ANEXO 2: DECLARACIÓN DE APLICABILIDAD SGSI ISO 27001:2013 - IDARTES

EXCLUSION CONTROL CONTROLES A

No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
Objeto y campo de Seleccionar los controles dentro del proceso de implementación
1
aplicación del Sistema de Gestión de Seguridad de la Información - SGSI.
La ISO/IEC 27000, es referenciada parcial o totalmente en el
2 Referencias normativas
documento y es indispensable para su aplicación.
Para los propósitos de este documento se aplican los términos y
3 Términos y definiciones
definiciones presentados en la norma ISO/IEC 27000.

La norma ISO/IEC 27000, contiene 14 numérales de control de

4 Estructura de la norma seguridad de la información que en su conjunto contienen más
de 35 categorías de seguridad principales y 114 controles.
A5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACION
Objetivo: Brindar orientación y soporte, por parte de la
Orientación de la dirección
dirección, para la seguridad de la información de acuerdo
A5.1 para la gestión de la
con los requisitos del negocio y con las leyes y
seguridad de la información
reglamentos pertinentes.
Control: Se debe definir un conjunto de políticas para la
Actualizar la política de Políticas para la seguridad de la información
Políticas para la seguridad seguridad de la información, aprobada por la dirección, Políticas de seguridad de la
A5.1.1 NO acuerdo a NTC-ISO Política para la seguridad de la información la cual se encuentra en código de buen gobierno (pag
de la información publicada y comunicada a los empleados y a las partes información.
27001:2012 10, 12).
externas pertinentes.
Control: Las políticas para la seguridad de la información se
Revisión de las políticas Actualizar la política de
deben revisar a intervalos planificados o si ocurren cambios Políticas de seguridad de la Política para la seguridad de la información la cual se encuentra en código de buen gobierno (pag
A5.1.2 para la seguridad de la NO acuerdo a NTC-ISO
significativos, para para asegurar su conveniencia, adecuación información. 10, 12).
información. 27001:2013
y eficacia continuas.
A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION
Objetivo: Establecer un marco de referencia de gestión
A6.1 Organización interna para iniciar y controlar la implementación y operación de la
seguridad de la información dentro de la organización.

Roles y responsabilidades
Control: Se deben definir y asignar todas las responsabilidades Verificación de
A6.1.1 para la seguridad de la NO Roles y responsabilidades. Documento con roles y responsabilidades, documento denominado organización interna del SGSI.
de la seguridad de la información. responsabilidades y roles
información

Control: Los deberes y áreas de responsabilidad en conflicto se

deben separar para reducir las posibilidades de modificación no Verificación de Se cuenta con sesiones separadas para cada usuario, reduciendo las posibilidades de modificación
A6.1.2 Separación de deberes NO Roles y responsabilidades.
autorizada o no intencional, o el uso indebido de los activos de responsabilidades y roles no autorizada o no intencional, o el uso indebido de los activos de la organización
la organización
Contacto con las Control: Se deben mantener contactos apropiados con las Actualizar plan de
A6.1.3 NO Plan de contingencias. En el plan de contingencia se encuentra un directorio de emergencia
autoridades autoridades pertinentes. contingencias
Control: Se deben mantener contactos apropiados con grupos
Contacto con grupos de Actualizar plan de Se mantiene contactos con profesionales de seguridad de información a través de la intranet del
A6.1.4 de interés especial u otros foros y asociaciones profesionales NO Plan de contingencias.
interés especial contingencias distrito http://intranet.bogota.gov.co y el grupo de WhatsApp SegurInfo
especializadas en seguridad
Seguridad de la Actualización del Plan
Control: La seguridad de la información se debe tratar en la Se generan recursos a través de los proyectos de inversión de la entidad.
A6.1.5 información en la gestión NO Estratégico Tecnologías de
gestión de proyectos, independientemente del tipo de proyecto. Los proyectos de TI involucran los objetivos de seguridad de la información.
de proyectos. la información PETI
Dispositivos móviles y Objetivo: Garantizar la seguridad del teletrabajo y el usos
A6.2
teletrabajo de dispositivos móviles
Se encuentra adoptada la política de Dispositivos móviles, además se contempla la Separación de
redes informáticas IDARTES
Control: Se deben adoptar una política y unas medidas de Se contempla la Separación
Política para dispositivos Políticas de seguridad de la Se realiza la Política de acceso a la red inalámbrica Idartes 3-AP-GTI-POL-02, la cual se contempla
A6.2.1 seguridad de soporte, para gestionar los riesgos introducidos NO de redes informáticas
móviles información. el manejo de dispositivos móviles.
por el uso de dispositivos móviles. IDARTES y VISIDARTES.
Mediante el compromiso del funcionario con las políticas de seguridad de la información, el usuario
final reconoce sus deberes (protección física, actualización del software, etc.).
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
Para el personal que labora o realiza actividades fuera de la oficina y requieran conectarse o
consumir servicios internos de la entidad se cuenta:
Control: Se deben implementar una política y unas medidas de
Revisión del Firewall
seguridad de soporte, para proteger la información a la que se
A6.2.2 Teletrabajo NO PFSense Un sistema de seguridad perimetral Firewall de Nueva Generación - Fortinet para protección de
tiene acceso, que es procesada o almacenada en los lugares en
Monitoreo firewall PFSense ataques externos.
los que se realiza teletrabajo.
Se protege la información a través de sesiones remotas a través de conexión VPN hacia el
IDARTES.
A7 SEGURIDAD DE LOS RECURSOS HUMANOS
Objetivo: Asegurar que los empleados y contratistas
A7.1 Antes de asumir el empleo comprenden sus responsabilidades y son idóneos en los
roles para los que se consideran.
Control: Las verificaciones de los antecedentes de todos los
Verificación de perfiles
candidatos a un empleo se deben llevar a cabo de acuerdo con Procedimiento Provisión de empleos provisionales 1TR-GTH-PD-02
personal.
las leyes, reglamentaciones y ética pertinentes y deben ser Formato Lista de Chequeo Código: 4AP-GTH-F-06
A7.1.1 Selección NO Revisión documentos
proporcionales a los requisitos de negocio, a la clasificación de Formato Verificación de Estudios y experiencia 1TR-GTH-F-01
precontractuales y
la información a que se va a tener acceso y a los riesgos Formato compromiso de confidencialidad
verificación de perfil.
percibidos.
Verificación de perfiles
Documento de compromiso con la seguridad de la información.
Control: Los acuerdos contractuales con empleados y personal.
Términos y condiciones del
A7.1.2 contratistas deben establecer sus responsabilidades y las de la NO Revisión documentos
empleo Para los contratistas existen acuerdos de manejo y confidencialidad de la información en los
organización en cuanto a la seguridad de la información. precontractuales y
acuerdos del contrato.
verificación de perfil.
Objetivo: Asegurarse de que los empleados y contratistas
Durante la ejecución del
A7.2 tomen conciencia de sus responsabilidades de seguridad
empleo
de la información y las cumplan.

La alta dirección a través del comité técnico de seguridad de la información y el compromiso de la

Control: La dirección debe exigir a todos los empleados y
seguridad de la información exige a los empleados las responsabilidades de seguridad de la
Responsabilidades de la contratista la aplicación de la seguridad de la información de Resolución comité de
A7.2.1 NO información.
dirección acuerdo con las políticas y procedimientos establecidos por la seguridad -CTS
Mediante el compromiso del funcionario con las políticas de seguridad de la información, el usuario
organización.
final reconoce sus deberes (protección física, actualización del software, etc.)

Se realiza la campaña de seguridad de la información, mediante dos campañas de Phishing,

Cartilla didáctica de Aumento PAGOS Salud y Pensión 2017 (27/07/2017) y entrada para "Los Toreros Muertos"
Control: Todos los empleados de la organización, y en donde
Toma de conciencia, seguridad de la información. (30/11/2017). Finalmente se realiza la gira de seguridad de información mediante las actividades
sea pertinente, los contratistas, deben recibir la educación y la Campañas Seguridad de la
educación y formación en (campaña de ingeniería social - detectives y stands de aprendizaje) con el fin de sensibilizar a los
A7.2.2 formación en toma de conciencia apropiada, y actualizaciones NO información.
la seguridad de la Campañas Seguridad de la funcionarios y contratistas del Edificio del IDARTES de la importancia de la seguridad de la
regulares sobre las políticas y procedimientos de la
información. información. información.
organización pertinentes para su cargo.
Se generan espacios en las jornadas de inducción y reinducción.
Se Divulgan campañas a través de wallpaper en los equipos de los servidores públicos.
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR

Control: Se debe contar con un proceso formal, el cual debe ser
A7.2.3 Proceso disciplinario comunicado, para emprender acciones contra empleados que
hayan cometido una violación a la seguridad de la información.
El Idartes cuenta con dos (02) procedimientos que tienen como objetivo Proteger la función pública
al interior de la entidad, adelantando las actuaciones disciplinarias que permitan determinar la
posible responsabilidad sus servidores públicos, frente a la ocurrencia de conductas reprochables
en materia disciplinaria. Estos documentos se encuentran debidamente aprobados y publicados en
la Intranet y hacen parte del SIG y se identifican como Procedimiento Control Disciplinario Ordinario
- Código: 2EM-CES-PD-04 y Procedimiento Control Disciplinario Verbal Código: 2EM-CES-PD-05.
El sustento normativo para la aplicación del procedimiento disciplinario se encuentra en la Ley 734
de 2002 y la Ley 1474 de 2011, en donde se establecen los criterios para determinar cuál de los
dos procedimientos se debe aplicar (ordinario o verbal); estas normas también regulan los posibles
vacíos que puedan existir en los procedimientos internos del Idartes.
La Subdirectora Administrativa y Financiera en su calidad de Operador Disciplinario, es la persona
NO Políticas de la entidad que impone la sanción disciplinaria, en cumplimiento de las funciones señaladas el manual
específico de funciones, requisitos y competencias laborales para los empleos de la planta global
de personal del Instituto Distrital de las Artes – IDARTES, adoptado mediante el Acuerdo 4 del 1 de
febrero de 2011 por el Consejo Directivo de la Entidad.
La sanción y el infractor se determinan siguiendo los parámetros establecidos en la Ley 734 de
2002, en la 1474 de 2011 y en los procedimientos internos arriba enunciados.
Para ser específicos, el procedimiento inicia con una queja, un informe o de oficio, en el cual se
describen los hechos que para el caso sería la violación a la seguridad de información, se apertura
el proceso, se practican las pruebas a que haya lugar, se identifica el posible autor de la falta
disciplinaria, se hace el estudio de las mismas y con base en ellas se toma la decisión de sancionar
al funcionario o archivar el proceso. Cuando el autor de la falta es un contratista, se da traslado a
Jurídica para que, junto con el supervisor, se tomen las acciones contractuales a que haya lugar.

Terminación y cambio de Objetivo: Proteger los intereses de la organización como

A7.3
empleo parte del proceso de cambio o terminación de empleo

Control: Las responsabilidades y los deberes de seguridad de la

Terminación o cambio de
información que permanecen validos después de la terminación Procedimiento de Administración de cuentas de usuario y para el caso de los contratistas en hay
A7.3.1 responsabilidades de NO Obligaciones contractuales
o cambio de empleo de deben definir, comunicar al empleado o clausulas estipuladas en las obligaciones del contratista en términos de Confidencialidad.
empleo
contratista y se deben hacer cumplir.
A8 GESTION DE ACTIVOS
Responsabilidad por los Objetivo: Identificar los activos organizacionales y definir
A8.1
activos las responsabilidades de protección adecuadas.
Se cuenta con cuadros de caracterización documental, los cuales son la base para el inventario de
Control: Se deben identificar los activos asociados con activos de la información, y que actualmente se encuentran en ajuste frente a la ley de
Actualización de activos de
A8.1.1 Inventario de activos información e instalaciones de procesamiento de información, y NO Inventarios de activos de TI. transparencia.
TI
se debe elaborar y mantener un inventario de estos activos. Se identifico los activos de TI teniendo en cuenta Hardware, Software, Servicios, Conectividad,
Roles y Localizaciones, pendiente de revisión por el líder SGSI.
En proceso de definición de acuerdo al inventario de activos de la información.
Control: Los activos mantenidos en el inventario deben tener un Actualización de activos de
A8.1.2 Propiedad de los activos NO Inventarios de activos de TI. En la identificación de activos de información se identifico los propietarios y custodios de la
propietario. TI
información.
Control: Se deben identificar, documentar e implementar reglas
Uso aceptable de los Actualización de activos de
A8.1.3 para el uso aceptable de información y de activos asociados con NO Inventarios de activos de TI. Documento de políticas de seguridad de la información.
activos TI
información e instalaciones de procesamiento de información.
Mediante Documento de Paz y salvo y PROCEDIMIENTO PRÉSTAMO DE BIENES (ELEMENTOS
DEVOLUTIVOS)
Control: Todos los empleados y usuarios de partes externas
Mejora en el Igualmente se tienen siguientes formatos:
deben devolver todos los activos de la organización que se
A8.1.4 Devolución de activos NO Formato de Paz y salvo diligenciamiento de Paz y * Préstamo de Elementos Tecnológicos 3AP-GTI-F-07
encuentren a su cargo, al terminar su empleo, contrato o
Salvo * Entrega de Equipos 2017
acuerdo.
Formato Entrega de Equipos 3AP-GTI-F-06
Para el control de los activos de información
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
Objetivo: Asegurar que la información recibe un nivel
Clasificación de la
A8.2 apropiado de protección, de acuerdo con su importancia
información
para la organización.
Se cuenta con cuadros de caracterización documental, los cuales son la base para el inventario de
Control: La información se debe clasificar en función de los activos de la información, y que actualmente se encuentran en ajuste frente a la ley de
Clasificación de la Metodología Inventarios de
A8.2.1 requisitos legales, valor, criticidad y susceptibilidad a NO transparencia.
información activos de TI.
divulgación o a modificación no autorizada. En la metodología de gestión así como en la matriz de activos se esta llevando la tarea de
clasificación de los activos de activos de información.
Control: Se debe desarrollar e implementar un conjunto En proceso de realización, teniendo en cuenta la ley de transparencia.
Etiquetado de la adecuado de procedimientos para el etiquetado de la Actualización de activos de
A8.2.2 NO Inventarios de activos de TI.
información información, de acuerdo con el esquema de clasificación de TI Adicionalmente se encuentra definido el etiquetado de acuerdo a su criticidad en la matriz de
información adoptado por la organización. activos de información de TI.

Control: Se deben desarrollar e implementar procedimientos Implementación de política

A8.2.3 Manejo de activos para el manejo de activos, de acuerdo con el esquema de NO Inventarios de activos de TI. salvaguarda de la Procedimiento de copia y restauración de la información
clasificación de información adoptado por la organización. información
Objetivo: Evitar la divulgación, la modificación, el retiro o la
A8.3 Manejo de medios destrucción no autorizados de información almacenada en
los medios
Control: Se deben implementar procedimientos para la gestión
Gestión de medio Políticas de seguridad de la
A8.3.1 de medio removibles, de acuerdo con el esquema de NO Capitulo 1 las Políticas de seguridad de la información
removibles información.
clasificación adoptado por la organización.
Control: Se debe disponer en forma segura de los medios
A8.3.2 Disposición de los medios NO Procedimiento Dar de baja Bienes
cuando ya no se requieran, utilizando procedimientos formales.
Control: Los medios que contienen información de deben
Transferencia de medios
A8.3.3 proteger contra acceso no autorizado, uso indebido o corrupción NO El traslado de medios se realiza mediante el procedimiento de traslado de bienes.
físicos
durante el transporte.
A9 CONTROL DE ACCESO
Requisitos del negocio para Objetivo: Limitar el acceso a información y a instalaciones
A9.1
el control de acceso de procesamiento de información.
Control: Se debe establecer, documentar y revisar una política
Política de control de Políticas de seguridad de la Actualizar y socialización de
A9.1.1 de control de acceso con base en los requisitos del negocio y de NO Definido en Capítulos 5 y 6 Seguridad Física de las políticas de seguridad de la información.
acceso información. la política de seguridad
la seguridad de la información.
Control: Solo se debe permitir acceso de los usuarios a la red y Definido en referente a manejo de acceso a internet, claves de acceso políticas de seguridad de la
Acceso a redes y a Políticas de seguridad de la Actualizar y socialización de
A9.1.2 a los servicios de red para los que hayan sido autorizados NO información.
servicios en red información. la política de seguridad
específicamente. Registro del personal que acceden a las redes VPNs
Gestión de acceso de Objetivo: Asegurar el acceso de los usuarios autorizados y
A9.2
usuarios evitar el acceso no autorizado a sistemas y servicios.

Políticas de seguridad de la
Control: Se debe implementar un proceso formal de registro y información. Procedimiento Administración de cuentas de Usuario.
Registro y cancelación del Actualizar y socialización de
A9.2.1 de cancelación de registro de usuarios, para posibilitar la NO Compromiso del funcionario
registro de usuarios la política de seguridad
asignación de los derechos de acceso. con las políticas de Compromiso funcionario políticas seguridad de la información.
seguridad de la información.
Procedimiento Administración de cuentas de Usuario.
Políticas de seguridad de la
Control: Se debe implementar un proceso de suministro de
información.
Suministro de acceso de acceso formal de usuarios para asignar o revocar los derechos Actualizar y socialización de Compromiso funcionario políticas seguridad de la información.
A9.2.2 NO Compromiso del funcionario
usuarios de acceso para todo tipo de usuarios para todos los sistemas y la política de seguridad
con las políticas de
servicios. Se tiene establecido los roles de acceso de usuarios con base en los requisitos de la entidad
seguridad de la información.
(Administrador y perfil de usuario)
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
Políticas de seguridad de la
información.
Gestión de derechos de Control: Se debe restringir y controlar la asignación y uso de Actualizar y socialización de Procedimiento administración de cuentas de usuario y políticas de seguridad de la información.
A9.2.3 NO Compromiso del funcionario
acceso privilegiado derechos de acceso privilegiado la política de seguridad Cada cuenta es asignada teniendo en cuenta los roles y privilegios de cada sistema o aplicación.
con las políticas de
seguridad de la información.

Políticas de seguridad de la
Gestión de información de información.
Control: La asignación de información de autenticación secreta Actualizar y socialización de Procedimiento administración de cuentas de usuario y políticas de seguridad de la información.
A9.2.4 autenticación secreta de NO Compromiso del funcionario
se debe controlar por medio de un proceso de gestión formal. la política de seguridad Las contraseñas de autenticación encuentran cifradas.
usuarios con las políticas de
seguridad de la información.

Políticas de seguridad de la
información.
Revisión de los derechos Control: Los propietarios de los activos deben revisar los Actualizar y socialización de Procedimiento administración de cuentas de usuario y políticas de seguridad de la información.
A9.2.5 NO Compromiso del funcionario
de acceso de usuarios derechos de acceso de los usuarios, a intervalos regulares. la política de seguridad Las cuentas son canceladas una vez el servidor termine vinculación laboral.
con las políticas de
seguridad de la información.

Control: Los derechos de acceso de todos los empleados y de Políticas de seguridad de la

usuarios externos a la información y a las instalaciones de información.
Retiro o ajuste de los Actualizar y socialización de Procedimiento administración de cuentas de usuario y políticas de seguridad de la información.
A9.2.6 procesamiento de información se deben retirar al terminar su NO Compromiso del funcionario
derechos de acceso la política de seguridad Las cuentas son canceladas una vez el servidor termine vinculación laboral.
empleo, contrato o acuerdo, o se deben ajustar cuando se con las políticas de
hagan cambios. seguridad de la información.
Responsabilidades de los Objetivo: Hacer que los usuarios rindan cuentas por la
A9.3
usuarios salvaguarda de su información de autenticación.
Políticas de seguridad de la información.
Políticas de seguridad de la Documento de compromiso con la seguridad de la información y campañas de sensibilización de
Control: Se debe exigir a los usuarios que cumplan las prácticas información. contraseñas mediante wallpaper.
Uso de información de
A9.3.1 de la organización para el uso de información de autenticación NO Compromiso del funcionario
autenticación secreta
secreta. con las políticas de se realiza la gira de seguridad de información mediante las actividades (campaña de ingeniería
seguridad de la información. social - detectives y stands de aprendizaje) con el fin de sensibilizar a los funcionarios y contratistas
del Edificio del IDARTES de la importancia de la seguridad de la información.
Control de acceso a Objetivo: Evitar el acceso no autorizado a sistemas y
A9.4
sistemas y aplicaciones aplicaciones.
Políticas de seguridad de la
Políticas de seguridad de la información.
Control: El acceso a la información y a las funciones de los información.
Restricción de acceso a la
A9.4.1 sistemas de las aplicaciones se debe restringir de acuerdo con NO Compromiso del funcionario
información Mediante de administración del servidor NAS se controla los derechos de acceso a los usuarios
la política de control de acceso. con las políticas de
(leer, escribir,
seguridad de la información.

Políticas de seguridad de la
Control: Cuando lo requiere la política de control de acceso, el información.
Procedimiento de ingreso
A9.4.2 acceso a sistemas y aplicaciones se debe controlar mediante un NO Compromiso del funcionario Se administra mediante perfiles, falta registro de eventos de intentos fallidos y exitosos.
seguro
proceso de ingreso seguro. con las políticas de
seguridad de la información.

Políticas de seguridad de la
Se utilizan identificadores y contraseñas individuales para cada sistemas de información o
información. Implementar un sistema de
Sistema de gestión de Control: Los sistemas de gestión de contraseñas deben ser plataforma.
A9.4.3 NO Compromiso del funcionario gestión de usuarios
contraseñas interactivos y deben asegurar la calidad de las contraseñas.
con las políticas de (Controlador de Dominio)
seguridad de la información.
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR

Políticas de seguridad de la
información.
Compromiso del funcionario
con las políticas de
Control: Se debe restringir y controlar estrictamente el usos de
Uso de programas seguridad de la información. Documento de compromiso con la seguridad de la información y los usuarios estándar para evitar
A9.4.4 programas utilitarios que podrían tener capacidad de anular el NO
utilitarios privilegiados Se cuenta con el listado de uso e instalación de software no autorizado.
sistema y los controles de las aplicaciones.
software autorizado y solo
lo instalan los técnicos o
ingenieros autorizados del
área de sistemas.

Control de acceso a Separación de los

Control: Se debe restringir el acceso a los códigos fuente de los
A9.4.5 códigos fuente de NO ambientes de desarrollo, Se restringe el acceso a uso de códigos fuentes, se deben contemplar registros de auditoria
programas.
programas pruebas y operación
A10 CRIPTOGRAFIA
Objetivo: Asegurar el uso apropiado y eficaz de la
A10.1 Controles criptográficos criptografía para proteger la confidencialidad, autenticidad
y/o la integridad de la información
Realizar politica que
Control: Se debe desarrollar e implementar una política sobre el incluya controles
Política sobre el uso de Se realizo auditoria tecnica acerca del nivel de cifrado de transporte en los sistemas web de la
A10.1.1 uso de controles criptográficos para la protección de la NO criptograficas contemplando
controles criptográficos entidad.
información. gestion de riesgos y marco
normativo.

A10.1.2 Gestión de llaves
Desarrollar e implementar
Control: Se debe desarrollar e implementar una política sobre el
una política sobre el uso,
uso, protección y tiempo de vida de las llaves criptográficas, NO
protección y tiempo de vida
durante todo su ciclo de vida.
de las llaves criptográficas

A11 SEGURIDAD FISICA Y DEL ENTORNO

Objetivo: Prevenir el acceso físico no autorizado, el daño e

A11.1 Áreas seguras la interferencia a la información y a las instalaciones de
procesamiento de información de la organización.

Control: Se deben definir y usar perímetros de seguridad, y Restricción de acceso a las

Perímetro de seguridad Cuanta con perímetros de seguridad a las áreas restringidas, se deben implementar controles de
A11.1.1 usarlos para proteger áreas que contengan información NO oficinas y áreas
física alarmas, biométricos en zonas como datacenter principales.
confidencial o critica, e instalaciones de manejo de información. restringidas.
Verificación de perfiles
Mecanismos de
Control: Las áreas seguras deben estar protegidas con personal. En la entidad cuenta con registro a visitantes.
autenticación de dos
A11.1.2 Controles de acceso físicos controles de acceso apropiados para asegurar que sólo se NO Revisión documentos
factores, tales como una
permite el acceso a personal autorizado. precontractuales y Para los centros de cableado se cuenta con bitacoras de ingreso.
tarjeta de acceso
verificación de perfil.
Restricción de acceso a las
Seguridad de oficinas, Control: Se debe diseñar y aplicar la seguridad física para
A11.1.3 NO oficinas y áreas Oficinas restringidas , el publico solo puede acceder con el acompañamiento del personal del área.
recintos e instalaciones. oficinas, recintos e instalaciones..
restringidas.
Protección contra Medidas contra impactos
Control: Se deben diseñar y aplicar protección física contra
A11.1.4 amenazas externas y NO ambientales, en el Plan de emergencias Institucional
desastres naturales, ataques maliciosos o accidentes.
ambientales. documento técnico PIGA.
Establecer controles al
Control: Se deben diseñar y aplicar procedimientos para trabajo Control de acceso de
A11.1.5 Trabajo en áreas seguras. NO ingreso de equipos de video Existen procedimientos para ingreso a áreas seguros.
en áreas seguras. usuarios
y fotografía.
Control: Se deben controlar los puntos de acceso tales como las
áreas de despacho y carga y otros puntos por donde pueden
Áreas de carga, despacho Inspección de ingreso y
A11.1.6 entrar personas no autorizadas y, si es posible, aislarlos de las NO Inspección de ingreso y salida de elementos.
y acceso público salida de elementos.
instalaciones de procesamiento de información para evitar el
acceso no autorizado.
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
Objetivo: Prevenir la perdida, daño, robo o compromiso de
A11.2 Equipos activos, y la interrupción de las operaciones de la
organización.
Control: Los equipos deben de estar ubicados y protegidos para Actualizar plan de
Ubicación y protección de Plan de emergencias y
A11.2.1 reducir los riesgos de amenazas y peligros del entorno, y las NO emergencias y Se tienen controles para minimizar el riesgo de amenazas físicas y ambientales
los equipos tecnológicos. contingencias de la entidad.
posibilidades de acceso no autorizado. contingencias de la entidad.

Funcionamiento de las UPS

Control: Los equipos se deben proteger contra fallas de energía
Seguridad en el suministro
A11.2.2 y otras interrupciones causadas por fallas en los servicios de
de electricidad y servicios
suministro.
A11.2.3 Seguridad en el cableado.
Mantenimiento de los
A11.2.4
equipos.
A11.2.5 Retiro de activos
Seguridad de equipos y
A11.2.6 activos fuera de las
instalaciones
Disposición segura o
A11.2.7
reutilización de equipos
Equipos de usuario
A11.2.8
desatendido
y planta eléctrica en las Realizar el mantenimiento
sedes y escenarios del de las UPS y plantas Para la proteccion contra fallas de energía y otras interrupciones la entidad cuenta con UPS
NO IDARTES, que brinda eléctricas ubicadas en las (Sistema de alimentación ininterrumpida) y los equipos de computo se encuentran conectados a
Equipo de protección de diferentes sedes de la corriente regulada.
UPS una autonomía de 20 entidad
minutos aproximadamente.
Control: El cableado de energía eléctrica y de
telecomunicaciones que porta datos o brinda soporte a los Revisión de equipos activos
NO El cableado cuenta con los requerimiento de la norma en la instalación
servicios de información se debe proteger contra interceptación, de red
interferencia o daño.
Se cuenta con un plan de mantenimiento de equipos de computo y servidores.
Control: Los equipos se deben mantener correctamente para Plan de mantenimiento de
NO Igualmente se adelanta proceso contractual para el mantenimiento de impresoras, escáner y
asegurar su disponibilidad e integridad continuas. equipos informáticos
proyectores
Se mantiene registro acerca de los retiros de los activos mediante los siguientes formatos:
Control: Los equipos, información o software no se deben retirar
NO Inventarios de activos de TI. Préstamo Interno de Elementos Tecnológicos 4ES-GTIC-F-01
de su sitio sin autorización previa
Formato Entrega de Equipos 3AP-GTI-F-06
Control: Se deben aplicar medidas de seguridad a los activos
Restricción de acceso a las Para el préstamo de elementos tecnológicos
que se encuentran fuera de las instalaciones de la organización,
NO oficinas y áreas Préstamo Interno de Elementos Tecnológicos 4ES-GTIC-F-01
teniendo en cuenta los diferentes riesgos de trabajar fuera de
restringidas. En las sedes y centros CREA se cuenta con vigilancia para proteccion de los activos.
dichas instalaciones.
Control: Se deben verificar todos los elementos de equipos que
contengan medios de almacenamiento para asegurar que
Procedimiento de baja de Procedimiento de borrado
cualquier dato confidencial o software licenciado haya sido NO Procedimiento Baja de bienes
bienes seguro.
retirado o sobrescrito en forma segura antes de su disposición o
reúso.
Políticas de seguridad de la
información. Sistema de bloqueo y
Control: Los usuarios deben asegurarse de que a los equipos
NO Compromiso del funcionario administración central de Políticas para la seguridad de la información
desatendidos se les da protección apropiada.
con las políticas de usuarios y equipos.
seguridad de la información.

Políticas de seguridad de la
Control: Se debe adoptar una política de escritorio limpio para Políticas para la seguridad de la información, capitulo 6.3 escritorio limpio.
información. Falta bloqueo de sesiones,
Política de escritorio limpio los papeles y medios de almacenamiento removibles, y una
A11.2.9 NO Compromiso del funcionario protector de pantallas y PIN
y pantalla limpia política de pantalla limpia en las instalaciones de procesamiento Se tiene implementado impresoras con función de código con PIN
con las políticas de a impresoras
de información.
seguridad de la información.
A12 SEGURIDAD DE LAS OPERACIONES
Procedimientos
Objetivo: Asegurar las operaciones correctas y seguras de
A12.1 operacionales y
las instalaciones de procesamiento de información.
responsabilidades
Documentar como copias
de seguridad,
Procedimientos de Control: Los procedimientos de operación se deben documentar Procedimiento de cuentas infraestructura y Los procedimientos y documentos relevantes de operación entre ellos, mantenimiento de equipos,
A12.1.1 NO
operación documentados y poner a disposición de todos los usuarios que los necesitan. de usuarios, soporte técnico conectividad, instrucciones copias de seguridad , manejo de medios y correo se encuentran publicados.
para manejo de errores y
recuperación del sistema

No. NOMBRE
A12.1.2 Gestión de cambios
A12.1.3 Gestión de capacidad
Separación de los
A12.1.4 ambientes de desarrollo,
pruebas y operación
Protección contra códigos
A12.2
maliciosos
Controles contra códigos
A12.2.1
maliciosos
A12.3 Copias de respaldo
A12.3.1 Respaldo de la información
A12.4 Registro y seguimiento
A12.4.1 Registro de eventos
Protección de la
A12.4.2
información de registro
EXCLUSION CONTROL CONTROLES A
DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
Control: Se deben controlar los cambios en la organización, en
los procesos de negocio, en las instalaciones y en los sistemas Bitácora de registro de Registro y manejo de Se establecen los controles de cambios en procedimientos del negocio, sin embargo falta
NO
de procesamiento de información que afectan la seguridad de la eventos. eventos y log documentar gestión de cambios en los sistemas de información y procesamiento.
información.
Control: Se debe hacer seguimiento al uso de recursos, hacer Documentación de gestión
Se realizan planes de acción de capacidad futura de tecnología así como la optimización de
los ajustes, y hacer proyecciones de los requisitos de capacidad NO Planes de Acción del Área. de capacidad para sistemas
recursos y seguridad de la información.
futura, para asegurar el desempeño requerido del sistema. críticos de la misión.
Para el desarrollo del sistema SiCapital se maneja entorno pruebas y producción.
Control: Se deben separar los ambientes de desarrollo, pruebas Separación de los
Documento desarrollo de
y operación, para reducir los riesgos de acceso o cambios no NO ambientes de desarrollo,
software. En los desarrollos del sistema SIF (Sistema Integrado de Formación) se maneja ambientes de
autorizados al ambiente de operación. pruebas y operación
pruebas, produccion y gestion de repositorios
Objetivo: Asegurarse de que la información y las
instalaciones de procesamiento de información estén
protegidas contra códigos maliciosos.
Control: Se deben implementar controles de detección, de En la entidad cuenta con controles contra códigos maliciosos mediante antivirus Kaspersky.
prevención y de recuperación, combinados con la toma de Verificación de consola
NO Antivirus Kaspersky
conciencia apropiada de los usuarios, para proteger contra antivirus. En la politica de seguridad de informacion y en el Compromiso del Funcionario con las Politicas de
códigos maliciosos. Seguridad de la Informacion se prohibe el uso de software no autorizado.
Objetivo: Proteger contra la perdida de datos
Control: Se deben hacer copias de respaldo de la información,
software e imágenes de los sistemas, y ponerlas a prueba Realizar pruebas de Se realizan copias de seguridad
NO Copias de seguridad
regularmente de acuerdo con una política de copias de respaldo restauración Se cuenta con procedimientos de copia y restauración de la información.
acordadas.
Objetivo: Registrar eventos y generar evidencia
Se lleva de forma parcial el registro de eventos en los sistemas de informacion, servidores y en los
Control: Se deben elaborar, conservar y revisar regularmente Implementar herramientas
Bitácora de registro de equipos de red.
los registros acerca de actividades del usuario, excepciones, NO tecnológicas para el manejo
eventos. Se tiene el sistema de logs y eventos del Firewall Fortinet FortiAnalizer
fallas y eventos de seguridad de la información. de eventos.
Internamente se llevan bitacoras ingreasando los eventos ocurridos.
Implementar herramientas
Control: Las instalaciones y la información de registro se deben Bitácora de registro de Se cuenta con protección de información de registro en el sistema de informacion de formacion SIF,
NO tecnológicas para el manejo
proteger contra alteración y acceso no autorizado. eventos. sin embargo no se lleva un manejo de los logs de los sistemas.
de eventos.

Control: Las actividades del administrador y del operador del Implementar herramientas
Registros del administrador
A12.4.3 sistema se deben registrar, y los registros se deben proteger y NO tecnológicas para el manejo Se mantiene registro de usuarios administradores.
y del operador
revisar con regularidad. de eventos.

Control: Los relojes de todos los sistemas de procesamiento de

Implementación de un
información pertinentes dentro de una organización o ámbito de
A12.4.4 Sincronización de relojes NO sistema central de gestión Los relojes de los firewall y servidores se encuentran sincronizadas
seguridad se deben sincronizar con una única fuente de
de usuarios y equipos.
referencia de tiempo.
Control de software Objetivo: Asegurarse de la integridad de los sistemas
A12.5
operacional operacionales
Se cuenta con el listado de
software autorizado y solo
Instalación de software en Control: Se deben implementar procedimientos para controlar la Monitoreo de software
A12.5.1 NO lo instalan los técnicos o El software autorizado solo se puede instalar por personas autorizadas del área de sistemas.
sistemas operativos instalación de software en sistemas operativos. instalado.
ingenieros autorizados del
área de sistemas.
Gestión de la vulnerabilidad Objetivo: Prevenir el aprovechamiento de las
A12.6
técnica vulnerabilidades técnicas
Control: Se debe obtener oportunamente información acerca de
las vulnerabilidades técnicas de los sistemas de información Registro de amenazas y vulnerabilidades, adicionalmente mediante la consola antivirus kaspersky
Gestión de las Análisis de vulnerabilidades Plan de remediación de
A12.6.1 que se usen; evaluar la exposición de la organización a estas NO se identifican vulnerabilidades tecnicas, igualmente en proceso de implementacion de la solucion
vulnerabilidades técnicas y pruebas de pentesting vulnerabilidades.
vulnerabilidades, y tomar las medidas apropiadas para tratar el perimetral - NGFW - Fortinet.
riesgo asociado.
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR

Se cuenta con el listado de

Restricciones sobre la
A12.6.2
instalación de software
software autorizado y solo Se cuenta la politica de seguridad de información donse se contempla el uso de software a instalar.
Control: Se deben establecer e implementar las reglas para la Herramientas de monitoreo
NO lo instalan los técnicos o Para los funcionarios y/o contratistas se tienen cuentas de usuario estandar con los minimos
instalación de software por parte de los usuarios. y restricción de software.
ingenieros autorizados del requisitos.
área de sistemas. El software autorizado solo se puede instalar por personas autorizadas del área de Tecnología.

Consideraciones sobre
Objetivo: Minimizar el impacto de las actividades de
A12.7 auditorias de sistemas de
auditoria sobre los sistemas operativos
información
Control: Los requisitos y actividades de auditoria que involucran
Controles de auditorías de la verificación de los sistemas operativos se deben planificar y
A12.7.1 NO Auditorias SGSI.
sistemas de información acordar cuidadosamente para minimizar las interrupciones en
los procesos del negocio.
A13 SEGURIDAD DE LAS COMUNICACIONES
Objetivo: Asegurar la protección de la información en las
Gestión de la seguridad de
A13.1 redes, y sus instalaciones de procesamiento de
las redes
información de soporte.
Segmentación de red
Revisión del Firewall
Existen las responsabilidades y procedimientos para la gestión de las redes.
Control: Las redes se deben gestionar y controlar para PFSense Continuar con los controles
A13.1.1 Controles de redes NO
proteger la información en sistemas y aplicaciones. Monitoreo firewall PFSense establecidos
Se establece Política de acceso a la red inalámbrica Idartes 3-AP-GTI-POL-02
Monitoreo canales
herramienta de ETB

Segmentación de red
Control: Se deben identificar los mecanismos de seguridad,
Revisión del Firewall
los niveles de servicio y los requisitos de gestión de todos los A traves de la plataforma de firewall Fortinet se aplican logging y seguimiento adecuados para
Seguridad de los servicios PFSense Continuar con los controles
A13.1.2 servicios de red, e incluirlos en los acuerdos de servicio de NO posibilitar el registro y detección de acciones que pueden afectar, o son pertinentes a la seguridad
de red Monitoreo firewall PFSense establecidos
red, ya sea que los servicios se presten internamente o de la información
Monitoreo canales
se contraten externamente.
herramienta de ETB

Segmentación de red
Revisión del Firewall Se realiza el aislamiento de redes mediante VPN sedes, segmentación Y VLANs por piso del
Control: Los grupos de servicios de información, usuarios y PFSense Continuar con los controles edificio y sedes.
A13.1.3 Separación en las redes NO
sistemas de información se deben separar en las redes. Monitoreo firewall PFSense establecidos
Monitoreo canales Los segmentos de red de los servidores y equipos usuarios se encuentran se separados.
herramienta de ETB
Objetivo: Mantener la seguridad de la información
Transferencia de
A13.2 transferida dentro de una organización y con cualquier
información
entidad externa.
Control: Se debe contar con políticas, procedimientos y
Políticas y procedimientos
controles de transferencia información formales para proteger Políticas de seguridad de la Implementar procedimientos Se realizaron asesoría y acompañmientos mediante campañas al personal para que tome las
A13.2.1 de transferencia NO
la transferencia de información mediante el uso de información. de SGSI. precauciones apropiadas acerca de no revelar información confidencial.
de información
todo tipo de instalaciones de comunicaciones.

Acuerdos sobre Control: Los acuerdos deben tratar la transferencia segura Establecer procedimientos
Políticas de seguridad de la politicas de seguridad de la información.
A13.2.2 transferencia de información del información negocio entre la organización NO para asegurar trazabilidad y
información. La entidad tiene establecidos el etiquetado acordado para activos sensible o crítica
de información y las partes externas. no repudio.
Control: Se debe proteger adecuadamente la información Políticas de seguridad de la La mensajería electrónica se protege contra acceso no autorizado, modificación o denegación del
A13.2.3 Mensajería Electrónica NO
incluida en la mensajería electrónica. información. servicio.
Control: Se deben identificar, revisar regularmente y
En los contratos con contratistas se establecen acuerdos de confidencialidad o de no divulgación
Acuerdos de documentar los requisitos para los acuerdos de
Políticas de seguridad de la son aplicables
A13.2.4 confidencialidad o de no confidencialidad o no divulgación que reflejen las NO
información.
divulgación necesidades de la organización para la protección de la
Documento de compromiso con la seguridad de la información
información.
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
A14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Objetivo: Asegurar que la seguridad de la información
Requisitos de seguridad sea una parte integral de los sistemas de información
A14.1 de los sistemas de durante todo el ciclo de vida. Esto incluye también los
información requisitos para sistemas de información que prestan
servicios sobre redes .
Control: Los requisitos relacionados con seguridad de la
Análisis y especificación Mediante reuniones con los desarrolladores y responsables de los proyectos se establecen los
información se deben incluir en los requisitos para nuevos Control de acceso de
A.14.1.1 de requisitos de seguridad NO requisitos relacionados con seguridad de la información se deberían incluir en los requisitos para
sistemas de información o para mejoras a los sistemas de usuarios
de la información nuevos sistemas de información.
información existentes.
Control: La información involucrada en los servicios de las
Seguridad de servicios aplicaciones que pasan sobre redes públicas se debe
Control de acceso de Los servicios de aplicaciones que pasan sobre redes públicas se protegen mediante protocolos
A.14.1.2 de las aplicaciones en proteger de actividades fraudulentas, disputas NO
usuarios seguros
redes públicas contractuales y divulgación y modificación no
autorizadas.
Control: La información involucrada en las transacciones de los
Protección de
servicios de las aplicaciones se deben proteger para evitar la
transacciones de los Control de acceso de
A.14.1.3 transmisión incompleta, el enrutamiento errado, la alteración no NO Mediante Certicamara se utiliza como autoridad confiable para emitir y mantener firmas digitales
servicios de las usuarios
autorizada de mensajes, la divulgación no autorizada, y la
aplicaciones.
duplicación o reproducción de mensajes no autorizada.

Seguridad en los procesos Objetivo: Asegurarse de la integridad de los sistemas

A14.2
de Desarrollo y de Soporte operacionales
Control: Se debe establecer y aplicar reglas para el desarrollo Separación de los
Política de desarrollo Metodologías de desarrollo Mediante reuniones con los desarrolladores y responsables de los proyectos se establecen
A.14.2.1 de software y de sistemas, a los desarrollos dentro de la NO ambientes de desarrollo,
seguro seguro. mediante compromisos el uso de metodologías de desarrollo seguro.
organización. pruebas y operación
Control: Los cambios a los sistemas dentro del ciclo de vida de
Procedimientos de control
A.14.2.2 desarrollo se deben controlar mediante el uso de NO Control de cambios Se inicia con el versionamiento del software de la entidad
de cambios en sistemas
procedimientos formales de control de cambios.
Revisión técnica de las Control: Cuando se cambian las plataformas de operación, se Manuales, buenas practicas
Pruebas después de
aplicaciones después de deben revisar las aplicaciones críticas del negocio, y someter a y procedimientos de Los servicios de aplicaciones de redes publicas incluyendo transacciones cuentan con medidas par
A.14.2.3 NO cambios o actualizaciones
cambios en la plataforma prueba para asegurar que no haya impacto adverso en las desarrollo de software evitar fraude y modificaciones.
de tecnologías
de operación operaciones o seguridad de la información seguro.

Control: Se deben desalentar las modificaciones a los paquetes Manuales, buenas practicas
Restricciones en los
de software, los cuales se deben limitar a los cambios y procedimientos de
A.14.2.4 cambios o los paquetes de NO Existen restricciones de cambios de software.
necesarios, y todos los cambios se deben controlar desarrollo de software
software
estrictamente. seguro.
Control:
Manuales, buenas practicas
Se deben establecer, documentar y mantener
Principio de Construcción y procedimientos de Mediante reuniones con los desarrolladores y responsables de los proyectos se establecen
A.14.2.5 principios para la construcción de sistemas seguros, y NO
de los Sistemas Seguros. desarrollo de software mediante compromisos el uso de metodologías de desarrollo seguro.
aplicarlos a cualquier actividad de implementación de
seguro.
sistemas de información.
Control: Las organizaciones deben establecer y proteger
Manuales, buenas practicas
adecuadamente los ambientes de desarrollo seguros para
Ambiente de desarrollo y procedimientos de Para los sistemas de SICapital, ORFEO y Sistema de información de Formación SIF se maneja
A.14.2.6 las actividades de desarrollo e integración de sistemas que NO
seguro desarrollo de software entornos de pruebas y producción.
comprendan todo el ciclo de vida de desarrollo de
seguro.
sistemas.
Manuales, buenas practicas
Control: La organización debe supervisar y hacer seguimiento Para los desarrollos externos se maneja acuerdos de licenciamiento, propiedad de los códigos y
Desarrollo contratado y procedimientos de
A.14.2.7 de la actividad de desarrollo de sistemas contratados NO derechos de propiedad intelectual en los contratos de servicios.
externamente desarrollo de software
externamente.
seguro.
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
Manuales, buenas practicas
Pruebas de seguridad Control: Durante el desarrollo se deben llevar a cabo pruebas y procedimientos de
A.14.2.8 NO Se realizan pruebas funcionales a los sistemas de información antes de salir a produción
de sistemas de funcionalidad de la seguridad. desarrollo de software
seguro.

Control: Para los sistemas de información nuevos, Manuales, buenas practicas

Prueba de aceptación actualizaciones y nuevas versiones, se deben establecer y procedimientos de
A.14.2.9 NO Se realizan pruebas funcionales a los sistemas de información.
de sistemas programas de prueba para aceptación y criterios de desarrollo de software
aceptación relacionados. seguro.
Objetivo: Asegurar la protección de los datos usados
A14.3 Datos de prueba
para pruebas.
procedimientos de control
de acceso, que se aplican a
los sistemas de aplicación
Protección de datos Control: Los datos de prueba se deben seleccionar,
A.14.3.1 SI operacionales, se deden Ambientes de pruebas de los respectivos sistemas de información
de prueba proteger y controlar cuidadosamente.
aplicar también a los
sistemas de aplicación de
pruebas
A15 RELACIONES CON LOS PROVEEDORES
Objetivo: Asegurar la protección de la información en las
Gestión de la seguridad de
A15.1 redes, y sus instalaciones de procesamiento de
las redes
información de soporte.
Verificar que los
Control: Los requisitos de seguridad de la información para
Política de seguridad de la proveedores tengan en Política de seguridad de la información.
mitigar los riesgos asociados con el acceso de proveedores a
A15.1.1 información para las NO cuenta los riesgos de SI En los contratos con proveedores se suscriben ANS Acuerdos de Niveles de Servicio
los activos de la organización se deben acordar con estos y se
relaciones con proveedores asociados a la cadena de
deben documentar.
suministro,
Control: Se deben establecer y acordar todos los requisitos de
Tratamiento de la seguridad de la información pertinentes con cada proveedor que
A15.1.2 seguridad dentro de los pueda tener acceso, procesar, almacenar, comunicar o NO Entregables y productos se verifican los compromisos respecto al manejo de información
acuerdos con proveedores suministrar componentes de infraestructura de TI para la
información de la organización.

Control: Los acuerdos con proveedores deben incluir requisitos

Cadena de suministro de
para tratar los riesgos de seguridad de la información asociados Estipulado en los requisitos legales de los contratistas y políticas de Tecnología.
A15.1.3 tecnología de información y NO
con la cadena de suministro de productos y servicios de
comunicación
tecnología de información y comunicación.
Objetivo: Mantener el nivel acordado de seguridad de la
Gestión de la prestación de
A15.2 información y de prestación del servicio en línea con los
servicios de proveedores
acuerdos con los proveedores
Control: Los requisitos de seguridad de la información para
Seguimiento y revisión de
mitigar los riesgos asociados con el acceso de proveedores a
A15.2.1 los servicios de los NO Supervisión de contratos
los activos de la organización se deben acordar con estos y se
proveedores
deben documentar.
Control: Se deben establecer y acordar todos los requisitos de
Gestión del cambio en los seguridad de la información pertinentes con cada proveedor que
A15.2.2 servicios de los pueda tener acceso, procesar, almacenar, comunicar o NO Supervisión de contratos, falta de gestión de cambios.
proveedores suministrar componentes de infraestructura de TI para la
información de la organización.
A16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
Objetivo: Asegurar un enfoque coherente y eficaz para la
Gestión de incidentes y
gestión de incidentes de seguridad de la información,
A16.1 mejoras en la seguridad de
incluida la comunicación sobre eventos de seguridad y
la información
debilidades.
 EXCLUSION CONTROL CONTROLES A
No. NOMBRE DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
Control: Se deben establecer las responsabilidades y
Plan y procedimientos de Documento de plan de contingencia.
Responsabilidades y procedimientos de gestión para asegurar una respuesta rápida,
A16.1.1 NO gestión de incidentes de
procedimientos eficaz y ordenada a los incidentes de seguridad de la
seguridad de la información. Procedimiento de gestión de incidentes de la seguridad de la información
información.

Control: Los eventos de seguridad de la información se deben Plan y procedimientos de

Reporte de eventos de
A16.1.2 informar a través de los canales de gestión apropiados, tan NO gestión de incidentes de Los informes de los incidentes presentados en la entidad se encuentran documentados.
seguridad de la información
pronto como sea posible. seguridad de la información.

Control: Se debe exigir a todos los empleados y contratistas que

usan los servicios y sistemas de información de la organización, Plan y procedimientos de
Reporte de debilidades de Teniendo en cuenta lo establecido en el procedimiento de Gestión de Incidentes de Seguridad de
A16.1.3 que observen y reporten cualquier debilidad de seguridad de la NO gestión de incidentes de
seguridad de la información la información se tiene canal de reporte el correo de mesa de ayuda.
información observada o sospechada en los sistemas o seguridad de la información.
servicios.

Evaluación de eventos de Control: Los eventos de seguridad de la información se deben Plan y procedimientos de
A16.1.4 seguridad de la información evaluar y se debe decidir si se van clasificar como incidentes NO gestión de incidentes de Los incidentes de seguridad se encuentran categorizados.
y decisiones sobre ellos de seguridad de la información. seguridad de la información.

Control: Se debe dar respuesta a los incidentes de seguridad Plan y procedimientos de

Respuesta a incidentes de En el plan de respuesta a incidentes se incluyen áreas de la entidad y se evalúa la efectividad los
A16.1.5 de la información de acuerdo con procedimientos NO gestión de incidentes de
seguridad de la información controlesnecesarias para disminuir los incidentes y prevenir su ocurrencia en el futuro
documentados. seguridad de la información.

Aprendizaje obtenido de los Control: El conocimiento adquirido al analizar y resolver Plan y procedimientos de
A16.1.6 incidentes de seguridad de incidentes de seguridad de la información se debe usar para NO gestión de incidentes de De acuerdo a los incidentes ocurridos se crearon y ejecutaron planes de acción
la información reducir la posibilidad o impacto de incidentes futuros. seguridad de la información.

Control: La organización debe definir y aplicar procedimientos Plan y procedimientos de

Documento de plan de contingencia, falta procedimiento para la identificación, recolección,
A16.1.7 Recolección de evidencia para la identificación, recolección, adquisición y preservación de NO gestión de incidentes de
adquisición y preservación de información
información que pueda servir como evidencia. seguridad de la información.

A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTION DE CONTINUIDAD

Continuidad de Seguridad
A17.1
de la información
Objetivo: La continuidad de seguridad de la información se
debe incluir en los sistemas de gestión de la continuidad de
negocio de la organización.

Control: La organización debe determinar sus requisitos para la

Planificación de la
seguridad de la información y la continuidad de la gestión de la Actualizar de plan de
A17.1.1 continuidad de la seguridad NO Plan de contingencia TI. Igualmente se encuentra en revisión el nuevo plan de continuidad de TI.
seguridad de la información en situaciones adversas, por contingencia
de la información
ejemplo, durante una crisis o desastre.

Control: La organización debe establecer, documentar,

Implementación de la Plan de emergencias Institucional.
implementar y mantener procesos, procedimientos y controles Actualizar de plan de
A17.1.2 continuidad de la seguridad NO
para asegurar el nivel de continuidad requerido para la contingencia
de la información Plan de contingencia TI.
seguridad de la información durante una situación adversa.

Verificación, revisión y Control: La organización debe verificar a intervalos regulares los

evaluación de la controles de continuidad de la seguridad de la información Actualizar de plan de
A17.1.3 NO Plan de contingencia TI. Igualmente se encuentra en revisión el nuevo plan de continuidad de TI.
continuidad de la seguridad establecidos e implementados, con el fin de asegurar que son contingencia
de la información válidos y eficaces durante situaciones adversas.

No. NOMBRE
Continuidad de Seguridad
A17.2
de la información
Disponibilidad de
instalaciones de
A17.2.1
procesamiento de
información
A18 SEGURIDAD DE LAS COMUNICACIONES
Objetivo: Asegurar la protección de la información en las
Gestión de la seguridad de
A18.1 redes, y sus instalaciones de procesamiento de
las redes
información de soporte.
Identificación de la
A18.1.1
legislación aplicable.
Derechos propiedad
A18.1.2
intelectual (DPI)
A18.1.3 Protección de registros
EXCLUSION CONTROL CONTROLES A
DESCRIPCIÓN / JUSTIFICACIÓN EVIDENCIA
(SI / NO) IMPLEMENTADO IMPLEMENTAR
Objetivo: La continuidad de seguridad de la información se
debe incluir en los sistemas de gestión de la continuidad de
negocio de la organización.
Plan de contingencias TIC
Como plan de contingencia para la disponibilidad de conectividad la entidad adquirió un canal de
Control: Las instalaciones de procesamientos de información se
Actualizar de plan de internet para respaldo.
deben implementar con redundancia suficiente para cumplir los NO
contingencia
requisitos de disponibilidad.
Desde el área de tecnología se esta implementando elementos redundantes en cuanto Switch de
Core y Firewall.
Control: Todos los requisitos estatutarios, reglamentarios y
contractuales pertinentes y el enfoque de la organización para Nomograma Institucional
cumplirlos, se deben identificar y documentar explícitamente y NO
mantenerlos actualizados para cada sistema de información y Matriz legal de acuerdo a la normativa vigente se SGSI.
para la organización.
Política Para Erradicación de practicas corruptas - Código de buen Gobierno
Control: Se deben implementar procedimientos apropiados para
asegurar el cumplimiento de los requisitos legislativos, de
Registro con licencias y control de las mismas.
reglamentación y contractuales relacionados con los derechos NO
de propiedad intelectual y el uso de productos de software
En proceso de establecer acuerdos y/o clausulas en los contratos del personal de desarrollo para
patentados.
ceder derechos de autor.
Control: Los registros se deben proteger contra perdida,
En el año 2017, fueron devueltas para realizar los ajustes sujeridos por este ente evaluador, los
destrucción, falsificación, acceso no autorizado y liberación no
NO cuales se estan realizando en este momento. Como medio de almacenamiento digital de la
autorizada, de acuerdo con los requisitos legislativos, de
información se cuenta con el Sistema ORFEO.
reglamentación, contractuales y de negocio.

Privacidad y protección de Control: Se deben asegurar la privacidad y la protección de la

Políticas de seguridad de información y la ley 1581 de 2012 y decreto 1377 de 2013. Las anteriores
A18.1.4 información de datos información de datos personales, como se exige e la legislación NO
políticas se aplican en todo formato, planilla o acta para solicitar datos personales
personales y la reglamentación pertinentes, cuando sea aplicable.
Control: Se deben usar controles criptográficos, en
Reglamentación de
A18.1.5 cumplimiento de todos los acuerdos, legislación y NO
controles criptográficos.
reglamentación pertinentes.
Objetivo: La continuidad de seguridad de la información se
Continuidad de Seguridad
A18.2 debe incluir en los sistemas de gestión de la continuidad de
de la información
negocio de la organización.

Control: El enfoque de la organización para la gestión de la Se requiere formación y/o Los planes de auditoría se enfocan en la evaluación de procesos, procedimientos, temáticas o
seguridad de la información y su implementación (es decir los personal experto en proyectos de inversión. Los resultados de los informes de auditoría contienen observaciones y
Revisión independiente de
objetivos de control, los controles, las políticas, los procesos y implementación o recomendaciones sobre seguridad de la información orientada a los documentos físicos que
A18.2.1 la seguridad de la NO
los procedimientos para seguridad de la información), se deben evaluación de sistemas de reposan en el archivo de gestión de la entidad y al uso de la herramienta de gestión documental
información
revisar independientemente a intervalos planificados o cuando información basados en ORFEO. En cuanto a observaciones sobre la seguridad de información de otros sistemas de
ocurran cambios significativos. iso26999 información de la entidad, se evidencia la debilidad en la evaluación a éstos

Se requiere formación y/o Los planes de auditoría se enfocan en la evaluación de procesos, procedimientos, temáticas o
Control: Los directores deben revisar con regularidad el
personal experto en proyectos de inversión. Los resultados de los informes de auditoría contienen observaciones y
Cumplimiento con las cumplimiento del procesamiento y procedimientos de
implementación o recomendaciones sobre seguridad de la información orientada a los documentos físicos que
A18.2.2 políticas y normas de información dentro de su área de responsabilidad, con las NO
evaluación de sistemas de reposan en el archivo de gestión de la entidad y al uso de la herramienta de gestión documental
seguridad políticas y normas de seguridad apropiadas, y cualquier otro
información basados en ORFEO. En cuanto a observaciones sobre la seguridad de información de otros sistemas de
requisito de seguridad.
iso27000 información de la entidad, se evidencia la debilidad en la evaluación a éstos
Control: Los sistemas de información se deben revisar
Revisión del cumplimiento
A18.2.3 periódicamente para determinar el cumplimiento con las NO Se realiza la revisión periódica y las necesidades se plasman en el plan de acción del área.
técnico
políticas y normas de seguridad de la información.
Fuente: NTC-ISO-IEC 27001:2013