medio de acuerdos que
hagan obligatorio el cumplimiento del presente Manual. En el contrato de servicios se debe
incluir un documento que detalle sus compromisos en el cuidado de la información de la
Entidad y las penas a que estarían sujetos en caso de incumplirlos.
El cumplimiento de los niveles de servicio en seguridad de la información de terceros, debe
ser verificado periódicamente.
Cada relación con un tercero debe tener un representante de alto nivel dentro de la misma,
que vele por el correcto uso y la protección de la información del negocio. Éste será
responsable por la actividad de dichos funcionarios durante la vigencia del contrato.
A.6.1.2. Segregación de tareas.
Control: los deberes y áreas de responsabilidad en conflicto se deben separar para reducir
las posibilidades de modificación no autorizada o no intencional de la información de la
Entidad, o el uso indebido de los activos de la organización.
A.6.1.3. Contacto con las autoridades.
Control: se deben mantener los contactos apropiados con las autoridades pertinentes, que
pueden apoyar a solucionar conflictos en cuanto a la seguridad de la información de la
Entidad.
A.6.1.4. Contacto con grupos de interés especial.
Control: para la entidad siempre debe ser conveniente mantener contactos apropiados con
grupos de interés especial u otros foros y asociaciones profesionales especializadas en
seguridad.
A.6.1.5. Seguridad de la información en la gestión de proyectos.
Control: durante la planeación y ejecución de los proyectos de la Entidad, además de las
áreas interesadas, debe participar el área de Seguridad de la Información como generador
de recomendaciones en la evaluación de los riesgos inherentes con dichos proyectos.
A.6.2. Dispositivos para movilidad y teletrabajo.
Objetivo: garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
9
LOGO EMPRESA
A.6.2.1. Política de uso de dispositivos para movilidad.

Control: el uso de dispositivos móviles, tales como PDAs, smartphones, celulares u otros
dispositivos electrónicos sobre los que se puedan realizar intercambios de información con
cualquier recurso de la Entidad, debe estar autorizado de forma explícita por la dependencia
respectiva, en conjunto con la Gerencia de Seguridad de la Información y podrá llevarse a
cabo sólo en dispositivos provistos por la organización para tal fin.
A.6.2.2. Teletrabajo.
Control: se debe proteger la información a la que se tiene acceso, que es procesada o
almacenada en lugares en los que se realiza teletrabajo. Esta información debe estar
encriptada y tener todos los softwares necesarios para protegerla de los ataques.
A.7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
A.7.1. Antes de la contratación.
Objetivo: asegurar que los empleados y contratistas comprenden sus responsabilidades y
son idóneos en los roles para los que se consideran.
A.7.1.1. Investigación de antecedentes.
Control: los nuevos empleados que ingresen a la Entidad, deben pasar por un proceso de
investigación de antecedentes, con el fin de mitigar los riesgos en el uso de la información.
A.7.1.2. Términos y condiciones de contratación.
Control: los contratos de los empleados deben incluir cláusulas que especifiquen las
responsabilidades y los cuidados que deben tener con la información de la Entidad.
A.7.2. Durante la contratación.
Objetivo: asegurarse de que los empleados y contratistas tomen conciencia de sus
responsabilidades de seguridad de la información y las cumplan.
A.7.2.1. Responsabilidades de gestión.
Control: la Entidad debe proveer los mecanismos necesarios para asegurar que sus
empleados cumplan con sus responsabilidades en Seguridad de la Información desde su
ingreso hasta su retiro.
A.7.2.2. Concienciación, educación y capacitación en seguridad de la información.
Control: la Entidad debe establecer un programa permanente de creación de cultura en
seguridad de la información para los empleados y terceros, capacitándolos constantemente
en actualizaciones regulares sobre las políticas y procedimientos pertinentes para su cargo.
A.7.2.3. Proceso disciplinario.
Control: las Políticas de Seguridad de la Información con sus respectivas normas,
estándares, procedimientos y demás documentos que se generen y soporten el Sistema de
10
LOGO EMPRESA
Gestión de Seguridad de la Información son de obligatorio cumplimiento. La ejecución de

acciones que atenten contra la confidencialidad, disponibilidad, integridad y privacidad de
la información resultará en una acción disciplinaria que puede llegar hasta la terminación
del contrato de trabajo y al posible establecimiento de un proceso judicial bajo las leyes
nacionales o internacionales que apliquen.
A.7.3. Cese o cambio de puesto de trabajo.
Objetivo: proteger los intereses de la organización como parte del proceso de cambio o
terminación del contrato.
A.7.3.1. Cese o cambio de puesto de trabajo.
Control: se debe informar a los empleados o contratistas, las responsabilidades y los
deberes de seguridad de la información que permanecen validos después de la terminación
o cambio de contrato, los cuales deben cumplir.
A.8. GESTIÓN DE ACTIVOS.
A.8.1. Responsabilidad sobre los activos.
Objetivo: identificar los activos organizacionales y definir las responsabilidades de
protección apropiadas.
A.8.1.1. Inventario de activos.
Control: la Entidad debe mantener un inventario de recursos o activos de información. Los
dueños de la información deben clasificar la información basados en su valor, sensibilidad,
riesgo de pérdida o compromiso y/o requerimientos legales de retención.
A.8.1.2. Propiedad de los activos.
Control: el área responsable del proceso debe realizar el debido control y mantenimiento al
inventario de activos de tecnología e información, para establecer responsabilidad sobre la
tenencia de los mismos y la información sobre estos, incluido el control al licenciamiento de
software.
A.8.1.3. Uso aceptable de los activos.
Control: independientemente del medio en donde se encuentre cada activo de información,
éstos deben ser clasificados por el dueño de la información, mediante el estándar de
clasificación establecido. Estos controles deben ser aplicados y mantenidos durante el ciclo
de vida de la información, desde su creación, durante su uso autorizado y hasta su
apropiada disposición o destrucción.
A.8.1.4. Devolución de activos.
Control: todos los empleados y usuarios de partes externas deben devolver todos los
activos de la organización que se encuentren a su cargo, al terminar su empleo, contrato o
acuerdo. Debe quedar un acta de dicha devolución, firmada por ambas partes.
11
LOGO EMPRESA
A.8.2 Clasificación de la información.

Objetivo: asegurar que la información recibe un nivel apropiado de protección, de acuerdo
con su importancia para la organización.
A.8.2.1. Directrices de clasificación.
Control: Los dueños de la información deben clasificar los niveles de sensibilidad de la
misma, de acuerdo con los siguientes criterios:
CRITERIO / NIVEL ALTO MEDIO BAJO
El acceso está El acceso está No son necesarios

restringido a pocas restringido a un grupo los controles para la
personas, existe un de personas divulgación de este
PRIVACIDAD conocimiento explícito claramente definido. nivel de información.
de las personas que
manipulan dicha
información.
La información no Se requiere para su No es necesario

debe cambiar, sin un modificación seguir los mantener el control
proceso establecido, procedimientos de versiones sobre
identificando quién establecidos. este tipo de
tiene la información.
responsabilidad de
liberar la última La información debe
versión. Los datos estar actualizada y
deben estar controlada en sus
actualizados en su versiones.
INTEGRIDAD totalidad. Y se debe
identificar quién y
cuándo se realizó
modificación a la
información.
De igual forma, los
procesos que afectan
dicha información
deben estar
controlados en sus
cambios y versiones.
Es de vital importancia No es crítico que la Esta información no

DISPONIBILIDAD para el negocio información tenga se requiere para los
mantener el acceso a
12
LOGO EMPRESA
esta información, que demoras en su procesos críticos de

debe tenerse en consulta. negocio.
cuenta para los planes
de recuperación del
negocio.
A.8.2.2. Etiquetado y manipulado de la información.

Control: se deben aplicar los siguientes criterios para etiquetar la información de la Entidad:
CRITERIO / TIPO Y PRIVACIDAD INTEGRIDAD DISPONIBILIDAD

NIVEL
A M B A M B A M B
CONFIDENCIAL X X X
INTERNA X X X
PUBLICA X X X
Toda información que sea utilizada dentro de los procesos desarrollados por la Entidad
debe estar catalogada de acuerdo con los siguientes niveles de sensibilidad:
Nivel 1. Información Pública: Los datos de este nivel pueden ser entregados al público
en general, sin ninguna implicación para la Entidad. Los datos no son vitales. Pérdidas de
este tipo de información son de bajo riesgo y no requieren controles especiales. P.ej.:
Información de campañas publicitarias y de estados financieros una vez que hayan sido
aprobados. La integridad de la información pública debe ser vigilada para no atentar en
contra de la imagen y reputación de la Organización.
Nivel 2. Información Interna: La información clasificada en este nivel debe estar

restringida al acceso externo. Si ésta llegase a ser divulgada, las consecuencias son de
riesgo medio. El acceso interno debe ser selectivo. La integridad de la información es
importante pero no es vital. Se cataloga dentro de este nivel cualquier tipo de información
que tenga por lo menos una de las siguientes características:
 Información relevante a procesos internos, controles y registros.

 Manuales organizacionales y de responsabilidades de cargos.
 Información operativa y técnica de los sistemas de información.
Nivel 3. Información Confidencial. Este tipo de información debe ser protegida del acceso
externo e interno no autorizado. Si esta información es conocida por personas no
13
LOGO EMPRESA
autorizadas se corre el riesgo de afectar la operación normal de la Entidad, su reputación

frente al mercado y la continuidad del negocio.
Se cataloga dentro de este nivel cualquier tipo de información que tenga por lo menos una
de las siguientes características:
 Información suministrada por otras entidades relacionadas con sus clientes.

 Claves de acceso asociados con servicios de consultas y modificación de
información de las bases de datos.
 Código fuente de aplicativos e información técnica sensible.
 Códigos de identificación y verificación de clientes.
 Códigos de acceso a correo de voz.
 Información que solo será comunicada internamente por necesidad entre las áreas,
por ejemplo:
 Información sobre adquisición o desarrollo de sistemas y productos.
 Estrategias de mercadeo.
 Extractos financieros de clientes.
 Información personal de los funcionarios, relacionada con compensación
salarial o vida privada (dirección y teléfono de residencia, celular personal).
 Información relativa a los clientes y negocios de la Entidad.
 Información que revele situaciones de la Entidad, tales como informes de
auditoría, procesos judiciales en curso o información del gremio que pueda
ser utilizada para beneficio propio o de terceros.
 Planes de producto, estrategias de lanzamiento de nuevos productos y/o
rentabilidad de los mismos.
 Información interna comúnmente compartida: manuales, procedimientos,
políticas e instrucciones internas relacionadas con el negocio.
A.8.2.3. Manipulación de activos.

Control: Cada gerente de área debe realizar el proceso de clasificación de información,
inventariando la información utilizada por su área, especificando los siguientes puntos:
 Nombre la información
 Procesos en los que es utilizada
 Formato en el que se encuentra
 Nivel de sensibilidad
En los casos en que la misma información esté clasificada por diferentes áreas en niveles
de sensibilidad diferentes, la Gerencia de Seguridad de la Información determinará el valor
y el nivel de clasificación para dicha información.
A.8.3. Manejo de los soportes de almacenamiento.
Objetivo: establecer procedimientos eficaces para el manejo de los soportes de
almacenamiento, de acuerdo con la clasificación de la información
14
LOGO EMPRESA
A.8.3.1. Gestión de soportes extraíbles.

Control: no está permitida la conexión a la red de la Entidad de equipos portátiles,
notebooks, computadores, dispositivos móviles o cualquier otro dispositivo que se
considere removible, de uso personal de los funcionarios, sin la debida autorización del Jefe
inmediato y de la Gerencia de Seguridad de la Información.
A.8.3.2. Eliminación de soportes.
Control: la entidad, establece la siguiente política en materia de respaldo y borrado seguro
de la información:
Permanentemente se debe efectuar copia de respaldo de toda la información considerada
confidencial o sensible y que se encuentre contenida en los equipos de la Entidad. En
especial se debe asegurar el respaldo de información cuando termine el vínculo laboral del
funcionario o contractual del proveedor responsable de su generación, edición y manejo,
así como cuando se vaya a dar de baja un activo tecnológico (por pérdida, daño, devolución,
enajenación o donación, entre otros).
Se deben adoptar procedimientos para la aplicación de técnicas de borrado seguro de
información, mediante herramientas o procesos manuales o automáticos que permitan
eliminar toda la información contenida en el equipo o dispositivo asignado a un funcionario
o proveedor cuando sea necesario, ya sea por su desvinculación o por la baja del activo
tecnológico.
Los procedimientos establecidos en esta política, se deben aplicar a todo dispositivo de
almacenamiento que contenga información confidencial o sensible para la Entidad, como
discos duros, dispositivos removibles, tabletas, equipos móviles, entre otros.
Está prohibida la reutilización y/o reasignación de equipos o dispositivos a otros
funcionarios o terceros que contenga información sensible de la Entidad sin que la
respectiva gerencia de Tecnología haya aplicado previamente los procedimientos de back-
up y de borrado seguro de información.
A.8.3.3. Soportes físicos en tránsito.
Control: durante el transporte fuera de los límites físicos de la organización, los soportes
que contengan información deben estar protegidos contra accesos no autorizados, usos
indebidos o deterioro. Se etiquetarán las cajas con el nivel confidencialidad de la
información que contienen. Se redactara un acta de envío y una de recepción en la que
constará claramente el compromiso de confidencialidad adquirido por el transportista y se
designarán las personas de la Organización responsables tanto del envío como de la
recepción.
A.9. CONTROL DE ACCESOS.
A.9.1. Requisitos de negocio para el control de accesos.
Objetivo: limitar el acceso a información y a instalaciones de procesamiento de información.
15
LOGO EMPRESA
A.9.1.1. Política de control de accesos.

Control: el uso de la información de la Entidad debe ser controlado para prevenir accesos
no autorizados. Los privilegios sobre la información deben ser otorgados y mantenidos de
acuerdo con las necesidades de la operación, limitando el acceso sólo a lo que es requerido.
A.9.1.2. Control de acceso a las redes y servicios asociados.
Control: el acceso a la red de de la Entidad debe ser otorgado solo a usuarios autorizados,
previa definición, verificación y control de los perfiles y roles para el acceso en los diferentes
sistemas de información, en coordinación con el área de Recursos Humanos, la Gerencia
Administrativa y la Gerencia de IT.
A.9.2. Gestión de acceso de usuario.
Objetivo: garantizar el acceso a los usuarios autorizados e impedir los accesos no
autorizados a los sistemas de información.
A.9.2.1. Gestión de altas/bajas en el registro de usuarios.
Control: se debe establecer por la Entidad, los procedimientos para cubrir todas la etapas
del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios
hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de
información.
A.9.2.2. Gestión de los derechos de acceso asignados a usuarios.
Control: se deben establecer mecanismos de control de acceso físico y lógico para los
usuarios, con el fin de asegurar que los activos de información se mantengan protegidos de
una manera consistente con su valor para el negocio y con los riesgos de pérdida de
confidencialidad, integridad, disponibilidad y privacidad de la información.
A.9.2.3. Gestión de los derechos de acceso con privilegios especiales.
Control: la Entidad se reserva el derecho de restringir el acceso a cualquier información en
el momento que lo considere conveniente. El personal seleccionado por la Entidad podrá
utilizar tecnología de uso restringido como la de monitoreo de red, datos operacionales y
eventos en seguridad de la información. Ningún hardware o software no autorizados serán
cargados, instalados o activados en los recursos informáticos, sin previa autorización formal
de la Gerencia de Seguridad de la Información.
A.9.2.4. Gestión de información confidencial de autenticación de usuarios.
Control: los usuarios de la Entidad serán requeridos para que se autentiquen ellos mismos,
previa obtención del acceso a la información. Dependiendo del valor de la información y del
nivel de riesgo, la Entidad definirá medios de autenticación apropiados, que no podrán ser
compartidos (como la palabra clave) y deberán estar habilitados solamente para las
jornadas de trabajo establecidas por la Entidad. Dichos medios de autenticación contienen
información confidencial que no debe ser revelada o almacenada en lugares que puedan
ser accedidos por personas no autorizadas.
16
LOGO EMPRESA
A.9.2.5. Revisión de los derechos de acceso de los usuarios.

Control: en el uso de la información de la Entidad no se debe presumir privacidad, por lo
que cuando ésta sea utilizada se deben crear registros de la actividad realizada, que pueden
ser revisados periódicamente o en una investigación, con el objetivo de detectar abusos y
amenazas.
A.9.2.6. Retirada o adaptación de los derechos de acceso.
Control: todos los usuarios que acceden la información de la Entidad deben disponer de un
medio de identificación y el acceso debe ser controlado a través de una autenticación
personal, la cual puede ser modificada cuando se presente un cambio de funciones del
empleado o se retire definitivamente de la organización.
A.9.3. Responsabilidades del usuario.
Objetivo: hacer que los usuarios rindan cuentas por la salvaguarda de su información de
autenticación.
A.9.3.1. Uso de información confidencial para la autenticación.
Control: cada usuario es responsable por sus acciones mientras usa cualquier recurso de
información de la Entidad. Por lo tanto, la identidad de cada usuario que acceda los recursos
informáticos debe ser establecida y autenticada de una manera única y no puede ser
compartida.
A.9.4. Control de acceso a sistemas y aplicaciones.
Objetivo: evitar el acceso no autorizado a sistemas y aplicaciones.
A.9.4.1. Restricción del acceso a la información.
Control: el acceso a la información de la Entidad y a las funciones de los sistemas de las
aplicaciones, será restringido de acuerdo con la política de control de acceso, ya que se
debe asegurar que los usuarios de la información, únicamente tengan acceso a lo que les
concierne.
A.9.4.2. Procedimientos seguros de inicio de sesión.
Control: se debe concienciar y controlar que los usuarios sigan buenas prácticas de
seguridad en la selección, uso y protección de claves o contraseñas, las cuales constituyen
un medio de validación de la identidad de un usuario y consecuentemente un medio para
establecer derechos de acceso a las instalaciones, equipos o servicios informáticos de
manera segura.
Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le
asignen para la utilización de los equipos o servicios informáticos de la Entidad.
Los usuarios deben tener en cuenta los siguientes aspectos:
17
LOGO EMPRESA
 No incluir contraseñas en ningún proceso de registro automatizado, por ejemplo

almacenadas en un macro o en una clave de función.
 El cambio de contraseña solo podrá ser solicitado por el titular de la cuenta o su jefe
inmediato.
 Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de
bloqueo cuando no estén en uso.
 Se bloqueara el acceso a todo usuario que haya intentado el ingreso, sin éxito, a un
equipo o sistema informático, en forma consecutiva por cinco veces.
 La clave de acceso será desbloqueada sólo por el responsable de la gestión de
usuarios, luego de la solicitud formal por parte del responsable de la cuenta. Para
todas las cuentas especiales, la reactivación debe ser documentada y comunicada
al gestor de usuarios.
A.9.4.3. Gestión de contraseñas de usuario.
Control: las contraseñas deben ser:
 Poseer algún grado de complejidad y no deben ser palabras comunes que se

puedan encontrar en diccionarios, ni tener información personal, por ejemplo: fechas
de cumpleaños, nombre de los hijos, placas de automóvil, etc.
 Tener mínimo diez caracteres alfanuméricos.
 Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.
 Cambiarse obligatoriamente cada 30 días, o cuando lo establezca el Área de
Tecnología y Sistemas de Información.
 Cada vez que se cambien estas deben ser distintas por lo menos de las últimas tres
anteriores.
 Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la
cuenta de usuario.
 No se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos,
ni todos alfabéticos.
 No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o
compartirse.
 No ser reveladas a ninguna persona, incluyendo al personal del Área de Tecnología
y Sistemas de Información.
 No regístralas en papel, archivos digitales o dispositivos manuales, a menos que se
puedan almacenar de forma segura y el método de almacenamiento este aprobado.
A.9.4.4. Uso de herramientas de administración de sistemas.
Control: el área de Tecnología de la Entidad, velará porque los recursos de la plataforma
tecnológica y los servicios de red sean operados y administrados en condiciones
controladas y de seguridad, que permitan un monitoreo posterior de la actividad de los
usuarios administradores, poseedores de los más altos privilegios sobre dichas plataformas
y servicios.
18
LOGO EMPRESA
A.9.4.5. Control de acceso al código fuente de los programas.

Control: el área de Tecnología de la Entidad, como responsable de la administración de los
sistemas de información, aplicativos y sus códigos fuente, propenderá para que estos sean
debidamente protegidos contra accesos no autorizados a través de mecanismos de control
de acceso lógico. Así mismo, velará porque los desarrolladores, tanto internos como
externos, acojan buenas prácticas de desarrollo en los productos generados para controlar
el acceso lógico y evitar accesos no autorizados a los sistemas administrados.
A.10. CIFRADO.
A.10.1. Controles criptográficos.
Objetivo: el objetivo es garantizar un uso adecuado y eficaz de la criptografía para proteger
la confidencialidad, la autenticidad y/o la integridad de la información.
A.10.1.1. Política de uso de los controles criptográficos.
Control: la Entidad velará porque la información, clasificada como reservada o restringida,
será cifrada al momento de almacenarse y/o transmitirse por cualquier medio, con el
propósito de proteger su confidencialidad e integridad.
A.10.1.2. Gestión de claves.
Control: la Entidad debe proteger los tipos de claves de modificación o destrucción; las
claves secretas y las privadas además requieren protección contra su distribución no
autorizada. Con este fin deben usarse técnicas criptogramas para asegurar la confiabilidad
de la información. Se debe utilizar protección física para cubrir el equipo usado en la
generación, almacenamiento y archivo de claves.
A.11. SEGURIDAD FÍSICA Y AMBIENTAL.
A.11.1. Áreas seguras.
Objetivo: el objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la
información de la organización y las instalaciones de procesamiento de la información.
A.11.1.1. Perímetro de seguridad física.
Control: la seguridad física de la Entidad debe basarse en perímetros y áreas seguras, las
cuales serán protegidas por medio de controles circundantes apropiados.
A.11.1.2. Controles físicos de entrada.
Control: todas las entradas a las áreas físicas del negocio deben tener un nivel de seguridad
acorde con el valor de la información que se procesa y administra en ellas. La información
confidencial o sensitiva debe mantenerse en lugares con acceso restringido cuando no es
utilizada.
19
LOGO EMPRESA
A.11.1.3. Seguridad de oficinas, despachos y recursos.

Control: Los ingresos y egresos de personal a las instalaciones de la Entidad, deben ser
registrados; por consiguiente, los funcionarios y personal provisto por terceras partes deben
cumplir completamente con los controles físicos implantados. Los funcionarios deben portar
el carné que los identifica como tales en un lugar visible mientras se encuentren en las
instalaciones de la Entidad; en caso de pérdida del carné o tarjeta de acceso a las
instalaciones, deben reportarlo a la mayor brevedad posible.
A.11.1.4. Protección contra las amenazas externas y ambientales.
Control: la Entidad debe proveer las condiciones físicas y medioambientales necesarias
para certificar la protección y correcta operación de los recursos, en especial la plataforma
tecnológica ubicada en el centro de cómputo; deben existir sistemas de control ambiental
de temperatura y humedad, sistemas de detección y extinción de incendios, sistemas de
descarga eléctrica, sistemas de vigilancia y monitoreo y alarmas en caso de detectarse
condiciones ambientales inapropiadas. Estos sistemas se deben monitorear de manera
permanente.
A.11.1.5. El trabajo en áreas seguras.
Control: la Entidad proveerá la implantación y velará por la efectividad de los mecanismos
de seguridad física y control de acceso que aseguren el perímetro de sus instalaciones. Así
mismo, controlará las amenazas físicas externas e internas y las condiciones
medioambientales de sus oficinas, para mantener las áreas seguras de cualquier factor de
riesgo.
A.11.1.6. Áreas de acceso público, carga y descarga.
Control: la Entidad debe proporcionar los recursos necesarios para ayudar a proteger,
regular y velar por el perfecto estado de los controles físicos implantados en las
instalaciones y especialmente debe certificar la efectividad de los mecanismos de seguridad
física y control de acceso al centro de cómputo, centros de cableado y demás áreas de
procesamiento de información. Aquellos funcionarios o personal provisto por terceras partes
para los que aplique, en razón del servicio prestado, deben utilizar prendas distintivas que
faciliten su identificación en las áreas de acceso público.
A.11.2. Seguridad de los equipos.
Objetivo: el objetivo es evitar la pérdida, los daños, el robo o el compromiso de activos y la
interrupción a las operaciones de la organización.
A.11.2.1. Emplazamiento y protección de equipos.
Control: los recursos informáticos de la Entidad deben estar físicamente protegidos contra
amenazas de acceso no autorizado y amenazas ambientales para prevenir exposición,
daño o pérdida de los activos e interrupción de las actividades.
20
LOGO EMPRESA
A.11.2.2. Instalaciones de suministro.

Control: la Entidad debe asegurar que las labores de mantenimiento de redes eléctricas, de
voz y de datos, sean realizadas por personal idóneo y apropiadamente autorizado e
identificado; así mismo, se debe llevar control de la programación de los mantenimientos
preventivos.
A.11.2.3. Seguridad del cableado.
Control: el área de Tecnología de la Entidad, debe certificar que el centro de cómputo y los
centros de cableado que están bajo su custodia, se encuentren separados de áreas que
tengan líquidos inflamables o que corran riesgo de inundaciones e incendios.
A.11.2.4. Mantenimiento de los equipos.
Control: los medios y equipos donde se almacena, procesa o comunica la información,
deben mantenerse con las medidas de protección físicas y lógicas, que permitan su
monitoreo y correcto estado de funcionamiento; para ello se debe realizar los
mantenimientos preventivos periódicamente cada seis meses y correctivos cuando se
requieran.
A.11.2.5. Salida de activos fuera de las dependencias de la empresa.
Control: la Entidad debe velar porque la entrada y salida de información, software,
estaciones de trabajo, servidores, equipos portátiles y demás recursos tecnológicos
corporativos de las instalaciones, cuente con la autorización documentada y aprobada
previamente por el responsable de los recursos físicos o en su defecto el área responsable
del activo.
A.11.2.6. Seguridad de los equipos y activos fuera de las instalaciones.
Control: el área responsable de los recursos físicos debe velar porque los equipos que se
encuentran sujetos a traslados físicos fuera del instituto, posean pólizas de seguro que
cubran los diferentes riesgos que puedan presentar.
A.11.2.7. Reutilización o retirada segura de dispositivos de almacenamiento.
Control: el área de Tecnología debe efectuar la reutilización o retirada segura de los
dispositivos de almacenamiento que tienen información de la Entidad, a través de los
mecanismos necesarios en la plataforma tecnológica, ya sea cuando son dados de baja o
cambian de usuario.
A.11.2.8. Equipo informático de usuario desatendido.
Control: el área de Tecnología debe velar porque los equipos informáticos de los usuarios
que no trabajan dentro de las instalaciones de la Entidad, tengan sus medios de
almacenamiento cifrados, los softwares para protección de la información, que eviten que
la información se accedida por personas no autorizadas.
21
LOGO EMPRESA
A.11.2.9. Política de puesto de trabajo despejado y bloqueo de pantalla.

Control: tanto los funcionarios como el personal provisto por terceras partes deben
asegurarse que en el momento de ausentarse de su puesto de trabajo, sus escritorios se
encuentren libres de documentos y medios de almacenamiento, utilizados para el
desempeño de sus labores; estos deben contar con las protecciones de seguridad
necesarias de acuerdo con su nivel de clasificación. También deben bloquear sus
estaciones de trabajo en el momento de abandonar su puesto de trabajo.
A.12. SEGURIDAD EN LA OPERATIVA.
A.12.1. Responsabilidades y procedimientos de operación.
Objetivo: el objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la
información de la organización y las instalaciones de procesamiento de la información.
A.12.1.1. Documentación de procedimientos de operación.
Control: la Entidad debe efectuar, a través de sus funcionarios responsables de los
procesos, la documentación y actualización de los procedimientos relacionados con la
operación y administración de la plataforma tecnológica.
A.12.1.2. Gestión de cambios.
Control: todo cambio a la infraestructura informática deberá estar controlado y será
realizado de acuerdo con los procedimientos de gestión de cambios del Área de Tecnología
y Sistemas de Información de la Entidad.
A.12.1.3. Gestión de capacidades.
Control: el área de Tecnología, a través de sus funcionarios, debe realizar estudios sobre
la demanda y proyecciones de crecimiento de los recursos administrados (capacity
planning) de manera periódica, con el fin de asegurar el desempeño y capacidad de la
plataforma tecnológica. Estos estudios y proyecciones deben considerar aspectos de
consumo de recursos de procesadores, memorias, discos, servicios de impresión, anchos
de banda, internet y tráfico de las redes de datos, entre otros.
A.12.1.3. Separación de entornos de desarrollo, prueba y producción.
Control: el área de Tecnología debe proveer los recursos necesarios para la implantación
de controles que permitan la separación de ambientes de desarrollo, pruebas y producción,
teniendo en cuenta consideraciones como: controles para el intercambio de información
entre los ambientes de desarrollo y producción, la inexistencia de compiladores, editores o
fuentes en los ambientes de producción y un acceso diferente para cada uno de los
ambientes.
A.12.2. Protección contra código malicioso.
Objetivo: el objetivo es garantizar que la información y las instalaciones de procesamiento
de información estén protegidas contra el malware.
22
LOGO EMPRESA
A.12.2.1. Controles contra el código malicioso.

Control: la Entidad proporcionará los mecanismos necesarios que garanticen la protección
de la información y los recursos de la plataforma tecnológica en donde se procesa y
almacena, adoptando los controles necesarios para evitar la divulgación, modificación o
daño permanente ocasionados por el contagio de software malicioso. Además,
proporcionará los mecanismos para generar cultura de seguridad entre sus funcionarios y
personal provisto por terceras partes frente a los ataques de software malicioso.
A.12.3. Copias de seguridad.
Objetivo: alcanzar un grado de protección deseado contra la pérdida de datos.
A.12.3.1. Copias de seguridad de la información.
Control: la Entidad certificará la generación de copias de respaldo y almacenamiento de su
información crítica, proporcionando los recursos necesarios y estableciendo los
procedimientos y mecanismos para la realización de estas actividades. Las áreas
propietarias de la información, con el apoyo del área de Tecnología, encargada de la
generación de copias de respaldo, definirán la estrategia a seguir y los periodos de
retención para el respaldo y almacenamiento de la información.
Así mismo, la Entidad velará porque los medios magnéticos que contienen la información
crítica sean almacenados en una ubicación diferente a las instalaciones donde se encuentra
dispuesta. El sitio externo donde se resguarden las copias de respaldo debe contar con los
controles de seguridad física y medioambiental apropiados
A.12.4. Registro de actividad y supervisión.
Objetivo: registrar los eventos relacionados con la seguridad de la información y generar
evidencias.
A.12.4.1. Registro y gestión de eventos de actividad.
Control: la Entidad realizará monitoreo permanente del uso que dan los funcionarios y el
personal provisto por terceras partes a los recursos de la plataforma tecnológica y los
sistemas de información. Además, velará por la custodia de los registros de auditoria
cumpliendo con los periodos de retención establecidos para dichos registros.
El área de Tecnología definirá la realización de monitoreo de los registros de auditoria sobre
los aplicativos donde se opera los procesos misionales de la Entidad. El Comité de revisión
de logs mensualmente se reunirá a analizar los resultados del monitoreo efectuado.
A.12.4.2. Protección de los registros de información.
Control: el área de Tecnología debe certificar la integridad y disponibilidad de los registros
de auditoria generados en la plataforma tecnológica y los sistemas de información de la
Entidad. Estos registros deben ser almacenados y solo deben ser accedidos por personal
autorizado.
23
LOGO EMPRESA
A.12.4.3. Registros de actividad del administrador y operador del sistema.

Control: el área de Control Interno debe revisar periódicamente los registros de auditoria de
los administradores y operadores de la plataforma tecnológica y los sistemas de información
con el fin de identificar brechas de seguridad y otras actividades propias del monitoreo.
A.12.4.4. Sincronización de relojes.
Control: el área de Tecnología debe proveer un sistema que sincronice los relojes de todos
los sistemas de procesamiento de información pertinentes dentro de la Entidad o de un
dominio de seguridad. Este sistema debe ser una fuente de sincronización única de
referencia.
A.12.5. Control del software en explotación.
Objetivo: garantizar la integridad de los sistemas operacionales para la organización.
A.12.5.1. Instalación del software en sistemas en producción.
Control: la Entidad, a través del área de Tecnología, designará responsables y establecerá
procedimientos para controlar la instalación de software operativo, se cerciorará de contar
con el soporte de los proveedores de dicho software y asegurará la funcionalidad de los
sistemas de información que operan sobre la plataforma tecnológica cuando el software
operativo es actualizado.
A.12.6. Gestión de la vulnerabilidad técnica.
Objetivo: evitar la explotación de vulnerabilidades técnicas.
A.12.6.1. Gestión de las vulnerabilidades técnicas.
Control: la Entidad, a través del área de Tecnología y la Gerencia de Seguridad de la
Información, revisará periódicamente la aparición de vulnerabilidades técnicas sobre los
recursos de la plataforma tecnológica por medio de la realización periódica de pruebas de
vulnerabilidades, con el objetivo de realizar la corrección sobre los hallazgos arrojados por
dichas pruebas. Estas dos áreas conforman el Comité de vulnerabilidades encargado de
revisar, valorar y gestionar las vulnerabilidades técnicas encontradas.
A.12.6.1. Restricciones en la instalación de software.
Control: La instalación de software en los computadores suministrados por la Entidad, es
una función exclusiva del área de Tecnología y Seguridad de la Información. Se mantendrá
una lista actualizada del software autorizado para instalar en los computadores.
Periódicamente, el área de Tecnología y Seguridad de la Información efectuará la revisión
de los programas utilizados en cada dependencia. La descarga, instalación o uso de
aplicativos o programas informáticos no autorizados será considera como una violación a
las Políticas de Seguridad de la Información de la Entidad.
A.12.7. Consideraciones de las auditorías de los sistemas de información.
Objetivo: minimizar el impacto de actividades de auditoría en los sistemas operacionales.
24
LOGO EMPRESA
A.12.7.1. Controles de auditoría de los sistemas de información.

Control: el área de Auditoría debe realizar monitoreo periódicamente para evaluar la
conformidad con las políticas de la organización, para evaluar el nivel de implementación
de los sistemas de información, para evaluar el estado de mantenimiento y la capacidad de
mejoramiento de los sistemas de información.
A.13. SEGURIDAD EN LAS TELECOMUNICACIONES.
A.13.1. Gestión de la seguridad en las redes.
Objetivo: evitar el acceso físico no autorizado, los daños e interferencias a la información
de la organización y las instalaciones de procesamiento de la información.
A.13.1.1. Controles de red
Control: La Entidad establecerá, a través del área de Tecnología, los mecanismos de control
necesarios para proveer la disponibilidad de las redes de datos y de los servicios que
dependen de ellas y minimizar los riesgos de seguridad de la información transportada por
medio de las redes de datos.
De igual manera, propenderá por el aseguramiento de las redes de datos, el control del
tráfico en dichas redes y la protección de la información reservada y restringida de la
Entidad.
A.13.1.2. Mecanismos de seguridad asociados a servicios en red
Control: el área de Tecnología debe identificar los mecanismos de seguridad y los niveles
de servicio de red requeridos e incluirlos en los acuerdos de servicios de red, cuando estos
se contraten externamente.
A.13.1.3. Segregación de redes
Control: el área de Tecnología debe mantener las redes de datos segmentadas por
dominios, grupos de servicios, grupos de usuarios, ubicación geográfica o cualquier otra
tipificación que se considere conveniente para la Entidad.
A.13.2. Intercambio de información con partes externas.
Objetivo: mantener la seguridad de la información que transfiere una organización
internamente o con entidades externas.
A.13.2.1. Políticas y procedimientos de intercambio de información
Control: la Entidad asegurará la protección de la información en el momento de ser
transferida o intercambiada con otras entidades u otro destino externo y establecerá los
procedimientos y controles necesarios para el intercambio de información; así mismo, se
establecerán Acuerdos de Confidencialidad y/o de Intercambio de Información con las
terceras partes con quienes se realice dicho intercambio.
25
LOGO EMPRESA
La Entidad propenderá por el uso de tecnologías informáticas y de telecomunicaciones para

llevar a cabo el intercambio de información; sin embargo, establecerá directrices para el
intercambio de información en medio físico.
A.13.2.2. Acuerdos de intercambio
Control: el área Legal, en acompañamiento con el área de Seguridad de la Información,
debe definir los modelos de Acuerdos de Confidencialidad y/o de Intercambio de
Información entre la Entidad y terceras partes incluyendo los compromisos adquiridos y las
penalidades civiles o penales por el incumplimiento de dichos acuerdos. Entre los aspectos
a considerar se debe incluir la prohibición de divulgar la información entregada por la
Entidad a los terceros con quienes se establecen estos acuerdos y la destrucción de dicha
información una vez cumpla su cometido.
A.13.2.3. Mensajería electrónica
Control: la Entidad, entendiendo la importancia del correo electrónico como herramienta
para facilitar la comunicación entre funcionarios y terceras partes, proporcionará un servicio
idóneo y seguro para la ejecución de las actividades que requieran el uso del correo
electrónico, respetando siempre los principios de confidencialidad, integridad, disponibilidad
y autenticidad de quienes realizan las comunicaciones a través de este medio.
A.13.2.4. Acuerdos de confidencialidad y secreto
Control: el área Legal debe establecer en los contratos que se establezcan con terceras
partes, los Acuerdos de Confidencialidad o Acuerdos de intercambio dejando explícitas las
responsabilidades y obligaciones legales asignadas a dichos terceros por la divulgación no
autorizada de información de beneficiarios de la Entidad que les ha sido entregada en razón
del cumplimiento de los objetivos misionales.
A.14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE
INFORMACIÓN.
A.14.1. Requisitos de seguridad de los sistemas de información.
Objetivo: garantizar que la seguridad de la información sea una parte integral de los
sistemas de información en todo el ciclo de vida, incluyendo los requisitos para aquellos
que proporcionan servicios en redes públicas.
A.14.1.1. Análisis y especificación de los requisitos de seguridad.
Control: los requerimientos de seguridad de la información deben ser identificados previos
al diseño de los sistemas de tecnología de la información. Durante el desarrollo, estos
requerimientos deben ser incluidos dentro de los sistemas y si una modificación es
requerida, ésta debe cumplir estrictamente con los requerimientos de seguridad de la
información que han sido previamente establecidos. El nivel de Seguridad de la Información
de un sistema no puede verse disminuido, por lo que la información y los sistemas en
producción no serán utilizados para desarrollo, prueba o mantenimiento de aplicaciones.
26
LOGO EMPRESA
A.14.1.2. Seguridad de las comunicaciones en servicios accesibles por redes

públicas.
Control: el área de Tecnología debe asegurar que los sistemas de información o aplicativos
informáticos que pasan a través de redes públicas, incluyen controles de seguridad y
cumplen con las políticas de seguridad de la información, con el fin de proteger la
información de la Entidad de posibles ataques.
A.14.1.3. Protección de las transacciones por redes telemáticas.
Control: los desarrolladores de las aplicaciones, deben certificar la transmisión de
información relacionada con pagos o transacciones en línea a los operadores encargados,
por medio de canales seguros.
A.14.2. Seguridad en los procesos de desarrollo y soporte.
Objetivo: garantizar que la seguridad de la información se diseñe e implemente dentro del
ciclo de vida de desarrollo de los sistemas de información.
A.14.2.1. Política de desarrollo seguro de software
Control: la Entidad velará porque el desarrollo interno o externo de los sistemas de
información cumpla con los requerimientos de seguridad esperados, con las buenas
prácticas para desarrollo seguro de aplicativos, así como con metodologías para la
realización de pruebas de aceptación y seguridad al software desarrollado. Además, se
asegurará que todo software desarrollado o adquirido, interna o externamente cuenta con
el nivel de soporte requerido por la Entidad.
A.14.2.2. Procedimientos de control de cambios en los sistemas.
Control: el área de Tecnología debe contar con sistemas de control de versiones para
administrar los cambios de los sistemas de información de la Entidad. La realización de un
cambio tecnológico que no considere los requerimientos de seguridad de la Información
hace que la Entidad esté expuesta a riesgos. Por lo tanto, cada cambio tecnológico debe
asegurar el cumplimiento de la Política de Seguridad de la Información y sus respectivas
normas, y en caso de exponer a la Entidad a un riesgo en seguridad de la información, éste
debe ser identificado, evaluado, documentado, asumido y controlado por el respectivo
dueño de la información.
A.14.2.3. Revisión técnica de las aplicaciones tras efectuar cambios en el sistema
operativo.
Control: el área de Tecnología, debe realizar pruebas de todos los sistemas, cuando se
presente un cambio de sistema operativo en los equipos de cómputo de la Entidad, con el
fin de revisar los posibles impactos en las operaciones o en la seguridad de la información
de la organización.
27
LOGO EMPRESA
A.14.2.4. Restricciones a los cambios en los paquetes de software.

Control: la realización de un cambio tecnológico en un paquete de software entregado por
un tercero, que no considere los requerimientos de seguridad de la Información hace que
la Entidad esté expuesta a riesgos. Por lo tanto, cada cambio tecnológico debe asegurar el
cumplimiento de la Política de Seguridad de la Información y sus respectivas normas, y en
caso de exponer a la Entidad a un riesgo en seguridad de la información, éste debe ser
identificado, evaluado, documentado, asumido y controlado por el respectivo dueño de la
información.
A.14.2.5. Uso de principios de ingeniería en protección de sistemas.
Control: la Entidad establecerá mecanismos de control en la labor de implementación en el
sistema de información, con el objetivo de asegurar que la información a la que tengan
acceso o servicios que sean provistos por las mismas, cumplan con las políticas, normas y
procedimientos de seguridad de la información.
A.14.2.6. Seguridad en entornos de desarrollo.
Control: la Entidad establecerá y protegerá adecuadamente los entornos para las labores
de desarrollo e integración de sistemas que abarcan todo el ciclo de vida de desarrollo del
sistema.
A.14.2.7. Externalización del desarrollo de software.
Control: el área de Tecnología debe establecer el procedimiento y los controles de acceso
a los ambientes de desarrollo de los sistemas de información; así mismo, debe asegurarse
que los desarrolladores internos o externos, posean acceso limitado y controlado a los datos
y archivos que se encuentren en los ambientes de producción.
A.14.2.8. Pruebas de funcionalidad durante el desarrollo de los sistemas.
Control: los desarrolladores de los sistemas de información deben considerar las buenas
prácticas y lineamientos de desarrollo seguro durante el ciclo de vida de los mismos,
pasando desde el diseño hasta la puesta en marcha.
A.14.2.9. Pruebas de aceptación.
Control: el área de Tecnología debe generar metodologías para la realización de pruebas
al software desarrollado, que contengan pautas para la selección de escenarios, niveles,
tipos, datos de pruebas y sugerencias de documentación.
A.14.3. Datos de prueba.
Objetivo: garantizar la protección de los datos que se utilizan para procesos de pruebas.
A.14.3.1. Protección de los datos utilizados en prueba
Control: el área de Tecnología de la Entidad protegerá los datos de prueba que se
entregarán a los desarrolladores, asegurando que no revelan información confidencial de
los ambientes de producción. Tecnología debe certificar que la información a ser entregada
28
LOGO EMPRESA
a los desarrolladores para sus pruebas será enmascarada y no revelará información

confidencial de los ambientes de producción.
A.15. SUMINISTRADORES.
A.15.1. Seguridad de la información en las relaciones con suministradores.
Objetivo: garantizar la protección de los activos de la organización que son accesibles a
proveedores.
A.15.1.1. Política de seguridad de la información para suministradores.
Control: la Entidad establecerá mecanismos de control en sus relaciones con terceras
partes, con el objetivo de asegurar que la información a la que tengan acceso o servicios
que sean provistos por las mismas, cumplan con las políticas, normas y procedimientos de
seguridad de la información.
Los funcionarios responsables de la realización y/o firma de contratos o convenios con
terceras partes se asegurarán de la divulgación de las políticas, normas y procedimientos
de seguridad de la información a dichas partes.
A.15.1.2. Tratamiento del riesgo dentro de acuerdos de suministradores.
Control: el área de Tecnología, el área Legal y el área de Seguridad de la Información deben
generar un modelo base para los Acuerdos de Niveles de Servicio y requisitos de Seguridad
de la Información, con los que deben cumplir terceras partes o proveedores de servicios;
dicho modelo, debe ser divulgado a todas las áreas que adquieran o supervisen recursos
y/o servicios tecnológicos.
A.15.1.3. Cadena de suministro en tecnologías de la información y comunicaciones.
Control: el área de Tecnología, el área Legal y el área de Seguridad de la Información,
deben elaborar modelos de Acuerdos de Confidencialidad y Acuerdos de Intercambio de
Información con terceras partes. De dichos acuerdos deberá derivarse una responsabilidad
tanto civil como penal para la tercera parte contratada.
A.15.2. Gestión de la prestación del servicio por suministradores.
Objetivo: mantener el nivel en la prestación de servicios conforme a los acuerdos con el
proveedor en materia de seguridad de información.
A.15.2.1. Supervisión y revisión de los servicios prestados por terceros.
Control: el área de Seguridad de la Información, debe identificar y monitorear los riesgos
relacionados con terceras partes o los servicios provistos por ellas, haciendo extensiva esta
actividad a la cadena de suministro de los servicios de tecnología o comunicaciones
provistos.
29
LOGO EMPRESA
A.15.2.2. Gestión de cambios en los servicios prestados por terceros.

Control: los supervisores de contratos con terceros, con el apoyo del área de Seguridad de
la Información, deben administrar los cambios en el suministro de servicios por parte de los
proveedores, manteniendo los niveles de cumplimiento de servicio y seguridad establecidos
con ellos y monitoreando la aparición de nuevos riesgos.
A.16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
A.16.1. Gestión de incidentes de seguridad de la información y mejoras.
Objetivo: garantizar una administración de incidentes de seguridad de la información
coherente y eficaz en base a un enfoque de comunicación de los eventos y las debilidades
de seguridad.
A.16.1.1. Responsabilidades y procedimientos.
Control: la Entidad promoverá entre los funcionarios y personal provisto por terceras partes
el reporte de incidentes relacionados con la seguridad de la información y sus medios de
procesamiento, incluyendo cualquier tipo de medio de almacenamiento de información,
como la plataforma tecnológica, los sistemas de información, los medios físicos de
almacenamiento y las personas.
De igual manera, asignará responsables para el tratamiento de los incidentes de seguridad
de la información, quienes tendrán la responsabilidad de investigar y solucionar los
incidentes reportados, tomando las medidas necesarias para evitar su reincidencia y
escalando los incidentes de acuerdo con su criticidad.
La Alta Dirección o a quien delegue, son los únicos autorizados para reportar incidentes de
seguridad ante las autoridades; así mismo, son los únicos canales de comunicación
autorizados para hacer pronunciamientos oficiales ante entidades externas.
A.16.1.2. Notificación de los eventos de seguridad de la información.
Control: los propietarios de los activos de información deben informar lo antes posible al
área de Seguridad de la Información, los incidentes de seguridad que identifiquen o que
reconozcan su posibilidad de materialización.
A.16.1.3. Notificación de puntos débiles de la seguridad.
Control: en caso de conocer la pérdida o divulgación no autorizada de información
clasificada como uso interno, reservada o restringida, los funcionarios deben notificarlo al
área de Seguridad de la Información para que se registre y se le dé el trámite necesario.
A.16.1.4. Valoración de eventos de seguridad de la información y toma de decisiones.
Control: el Comité de Seguridad de la Información debe analizar los incidentes de seguridad
que le son escalados y activar el procedimiento de contacto con las autoridades, cuando lo
estime necesario.
30
LOGO EMPRESA
A.16.1.5. Respuesta a los incidentes de seguridad.

Control: el área de Seguridad de la Información debe designar personal calificado, para
investigar adecuadamente los incidentes de seguridad reportados, identificando las causas,
realizando una investigación exhaustiva, proporcionando las soluciones y finalmente
previniendo su re-ocurrencia.
A.16.1.6. Aprendizaje de los incidentes de seguridad de la información.
Control: el área de Seguridad de la Información debe, con el apoyo del área de Tecnología
y la Secretaría General, crear bases de conocimiento para los incidentes de seguridad
presentados con sus respectivas soluciones, con el fin de reducir el tiempo de respuesta
para los incidentes futuros, partiendo de dichas bases de conocimiento.
A.16.1.7. Recopilación de evidencias.
Control: el área de Seguridad de la Información debe evaluar todos los incidentes de
seguridad de acuerdo a sus circunstancias particulares, reuniendo las evidencias
necesarias y escalar al Comité de Seguridad de la Información aquellos en los que se
considere pertinente.
A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO.
A.17.1. Continuidad de la seguridad de la información.
Objetivo: mantener la seguridad de la información integrada en los sistemas de gestión de
continuidad del negocio de la organización.
A.17.1.1. Planificación de la continuidad de la seguridad de la información.
Control: la Entidad debe desarrollar, documentar, implementar y probar periódicamente
procedimientos para asegurar una recuperación razonable y a tiempo de la información
crítica de la Entidad, sin disminuir los niveles de seguridad establecidos.
A.17.1.2. Implantación de la continuidad de la seguridad de la información.
Control: la Entidad proporcionará los recursos suficientes para proporcionar una respuesta
efectiva de funcionarios y procesos en caso de contingencia o eventos catastróficos que se
presenten en el instituto y que afecten la continuidad de su operación.
Además, responderá de manera efectiva ante eventos catastróficos según la magnitud y el
grado de afectación de los mismos; se restablecerán las operaciones con el menor costo y
pérdidas posibles, manteniendo la seguridad de la información durante dichos eventos. La
Entidad mantendrá canales de comunicación adecuados hacia funcionarios, proveedores y
terceras partes interesadas.
31
LOGO EMPRESA
A.17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad de la

información.
Control: el comité de simulacros, junto con el área de Seguridad de la Información, debe
asegurar la realización de pruebas periódicas del plan de recuperación ante desastres y/o
continuidad de negocio, verificando la seguridad de la información durante su realización y
la documentación de dichas pruebas.
A.17.2. Redundancias.
Objetivo: garantizar la disponibilidad de las instalaciones de procesamiento de información.
A.17.2.1. Disponibilidad de instalaciones para el procesamiento de la información.
Control: la Entidad propenderá por la existencia de una plataforma tecnológica redundante
que satisfaga los requerimientos de disponibilidad aceptables. El área de Tecnología y el
área de Seguridad de la Información, deben analizar y establecer los requerimientos de
redundancia para los sistemas de información críticos para la Entidad y la plataforma
tecnológica que los apoya, también deben evaluar y probar soluciones de redundancia
tecnológica y seleccionar la solución que mejor cumple los requerimientos de la Entidad. El
área de Tecnología debe realizar pruebas periódicas sobre dichas soluciones, para
asegurar el cumplimiento de los requerimientos de disponibilidad de la Entidad.
A.18. CUMPLIMIENTO.
A.18.1. Cumplimiento de los requisitos legales y contractuales.
Objetivo: evitar incumplimientos a requisitos relacionados con la seguridad de la
información de cualquier tipo especialmente a las obligaciones legales, estatutarias,
normativas o contractuales.
A.18.1.1. Identificación de la legislación aplicable.
Control: el área de tecnología debe identificar y velar porque el software instalado en los
recursos de la plataforma tecnología cumpla con los requerimientos legales y de
licenciamiento aplicables.
A.18.1.2. Derechos de propiedad intelectual (DPI).
Control: para todo el personal de la entidad es importante tener presente que deben cumplir
con las leyes de derechos de autor y acuerdo de licenciamiento de software. Es ilegal
duplicar software o su documentación sin la autorización del propietario de derechos de
autor y su reproducción no autorizada es una violación de la ley.
A.18.1.3. Protección de los registros de la organización.
Control: el área Legal y el área de Seguridad de la Información deben identificar,
documentar y mantener actualizados los requisitos legales, reglamentarios o contractuales
aplicables a la Entidad, que están relacionados con los registros de la organización, para
protegerlos contra pérdidas, destrucción, falsificación, accesos y publicación no
autorizados.
32
LOGO EMPRESA
A.18.1.4. Protección de datos y privacidad de la información personal.

Control: en cumplimiento de la de Ley 1581 de 2012, por la cual se dictan disposiciones
para la protección de datos personales, la Entidad a través del área de Seguridad de la
Información, propenderá por la protección de los datos personales de sus beneficiarios,
proveedores y demás terceros de los cuales reciba y administre información.
A.18.1.5. Regulación de los controles criptográficos.
Control: el área de Tecnología debe implantar los controles criptográficos necesarios para
proteger la información personal de los beneficiarios, funcionarios, proveedores u otras
terceras partes almacenada en bases de datos o cualquier otro repositorio y evitar su
divulgación, alteración o eliminación sin la autorización requerida.
A.18.2. Revisiones de la seguridad de la información.
Objetivo: garantizar que se implementa y opera la seguridad de la información de acuerdo
a las políticas y procedimientos organizacionales.
A.18.2.1. Revisión independiente de la seguridad de la información.
Control: la Entidad debe realizar revisiones periódicamente, para validar si se deben realizar
actualizaciones a las políticas de seguridad. Los controles que se establezcan deben ser
los que corresponden a la norma de seguridad internacional ISO 27001 y otras fuentes
como COBIT, ITIL, BASILEA II, entre otros.
A.18.2.2. Cumplimiento de las políticas y normas de seguridad.
Control: Los diferentes aspectos contemplados en este documento de políticas de
seguridad, son de obligatorio cumplimiento para todos los funcionarios, contratistas y otros
colaboradores de la Entidad. En caso de que se violen las políticas de seguridad ya sea de
forma intencional o por negligencia, la Entidad tomará las acciones disciplinarias y legales
correspondientes.
El documento de la Política de Seguridad para las Tecnologías de la Información y las
Comunicaciones - TICs debe prevenir el incumplimiento de las leyes, estatutos,
regulaciones u obligaciones contractuales que se relacionen con los controles de seguridad.
A.18.2.3. Comprobación del cumplimiento.
Control: el área de Control Interno debe revisar periódicamente los registros de auditoria de
la plataforma tecnológica y los sistemas de información con el fin de identificar cumplimiento
de las políticas y normas de seguridad dispuestas por la información de la organización.
33
LOGO EMPRESA
4.2.3. Acuerdos de Niveles de Servicio – ANS Internos
PLAZO MÁXIMO
ANS RESPONSABLE
(días hábiles)
Envío de solicitudes de • 5 días – Disposición del puesto de Gerencia

creación, modificación, trabajo.
eliminación y novedades Administrativa y
de funcionarios. • 5 días – novedades como vacaciones y Gerencia de
licencias. Recursos
Humanos
• 5 días – Promoción de funcionarios.
• Inmediato – Modificación, eliminación e
Incapacidades de funcionarios
Elaboración, reporte y Al menos una vez por trimestre IT

envío del seguimiento al
tratamiento de las
vulnerabilidades
encontradas en el
período.
34
LOGO EMPRESA
5. REPRESENTACIÓN GRÁFICA DEL PROCESO
35
LOGO EMPRESA
6. DESCRIPCIÓN DE PROCEDIMIENTOS
6.1. PLANEACIÓN
6.1.1. Políticas Generales
DESCRIPCIÓN DE PROCEDIMIENTOS
No. ACTIVIDAD ÁREA EJECUTORA CARGO RESPONSABLE
DESCRIPCIÓN
1 Define y elabora la Gerencia de Seguridad de la Información Gerente
propuesta de las Estructura la propuesta de políticas de seguridad, con base en los procesos de la Entidad, las
políticas de seguridad buenas prácticas en términos manejo y control de seguridad de la información y los reportes e
informes de eventos e incidentes de seguridad.
2 Evalúa y ajusta las Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información
políticas Vicepresidencia de Tecnología Vicepresidente
Gerencia Administrativa y Financiera Gerente
Vicepresidencia de Operaciones Vicepresidente
Gerencia Jurídica Gerente
• Presenta la propuesta de políticas a las demás áreas involucradas.
• Evalúa, revisa y modifica las políticas actuales en materia de GSI.
• Propone, ajusta y define lineamientos en GSI para ser aprobados por la Presidencia.
• Ajusta y genera la propuesta definitiva para aprobación de la Presidencia.
3 Aprueba la política Gerencia de Seguridad de la Información Gerente
a nivel organizacional Presidencia Presidente
36
LOGO EMPRESA
Presenta la propuesta definitiva de la Política de Seguridad para aprobación. Presidencia revisa y

aprueba la política de GSI.
4 Formaliza la política Vicepresidencia de Operaciones Gerente de Calidad
Recibe y formaliza la política.
5 Divulga la política Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información
Una vez aprobada y formalizada la política, la divulga a todos los miembros de la Entidad por medio
de los canales establecidos por la Gerencia de Seguridad de la Información.
6.1.2. Plan de Sensibilización y Capacitación
DESCRIPCIÓN
1 Define y elabora la Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información
propuesta de
• Analiza las métricas por eventos ocurridos, identificando las vulnerabilidades detectadas que
capacitación puedan afectar las políticas y procedimientos en materia de seguridad.
• Revisa los temas tratados en capacitaciones anteriores, con el fin de determinar las necesidades
de mejora que se deban reforzar en la capacitación de los funcionarios.
2 Define el plan de Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información
capacitación GSI
• Establece el plan de capacitación relacionado con la GSI para los funcionarios nuevos
(inducción) y antiguos, determinando los temas a tratar, los objetivos propuestos, el público
objetivo, los medios, la frecuencia, los responsables de cada tarea, el cronograma de actividades
y la metodología a aplicar.
37
LOGO EMPRESA
• Define y coordina el apoyo de las diferentes áreas a la Gerencia de Seguridad de la Información

durante las capacitaciones (Talento Humano, Tecnología de la Información, Mercadeo)
3 Ejecuta y evalúa el plan Gerencia Seguridad de la Información Gerente / Oficial de Seguridad de la Información /
de sensibilización y Arquitecto de Seguridad
capacitación Gerencia Administrativa y Financiera Profesional Selección y Capacitación
Área usuaria Vicepresidente / Gerente
• Desarrolla las actividades de capacitación propuestas en el plan de capacitación.

• Evalúa el nivel de entendimiento del tema, mediante la aplicación de pruebas al final de las
mismas.
4 Monitorea los avances Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información
del plan de capacitación
• Realiza un monitoreo de las métricas del proceso.
• Con base en los resultados gestiona las mejoras al esquema de sensibilización.
6.2. INSPECCIÓN, ANÁLISIS, MEJORAMIENTO Y SERVICIOS DE SGSI
6.2.1. Monitoreo
DESCRIPCIÓN
1 Ejecuta el monitoreo Gerencia de Seguridad de la Información Oficial de Seguridad de la Información
• Identifica los tipos de monitoreo a realizar para los recursos informáticos seleccionados.
• Ejecuta el monitoreo, mediante la realización de las siguientes actividades:
38
LOGO EMPRESA
a) Verificación de la autenticación de usuarios

b) Validación de las actividades de usuarios
c) Revisión de la aplicación de estándares en las plataformas
d) Inspección de logs y bitácoras de seguridad
e) Detección de virus en los recursos informáticos
f) Verificación de la utilización de comandos y utilitarios sensibles
g) Realización de pruebas de penetración
2 Realiza la revisión de la Gerencia de Seguridad de la Información Oficial de Seguridad de la Información /
aplicación de Arquitecto de Seguridad de la Información
estándares en las
plataformas • Define los recursos informáticos sobre los cuales se realizará la verificación de estándares de
seguridad, teniendo en cuenta los criterios de selección como por ejemplo: a) Muestra al azar.
b) Recursos recientemente actualizados.
c) Por tipo de plataforma.
d) Por área de negocio.
e) Por dueño del recurso informático.
f) Por implicación en incidentes.
g) Otras.
• El Oficial de seguridad solicita al Arquitecto de Seguridad de la Información la última versión de
los estándares de seguridad a ser revisados e identifica los medios de verificación de la
aplicación de estándares a ser empleados para la revisión, de acuerdo con los tipos de
plataforma, considerando:
a) Utilidades estándar del sistema operacional.
b) Herramientas específicas para propósitos de verificación.
c) Comparación de archivos.
d) Revisión manual.
• El Arquitecto de Seguridad coordina con los administradores de los recursos informáticos, la
agenda para la revisión de la aplicación de los estándares de seguridad en las plataformas
seleccionadas.
39
LOGO EMPRESA
• El Oficial de Seguridad revisa el cumplimiento con los estándares de seguridad, de acuerdo con
la agenda definida, verificando cuando sea posible la fecha de última modificación de los
parámetros, documentando los hallazgos de acuerdo con su criticidad.
• Solicita al administrador del recurso, la documentación básica del mismo (bitácora de
modificaciones, registro de eventos u otros) para verificar:
a) El adecuado registro de las modificaciones realizadas a la configuración, incluyendo las
justificaciones y autorizaciones de los cambios.
b) Aceptaciones de riesgo para el caso de parámetros o configuraciones que difieran de la
definición del estándar aplicable.
• Revisa y documenta las justificaciones o aclaraciones recibidas de los administradores de los
recursos informáticos objeto de la revisión, para todos los casos.
• Establece para cada recurso informático, el plan de acción requeridos como respuesta a los
posibles hallazgos, en función de su criticidad, incluyendo:
a) Actividades para realizar los ajustes a la configuración
b) Responsables asignados
c) Fechas de verificación de la implantación
• Solicita al administrador del recurso informático la implantación de los valores de los parámetros
de seguridad y verifica su atención:
• Elabora el informe de la revisión, incluyendo:
a) Recursos informáticos y estándares verificados
b) Agenda de revisión empleada
c) Hallazgos o casos catalogados como desviación en la aplicación de los estándares
d) Justificaciones proporcionadas por los responsables de los Recursos Informáticos
e) Recomendaciones (las que apliquen, de acuerdo el volumen e impacto de los hallazgos).
• Almacena la documentación, para seguimiento.
3 Efectúa la verificación Gerencia de Seguridad de la Información Oficial de Seguridad de la Información /

de la utilización de Arquitecto de Seguridad
40
LOGO EMPRESA
comandos y utilitarios Si se identifican situaciones como el uso o intento de uso de utilitarios o comandos sensibles en
sensibles actividades no autorizadas - sin justificación - o el uso o intento de uso de utilitarios por parte de
usuarios no autorizados o el frecuente uso errado de comandos y utilitarios restringidos
• Inicia el procedimiento gestión de incidentes de seguridad.

• Documenta y archiva el informe de la realización del procedimiento de revisión de uso de
utilitarios y comandos sensibles.
4 Inspecciona los logs y Gerencia de Seguridad de la Información Oficial de Seguridad de la Información /

bitácoras de seguridad Arquitecto de Seguridad / Ingeniero Sénior
• Asegura el adecuado registro de los eventos previamente definidos para el recurso informático,
revisando en forma diaria o con la periodicidad definida, como mínimo los siguientes aspectos:
a) Llenado de discos del sistema o medios de almacenamiento
b) Integridad de los archivos generados (sobre escritura, modificación)
c) Inhabilitación del registro a nivel aplicativo o de sistema operativo
d) Ejecución de procesos automáticos o manuales de copia de seguridad a medios externos
e) Configuración de opciones de logs o trace en el sistema
• Revisa el contenido de los archivos de registro de eventos del recurso informático, de acuerdo
con la periodicidad definida en función de la criticidad del mismo, considerando entre otros: a)
Alarmas generadas por el sistema
b) Eventos de acceso no autorizado
c) Acceso a aplicaciones no autorizadas
d) Comportamientos anormales.
• Notifica al administrador del recurso informático y a los responsables asignados mediante el
procedimiento de notificación, escalamiento y respuesta ante eventos, informando acerca de la
situación detectada en el monitoreo realizado.
41
LOGO EMPRESA
• Reporta las situaciones anormales que puedan ser catalogadas como incidentes o problemas
de seguridad, para proceder a su atención mediante el seguimiento de los procedimientos
correspondientes.
• Notifica al administrador del recurso informático y a los responsables identificados, informando
acerca de la situación detectada en el monitoreo realizado, cuando aplique.
5 Verifica perfiles de Gerencia de Seguridad de la Información Oficial de Seguridad de la Información

usuario Gerencia de Ingeniería de Software Gerente
• Solicita al administrador del recurso informático la lista de usuarios activos con sus respectivos
perfiles.
• Verifica la información recibida, validando en función de la situación del negocio la necesidad de
mantener los perfiles asignados, estableciendo las discrepancias y/o documentando las
solicitudes de ajuste requeridas.
• Asegura, por parte de los responsables, la ejecución de actividades de mantenimiento de
usuarios y/o perfiles, según aplique.
• La Gerencia de Ingeniería de Software, envía al Oficial de Seguridad, el reporte incluyendo el
detalle del resultado de la verificación, confirmando la realización de la misma, los hallazgos
evidenciados y acciones ejecutadas cuando aplique.
• El Oficial de Seguridad de la Información recibe los reportes y/o solicitudes, programa las
revisiones y solicita los ajustes a que haya lugar.
6 Verifica la actividad de Gerencia de Seguridad de la Información Oficial de Seguridad de la Información /

los usuarios Arquitecto de
Área usuaria Seguridad de la Información / Ingeniero Sénior
Vicepresidente / Gerente
42
LOGO EMPRESA
• La Gerencia de Seguridad de la Información recolecta, edita y almacena la información de los

logs., con el fin de obtener de las fuentes, el subconjunto de información requerido para el
análisis.
• Realiza un primer análisis de la información obtenida a fin de:
a) Verificar la actividad de los usuarios
b) Establecer patrones anormales de comportamiento
c) Identificar usuarios inactivos
d) Identificar violaciones a la seguridad o incidentes
e) Identificar intentos de ataques sistemáticos
f) Identificar el incumplimiento de cualquiera de las políticas de protección de la información
definidas
g) Documenta los hallazgos y los envía al dueño de la Información.
• La gerencia usuaria, revisa la información recibida del monitoreo y define las acciones
correctivas que apliquen.
• Si se detectaron usuarios inactivos o patrones anormales de comportamiento, la Gerencia de
Seguridad de la Información revisa y ajusta los perfiles de los usuarios, iniciando los cambios
que se requieran, según la Matriz de Perfiles de Usuarios y evalúa la incorporación de otros
mecanismos de registro y control si se requiere.
• Genera reporte de control de la actividad de los usuarios y almacena el reporte.
7 Aplica correctivos Gerencia de Plataforma Tecnológica Gerente
Ejecuta las acciones de operación correspondientes a situaciones normales o controladas, de

acuerdo con las recomendaciones de mantenimiento del recurso informático
6.2.2. Detección y Análisis de Vulnerabilidades
43
LOGO EMPRESA
DESCRIPCIÓN
Realiza pruebas de Gerencia de Seguridad de la Información Arquitecto de Seguridad
1 detección de
vulnerabilidades • Inicia la ejecución de pruebas de penetración e inspección de código en los recursos
informáticos seleccionados.
• Extrae el informe del resultado de las pruebas, generado como salida del procedimiento de la
actividad anterior.
• Continua con el tratamiento y documentación de hallazgos del monitoreo de seguridad.
2 Identifica y valida las Gerencia de Seguridad de la Información Oficial de Seguridad / Arquitecto de Seguridad
vulnerabilidades por
medio del análisis de • Identifica las posibles vulnerabilidades que podrían ser aprovechadas para el
las fuentes de rompimiento de los controles de seguridad de la Entidad, mediante el análisis de las
monitoreo fuentes clasificadas, considerando:
a) Resultados generados por la herramienta de monitoreo.
b) Vulnerabilidades anteriores.
c) Incumplimiento al estándar de Seguridad
d) Incumplimiento al políticas de Seguridad
• Recopila la información adicional disponible, para la confirmación o aclaración de la
vulnerabilidad mediante:
a) Realización de entrevistas.
b) Observación visual del entorno asociado con la vulnerabilidad.
c) Solicitud de información adicional a los administradores de recursos informáticos involucrados.
d) Verificación de documentos de aceptación de la vulnerabilidad.
3 Gerencia de Seguridad de la Información Oficial de Seguridad / Arquitecto de Seguridad
44
LOGO EMPRESA
Clasifica la • Clasifica las vulnerabilidades en categorías para su análisis teniendo en cuenta:

vulnerabilidad a) Resultados generados por la herramienta de monitoreo
b) Informes anteriores
c) Huecos de seguridad.
d) Reportes de incidentes
• Incumplimiento al políticas de Seguridad
4 Analiza y documenta la Gerencia de Seguridad de la Información Oficial de Seguridad / Arquitecto de Seguridad
vulnerabilidad
Si se trata de una vulnerabilidad comprobada, documenta:
a) La vulnerabilidad identificada mediante un informe, incluyendo la descripción de la misma, el
impacto que podría causar, y adicionando cualquier comentario pertinente que permita la
resolución de la misma, documentar los recursos informáticos y activos de información que
podrían verse afectados directamente por la vulnerabilidad.
b) Recurso informático en el cual fue identificada la vulnerabilidad.
c) Equipo o información residente en el área vulnerable.
d) Recomendaciones generales para su solución.
Mantiene una bitácora de las vulnerabilidades encontradas para su control y seguimiento.
5 Define el plan de acción Gerencia de Seguridad de la Información Gerente
Vicepresidencia de Tecnología Vicepresidente
• Decide con base en los resultados del análisis anterior u otros aspectos relevantes, si el riesgo
es aceptado o si se aprueba la iniciación de la ejecución del plan de implantación.
• Si el riesgo es aceptado por el jefe del implantador:
a) Documenta la aceptación del riesgo mediante un acta, estableciendo la justificación de la
aceptación y el período de la misma.
b) Notifica al área de seguridad para que modifique la línea base de la herramienta de monitoreo.
• Define el plan de implantación y las posibles fechas y costos.
• Diligencia el Formato de Control de Cambios de Infraestructura.
45
LOGO EMPRESA
• Si se requiere suspensión del servicio, realiza el trámite a través de la Gerencia de Tecnología.

• Notifica la estrategia y plan de mitigación del riesgo a la Gerencia de Seguridad de la
Información.
6 Implementa los cambios Vicepresidencia de Tecnología Vicepresidente
o informa
• Ejecuta el plan de acción establecido y certifica los cambios.
• En el evento en que no sea posible llevar a cabo algún correctivo en el corto plazo, documenta e
informa a la Gerencia de Seguridad de la Información, señalando las razones.
7 Efectúa el seguimiento Gerencia de Seguridad de la Información Gerente
del plan de acción
Realiza seguimiento al desarrollo del plan propuesto sobre las acciones definidas y el tratamiento de
la vulnerabilidad.
6.2.3. Gestión de Incidentes
DESCRIPCIÓN
1 Detecta y reporta el Gerencia área usuaria Gerente
incidente Gerencia de Seguridad de la Información Gerente
Cualquier funcionario detecta el incidente de seguridad y lo reporta a la Gerencia de Seguridad de la

Información.
2 Gerencia de Seguridad de la Información Oficial de Seguridad de la Información
46
LOGO EMPRESA
Categoriza el Si se confirma que el reporte se trata de un incidente válido: clasifica el incidente en la categoría
incidente de correspondiente, estableciendo el tipo más adecuado entre los siguientes:
seguridad a) Ataques por Virus
b) Incidentes de Acceso Físico
c) Incidentes de Red
d) Incidentes de Comunicaciones
e) Incidentes de Base de Datos
f) Incidentes de Aplicativo
g) Ataques a la Red de Datos y Recursos Tecnológicos
h) Incidentes Humanos
3 Documenta el Gerencia de Seguridad de la Información Oficial de Seguridad de la Información
incidente
• Si el reporte no corresponde a un incidente de seguridad:
a) Documenta en el formato las razones por las cuales no se considera un incidente de seguridad.
b) Notifica a quien corresponda “Mesa de Ayuda” o Help Desk para que realice las acciones
necesarias de acuerdo con el problema real para resolverlo.
• Documenta en la Bitácora de Incidentes de Seguridad de la Información, archiva el formato
correspondiente y cierra el incidente.
4 Analiza y define las Vicepresidencia de Tecnología Vicepresidente / Gerente de Calidad y
acciones de Gerencia de Seguridad de la Información Soporte TI Gerente / Oficial de Seguridad de
protección la Información
• La Gerencia de Seguridad de la Información, determina si el incidente afecta a la Entidad y su

impacto, teniendo en cuenta lo siguiente:
a) BAJO: Si el incidente es aislado y solo afecta una estación de trabajo interna o asociado. Este
tipo de incidente es definido también como problema de usuario final, es un evento que podría
ser una amenaza menor ó es el resultado de una actividad no autorizada, pero que no
compromete recursos críticos ó información sensitiva
47
LOGO EMPRESA
b) MEDIO: Si el incidente afecta las estaciones de un grupo de trabajo interno o los servicios
internos operativos de la Entidad, es un evento que puede ser una amenaza futura, pero que no
se identifica como una amenaza seria y/o inmediata.
c) ALTO: Es un evento muy crítico, en el cual representa una seria amenaza y afecta de forma
inmediata a uno o más recursos críticos o pone en peligro información sensitiva o
confidencial, el incidente involucra uno o más usuarios externos de los servicios de la Entidad.
• Junto con la Gerencia de Tecnología, analizan las condiciones del incidente con el fin de
identificar la amenaza y/o debilidad y posteriormente determinar los mecanismos y/o acciones
de protección que deben ser aplicados.
• Si el incidente es catalogado con ALTO o MEDIO, conforma el equipo para la atención del
incidente incluyendo los especialistas identificados en la fase de detección, teniendo en cuenta
el tipo de recursos informáticos afectados y el nivel de especialización requerido.
• Monitorea las herramientas actuales de software y hardware, y los registros de actividad del
sistema para determinar las causas del incidente.
• Procede con las acciones documentadas de acuerdo al tipo de incidente identificado, y al
impacto definido.
• El Coordinador de Calidad identifica los clientes afectados y les informa del incidente.
• Si el impacto del incidente es BAJO, entre las Gerencias de Tecnología y de Seguridad de la
Información determinan las acciones a seguir y diligencian el Formato de Reporte de
Incidentes.
• El Oficial de Seguridad de la Información determina en primera instancia si el reporte se trata de
un incidente de Seguridad válido, mediante:
a) Revisión detallada de la información recibida
b) Verificación adicional de las fuentes de información asociadas.
c) Solicitud de información adicional a los Administradores de los Recursos Informáticos.
d) Documentación de incidentes anteriores.
48
LOGO EMPRESA
• Verifica si se han presentado situaciones similares y han sido documentadas acciones

específicas en respuesta a los incidentes, para ser usadas en el tratamiento del incidente,
mediante la revisión de fuentes como:
a) Informes de auditorías previas
b) Bitácora de Incidentes
c) Reportes de vulnerabilidades conocidas de los sistemas
d) Reporte generador por el monitoreo de herramientas
• Define el plan de trabajo para la implantación de la protección
requerida, incluyendo:
a) Actividades a realizar
b) Responsables asignados
c) Plan de pruebas
d) Escalamiento de Incidentes
5 Ejecuta el plan de Vicepresidencia de Tecnología Vicepresidente / Gerente de Plataforma

acción Gerencia de Seguridad de la Información Tecnológica
Gerente / Oficial de Seguridad de la Información
49
LOGO EMPRESA
• Notifica a los implicados las acciones a tomar.

• Procede con las acciones documentadas de acuerdo al tipo de incidente identificado, y al
impacto definido.
• Determina el grado de daño causado a los recursos informáticos o información de la Entidad,
mediante la revisión detallada de los sistemas afectados y lo identificado en la documentando
los hallazgos así como los daños detectados durante su revisión.
• Confirma los recursos informáticos afectados, servicios y entidades afectadas directa o
indirectamente por el incidente, incluyendo la identificación preliminar de los especialistas
(internos / externos) que de acuerdo con su especialidad podrían responder al incidente.
• Define el plan de trabajo la implantación de las acciones correctivas requeridas, de acuerdo con
los daños evidenciados en la actividad anterior y durante todo el proceso de tratamiento del
incidente ejecutando el procedimiento de control de cambios.
• Notifica a las personas afectadas, usuarios o clientes, acerca de la disponibilidad de los
sistemas, informando acerca de cualquier limitación o condición especial, previo a ser puesto
nuevamente en operación.
• Define y documenta el esquema requerido para el monitoreo en producción de la correcta
realización y efectividad de las acciones ejecutadas sobre los recursos informáticos, asignando
los responsables correspondientes para su ejecución.
• Si se detecta un problema operativo, proceder a reportarlo al Help Desk, para ser atendido
según los procedimientos de operación existentes.
• Documenta el incidente en el formato de Reporte de Incidentes, incluyendo la mayor cantidad
de detalles posibles, anexos o referencias a documentación, con el fin de completar el reporte
del incidente y contar con la información para futura referencia.
6 Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información

/ Arquitecto de Seguridad de la Información
50
LOGO EMPRESA
Realiza el • Almacena la información disponible del incidente en la “Bitácora de Incidentes en Seguridad de

seguimiento y la Información” para poder continuar con la ejecución del procedimiento de “Tratamiento de
evaluación a los Incidentes de Seguridad” Elabora el plan de acción con el fin de prevenir la ocurrencia de
incidentes y plan eventos similares.
• Realiza el monitoreo y establece las acciones preventivas y correctivas para eliminar la causa.
• Realiza el seguimiento quincenal de los incidentes reportados y generar estadísticas para tomar
acciones preventivas y/o correctivas que apoyen la calidad del servicio.
6.2.4. Gestión de Usuarios
ÁREA EJECUTORA CARGO RESPONSABLE
No. ACTIVIDAD
DESCRIPCIÓN
1 Solicita la creación, Gerencia de Talento Humano Profesional Máster
modificación o
eliminación de • Para los nuevos funcionarios; solicita la creación de los usuarios vía GAUS y SAP,
ingresado la información básica relacionada con el nombre, identificación, cargo a
usuarios en la
desempeñar y dependencia.
herramienta de gestión NOTA: La herramienta de Gestión y Autenticación de Usuarios – GAUS se basa en la
de usuarios información contenida en la Matriz de Perfiles de Usuarios.
• Para los funcionarios que han cambiado de cargo o de área de trabajo; solicita las
modificaciones en claves y accesos a los usuarios.
51
LOGO EMPRESA
• Para los funcionarios que presentan novedades como licencias, vacaciones o

incapacidades; solicita la suspensión temporal de las claves y accesos.
• Para aquellos funcionarios que requieran privilegios especiales, se debe realizar la
solicitud de aprobación, mediante el formato de Entrega de Contraseñas de Usuarios con
Altos Privilegios.
• Para los funcionarios que han sido desvinculados, solicita la eliminación de los usuarios.
2 Recibe, revisa y Gerencia de Seguridad de la Información Ingeniero Sénior
aprueba la solicitud y Gerencia de Plataforma Tecnológica Gerente
realiza la creación / Gerencia de Calidad y Soporte TI Gerente
modificación / Coordinación Administrativa Profesional / Analista
eliminación de
usuarios • Para funcionarios nuevos:
• La Gerencia de Seguridad de la Información valida los datos básicos del usuario para
creación en GAUS según lo expuesto en el Manual de Usuario Administrador - GAUS.
• Realiza la configuración de la tarjeta de ingreso a las instalaciones de la Entidad.
• La Gerencia de Tecnología, configura, instala la terminal de telefonía en el puesto de
trabajo del nuevo funcionario.
• Configura cuenta de correo electrónico del nuevo funcionario.
• A través de la Mesa de Ayuda configura, prepara, dispone e instala los equipos de
cómputo con sus respectivas claves de acceso para el nuevo funcionario.
• El área de soporte informa al nuevo funcionario las claves de acceso al PC y las
herramientas GAUS, Mesa de Servicios.
• La Coordinación Administrativa informa al usuario la clave de acceso a los centros de
fotocopiado.
• Para las modificaciones, gestiona las actualizaciones del caso.
• Para los funcionarios desvinculados, elimina todos los accesos.
3 Solicita accesos y Área usuaria Vicepresidente / Gerente / Jefe inmediato

permisos especiales
(cuando aplique) El Vicepresidente, Gerente o Jefe Inmediato que por labores inherentes a su cargo o por
necesidades particulares de la operación de la Entidad, requiera la instalación y/o acceso a
52
LOGO EMPRESA
herramientas de: software y/o hardware particulares debe efectuar la solicitud vía Mesa de
Servicios, para los siguientes casos:
a) Acceso a Bases de Datos: en la solicitud debe explicarse los motivos/necesidad particular del
funcionario, especificar la tabla a la cual se solicita el acceso, el tipo de acceso (solo lectura,
creación o modificación de los registros de la tabla). La solicitud se debe tramitar a través del
Formato de Solicitud de Acceso a Aplicaciones o Servicios.
b) VPN: esta solicitud se realiza cuando el usuario deba efectuar conexiones remotas seguras a
las redes internas de la Organización. Si la solicitud proviene de un cliente externo, se debe
tramitar a través del formato de Solicitud Datos VPN. Para clientes internos se debe realizar a
través de la Mesa de Servicios.
c) Dispositivos especiales: esta solicitud se realiza cuando el usuario solicite la habilitación de
puertos USB, para este fin es necesario diligenciar el Formato de Solicitud de Uso de Dispositivos
de Almacenamiento de Información.
d) Internet: para accesos sin restricción a páginas web (según el perfil del cargo), mediante el
control de herramientas de monitoreo.
e) Permisos de acceso a nivel Firewall: debe especificarse la duración y el tipo acceso del usuario
(permanente, por tiempo definido). Esta solicitud se debe tramitar a través de la Mesa de Ayuda,
adjuntando el formato de Registro de Modificación Firewall.
f) Permisos de acceso a Centro de Cómputo: Estas solicitudes serán tramitadas a través de la
Mesa de Servicios, y configuradas en la herramienta de control de acceso físico. Una vez que
el funcionario ingrese al Centro de Cómputo, debe diligenciar el formato Control de Ingreso al
Centro de Cómputo.
4 Recibe, revisa y Ingeniero Sénior / Oficial de Seguridad de la

Gerencia de Seguridad de la Información
aprueba la solicitud y Información
realizar la
modificación de los El Ingeniero Sénior de la Gerencia de Seguridad de la Información valida los datos básicos
accesos del usuario del usuario y la solicitud realizada por el área usuaria; de ser aprobada se habilitan los
53
LOGO EMPRESA
accesos solicitados clasificando al usuario de acuerdo con la Matriz de Perfiles de

Usuarios.
6.3. GOBERNABILIDAD DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN – SGSI

6.3.1. Cumplimiento
ÁREA EJECUTORA CARGO RESPONSABLE

No. ACTIVIDAD
DESCRIPCIÓN
1 Recibe, atiende la Gerencia de Seguridad de la información Gerente
programación de
visitas de Recibe las visitas de auditoría programadas por entidades externas y la revisoría fiscal.
auditoría
2 Ejecuta la Gerencia de Seguridad de la Gerente
inspección y información/Comercial Gerencias Comerciales Fuerza Comercial
auditoría
• El funcionario de la fuerza comercial recibe una solicitud formal y cuestionario de
preguntas de la entidad externa para efectuar una visita a la Organización.
• Coordina una reunión con la entidad externa y/o revisoría fiscal para revisar los puntos
a tratar durante la visita. Desarrolla conjuntamente con las entidades las auditorías.
3 Gerencia de Seguridad de la información Gerencia
54
LOGO EMPRESA
Elabora el • Elabora las respuestas a las preguntas del cuestionario enviado por la Entidad externa las
informe y cuales son entregadas como parte del informe.
determina el plan
de acción • Establece el plan de acción para los hallazgos encontrados con las recomendaciones del caso.
4 Implementa Gerencia de Seguridad de la información Gerente

correctivos y/o
acciones de Con base al plan de acción definido, implementa los correctivos y acciones de mejora necesarias
mejora para resolver los hallazgos de las auditorías.
55
LOGO EMPRESA
7. VIGENCIA, CONSULTAS Y APROBACIONES
VIGENCIA DEL MANUAL A PARTIR DE 29/03/2017

CONSULTAS Y ACLARACIONES Gerencia de Seguridad de la información
APROBACIONES
NOMBRE CARGO / FIRMA
DEPENDENCIA
Hawin Andrei Tapiero Presidente ORIGINAL FIRMADO
Heiner Suarez Ramírez Gerente de ORIGINAL FIRMADO
Seguridad de la
Información
56

Anexo C - Politicas de Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Anexo C - Politicas de Seguridad

Cargado por

Copyright:

Formatos disponibles

POLITICAS DE SEGURIDAD

Código Versión Fecha Descripción Elaborado por Aprobó

 Formalizar el procedimiento de Gestión de Seguridad de la Información, que hace

Este manual reglamenta el proceso, desde la definición de políticas y la planeación, hasta

Activo de Información: Es un dato o elemento que tiene valor para la Entidad.

Nivel de Sensibilidad: Es un indicador del valor o importancia que tiene la información

4.1. REGULACIÓN EXTERNA

 Ley 1581 de 2012 Protección de Datos Personales

4.2. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES

4.2.1. Políticas de Seguridad de la Información

 Fortalecer la gestión de seguridad de la información a través de la implementación

 La revisión y aprobación de la política contenida en este documento.

4.2.2. Políticas Específicas de Seguridad de la Información

A continuación se desarrollan políticas específicas asociadas directamente a los dominios,

A.5. POLÍTICA DE SEGURIDAD

A.6.2.1. Política de uso de dispositivos para movilidad.

Gestión de Seguridad de la Información son de obligatorio cumplimiento. La ejecución de

A.8.2 Clasificación de la información.

CRITERIO / NIVEL ALTO MEDIO BAJO

El acceso está El acceso está No son necesarios

La información no Se requiere para su No es necesario

Es de vital importancia No es crítico que la Esta información no

esta información, que demoras en su procesos críticos de

A.8.2.2. Etiquetado y manipulado de la información.

CRITERIO / TIPO Y PRIVACIDAD INTEGRIDAD DISPONIBILIDAD

Nivel 2. Información Interna: La información clasificada en este nivel debe estar

 Información relevante a procesos internos, controles y registros.

autorizadas se corre el riesgo de afectar la operación normal de la Entidad, su reputación

 Información suministrada por otras entidades relacionadas con sus clientes.

A.8.2.3. Manipulación de activos.

A.8.3.1. Gestión de soportes extraíbles.

A.9.1.1. Política de control de accesos.

A.9.2.5. Revisión de los derechos de acceso de los usuarios.

 No incluir contraseñas en ningún proceso de registro automatizado, por ejemplo

 Poseer algún grado de complejidad y no deben ser palabras comunes que se

A.9.4.5. Control de acceso al código fuente de los programas.

A.11.1.3. Seguridad de oficinas, despachos y recursos.

A.11.2.2. Instalaciones de suministro.

A.11.2.9. Política de puesto de trabajo despejado y bloqueo de pantalla.

A.12.2.1. Controles contra el código malicioso.

A.12.4.3. Registros de actividad del administrador y operador del sistema.

A.12.7.1. Controles de auditoría de los sistemas de información.

La Entidad propenderá por el uso de tecnologías informáticas y de telecomunicaciones para

A.14.1.2. Seguridad de las comunicaciones en servicios accesibles por redes

A.14.2.4. Restricciones a los cambios en los paquetes de software.

a los desarrolladores para sus pruebas será enmascarada y no revelará información

A.15.2.2. Gestión de cambios en los servicios prestados por terceros.

A.16.1.5. Respuesta a los incidentes de seguridad.

A.17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad de la

A.18.1.4. Protección de datos y privacidad de la información personal.

4.2.3. Acuerdos de Niveles de Servicio – ANS Internos

Envío de solicitudes de • 5 días – Disposición del puesto de Gerencia

Elaboración, reporte y Al menos una vez por trimestre IT

5. REPRESENTACIÓN GRÁFICA DEL PROCESO

6.1.1. Políticas Generales

Presenta la propuesta definitiva de la Política de Seguridad para aprobación. Presidencia revisa y

6.1.2. Plan de Sensibilización y Capacitación

• Define y coordina el apoyo de las diferentes áreas a la Gerencia de Seguridad de la Información

• Desarrolla las actividades de capacitación propuestas en el plan de capacitación.

6.2. INSPECCIÓN, ANÁLISIS, MEJORAMIENTO Y SERVICIOS DE SGSI

a) Verificación de la autenticación de usuarios

3 Efectúa la verificación Gerencia de Seguridad de la Información Oficial de Seguridad de la Información /

• Inicia el procedimiento gestión de incidentes de seguridad.

4 Inspecciona los logs y Gerencia de Seguridad de la Información Oficial de Seguridad de la Información /