DECLARAC

NUMERAL
DEL NOMBRE DEL CONTROL DESCRIPCION
ANEXO

Objetivo: Proporcionar orientación y apoyo de

Orientación de la Dirección para la Seguridad de la
5.1 Seguridad de la Información, de acuerdo con lo
Información.
y con las regulaciones y leyes pe
La Dirección debe definir aprobar, publicar y c
5.1.1 Políticas para la seguridad de la información. empleados y a las partes externas pertinentes
para la seguridad de la inform

Las políticas para la seguridad de la informaci

Revisión de las políticas para la seguridad de la
5.1.2 intervalos planificados o si ocurren cambios sign
información.
su conveniencia, adecuación y eficac

6. ORGANIZAC
Objetivo: Establecer un marco de referencia d
6.1 Organización interna. controlar la implementación y la operación d
información dentro de la organi

Roles y Responsabilidades para la Seguridad de la Se deben definir y asignar todas las responsabi
6.1.1
Información de la Información

Los deberes y áreas de responsabilidad en con

6.1.2 Separación de Deberes para reducir las posibilidades de modificación
intencional o el uso indebido de los activos

Se deben mantener contactos apropiados c

6.1.3 Contacto con las autoridades.
pertinentes.

Se deben mantener contactos apropiados co

6.1.4 Contacto con grupos de interés especial. especial u otros foros y asociaciones profesion
seguridad

La Seguridad de la Información se debe tra

6.1.5 Seguridad de la información en la gestión de proyectos.
proyectos, independientemente del tip

Objetivo: Garantizar la seguridad del telet

6.2 Dispositivos para móviles y teletrabajo.
dispositivos moviles.
 Se deben adoptar una política y unas medidas d
6.2.1 Política de uso de dispositivos moviles para gestionar los riesgos introducidos por e
moviles

Se deben implementar una política y unas med

soporte para proteger la información a la que s
6.2.2 Teletrabajo.
procesada o almacenada en los lugares en
teletrabajo

7. SEGU
Objetivo: Asegurar que los empleados y contra
7.1 Antes de asumir el empleo responsabilidades y son idóneos en los rol
consideran

Las verificaciones de los antecedentes de todo

empleo se deben llevar a cabo de acuerd
7.1.1 Selección reglamentaciones y ética pertinentes y deben s
requisitos de negocio a la clasificación de la info
tener acceso y a los riesgos per

Los acuerdos contratuales con empleados y

7.1.2 Términos y condiciones del empleo establecer sus responsabilidades y las de las or
la seguridad de la informac

Objetivo: Asegurarse de que los empleados

7.2 Durante la ejecución del empleo conciencia de sus responsabilidades de segurid
las cumplen

La Dirección debe exigir a todos los emplea

7.2.1 Responsabilidades de la Dirección aplicación de la seguridad de la información
políticas y procedimientos establecidos po

Todos los empleados de la organización y en do

Toma de Conciencia, Educación y Formación en la contratistas deben recibir la educación y la fo
7.2.2
Seguridad de la Información conciencia apropiada y actualizaciones regular
procedimientos de la organización pertin

Se debe contar con un proceso formal el cual

7.2.3 Proceso disciplinario. para emprender acciones contra empleados q
violación a la seguridad de la info

Objetivo: Proteger los intereses de la organiz

7.3 Terminación y cambio de empleo
proceso de cambio o terminación d

Las responsabilidades y los deberes de segurida

permanecen válidos después de la terminación
7.3.1 Terminación o cambio de responsabilidades de empleo
deben definir, comunicar al empleado o contra
cumplir
 Objetivo: Identificar los activos organizaci
8.1 Responsabilidad por los activos.
responsabilidades de proteccción a

Se deben identificar los activos asociados

8.1.1 Inventario de activos. instalaciones de procesamiento de información
mantener un inventario de estos

8.1.2 Propiedad de los activos. Los activos mantenidos en el inventario deben

Se deben identificar, documentar e implemen

8.1.3 Uso aceptable de los activos. aceptable de información y de activos asociad
instalacionesde procesamiento de i

Todos los empleados y usuarios de partes ext

8.1.4 Devolución de activos. todos los activos de la organización que se en
terminar su empleo, contrato o a

Objetivo: Asegurar que la información recibe

8.2 Clasificación de la información.
protección, de acuerdo con su importancia p

La información se debe clasificar en función de

8.2.1 Clasificación de la Información. valor, criticidad y susceptibilidad a divulgación
autorizada.

Se debe desarrollar e implementar un conj

8.2.2 Etiquetado de la información. procedimientos para el etiquetado de la informa
esquema de clasificacióon de información adopt

Se deben desarrollar e implementar procedimie

8.2.3 Manejo de activos. activos, de acuerdo con el esquema de clasific
adoptado por la organizació

Objetivo: Evitar la divulgación, la modifica

8.3 Manejo de medios.
destrucción no autorizados de información alm

Se deben implementar procedimientos para l

8.3.1 Gestión de medios removibles. removibles, de acuerdo con el esquema de clasi
organización.

Se deben disponer en forma segura los med

8.3.2 Disposición de los medios.
requieran, utilizando procedimiento

Los medios que contienen información se deben

8.3.3 Transferencia de medios físicos.
no autorizado, uso indebido o corrupcion du

Objetivo: Limitar el acceso a información y

9.1 Requisitos de negocio para el control de accesos.
procesamiento de informaci
 Se debe establecer, documentar y revisar una
9.1.1 Política de control de accesos. acceso con base en los requisitos del negocio
información.

Solo se debe permitir acceso de los usuarios a

9.1.2 Acceso a redes y servicios en red.
de red para los que hayan sido autorizados

Objetivo: Asegurar el acceso de los usuarios

9.2 Gestión de acceso de usuario.
acceso no autorizado a sistemas y

Se debe implementar un proceso formal de regis

9.2.1 Registro y cancelación del registro de usuarios. registro de usuario, para posibilitar la asignació
acceso.

Se debe implementar un proceso de suministr

9.2.2 Suministro de acceso de usuarios. usuarios para asignar o revocar los derechos de
de usuarios para todos los sistemas

Se debe restringir y controlar la asignación y

9.2.3 Gestión de los derechos de acceso privilegiado.
acceso privilegiado.

Gestión de información de autenticación secreta de La asignación de información de autenticaci

9.2.4
usuarios. controlar por medo de un proceso de g

Los propietarios de los activos deben revisar los

9.2.5 Revisión de los derechos de acceso de usuarios.
los usuarios, a intervalor regu

Los derechos de acceso de todos los empleados

a la información y a las instalaciones de proces
9.2.6 Retirado a ajuste de los derechos de acceso
se deben retirar al terminar su empleo, contrato
ajustar cuando se hagan cam

Objetivo: Hacer que los usuarios rindan cuenta

9.3 Responsabilidades de los usuario.
su información de autenticac

Se debe exigir a los usuarios que cumplan

9.3.1 Uso de información de autenticación secreta.
organización para el uso de información de a

9.4 Control de acceso a sistemas y aplicaciones. Objetivo: Evitar el acceso no autorizado a sis
 El acceso a la información y a las funciones d
9.4.1 Restricción del acceso a la información. aplicaciones se debe restringir de acuerdo con
acceso.

Cuando lo requiere la política de control de

9.4.2 Procedimiento de ingreso seguro. sistemas y aplicaciones se debe controlar me
ingreso seguro.

Los sistemas de gestión de contraseñas deben

9.4.3 Sistema de Gestión de contraseñas.
asegurar la calidad de las contra

Se deben restringir y controlar estrictamente

9.4.4 Uso de programas utilitarios privilegiados. utilitarios que podrian tener capacidad de an
controles de las aplicacione

9.4.5 Control de acceso a código fuente de programas. Se debe restringir el acceso a los códigos fue

Objetivo: Asegurar el uso apropiado y eficaz

10.1 Controles criptográficos proteger la confidencialidad, la autenticidad y
información.

Se debe desarrollar e implementar una polít

10.1.1 Política sobre el uso de controles criptográficos
controles criptográficos para la protección

Se debe desarrollar e implementar una política s

10.1.2 Gestión de llaves y tiempo de vida de las llaves criptográficas, du
vida.

11. S
Objetivo: Prevenir el acceso físico no auto
11.1 Áreas seguras interferencia a la información y a las instalacione
información de la organizac

Se deben definir y usar perímetros de seguri

11.1.1 Perímetro de seguridad física proteger áreas que contengan información co
instalaciones de manejo de infor
 Las áreas seguras se deben proteger mediant
11.1.2 Controles de acceso físicos apropiados para asegurar que solo se permite
autorizado.

Se debe diseñar y aplicar seguridad física a

11.1.3 Seguridad de oficinas, recintos e instalaciones
instalaciones.

Se debe diseñar y aplicar protección física cont

11.1.4 Protección contra las amenazas externas y ambientales
ataques maliciosos o acciden

Se deben diseñar y aplicar procedimientos p

11.1.5 Trabajo en áreas seguras
seguras.

Se deben controlar los puntos de acceso tales c

y de carga y otros puntos en donde pueden
11.1.6 Áreas de despacho y carga
autorizadas y si es posible aislarlos de las
procesamiento de información para evitar el a

Objetivo: Prevenir la pérdida, daño, robo o com

11.2 Equipos
interrupción de las operaciones de la

Los equipos deben estar ubicados y protegidos

11.2.1 Ubicación y protección de los equipos de amenazas y peligros del entorno y las posib
autorizado.

Los equipos se deben proteger contra fallas

11.2.2 Servicios de suministro
interrupciones causadas por fallas en los ser

El cableado de energía eléctrica y de telecomu

11.2.3 Seguridad del cableado datos o brinda soporte a los servicios de informa
contra interceptación, interferenci

Los equipos se deben mantener correctamen

11.2.4 Mantenimiento de los equipos
disponibilidad e integridad cont

Los equipos, información o software no se debe

11.2.5 Retiro de Activos
autorización previa.
 Se deben aplicar medidas de seguridad a los ac
11.2.6 Seguridad de equipos y activos fuera de las instalaciones fuera de las instalaciones de la organización, t
diferentes riesgos de trabajar fuera de dich

Se deben verificar todos los elementos de eq

medios de almacenamiento para asegurar
11.2.7 Disposición segura o reutilización de equipos
confidencial o software licenciado haya sido ret
forma segura antes de su disposició

Los usuarios deben asegurarse de que a los eq

11.2.8 Equipo de usuario desatendido
les da protección apropiad

Se debe adoptar una política de escritorio limp

11.2.9 Política de escritorio limpio y pantalla limpia medios de almacenamiento removibles y una po
en las instalaciones de procesamiento d
12.
Objetivo: Asegurar las operaciones correct
12.1 Procedimientos operacionales y responsabilidades
instalaciones de procesamiento de i
Los procediminetos de operación se deben d
12.1.1 Procedimientos de operación documentados
disposición de todos los usuarios que

Se deben controlar los cambios en la organizac

12.1.2 Gestión de cambios negocio, en las instalaciones y en los sistemas
información que afecten la seguridad de

Se debe hacer seguimiento al uso de recursos

12.1.3 Gestión de capacidad hacer proyecciones de los requisitos de capacid
el desempeño requerido del sis

Se deben separar los ambientes de desarrollo, p

Separación de los ambientes de desarrollo, pruebas y
12.1.4 reducir los riesgos de acceso o cambios no auto
operación
operación.

Objetivo: Asegurarse de que la información y

12.2 Protección contra código malicioso
procesamiento de información esten protegidas

Se deben implementar controles de detección

12.2.1 Controles contra códigos maliciosos recuperación, combinados con la toma de conc
usuarios para proteger contra código
12.3 Copias de resplado Objetivo: Proteger contra la pérdid
Se deben hacer copias de respaldo de la info
12.3.1 Respaldo de la información imágenes de los sistemas y ponerlas a prueba re
con una política de copias de respald
12.4 Registro y seguimiento Objetivo: Registrar eventos y gener
Se deben elaborar, conservar y revisar regula
12.4.1 Registro de eventos acerca de actividades del usuario, excepcione
seguridad de la informació
 Las instalaciones y la información de registros s
12.4.2 Protección de la información de registro
alteración y acceso no autoriz

Las actividades del administrador y del operado

12.4.3 Registros del administrador y del operador
registrar, y los reqistros se deben proteger y re

Los relojes de todos los sistemas de procesam

12.4.4 Sincronización de relojes pertinentes dentro de la organización o ámbito
sincronizar con una única fuente de refer

12.5 Control de software operacional Objetivo: Asegurarse de la integridad de los s

Se deben implementar procedimientos para con

12.5.1 Instalación de software en sistemas operativos
software en sistemas operati

12.6 Gestión de la vulnerabilidad técnica Objetivo: Prevenir el aprovechamiento de las vu

Se debe obtener oportunamente informac

vulnerabilidades técnicas de los sistemas de inf
12.6.1 Gestión de las vulnerabilidades técnicas
evaluar la exposición de la organización a est
tomar las medidas apropiadas para tratar e

Se debe establecer e implementar las reglas

12.6.2 Restricciones sobre la instalación de software
software por parte de los usua

Consideraciones sobre auditorías de sistemas de Objetivo: Minimizar el impacto de las actividade

12.7
información sistemas operativos

Los requisitos y actividades de auditoría que in

de los sistemas operativos se deben pla
12.7.1 Controles de auditoría de sistemas de información
cuidadosamente para minimizar las interrupcion
negocio.

13. SE

Objetivo: Asegurar la protección de la informa

13.1 Gestión de la seguridad de las redes
sus instalaciones de procesamiento de infor

Las redes se deben gestionar y controlar para p

13.1.1 Controles de redes
en sistemas y aplicacione

Se deben identificar los mecanismos de segu

servicio y los requisitos de gestión de todos l
13.1.2 Seguridad de los servicios de red
incluirlos en los acuerdos de servicio de red, ya
presten internamente o se contraten e
 Los grupos de servicios de información, usu
13.1.3 Separación en las redes
información se deben separar de

Objetivo: Mantener la seguridad de la informaci

13.2 Transferencia de Información
una organización y con cualquier

Se debe contar con políticas, procedimien

13.2.1 Políticas y procedimientos de transferencia de información transferencia formales para proteger la transfe
mediante el uso de todo tipo de instalaciones

Los acuerdos deben tratar la transferencia seg

13.2.2 Acuerdos sobre transferencia de información
negocio entre la organización y parte

Se debe proteger adecuadamente la inform

13.2.3 Mensajería electrónica
mensajería electrónica.

Se deben identificar, revisar regularmente y doc

13.2.4 Acuerdos de confidencialidad o de no divulgación para los acuerdos de confidencialidad o no divu
necesidades de la organización para la protecc

14. ADQUISICIÓN, DESARR

Objetivo: Asegurar que la seguridad de la info

integral de los sistemas de información durante
14.1 Requisitos de seguridad de los sistemas de información
incluye también los requisitos para sistemas de i
servicios sobre redes públic

Los requisitos relacionados con seguridad de la

Análisis y especificación de requisitos de seguridad de la
14.1.1 incluir en los requisitos para nuevos sistemas
información
mejoras a los sistemas de informació

La información involucrada en los servicios de

Seguridad de servicios de las aplicaciones en redes pasan sobre redes públicas se deben prote
14.1.2
públicas fraudulentas, disputas contractuales y divulgac
autorizadas.

La información involucrada en las transacciones

aplicaciones se debe proteger para evitar la tran
Protección de transacciones de los servicios de las
14.1.3 enrutamiento errado, la alteración no autoriz
aplicaciones
divulgación no autorizada y la duplicación o rep
no autorizadas.
 Objetivo: Asegurar que la seguridad de la inform
14.2 Seguridad en los procesos de desarrollo y de soporte implementada dentro del ciclo de vida de desarr
información.

Se deben establecer y aplicar reglas para el des

14.2.1 Política de desarrollo seguro de software
sistemas, a los desarrollos dentro de la

Los cambios en los sistemas dentro del ciclo d

14.2.2 Procedimientos de control de cambios en los sistemas deben controlar mediante el uso de procedimien
de cambios.

Cuando se cambian las plataformas de operaci

Revisión técnica de las aplicaciones después de cambios aplicaciones críticas del negocio y someter a pru
14.2.3
en la plataforma de operación no hay impacto adverso en las operaciones
organización.

Se deben desalentar las modificaciones a los pa

14.2.4 Restricciones a los cambios en los paquetes de software cuales se deben limitar a los cambios necesari
se deben controlar estrictame

Se deben establecer, documentar y manten

14.2.5 Principios de construcción de los sistemas seguros construcción de sistemas seguros y aplicarlos a
implementación de sistemas de inf

Las organizaciones deben establecer y proteg

ambientes de desarrollo seguros para las activ
14.2.6 Ambiente de desarrollo seguro
integración de sistemas que comprendan tod
desarrollo de sistemas.

La organización debe supervisar y hacer seguim

14.2.7 Desarrollo contratado externamente
desarrollo de sistemas contratados ex

Durante el desarrollo se deben llevar a cabo pru

14.2.8 Pruebas de seguridad de sistemas
de la seguridad.

Para los sistemas de información nuevos, actu

14.2.9 Pruebas de aceptación de sistemas versiones se deben establecer programas de pr
criterios de aceptación.

14.3 Datos de prueba Objetivo: Asegurar la protección de los datos

Los datos de prueba se deben seleccionar,

14.3.1 Protección de datos de prueba
cuidadosamente.

15. RE
Seguridad de la información en las relaciones con los Objetivo: Asegurar la protección de los activos
15.1
proveedores sean accesibles a los proveed
 Los requisitos de seguridad de la información p
Política de seguridad de la información para las relaciones
15.1.1 asociados con el acceso de proveedores a
con proveedores
organización se deben acordar con estos y se

Se deben establecer y acordar todos los requis

Tratamiento de la seguridad dentro de los acuerdos con información pertinentes con cada proveedor qu
15.1.2
proveedores procesar, almacenar, comunicar o suministr
infraestructura de TI para la información d

Los acuerdos con proveedores deben incluir re

Cadena de suministro de tecnología de información y riesgos de seguridad de la información asocia
15.1.3
comunicación suministro de productos y servicios de tecnolo
comunicación.

Objetivo: Mantener el nivel acordado de seguri

15.2 Gestión de la prestación del servicio de proveedores de prestación de servicio en línea con los
proveedores.

Las organizaciones deben hacer seguimiento

15.2.1 Seguimiento y revisión de los servicios de los proveedores
regularidad la prestación de servicios de

Se deben gestionar los los cambios en el sumi

parte de los proveedores, incluído el mantenimi
15.2.2 Gestión de cambios en los servicios de los proveedores políticas, procedimientos y controles de seguri
existentes teniendo en cuenta la criticidad de la
procesos del negocio involucrados y la eva

16. GESTIÓN DE I
Objetivo: Asegurar un enfoque coherente y ef
Gestión de incidentes y mejoras en seguridad de la
16.1 incidentes de seguridad de la información, inc
información
sobre eventos de seguridad y deb

Se deben establecer las responsabilidades y pro

16.1.1 Responsabilidades y procedimientos para asegurar una respuesta eficaz y ordenad
seguridad de la informació

Los eventos de seguridad de la información se d

16.1.2 Reporte de eventos de seguridad de la información
de los canales de gestión apropiados ta pron

Se debe exigir a todos los empleados y contr

servicios y sistemas de información de la organ
16.1.3 Reporte de debilidades de seguridad de la información
reporten cualquier debilidad de seguridad de la i
sospechada en los sistemas o s

Los eventos de seguridad de la información s

Evaluación de eventos de seguridad de la información y
16.1.4 deben decidir si se van a clasificar como inciden
decisiones sobre ellos
información.

Se debe dar respuesta a los incidentes de segu

16.1.5 Respuesta a incidentes de seguridad de la información
de acuerdo con procedimientos doc
 EL conocimineto adquirido al analizar y resolver
Aprendizaje obtenido de los incidentes de seguridad de la
16.1.6 de la información se debe usar para reducir la p
información
de incidentes futuros.

La organización debe definir y aplicar proc

16.1.7 Recolección de evidencias identificación, recolección, adquisición y preser
que pueda servir como evide
17. ASPECTOS DE SEGURIDAD DE LA
Objetivo: La continuidad de seguridad de la info
17.1 Continuidad de seguridad de la información en los sistemas de gestión de la continuida
organización.

La organización debe determinar sus requisitos

Planificación de la continuidad de la seguridad de la información y la continuidad de la gestión de
17.1.1
información información en situacionesadversas, por ejemp
desastre.

La organización debe establecer, documentar, i

Implantación de la continuidad de la seguridad de la procesos, procedimientos y controles para a
17.1.2
información continuidad requerido para la seguridad de la in
situación adversa.

La organización debe verificar a intervalos regu

Verificación, revisión y evaluación de la continuidad de la continuidad de la seguridad de la informac
17.1.3
seguridad de la información implementados con el fin de asegurar que so
durante situaciones advers

Objetivo: Asegurar la disponibilidad de instalaci

17.2 Redundancias
de información.

Las instalaciones de procesamiento de info

Disponibilidad de instalaciones para el procesamiento de la
17.2.1 implementar con redundancia suficiente para c
información
disponibilidad.

Objetivo: Evitar el incumplimiento de las ob

18.1 Cumplimiento de requisitos legales y contractuales estatutarias de reglamentación o contractual
seguridad de la información y de cualquier re

Todos los requisitos estatutarios, reglament

Identificación de la legislación aplicable y de los requisitos pertinentes y el enfoque de la organización par
18.1.1
contractuales identificar y documentar explicitamente y manten
cada sistema de información y para la

Se deben implementar procedimientos apropia

cumplimineto de los requisitos legislativos d
18.1.2 Derechos de propiedad intelectual
contractuales relacionados con los derechos de
al uso de productos de software pa

Los registros se deben proteger contra pér

falsificación, acceso no autorizado y liberaci
18.1.3 Protección de registros
acuerdo con los requisitos legislativos de reglam
y de negocio.
 Se deben asegurar la privacidad y la protecció
18.1.4 Privacidad y protección de información de datos personales datos personales como se exige en la legislaci
pertinente, cuando sea aplica

Se deben usar controles criptográficos en cum

18.15 Reglamentación de controles criptográficos
acuerdos, legislación y reglamentació

Objetivo: Asegurar que la seguridad de la inform

18.2 Revisiones de la seguridad de la información
opere de acuerdo con las políticas y procedimie

El enfoque de la organización para la gestión

información y su implementación (es decir, los o
18.2.1 Revisión independiente de la seguridad de la información controles, las políticas, los procesos y los po
seguridad de la información) se deben revisar
intervalos planificados o cuando ocurran cam

Los directores deben revisar con regularidad

procesamiento y procedimientos de informació
18.2.2 Cumplimiento con las políticas y normas de seguridad
responsabilidad con las políticas y normas de s
cualquier otro requisito de segu

Los sistemas de información se deben revisar

18.2.3 Comprobación del cumplimiento. determinar el cumplimiento con las políticas y n
la información.
 DECLARACION DE APLICABILIDAD

APLICABILIDAD JUSTIFICACION (EVIDENCIA

DESCRIPCION UBICACION
DEL CUMPLIMIENTO)
SI NO
5. POLÍTICAS DE SEGURIDAD.
ar orientación y apoyo de la Dirección para la
ción, de acuerdo con los requisitos del negocio X Política Integrada del SIG Manual SIG - Manual d
regulaciones y leyes pertinentes
inir aprobar, publicar y comunicar a todos los
Manual de Políticas en Seguridad Manual de Políticas en S
tes externas pertinentes un grupo de políticas X
de la Información de la Informació
a seguridad de la información.

eguridad de la información se deben revisar a

Revisión de Misión, Misión,
si ocurren cambios significativos para asegurar X Revisión Gerenc
Políticas y Objetivos del SIG
cia, adecuación y eficacia continuas.

6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION

n marco de referencia de gestión para iniciar y
Organigrama Organigrama
ntación y la operación de la seguridad de la X
Manual del SGSI Manual del SGS
ación dentro de la organización

Funciones y responsabilidades del

Manual de Cargos y De
ar todas las responsabilidades de la Seguridad cargo
X Perfiles
de la Información Funciones y responsabilidades en
Manual del SGS
Seguridad de la Información

Manual del SGS

Procedimientos del
Manual del SGSI
Manual de Cargos y desc
responsabilidad en conflicto se deben separar Procedimientos
perfiles
bilidades de modificación no autorizada o no X Funciones y responsabilidades del
Manual de descripcion d
indebido de los activos de la organización. Cargo
de Finsonet
Descripcion de Perfiles de Usuarios
Manual de descripción d
de Infinito

r contactos apropiados con las autoridades Comunicaciones con SIC y MInTics

X Matriz de Comunicac
pertinentes. y otras entidades gubernamentales

contactos apropiados con grupos de interés

asociaciones profesionales especializadas en X Foros de Internet Participación en fo
seguridad

Se evaluará la seguridad de la
información para todos los
Información se debe tratar en la gestión de
X proyectos desarrollados en Manual del SGS
ependientemente del tipo de proyecto.
Finsociual, sin importar la
naturaleza del proyecto

zar la seguridad del teletrabajo y el uso de

X
dispositivos moviles.
 olítica y unas medidas de seguridad de soporte Declaración del debido uso de las
esgos introducidos por el uso de dispositivos X restricciones establecidas para el Manual de Políticas de
moviles uso de dispositivos móviles

una política y unas medidas de seguridad de

a información a la que se tiene acceso que es Control para accesar a Finsonet
X Manual de Políticas de
enada en los lugares en los que se realiza por fuera de las oficinas
teletrabajo

7. SEGURIDAD DE LOS RECURSOS HUMANOS.

e los empleados y contratistas comprenden sus
y son idóneos en los roles para los que se X
consideran

Requisitos previos a la
os antecedentes de todos los candidatos a un
contratación, como visita
n llevar a cabo de acuerdo con las leyes, Estudio de Confiabi
domiciliaria, consultas en paginas
ca pertinentes y deben ser proporcionales a los X Poligrafo
web para conocer antecedentes,
la clasificación de la información a que se va a Revisión de anteced
realizar pruebas de polígrafo y
cceso y a los riesgos percibidos
técnicas

Manual de Funciones y D
atuales con empleados y contratistas deben Conocimiento de las funciones, de Perfiles
abilidades y las de las organización en cuanto a X responsabilidades y autoridades Manual del SGS
eguridad de la información del personal en SGSI Clausula de Confidenc
Contratos de Trab

e de que los empleados y contratistas tomen Manual de Funciones y D

onsabilidades de seguridad de la información y X de Perfiles
las cumplen Manual del SGS

xigir a todos los empleados y contratistas la Manual de Funciones y D

Definición de responsabilidades de
uridad de la información de acuerdo con las X de Perfiles
la Gerencia en el SGSI
mientos establecidos por la organización Manual del SGS

e la organización y en donde sea pertinente los Sensibilizar a los empleados en

cibir la educación y la formación en toma de Seguridad de la Información
X Plan de Formació
actualizaciones regulares sobre las políticas y Mejora de las competencias del
e la organización pertinentes a su cargo personal

n proceso formal el cual debe ser comunicado Determinación de actuaciones en

nes contra empleados que haya cometido una X caso de incumplimiento de politicas Reglamento Interno de
a la seguridad de la información o normas en SGSI

s intereses de la organización como parte del Procedimiento Desvincu

X
cambio o terminación de empleos Personal

Asignación de perfiles de usuario

los deberes de seguridad de la información que Procedimiento Desvincu
acorde a los cambios de cargo.
spués de la terminación o cambio de empleo se Personal
X Deshabilitación de usuarios, de
ar al empleado o contratista y se deben hacer Procedimiento de Sele
correos y de permisos de accesos
cumplir vinculación de Pers
a las instalaciones

8. GESTIÓN DE ACTIVOS.
ar los activos organizacionales y definir las
X
lidades de proteccción apropiadas

ar los activos asociados con información e Identificación de los activos de

Inventario y Clasificación
samiento de información y se deben elaborar y X información con que se cuenta en
de Información
r un inventario de estos activos. la empresa

Inventario y Clasificación
os en el inventario deben tener un propietario X Usuario que responde por el activo
de Información

documentar e implementar reglas para el uso

Inventario y Clasificación
ción y de activos asociados con información e X Uso para el que fue diseñado
de Información
esde procesamiento de información

y usuarios de partes externas deben devolver Todos los empleados deben Procedimiento de Desvi
organización que se encuentren a su cargo al X devolver los activos de información de Personal
su empleo, contrato o acuerdo de los que es responsable Paz y Salvo del Per

ue la información recibe un nivel apropiado de Inventario y Clasificación

X
do con su importancia para la organización. de Información

La clasificación de la información
e clasificar en función de los requisitos legales,
en Finsocial esta establecida en: Inventario y Clasificación
ceptibilidad a divulgación o a modificación no X
Privada, Semiprivada, Sensible y de Información
autorizada.
Pública

La información se etiqueta en los Inventario y Clasificación

r e implementar un conjunto adecuado de
estantes que la contienen. de Información
etiquetado de la información de acuerdo con el X
Se coloca sticker de identificación Etiquetas de Clasifica
on de información adoptado por la organización.
sobre el estante Activos

implementar procedimientos para el manejo de

Se determina si la información es Inventario y Clasificación
on el esquema de clasificación de información X
publicable o no de Información
optado por la organización.

a divulgación, la modificación, el retiro o la

X
zados de información almacenada en medios

ar procedimientos para la gestión de medios

Procedimiento para la gestión de Procedimiento para la g
con el esquema de clasificación adoptado por la X
Medios Removibles Medios Removibl
organización.

Cuando los medios removibles

deban ser reasignados o dados de
n forma segura los medios cuando ya no se Procedimiento de Mante
X baja, estos deben ser formateados
utilizando procedimientos formales. preventivo y correc
antes de su utilización o disposición
final

Equipos con Usuario y Contraseña

en información se deben proteger contra acceso Solo se permite el uso de correo
X Manual del SGS
ndebido o corrupcion durante el transporte certificado para envio de CD de
Incorparación a las Pagadurías

9. CONTROL DE ACCESOS.

acceso a información y a instalaciones de

X
cesamiento de información.
ocumentar y revisar una política de control de
os requisitos del negocio y de seguridad de la
información.
cceso de los usuarios a la red y a los servicios
e hayan sido autorizados especificamente.
acceso de los usuarios autorizados y evitar el
autorizado a sistemas y servicios.
proceso formal de registro y de cancelación de
ra posibilitar la asignación de los derechos de
acceso.
un proceso de suministro de acceso formal de
revocar los derechos de acceso para todo tipo
para todos los sistemas y servicios.
controlar la asignación y uso de derechos de
acceso privilegiado.
ormación de autenticación secreta se debe
medo de un proceso de gestión formal.
ctivos deben revisar los derechos de acceso de
uarios, a intervalor regulares.
de todos los empleados y de usuarios externos
instalaciones de procesamiento de información
inar su empleo, contrato o acuerdo o se deben
ar cuando se hagan cambios.
usuarios rindan cuentas por la salvaguarda de
formación de autenticación.
s usuarios que cumplan las prácticas de la
uso de información de autenticación secreta.
ceso no autorizado a sistemas y aplicaciones
Directrices definidas para el control
X Manual de Políticas de
de accesos
Definición de perfiles de red
Prohibición de acceso a paginas
X web establecidas Manual del SGS
Acceso a red solo otrogado por el
departamento TICS
X
Solicitud de creación de usuario de
Finsonet
Solicitud de creación de Correo
Procedimientos de Sel
Corporativo
Vinculación de Pers
X Registro de Creación de Usuarios
Procedimiento de Desvi
en la base de datos
de Personal
Solicitud de desactivación de
usuario de Finsonet y del correo
corporativo
Modulos de Administración de Finsonet
X
Usuarios de Infinito y Finsonet Infinito
Perfil de usuario privilegiado a
X Manual del SGS
Gerente TICS y Coordinador TICS
Encriptación de contraseña, la cual
no puede ser descifrada
El módulo de administración de
usuarios genera el usuario de
X Finsonet y le crea una contraseña Manual del SGS
por default, la cual debe ser
cambiada de manera obligatoria la
primera vez que el usuario ingresa
al sistema
Revisión de los derechos de uso de Acta de Reunión Com
X
los activos de información Seguridad de la Inform
Desactivación de usuarios
Desactivación de correo corporativo
X Desactivación de huella para el Manual del SGS
acceso a areas restringidas
Retiro del TAC de acceso al edificio
X
Cumplimiento de Políticas y normas
X Reglamento Interno de
en seguridad de la información
X
ación y a las funciones de los sistemas de las
stringir de acuerdo con la política de control de
acceso.
a política de control de acceso, el acceso a
es se debe controlar mediante un proceso de
ingreso seguro.
de contraseñas deben ser interactivos y deben
r la calidad de las contraseñas.
controlar estrictamente el uso de programas
n tener capacidad de anular el sistema y los
ntroles de las aplicaciones.
cceso a los códigos fuente de los programas
10. CRIPTOGRAFIA
uso apropiado y eficaz de la criptografía para
ialidad, la autenticidad y/o la integridad de la
información.
e implementar una política sobre el uso de
ficos para la protección de la información.
mplementar una política sobre el uso, protección
s llaves criptográficas, durante todo su ciclo de
vida.
11. SEGURIDAD FÍSICA Y DEL ENTORNO
el acceso físico no autorizado, el daño y la
ación y a las instalaciones de procesamiento de
rmación de la organización.
sar perímetros de seguridad y usuarios para
ontengan información confidencial o crítica e
ones de manejo de información.
Control para accesar a Finsonet
X Manual del SGS
por fuera de las oficinas
Solo se ingresa a equipos, Finsonet
X Manual del SGS
y Infinito con Usuario y Contraseña
Las contraseñas de Finsonet deben
tener minimo 8 caracteres, de los
cuales al menos uno debe ser
X Manual del SGS
mayuscula, al menos uno debe ser
un carácter especial y debe
contener por lo menos un numero
Todos los equipos tienen un
usuario restringido, para instalar
X una aplicación o hacer cambios Manual del SGS
exige la clave de administrador y
sola la tiene TICS
El codigo fuente de Finsonet se
encuentra en los servidores y solo
X tienen acceso el departamento Manual del SGS
TICS, exeptuando a Soporte
tecnico
X
Directrices para el uso de controles
X Manual de Políticas de
criptoigráficos
La llave criptografica se vence cada
año, se guarda en una memoria
que esta en poder de la gerencia
X general Manual del SGS
Uso de la llave criptográfica:
certificado SSL de la aplicación
Finsonet
X
Control de acceso al área de
desarrollo
X Todos los rack tienen llave que Manual del SGS
reposa en manos de Soporte
Técnico

deben proteger mediante controles de acceso
urar que solo se permite el acceso a personal
autorizado.
Control de ingreso al edificio
Control de acceso al área de
desarrollo
X Manual del SGS
Todos los rack tienen llave que
reposa en manos de Soporte
Técnico

CCTV
Control de Acceso al edificio
plicar seguridad física a oficinas, recintos e Recepcionista
X Manual del SGS
instalaciones. Oficinas con control de acceso
(TICS, Fabrica de Créditos,
Gerencia y Desembolsos)

ar protección física contra desastres naturales, La red posee 2 firewall y seguridad

X Manual del SGS
ues maliciosos o accidentes. perimetral

Procedimiento de trabaj
aplicar procedimientos para trabajo en áreas Permiso de trabajo en el Rack del
X para actividades en ár
seguras. data center
procesamiento de infor

CCTV
untos de acceso tales como áreas de despacho Control de Acceso al edificio
untos en donde pueden entrar personas no Recepcionista
X Manual del SGS
s posible aislarlos de las instalaciones de Oficinas con control de acceso
ormación para evitar el acceso no autorizado. (TICS, Fabrica de Créditos,
Gerencia y Desembolsos)

érdida, daño, robo o compromiso de activos y la

X
e las operaciones de la organización.

Los equipos se encuentran

r ubicados y protegidos para reducir los riesgos ubicados en los puestos de trabajo
s del entorno y las posibilidades de acceso no X y en la areas seguras Manual del SGS
autorizado. Equipos con usuario y contraseña
Control de acceso del edificio

Uso de equipos portátiles

UPS para los equipos de
en proteger contra fallas de energía y otras
X comunicación Manual del SGS
das por fallas en los servicios de suministro.
Plante del edificio con capacidad
de respuesta en 3 min.

a eléctrica y de telecomunicaciones que porta Uso de cableado homologado

los servicios de información se deben proteger X Se prohibe el uso de cables cuya Manual del SGS
erceptación, interferencia o daño. proteccion este desgastada o rota

Realizar el mantenimiento
n mantener correctamente para asegurar su Procedimiento de Mante
X preventivo para el optimo
bilidad e integridad continuas. preventivo y correc
desempeño de los equipos

ón o software no se deben retirar de su sitio sin Entrada/Salidad de computadores Procedimniento para s

X
autorización previa. portátiles computadores portá
 Data center certificados en ISO
27001:2013 para garantizar
as de seguridad a los activos que se encuentran seguridad
nes de la organización, teniendo en cuenta los X Visitas al Data center para Manual del SGS
de trabajar fuera de dichas instalaciones. supervisar estado
Solo Gerente TICS puede ingresar
al Data Center

dos los elementos de equipos que contengan

Formateo seguro de medios de
namiento para asegurar que cualquier dato Protocolo de disposición
X medios de almacenamiento y de
licenciado haya sido retirado o sobreescrito en reutilización de equ
discos duros
ra antes de su disposición o reuso.

El personal que salga licencia o de

egurarse de que a los equipos desatendidos se Protocolo para entrega d
X vacaciones debe entregar el equipo
s da protección apropiada por vacaciones o lice
a TICS hasta su regreso

política de escritorio limpio para los papeles y Directrices para el mantenimiento

ento removibles y una política de pantalla limpia X de escritorios limpios y pantallas Manual de Política de
ones de procesamiento de información. limpias
12. SEGURIDAD DE LAS OPERACIONES
las operaciones correctas y seguras de las
X
s de procesamiento de información.
e operación se deben documentar y poner a Linenamientos para la operación Procedimiento de trabajo
X
todos los usuarios que los necesitan. segura Data Center

cambios en la organización en los procesos de Controlar los cambios a los que se

Procedimiento de Ges
ciones y en los sistemas de procesamiento de X enfrenta la empresa y afectan la
Cambio
afecten la seguridad de la información. seguridad de la información

miento al uso de recursos, hacer los ajustes, y Seguimiento a la capacidad de los

Procedimiento de Gest
os requisitos de capacidad futura para asegurar X recursos de segurida de la
Capacidad
empeño requerido del sistema. información

mbientes de desarrollo, prueba, operación, para Se cuenta con servidores virtuales

Procedimiento de Dis
cceso o cambios no autorizados al ambiente de X para desarrollo, pruebas y la
Desarrollo de Softw
operación. publicación final se hace en AWS

e de que la información y las instalaciones de

X
ación esten protegidas contra código malicioso.

ar controles de detección, de prevención y de Antivirus todos los PC

dos con la toma de conciencia apropiada de los X Firewall para la red Manual del SGS
a proteger contra códigos maliciosos. Barracuda WAF para el servidor
Proteger contra la pérdida de datos X
as de respaldo de la información, software e
Cada 6 horas se copia la base de Manual del SGS
s y ponerlas a prueba regularmente de acuerdo X
datos Manual de Políticas de
ca de copias de respaldo acordadas.
egistrar eventos y generar evidencia X
onservar y revisar regularmente los registros Finsonet
Ticket Finsonet
del usuario, excepciones, fallas y eventos de X Procedimiento de Rep
Registro de incidentes
guridad de la información. Incidentes
 ormación de registros se deben proteger contra Los usuarios no pueden borrar un
X Finsonet
ción y acceso no autorizado. ticket

ministrador y del operador del sistema se deben Log del Sistema Finsonet
X
s se deben proteger y revisar con regularidad. Log Base de Datos Base de datos

os sistemas de procesamiento de información

organización o ámbito de seguridad se deben X Relojes sincronizados Manual del SGS
na única fuente de referencia de tiempo.

de la integridad de los sistemas operacionales X

Solo Soporte Técnico puede

procedimientos para controlar la instalación de instalar, los usuarios no tienen Procedimiento de Mante
X
ware en sistemas operativos. permiso de administrador en los Preventivo y Correc
equipos

rovechamiento de las vulnerabilidades técnicas X

oportunamente información acerca de las

as de los sistemas de información que se usen,
X Matriz de vulnerabilidad Plan de Continuidad del
de la organización a estas vulnerabilidades y
apropiadas para tratar el riesgo asociado.

Solo Soporte Técnico puede

implementar las reglas para la instalación de instalar, los usuarios no tienen Procedimiento de Mante
X
are por parte de los usuarios. permiso de administrador en los Preventivo y Correc
equipos

mpacto de las actividades de auditoría sobre los

X
sistemas operativos

ades de auditoría que involucran la verificación

Software transaccional que permite
operativos se deben planificar y acordar
X detectar inconsistencias por Manual del SGS
minimizar las interrupciones en los procesos del
información cruzada entre módulos
negocio.

13. SEGURIDAD DE LAS COMUNICACIONES

protección de la información en las redes y en

X
e procesamiento de información de soporte.

Segregación de redes
stionar y controlar para proteger la información
X Uso de 2 firewall Manual del SGS
n sistemas y aplicaciones.
Barracuda WAF

os mecanismos de seguridad, los niveles de

La red se encuentra segregada en
os de gestión de todos los servicios de red e
X tres partes: Ventas, Adminsitrativos Manual del SGS
s de servicio de red, ya sea que los servicios se
y Gerentes
amente o se contraten externamente.
 La red se encuentra segregada en
tres partes: Ventas, Adminsitrativos
y Gerentes
Bloqueo de páginas web de redes
cios de información, usuarios y sistemas de
X sociales, reproductores de video, Manual del SGS
n se deben separar de las redes.
reproductores de música,
descargue de películas, descargas
de software y todo lo que sea de
entretenimiento

eguridad de la información transferida dentro de

X
nización y con cualquier entidad.

n políticas, procedimientos y controles de Manual de Políticas de

Directrices para la transferencia de
para proteger la transferencia de información X Procedimiento de Transfe
información
odo tipo de instalaciones de comunicaciones. Información

Acuerdos de transferencia de
Manual de políticas de
atar la transferencia segura de información del información
X Procedimiento de Transfe
e la organización y partes externas. Ticket de solicitud de transferencia
Información
de información

Manual de Políticas de
decuadamente la información incluída en la Directrices de Mensajeria
X Procedimiento de Transfe
mensajería electrónica. electronica
Información

visar regularmente y documentar los requisitos Contratos

Acuerdos de confidencialidad y
nfidencialidad o no divulgación que reflejen las X Acuerdos de confidenc
protección de datos
anización para la protección de la información. proteccion de dat

DQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

e la seguridad de la información sea una parte

s de información durante el ciclo de vida. Esto
X
isitos para sistemas de información que prestan
vicios sobre redes públicas.

Antes de realizar un cambio o de

ados con seguridad de la información se deben implementar un nuevo proyecto se
s para nuevos sistemas de información o para X debe analizar los requisitos y Planificación TIC
sistemas de información existentes. especificaciones en seguridad de la
información

Los usuarios con perfil de ventas

requieren de un certificado de
crada en los servicios de las aplicaciones que
validación para ingreso en Finsonet
públicas se deben proteger de actividades
X Los usuarios administrativos no Manual del SGS
contractuales y divulgación y modificación no
pueden accesar a Finsonet por
autorizadas.
fuera de las instalaciones de la
empresa

ada en las transacciones de los servicios de las

oteger para evitar la transmisión incompleta, el
Certificado SSL para encriptar la
, la alteración no autorizada de mensajes, la X Manual del
comunicación
da y la duplicación o reprodución de mensajes
no autorizadas.
 la seguridad de la información esté diseñada e
el ciclo de vida de desarrollo de los sistemas de X
información.

Software desarrollado en Finsocial

plicar reglas para el desarrollo de software y de diseñado y desarrollado con Procedimiento de Dis
X
desarrollos dentro de la organización. estandades de seguridad de la Desarrollo de Softw
información

temas dentro del ciclo de vida de desarrollo se El software desarrollado cuenta con
Procedimiento de Dis
te el uso de procedimientos formales de control X un controlador de versiones
Desarrollo de Softw
de cambios. llamado BitBucked

plataformas de operación se deben revisar las

Realización de pruebas
negocio y someter a prueba para asegurar que
X funcionales, no funcionales y de Informe de prueb
verso en las operaciones o seguridad de la
vulnerabilidad a cargo de terceros
organización.

s modificaciones a los paquetes de software los

a los cambios necesarios y todos los cambios X Directrices de desarrollo seguro Manual de Políticas de
eben controlar estrictamente.

r, documentar y mantener principios para la

Procedimiento de Dis
as seguros y aplicarlos a cualquier actividad de X Uso de metodología SCRUM
Desarrollo de Softw
ación de sistemas de información.

ben establecer y proteger adecuadamente los

Se cuenta con ambientes de
o seguros para las actividades de desarrollo e Procedimiento de Dis
X desarrollo independientes:
mas que comprendan todo el ciclo de vida de Desarrollo de Softw
desarrollo, pruebas y publicación
desarrollo de sistemas.

upervisar y hacer seguimiento de la actividad de Seguimiento o auditoría al Procedimiento de Dis

X
sistemas contratados externamente. desarrollo tercerizado Desarrollo de Softw

Dentro de las pruebas ejecutadas

e deben llevar a cabo pruebas de funcionalidad Procedimiento de Dis
X se deben incluir pruebas de
de la seguridad. Desarrollo de Softw
seguridad de la información

El usuario que requirió el desarrollo

nformación nuevos, actualizaciones y nuevas
debe realizar las pruebas Procedimiento de Dis
ablecer programas de prueba para aceptación y X
necesarias antes de aceptar a Desarrollo de Softw
criterios de aceptación.
satisfacción el trabajo realizado

protección de los datos usados para pruebas. X

Todos los proveedores que

intervengan en Seguridad de la
a se deben seleccionar, proteger y controlar Acuerdos de Confidenc
X Información deben firmar Acuerdos
cuidadosamente. Protección de Da
de Confidencialidad y Protección
de Datos

15. RELACIONES CON LOS PROVEEDORES

rotección de los activos de la organización que
X
accesibles a los proveedores.
 idad de la información para mitigar los riesgos Directrices de seguridad de la
acceso de proveedores a los activos de la X informacion con proveedores y Manual de Políticas de
n acordar con estos y se deben documentar. contratistas

Todos los proveedores que

acordar todos los requisitos de seguridad de la
intervengan en Seguridad de la
con cada proveedor que pueda tener acceso, Acuerdos de Confidenc
X Información deben firmar Acuerdos
r, comunicar o suministrar componentes de Protección de Da
de Confidencialidad y Protección
TI para la información de la organización.
de Datos

Todos los proveedores que

eedores deben incluir requisitos para tratar los
intervengan en Seguridad de la
de la información asociados con la cadena de Acuerdos de Confidenc
X Información deben firmar Acuerdos
os y servicios de tecnología de información y Protección de Da
de Confidencialidad y Protección
comunicación.
de Datos

nivel acordado de seguridad de la información y

servicio en línea con los acuerdos con los X
proveedores.

Seguimiento a las Compras

eben hacer seguimiento, revisar y auditar con
X Seguimiento o auditoría al Seguimiento a las co
estación de servicios de los proveedores.
desarrollo tercerizado

s los cambios en el suministro de servicios por

es, incluído el mantenimiento y la mejora de las Cuando se presentan cambios en
Procedimiento de Ges
os y controles de seguridad de la información X la empresa se debe aplicar la
Cambio
uenta la criticidad de la información, sistemas y Gestión del Cambio
cio involucrados y la evaluación del riesgo.

16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

enfoque coherente y eficaz para la gestión de
ad de la información, incluída la comunicación X
entos de seguridad y debilidades.

responsabilidades y procedimientos de gestión Procedimiento de rep

Comité de Seguridad de la
spuesta eficaz y ordenada a los incidentes de X Incidentes
Información
guridad de la información. Manual del SGS

Ticket
ad de la información se deben informar a través
X Se reportan a través de tickets Procedimiento de rep
stión apropiados ta pronto como sea posible.
incidentes

os los empleados y contratistas que usan los

Ticket
información de la organización que observen y
X Se reportan a través de tickets Procedimiento de rep
dad de seguridad de la información observada o
incidentes
ada en los sistemas o servicios.

idad de la información se deben evaluar y se Procedimiento de rep

Clasificación de la criticidad del
a clasificar como incidentes de seguridad de la X Incidentes
evento
información. Registro de Inciden

Una vez se detecte el incidente se

a los incidentes de seguridad de la información Procedimiento de rep
X debe corregir la situación
con procedimientos documentados. Incidentes
presentada
do al analizar y resolver incidentes de seguridad Comunicación de las causas
Procedimiento de rep
be usar para reducir la posibilidad o el impacto X halladas en la investigación del
Incidentes
de incidentes futuros. incidente

be definir y aplicar procedimientos para la Dependiendo de la criticidad del

Procedimiento de rep
ión, adquisición y preservación de información X incidente se conforma comité de
Incidentes
pueda servir como evidencia. investigación
DE SEGURIDAD DE LA INFORMACION DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
d de seguridad de la información se debe incluir
gestión de la continuidad de negocio de la X
organización.

eterminar sus requisitos para la seguridad de la

tinuidad de la gestión de la seguridad de la
X Analisis de Vulnerabilidades Plan de Continuidad del
nesadversas, por ejemplo: durante una crisis o
desastre.

stablecer, documentar, implementar y mantener Se cuenta con un servidor de

ientos y controles para asegurar el nivel de contingencia el cual entrará en
X Plan de Continuidad del
ara la seguridad de la información durante una servico en caso de caida del
situación adversa. servidor principal

verificar a intervalos regulares los controles de Pruebas al Plan de Continuidad del

eguridad de la información establecidos e Negocio
X Plan de Continuidad del
el fin de asegurar que son válidos y eficaces Actualización del Plan de
ante situaciones adversas. Continuidad del Negocio

sponibilidad de instalaciones de procesamiento

X
de información.

e procesamiento de información se deben Redundancia establecida de N+1 Manual del SGS

dancia suficiente para cumplir los requisitos de X
disponibilidad.
18. CUMPLIMIENTO
ncumplimiento de las obligaciones legales,
mentación o contractuales relacionadas con X
mación y de cualquier requisito de seguridad.

estatutarios, reglamentarios y contratuales

e de la organización para cumplirlos se deben
X Requisitos legales aplicables Manual del SGS
explicitamente y mantenerlos actualizados para
de información y para la organización.

r procedimientos apropiados para asegurar el

requisitos legislativos de reglamentación y Se prohibe el uso de software no
X Manual del SGS
dos con los derechos de propiedad intelectual y licenciado (pirata)
productos de software patentados.

eben proteger contra pérdida, destrucción,

Identificación de almacenamiento Listado Maestro de Re
no autorizado y liberación no autorizada de
X Tiempo de retención de Procedimiento de Elabo
os legislativos de reglamentación contractuales
docuemtnos Control de Docume
y de negocio.
 La información personal es
clasificada como Privada
privacidad y la protección de la información de Los documentos que contengan
Inventario y Clasificación
o se exige en la legislación y la reglamentación X información personal deben ser
de Información
nente, cuando sea aplicable. almacenados bajo llave y solo el
personal autorizado puede
manipularla

es criptográficos en cumplimineto de todos los Llave criptografica con una

X Manual del SGS
slación y reglamentación pertinentes. duración de 1 año

la seguridad de la información se implemente y

X
s políticas y procedimientos de la organización.

nización para la gestión de la seguridad de la

mentación (es decir, los objetivos de control, los
Auditoria y pruebas al sistema
as, los procesos y los porocedimientos para X Procedimiento de Audito
ejecutadas por terceros
ación) se deben revisar independientemente a
os o cuando ocurran cambios significativos.

n revisar con regularidad el cumplimiento del

dimientos de información dentro de su área de Comité de Seguridad
X Cumplimiento del SGSI
s políticas y normas de seguridad apropiadas y Información
er otro requisito de seguridad.

mación se deben revisar periódicamente para

nto con las políticas y normas de seguridad de X Revisión Gerencial Revisión Gerenc
la información.
 Codigo: GTIC-SI-R-07
Versión: 02
Fecha: Agosto 1 de 2018

RIESGO AL QUE RESPONDE EL

UBICACION
CONTROL

Manual SIG - Manual del SGSI

Manual de Políticas en Seguridad Politicas que incumplen lo

de la Información establecido en el norma ISO
27001:2013

Revisión Gerencial

Organigrama
Manual del SGSI

Manual de Cargos y Descrión de

Omisión de funciones o
Perfiles
responsabilidades
Manual del SGSI

Manual del SGSI

Procedimientos del SGI
Manual de Cargos y descripción de
perfiles
Fraude, conflicto de intereses
Manual de descripcion de Perfiles
de Finsonet
Manual de descripción de Perfiles
de Infinito

Incumplimiento de Requisitos
Matriz de Comunicaciones
Legales

Participación en foros

Falta de Capacidad de la
Manual del SGSI infraestructura TIC en nuevos
proyectos

Perdida o publicación de
información privada, semiprivada o
sensible
 Manual de Políticas del SGSI Perdida o publicación de
información privada, semiprivada o
sensible

Manual de Políticas del SGSI

Incorporar a la compañía personal

no idoneo
Estudio de Confiabilidad
Poligrafo
Revisión de antecedentes

Manual de Funciones y Descripcion

de Perfiles Desconocimiento de funciones o
Manual del SGSI responsabilidades
Clausula de Confidencialidad
Contratos de Trabajo

Manual de Funciones y Descripcion Perdida o publicación de

de Perfiles información privada, semiprivada o
Manual del SGSI sensible

Manual de Funciones y Descripcion

Falta de apoyo de la dirección al
de Perfiles
SGSI
Manual del SGSI

Personal con falencias en

Plan de Formación
seguridad de la información

Incumplimiento de funciones y
Reglamento Interno de Trabajo
responsabilidades del personal

Perdida o publicación de
Procedimiento Desvinculación del
información privada, semiprivada o
Personal
sensible

Procedimiento Desvinculación del

Empleados sin acceso a
Personal
información relevante para el
Procedimiento de Selección y
desempeño de sus funciones
vinculación de Personal
Inventario y Clasificación de Activos
de Información

Inventario y Clasificación de Activos

de Información

Inventario y Clasificación de Activos

de Información

Procedimiento de Desvinculación
de Personal
Paz y Salvo del Personal

Divulgación de información privada,

Inventario y Clasificación de Activos semiprivada o sensible
de Información

Inventario y Clasificación de Activos

de Información

Inventario y Clasificación de Activos

de Información
Etiquetas de Clasificación de
Activos

Inventario y Clasificación de Activos

de Información

Procedimiento para la gestión de

Medios Removibles

Procedimiento de Mantenimiento
preventivo y correctivo
Robo o daño de información

Manual del SGSI

 Manual de Políticas del SGSI

Manual del SGSI

Procedimientos de Selección y
Vinculación de Personal
Procedimiento de Desvinculación
de Personal

Finsonet
Infinito

Manual del SGSI

Manual del SGSI

Acta de Reunión Comité de Ingreso de personas no

Seguridad de la Información autorizadas a la red, equipos,
aplicaciones o instalaciones de
procesamiento de la información

Manual del SGSI

Reglamento Interno de Trabajo

RIT
 Manual del SGSI

Manual del SGSI

Manual del SGSI

Manual del SGSI

Manual del SGSI

Manual de Políticas del SGSI

Pérdida de la confidencialidad,
autenticidad o integridad de la
información

Manual del SGSI

Manual del SGSI

 Manual del SGSI

Manual del SGSI

Manual del SGSI

Procedimiento de trabajo seguro

para actividades en áreas de
procesamiento de información

Manual del SGSI

Ingreso de personas no
autorizadas a la red, equipos,
aplicaciones o instalaciones de
Manual del SGSI procesamiento de la información

Manual del SGSI

Manual del SGSI

Procedimiento de Mantenimiento
preventivo y correctivo

Procedimniento para salida de

computadores portátiles
 Manual del SGSI

Protocolo de disposición segura o

reutilización de equipos

Protocolo para entrega de equipos

por vacaciones o licencias

Manual de Política del SGSI

Pérdida de la confidencialidad,
autenticidad o integridad de la
Procedimiento de trabajo seguro en información
Data Center

Procedimiento de Gestión del

Cambio
Falta de Capacidad de la
infraestructura TIC en nuevos
proyectos
Procedimiento de Gestión de la
Capacidad

Procedimiento de Diseño y
Desarrollo de Software

Manual del SGSI

Manual del SGSI

Manual de Políticas del SGSI

Finsonet
Procedimiento de Reporte de
Incidentes
 Finsonet

Finsonet
Base de datos

Pérdida de la confidencialidad,
Manual del SGSI autenticidad o integridad de la
información

Procedimiento de Mantenimiento
Preventivo y Correctivo

Plan de Continuidad del Negocio

Procedimiento de Mantenimiento
Preventivo y Correctivo

Manual del SGSI

Manual del SGSI

Manual del SGSI

Pérdida de la confidencialidad,
autenticidad o integridad de la
información
 Manual del SGSI

Pérdida de la confidencialidad,
autenticidad o integridad de la
información

Manual de Políticas del SGSI

Procedimiento de Transferencia de
Información

Manual de políticas del SGSI

Procedimiento de Transferencia de
Información

Manual de Políticas del SGSI

Procedimiento de Transferencia de
Información

Contratos
Acuerdos de confidencialidad y
proteccion de datos

Planificación TICS

Manual del SGSI

Manual del
 Procedimiento de Diseño y
Desarrollo de Software

Procedimiento de Diseño y
Desarrollo de Software
Pérdida de la confidencialidad,
autenticidad o integridad de la
información
Informe de pruebas

Manual de Políticas del SGSI

Procedimiento de Diseño y
Desarrollo de Software

Procedimiento de Diseño y
Desarrollo de Software

Procedimiento de Diseño y
Desarrollo de Software

Procedimiento de Diseño y
Desarrollo de Software

Procedimiento de Diseño y
Desarrollo de Software

Acuerdos de Confidencialidad y
Protección de Datos
 Manual de Políticas del SGSI

Acuerdos de Confidencialidad y
Protección de Datos

Acuerdos de Confidencialidad y Pérdida de la confidencialidad,

Protección de Datos autenticidad o integridad de la
información

Seguimiento a las compras

Procedimiento de Gestión del

Cambio

Procedimiento de reporte de
Incidentes
Manual del SGSI

Ticket
Procedimiento de reporte de
incidentes

Ticket
Procedimiento de reporte de
incidentes Pérdida de la confidencialidad,
autenticidad o integridad de la
información
Procedimiento de reporte de
Incidentes
Registro de Incidentes

Procedimiento de reporte de
Incidentes
 Procedimiento de reporte de
Incidentes

Procedimiento de reporte de
Incidentes

Plan de Continuidad del Negocio

Plan de Continuidad del Negocio

Perdida de continuidad del negocio

Plan de Continuidad del Negocio

Manual del SGSI

Manual del SGSG

Manual del SGSG

Incumplimiento de Requisitos
legales
Listado Maestro de Registros
Procedimiento de Elaboración y
Control de Documentos
 legales

Inventario y Clasificación de Activos

de Información

Manual del SGSI

Procedimiento de Auditoría Interna

Incumplimineto de las politicas y
normas establecidas en seguridad
de la información

Comité de Seguridad de la
Información

Revisión Gerencial