Declaracion de Aplicabilidad V3-7

A80000SECRETO #
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIÓN INTEGRADO
PROCESO: GESTION INTEGRAL
ANEXO. DECLARACIÓN DE APLICABILIDAD
1. OBJETIVO
A través de este documento se expresa formalmente las decisiones de la Entidad, con relación al tratamiento de los riesgos que se realizará en respuesta al análisis de riesgos y
diagnóstico de conformidad con la norma ISO 27001:2006, realizado en el marco del Sistema de Gestión de Seguridad de la Información.
Las Razones para la selección de los controles relacionados a continuacion, dependen de varios factores organizacionales tales como:
- Aplicación de la metodologia de Administración de Riesgos
- Enfoque organizacional para la valoracion de riesgos y el tratamiento de los mismos.
Los lideres de los procesos y los funcionarios con la experiencia y conocimiento de sus actividades, identificaron y evaluaron los riesgos Absolutos, sin controles y son
responsbales de la selección y operación de los controles.
CONVENCIONES
En esta tabla las exclusiones de los controle se encuentran identificadas con el color, que se muestra a continuación sobre todo el renglón del control.
Tabla A.1 Objetivos de control y controles
A.5 POLÍTICA DE SEGURIDAD

A.5.1 Política de seguridad de la información COMO
Objetivo: brindar orientación y apoyo de la dirección para la
seguridad de la información, de acuerdo con los requisitos del
negocio y con las regulaciones y leyes pertinentes.
A.5.1.1 Documento de la Control La Alta Direccion de la SuperIntendencia de Sociedades aprobó la Politica de Gestion Integral y se
política de seguridad de la La dirección debe aprobar, publicar y ha comunicado a todos los funcionarios y las partes externas pertinentes a través de correo
información. comunicar a todos los empleados y electrónico, Intranet e Internet.
partes externas pertinentes, un
documento de política de seguridad de
la información.
A.5.1.2 Revisión de la política Control La Alta Direccion de la SuperIntendencia de Sociedades realiza a intervalos planificados la revisión
de seguridad de la Se debe revisar la política de al Sistema de Gestion Integrado en el proceso de Gestion Estratégica donde las salidas reflejan
información. seguridad de la información a cambios a la Politica de Gestion Integral.
intervalos planificados, o si ocurren
cambios significativos, para asegurar
su conveniencia, suficiencia y eficacia
continuas.
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A.6.1 Organización interna COMO
Objetivo: gestionar la seguridad de la información dentro de la
organización.
A.6.1.1 Compromiso de la Control La Entidad se ha compromitido en la implementación, puesta en funcionamiento y operacion del
dirección con la seguridad de La dirección debe apoyar activamente Sistema de Gestion de Seguridad de la Información. reflejado en los planes de acción, iniciativas
la información. la seguridad dentro de la organización asociadas al tema, con recursos financieros y humanos comprometidos, además continua siendolo
a través de una orientación clara, la dentro del Sistema de Gestion Integrado. De estos planes e iniciativas realiza seguimiento periodico.
demostración del compromiso, y la
asignación y el reconocimiento
explícitos de las responsabilidades de
seguridad de la información.
A.6.1.2 Coordinación de la Control Se lidera desde un funcionario de la Dirección de Informática y Desarrollo y apoyada por los
seguridad de la información. responsables o lideres de cada uno de los servicios de la plataforma informática y los roles y
Las actividades de seguridad de la funciones estan soportadas en el Manual de Funciones y toda la documentacion del Manual de
información deben estar coordinadas Operaciones de la Entidad.
por representantes de diferentes
partes de la organización con
funciones y roles pertinentes.
A.6.1.3 Asignación de Control La Entidad ha generado comunicados internos asignando estas responsabilidades, y soportados por
responsabilidades de Se deben definir claramente todas las el manual de funciones donde se definen estas responsabilidades.
seguridad de la información. responsabilidades en cuanto a
seguridad de la información.
A.6.1.4 Proceso de Control La Entidad cuenta con una planeación estratégica institucional que incorpora la autorización de
autorización para las Se debe definir e implementar un servicios de procesamiento de información y se acuerdan los recursos necesarios para la ejecución
instalaciones de proceso de autorización de la dirección de las iniciativas y planes de acción, los cuales se monitorean a través de un seguimiento periodico y
procesamiento de para nuevas instalaciones de la implementación de nuevos servicios se controla operativamente a través del Procedimiento de
información. procesamiento de información. Control de Cambios al Ambiente Productivo.
A.6.1.5 Acuerdos de Control La Entidad cuenta con el Formato de Acuerdo de Confidencialidad dentro del proceso de Gestion de
confidencialidad Se deben identificar y revisar Talento Humano firmado por los Funcionarios y a través de clausulas de confidencialidad en los
regularmente los requisitos sobre contratos con terceras partes.
acuerdos de confidencialidad o no
divulgación que reflejan las
necesidades de la organización en
cuanto a protección de la información.
A.6.1.6 Contacto con las Control Se cuenta con una linea de contacto Extensión número 1000, donde se activa el plan de evacuacion
autoridades y por verificacion del personal de brigadistas se determina cual es el tipo de emergencia y se hace
el contacto con las autoridades pertinentes. Además a través del Procedimiento de Acciones
Preventivas, Correctivas y de Gestion de Incidentes se adelantan los contactos ante las autoridades
pertinentes y la aplicación de la ley del código único disciplinario.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1
A.6.1.6 Objetivos
Contacto de control y controles
con las Se cuenta con una linea de contacto Extensión número 1000, donde se activa el plan de evacuacion
autoridades Se deben mantener contactos y por verificacion del personal de brigadistas se determina cual es el tipo de emergencia y se hace
apropiados con las autoridades el contacto con las autoridades pertinentes. Además a través del Procedimiento de Acciones
pertinentes. Preventivas, Correctivas y de Gestion de Incidentes se adelantan los contactos ante las autoridades
pertinentes y la aplicación de la ley del código único disciplinario.
A.6.1.7 Contacto con grupos Control La Entidad mediante el programa de capacitacion y sensibilización participa en seminarios, foros y
de interés especiales Se deben mantener los contactos eventos que tienen que ver con seguridad de la información, y se realizan eventos internos con
apropiados con grupos de interés personal especializado en estos temas, de acuerdo con el procedimiento de selección, permanencia
especiales, otros foros especializados y desvinculacion de personal.
en seguridad de la información, y
asociaciones de profesionales. También la Direccion de Informatica y Desarrollo esta en permanente contanto con COINFO del
Departamento Nacional de Planeacion para los temas de tecnologia y se reunen los Jefes de
Sistemas del Sector siguiendo el programa del SISTEDA.
A.6.1.8 Revisión Control Se realizan pruebas de vulnerabilidad a la plataforma tecnológica por lo menos una vez al año, de
independiente de la El enfoque de la organización para la acuerdo con la Guia de Administración de la Plataforma Tecnologica, al igual que dentro del
seguridad de la información. gestión de la seguridad de la programa de auditoria de la Entidad se tiene previsto realizar auditoria integral al Sistema de Gestion
información y su implementación (es Integrado a todos los procesos.
decir, objetivos de control, controles,
políticas, procesos y procedimientos
para seguridad de la información) se
debe revisar independientemente a
intervalos planificados, o cuando
ocurran cambios significativos en la
implementación de la seguridad.
A.6.2 Partes externas COMO

Objetivo: mantener la seguridad de la información y las
instalaciones de procesamiento de la información Organizaciónal a
las que tienen acceso las partes externas, o que son procesadas,
comunicadas o gestionadas por ellas.
A.6.2.1 Identificación de Control La Entidad cuenta con la guía para la Administración de Riesgos en el Proceso de Gestion
riesgos relacionados con Se deben identificar los riesgos Estrategica y define que es responsabilidad de los lideres de los procesos de su gestión.
partes externas. asociados con la información y las Adicionalmente en se solicita la identificación de riesgos del proceso contractual en el manual de
instalaciones de procesamiento de contratos y esta alineado con la Politica de Gestion Integral soportada por el Manual de Gestion
información Organizaciónal de los Integral donde se establece la obligatoriedad de identificar los riesgos con el acceso a terceros a la
procesos de negocio que involucran información.
partes externas, y se deben
implementar los controles apropiados
antes de otorgar el acceso.
A.6.2.2 Tener en cuenta la Control El acceso a la informacion que se tramita en la Entidad se realiza previa evaluación de la
seguridad cuando se trata Todos los requisitos de seguridad oportunidad, pertinencia de la misma, y niveles de confidencialidad establecida bajo la
con clientes. identificados se deben tener en cuenta responsabilidad de los lideres de procesos actualizando la Tabla de Trámites, definida en la Guía de
antes de permitir a los clientes acceso Archivo y aplicada en la baranda de atencion al público.
a activos o información de la
organización.
A.6.2.3 Tener en cuenta la Control La Politica de Gestion Integral soportada por el Manual de Gestion Integral en el numeral 7.3
seguridad en acuerdos con establece las reglas generales para los acuerdos con terceras partes, al igual que en el Manual de
terceras partes Los acuerdos con terceras partes, que Contratación se relacionan las actividades mínimas que se deben cumplir para adelantar los
involucran acceso, procesamiento, procesos de contratacion, soportados por una evaluacion de riesgos.
comunicación o gestión de la
información o instalaciones de
procesamiento de información de la
organización, o la adición de productos
o servicios a las instalaciones de
procesamiento de información, deben
cubrir todos los requisitos de
seguridad pertinentes.
A.7 GESTIÓN DE ACTIVOS

A.7.1 Responsabilidad por los activos COMO
Objetivo: lograr y mantener la protección apropiada de los activos
Organizaciónales.
A.7.1.1 Inventario de activos Control La Entidad gestiona el inventario de los documentos a través de la Tabla de Retención Documental y
tabla de trámites, los demas activos de informacion como computadores, servidores, impresoras se
gestionan de acuerdo con el Manual de Control y Manejo Administrativo de Bienes.
A80000SECRETO
#
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
A.7.1.1 Inventario
Tabla A.1 de activos
Objetivos de control y controles La Entidad gestiona el inventario de los documentos a través de la Tabla de Retención Documental y
tabla de trámites, los demas activos de informacion como computadores, servidores, impresoras se
Todos los activos se deben identificar gestionan de acuerdo con el Manual de Control y Manejo Administrativo de Bienes.
claramente y se debe elaborar y
mantener un inventario de todos los
activos importantes.
A.7.1.2 Dueños de los activos Control La guía de Archivos establece mediente la Tabla de Retención Documental y la Tabla de Trámites
Toda la información y los activos del Proceso de Gestión Documental los responsables de los diferentes tipos documentales.
asociados con los servicios de
procesamiento de información deben Además, la entidad establece en el Manual de Control y Manejo Administrativo de Bienes al
ser "propiedad" de una parte responsable del Almacen y cuando estan siendo usados por los funcionarios les delega su custodia.
designada de la organización
A.7.1.3 Uso aceptable de los Control El Procedimiento de Clasificación y Etiquetado, establece el uso aceptable de los activos de
activos informacion tipo documental, y en el Manual de Manejo y Control Administrativo de Bienes. Ademas
se refuerza con el Formato de Acuerdo de Confidencialidad y compromiso de buen uso de los
Se deben identificar, documentar e
activos de información.
implementar las reglas para el uso
aceptable de información y activos
asociados con las instalaciones de
procesamiento de información
A.7.2 Clasificación de la información COMO
Objetivo: asegurar que la información reciba un nivel apropiado de
protección.
A.7.2.1 Directrices para Control El Procedimiento de Clasificación y Etiquetado, establece las directrices de clasificación de la
clasificación La información se debe clasificar en información alineados con el las tablas de Retención Documental y de Trámites que son
cuanto a su valor, requisitos legales, acutalizadas por los lideres de procesos y responsables de cada dependencia, dependiendo de su
sensibilidad y criticidad para el sensibilidad y la importancia para la Entidad, cumpliendo con los requisitos legales establecidos para
sistema. cada proceso a través de su normograma.
A.7.2.2 Etiquetado y manejo Control La Entidad cuenta con el Procedimiento Clasificacion y Etiquetado informacion del Proceso de
de información Gestion Documental. Soportado tambien por la Guía de Adminsitración de Usuarios de la Plataforma
Se debe desarrollar e implementar un y la implementación de los sistemas de información, establecen y controlan el acceso a la
conjunto apropiado de procedimientos información por estos medios.
para etiquetado y manejo de la
información, de acuerdo con el
esquema de clasificación adoptado por
la organización.
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS

A.8.1 Antes de la relación laboral COMO
Objetivo: asegurar que los empleados, contratistas y usuarios por
tercera parte entienden sus responsabilidades y son adecuados
para los roles para los que se los considera, y reducir el riesgo de
robo, fraude o uso inadecuado de las instalaciones.
A.8.1.1 Roles y Control La Entidad establece en el Manual de Operaciones la documentación que soporta los roles de cada
responsabilidades proceso, además las funciones que desarrollan los funcionarios estan fijados a través del Manual de
Funciones. Se utiliza el formato de Acuerdo de Confidencialidad y buen uso de los activos de
Las responsabilidades y roles de información y existen tambien clausulas de confidencialidad en los contratos para el manejo de
seguridad de los empleados, información, alineados con la Politica de Gestion Integral y soportado por el Manual de Gestion
contratistas y usuarios por tercera Integral.
parte* se deben definir y documentar
de acuerdo con la política de
seguridad de la información de la
organización.
A.8.1.2 Selección Control La Entidad cuenta con los Procedimientos de Selección, Permanencia y desvinculacion de los
Las revisiones de verificación de los funcionarios dentro del Proceso de Gestion de Talento Humano, donde se esbozan estos
antecedentes de todos los candidatos parametros.
a empleos, contratistas y usuarios por
tercera parte se deben llevar a cabo
de acuerdo con las leyes,
reglamentaciones y ética pertinentes y
proporcional a los requisitos del
negocio; la clasificación de la
información a la que se va a tener
acceso y los riesgos percibidos.
A.8.1.3 Términos y Control La Entidad cuenta con los procedimientos de Selección, Permanencia y desvinculacion de Personal
condiciones laborales. que incluye firma el acta de posesión y el formato de Acuerdo Confidencialidad y buen uso de los
activos de información. Además las condiciones contractuales diferentes a los funcionarios se
realizan de acuerdo con el Manual de Contratación.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
La Entidad cuenta con los procedimientos de Selección, Permanencia y desvinculacion de Personal

Tabla A.1 Objetivos de control y controles que incluye firma el acta de posesión y el formato de Acuerdo Confidencialidad y buen uso de los
activos de información. Además las condiciones contractuales diferentes a los funcionarios se
Como parte de su obligación realizan de acuerdo con el Manual de Contratación.
contractual, los empleados,
contratistas y usuarios por tercera
parte deben acordar y firmar los
términos y condiciones de su contrato
laboral, el cual debe indicar sus
responsabilidades y las de la
organización en cuanto a seguridad de
la información.
A.8.2 Durante la relación laboral COMO

Objetivo: asegurar que todos los empleados, contratistas y
usuarios por tercera parte tengan conciencia sobre las amenazas y
problemas relacionados con la seguridad de la información, sus
responsabilidades y obligaciones, y que estén preparados para
brindar apoyo a la política de seguridad de la información
Organizaciónal en el curso de su trabajo normal, y para reducir el
riesgo de error humano.
A.8.2.1 Responsabilidades Control La Entidad establece la obligatoriedad del cumplimiento de los requisitos del Sistema de Gestión
de la dirección La dirección debe exigir a los Integrado a través de la resolución que formalizó el Manual de Operaciones, además se encuentran
empleados, contratistas y usuarios por fijadas las responsabilidades de la Dirección en el Manual de Funciones de la Entidad en el mismo
tercera parte aplicar la seguridad de sentido.
acuerdo con las políticas y
procedimientos establecidos por la
organización.
A.8.2.2 Educación, Control En el procedimiento de Selección, Capacitación, Evaluación y Desvinculación de Personal de la

formación, y concientizacion Todos los empleados de la Entidad se establece las necesiidad de capacitación que se controlan con el programa de
sobre la Seguridad de la organización, y en donde sea capacitaciòn y bienestar, y ademas se ha implementado una herramienta de e-learning donde se han
información. pertinente, los contratistas y usuarios desarrollado cursos de formacion en Seguridad de la Información, adicionalmente se establece las
por tercera parte, deben recibir condiciones para inducción y reinducción de cada puesto de trabajo.
formación apropiada sobre toma de
conciencia y actualizaciones regulares
sobre las políticas y procedimientos
Organizaciónales, en cuanto sean
pertinentes para su función laboral.
A.8.2.3 Proceso disciplinario Control La Entidad aplica lo establecido en la Ley 734 del 2002 Codigo unico disciplinario.
Debe haber procesos disciplinarios
para los empleados que cometan
violaciones a la seguridad.
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS

A.8.3 Terminación o cambio de la relación laboral COMO
Objetivo: asegurar que los empleados, contratistas y usuarios por
tercera parte abandonan una organización o cambian de empleo de
una manera ordenada.
A.8.3.1 Responsabilidades Control La Entidad cuenta con un Procedimiento Selección, Permanencia y Desvinculacion de Personal,
de terminación Se deben definir y asignar claramente donde se mencionan responsabilidades a la salida o cambio de cargo. El documento Acuerdo de
las responsabilidades relativas a la Confidencialidad y Compromiso de Buen Uso de los Activos de Información, además de las
terminación o cambio de relación actividades correspondientes al Manual de manejo y control Administrativo de Bienes para la
laboral. devolucion de los mismos.
A.8.3.2 Devolución de activos Control La Entidad cuenta con el Procedimiento Selección, Permanencia y Desvinculacion de Personal, que
Todos los empleados, contratistas y solicita entregar el registro de documentos de trabajo y datos de contactos frecuentes para el
usuarios por tercera parte deben desarrollo de actividades del puesto de trabajo, Además de las actividades correspondientes al
devolver los activos de la organización Manual de Manejo y Control Administrativo de Bienes para la devolucion de los mismos.
que se encuentran en su poder, al
terminar su relación laboral, contrato o
acuerdo.
A.8.3.3 Retiro del derecho de Control La Entidad cuenta con el procedimiento de Guía Gestión de Usuarios Plataforma Tecnológica de
acceso acuerdo con el Procedimiento Selección, Permanencia y Desvinculación de Personal.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1
A.8.3.3 Objetivos
Retiro de control
del derecho de y controles La Entidad cuenta con el procedimiento de Guía Gestión de Usuarios Plataforma Tecnológica de
acceso Se debe retirar el derecho de acceso acuerdo con el Procedimiento Selección, Permanencia y Desvinculación de Personal.
de los empleados, contratistas y
usuarios por tercera parte, a la
información y a las instalaciones de
procesamiento de información, al
terminar su relación laboral, contrato o
acuerdo, o se debe ajustar de acuerdo
con el cambio.
A.9 SEGURIDAD FÍSICA Y DEL ENTORNO

A.9.1 Áreas seguras COMO
Objetivo: evitar el acceso físico no autorizado, el daño e
interferencia a las instalaciones e información de la empresa.
A.9.1.1 Perímetro físico de Control La Entidad cuenta con el Instructivo para Ingreso a las Instalaciones de la Entidad para establecer el
seguridad Se deben usar perímetros de control de acceso físico a las instalaciones de la Entidad, tanto de funcionarios como de personal
seguridad (barreras tales como muros, externo, así como la identificación de las áreas seguras, con la aplicacion de algunos controles
puertas de entrada controladas con dependiendo de cada área y la disposición que haya determinado el responsable de cada una.
tarjetas, o áreas de recepción con
personal) para proteger las áreas que
contengan información y las
instalaciones de procesamiento de
información.
A.9.1.2 Controles de acceso Control La Entidad cuenta con el Instructivo de Ingreso a las Instalaciones de la Entidad se especifican los
físico. Las áreas seguras deben estar controles de entrada.
protegidas por controles de entrada
apropiados que aseguren que sólo se
permite el acceso a personal
autorizado.
A.9.1.3 Seguridad de Control La Entidad cuenta con el Instructivo de Ingreso a las Instalaciones para establecer el control de
oficinas, recintos e acceso físico a las instalaciones de la Entidad, tanto de funcionarios como de personal externo con
instalaciones. la aplicación de algunos controles físicos dependiendo del area segura y la disposición que hayan
determinado el responsable de cada área.
Se debe diseñar y aplicar seguridad
física a oficinas, recintos e
instalaciones.
A.9.1.4 Protección contra Control La Entidad cuenta con herramientas de control para la protección fisica de los activos de
amenazas ambientales y información, dependiendo del área segura. Por ejemplo: contra la amenaza de incendio en algunas
externas. áreas se ha instalado el sistema de detección y apagado de incendio con extintores automaticos.
Se debe diseñar y aplicar protección Igualmente se participa en comites de seguridad del sector del CAN de la ciudad de Bogotá para
física contra incendios, inundaciones, prevenir amenazas o desastres no naturales y soportado por el Comite Paritario de Salud
terremotos, explosiones, disturbios u Ocupacional COPASO.
otras formas de desastres naturales o
causados por el hombre.
A.9.1.5 Trabajo en áreas Control La Entidad cuenta con el Instructivo de Ingreso a las Instalaciones, donde establece lo relacionado
seguras. con el trabajo en áreas seguras.
Se debe diseñar y aplicar protección
física y directrices para trabajo en
áreas seguras.
A.9.1.6 Áreas de carga, Los puntos de acceso tales como las La Entidad cuenta con el instructivo de Ingreso a las Instalaciones, especialmente en la ciudad de
despacho y acceso público áreas de carga y despacho y otros Bogota, se cuenta con vigilacia privada, circuito cerrado de TV que verifica el acceso de funcionarios
puntos por donde pueda ingresar y visitantes a todas las áreas de la Entidad y a las zonas de carga y descarga.
personal no autorizado a las
instalaciones se deben controlar y, si El servicio de procesamiento de datos se realiza a nivel nacional desde el centro de cómputo de la
es posible, aislar de los servicios de ciduad de Bogotá y es un área segura con controles, exiten otras áreas seguras donde los
procesamiento de información para responsables definen y garantizan los controles.
evitar el acceso no autorizado.
A.9 SEGURIDAD FÍSICA Y DEL ENTORNO

A.9.2 Seguridad de los equipos COMO
Objetivo: evitar pérdida, daño, robo o puesta en peligro de los
activos e interrupción de las actividades de la organización.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES

A.9.2.1 Ubicación y Control Los equipos de cómputo y cualquier bien que posea la Entidad se protege de acuerdo con el Manual
protección de equipos. Los equipos deben estar ubicados o de Manejo y Control Administrativo de Bienes y está bajo la custodia del funcionario asignado y
protegidos para reducir los riesgos de distribuidos en cada una de las dependencias y sedes de la Entidad, todos ellos con puertas de
amenazas y peligros del entorno y las control de acceso.
oportunidades de acceso en forma no
autorizada.
A.9.2.2 Servicios públicos de Control El Procedimiento de Acciones Preventivas, Correctivas y de Gestión de Inicidentes de seguridad,
apoyo Los equipos deben estar protegidos aplica la Guía de Plan de Recuperacion de Tecnologia donde se describe los tipos de contingencia
contra fallas en el suministro de con que cuenta la Entidad para respaldar algunos servicios públicos en la sede de Bogotá
energía y otras interrupciones incorporando UPS, Plantas Electricas y tanques de almacenamiento de agua, y en las ciudades de
causadas por fallas en los servicios Medellín, Calí y Barranquilla se cuenta con UPS para respaldar el adecuado apagado de los
públicos de apoyo. computadores de dichas sedes, ademas en todas las intendencias se cuenta con una UPS
especializada para respaldar la información de los equipos de los enlaces de la red WAN.
A.9.2.3 Seguridad del Control En la sede de Bogotá las redes de cableado eléctrica, las redes de cableado de voz y de datos, las
cableado. El cableado de energía eléctrica y de subestaciones y tableros al igual que los cuartos eléctricos, entre otros son catalogadas como como
telecomunicaciones que porta datos o areas seguras y se aplica el Instructivo de Ingreso a la Superintendencia de Sociedades.
presta soporte a servicios de
información debe estar protegido
contra interceptación o daño.
A.9.2.4 Mantenimiento de Control La Entidad cuenta con el Procedimiento de Mantenimiento Preventivo y Correctivo, la GuÍa de
equipos. Los equipos deben recibir el Mantenimiento y Limpieza de las Instalaciones y el formato de Planes de Mantenimiento.
mantenimiento correcto que permita su
permanente disponibilidad e
integridad.
A.9.2.5 Seguridad de los Control La Entidad ha instalado el software SSF - Secuware para el cifrado los discos duros de los
equipos fuera de las Se deben aplicar medidas de computadores, para que sólo cuando se ingresa con el usuario y la contraseña válidos para el
instalaciones. seguridad a los equipos que se computador se tiene acceso a la misma. Se protegen de acuerdo con el Manual de Manejo y Control
encuentran fuera de las instalaciones, Administrativo de Bienes y la poliza ante todo riesgo.
teniendo en cuenta los diferentes
riesgos existentes al trabajar fuera de
la organización.
A.9.2.6 Seguridad en la Control La Entidad cuenta con el Manual de Manejo y Control Administrativo de Bienes establece las
reutilización o eliminación de Se deben revisar todos los elementos condiciones para el retiro o reutilizacion de los activos de información.
equipos. de equipos que contienen medios de
almacenamiento, para asegurar que
cualquier dato sensible y software con
licencia haya sido eliminado o
sobrescrito en forma segura antes de
su eliminación.
A.9.2.7 Retiro de activos Control La Entidad cuenta con el Manual de Control y Manejo Administrativo de Bienes que direcciona cómo
No se deben retirar de su sitio se retiran los equipos de las instalaciones.
equipos, información o software sin
autorización previa. Y se refuerza con el Instructivo de Ingreso a las Instalaciones para el control de acceso físico a las
intalaciones de la entidad con la proteccion a las zonas de carga y descarga.
A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES

A.10.1 Procedimientos operacionales y responsabilidades COMO:
Objetivo: asegurar la operación correcta y segura de las

instalaciones de procesamiento de información.
A.10.1.1 Procedimientos de Control Para la operación de la plataforma tecnológica, la entidad cuenta con la GuÍa de Administración de la
operación documentados. Plataforma Tecnológica, la Guía de Gestión de Usuarios de la Plataforma Tecnológica, el
Procedimiento de Control de Cambios a la Infraestructura Técnológica y el Procedimiento de Soporte
Los procedimientos de operación se Técnico, Mantenimiento Preventivo y Correctivo, y otros disponibles en la seccion de la Intrenet del
deben documentar, mantener y deben Sistema de Gestión Integrado, proceso de Gestion de Infraestructura y Logística.
estar disponibles para todos los
usuarios que los necesiten.
A.10.1.2 Gestión del cambio. Control La Entidad cuenta con el procedimiento Cambios al Ambiente Productivo, el cual direcciona cómo se
deben manejar los cambios al ambiente de producción y el procedimiento de implementación de
Sistemas de Información.
A80000SECRETO
#
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
A.10.1.2 Gestión del cambio. La Entidad cuenta con el procedimiento Cambios al Ambiente Productivo, el cual direcciona cómo se
Tabla A.1 Objetivos de control y controles deben manejar los cambios al ambiente de producción y el procedimiento de implementación de
Sistemas de Información.
Se deben controlar los cambios en las
instalaciones y sistemas de
procesamiento de información.
A.10.1.3 Separación de Control La Entidad establece a través del Manual de Operaciones las responsabilidades y roles de los
funciones. usuarios en cada uno de los procesos descritos en el manual de Funciones por cargos. Además se
Los deberes y áreas de soporta la segregacion de funciones en el procedimiento de Implementación de sistemas de
responsabilidad se deben separar para Información.
reducir oportunidades de modificación
no autorizada o utilización inapropiada
de los activos de la organización.
A.10.1.4 Separación de las Control La Entidad cuenta con la Guía de Administración de la Plataforma Tecnologica y el Procedimiento de
instalaciones de desarrollo, Las instalaciones de desarrollo, Implementación Sistemas de Información.
ensayo y operacionales. ensayo y operacionales deben estar
separadas para reducir los riesgos de
acceso no autorizado o cambios al
sistema operacional.
A.10.2 Gestión de la prestación del servicio por tercera parte COMO

Objetivo: implementar y mantener el nivel apropiado de seguridad
de la información y prestación del servicio en línea con los
acuerdos de prestación de servicios por una tercera parte.
A.10.2.1 Prestación del Control La Política de Gestión Integral soportado por el Manual de Gestión Integral establece las directrices
servicio Se debe asegurar que las terceras de la relación con las terceras partes y en el Manual de Contratación.
partes implementen, operen y
mantengan los controles de seguridad,
las definiciones y niveles de prestación
del servicio incluidos en el acuerdo de
prestación de servicios.
A.10.2.2 Seguimiento y Control La Política de Gestión Integral soportada por el Manual de Gestión Integral establece las directrices
revisión de los servicios Se debe hacer seguimiento y se deben de la relación con las terceras partes y en el Manual de Contratación se describe como se debe
prestados por terceras partes revisar regularmente los servicios, realizar seguimiento y revisión de la ejecución contractual.
informes y registros suministrados por
una tercera parte, y se deben llevar a
cabo auditorías regularmente.
A.10.2.3 Gestión de cambios Control El procedimiento Cambios al Ambiente Productivo debe ser aplicado en cualquiera de los
en los servicios Los cambios en la prestación de los requerimientos ya sea realizado por los funcionarios así como de los terceros.
suministrados por terceras servicios, incluido el mantenimiento y
partes la mejora de las políticas,
procedimientos y controles de
seguridad de la información existentes,
se deben gestionar teniendo en cuenta
la criticidad de los sistemas y procesos
de los negocios involucrados y la re-
valoración de los riesgos.
A.10.3 Planificación y aceptación del sistema COMO
Objetivo: minimizar el riesgo de fallas de los sistemas.
A.10.3.1 Gestión de la Control Se identifican los requerimientos con Guía de Administración de la Plataforma Tecnológica y el
capacidad. Se deben hacer seguimiento y ajustes Procedimiento de Implementación de Sistema de Información y se gestiona a través del Procedimiento
al uso de los recursos, y se deben de Crecimiento y Optimización Infraestructura Tecnológica.
hacer proyecciones de los requisitos
de capacidad futura, para asegurar el
desempeño requerido del sistema.
A.10.3.2 Aceptación del Control La Entidad cuenta con el procedimiento Implementación Sistemas de Información y el Procedimiento de
sistema. Cambio al Ambiente Productivo.
A80000SECRETO
#
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1Aceptación
A.10.3.2 Objetivosdel
de control y controles La Entidad cuenta con el procedimiento Implementación Sistemas de Información y el Procedimiento de
sistema. Se deben establecer criterios de Cambio al Ambiente Productivo.
aceptación para sistemas de
información nuevos, actualizaciones y
nuevas versiones, y se deben llevar a
cabo los ensayos adecuados del
sistema, durante el desarrollo y antes
de su aceptación.
A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES COMO
A.10.4 Protección contra códigos maliciosos y móviles
Objetivo: proteger la integridad del software y la información.
A.10.4.1 Controles contra Control La GuÍa de Adminsitración de la Plataforma Tecnológica establece a través de la gestion del
códigos maliciosos. directorio activo y el uso de herramientas de Antivirus, instalado en todos los PCs y Servidores,
gestionado de forma centralizada a nivel nacional.
Se deben implementar controles de
detección, prevención y recuperación La seguridad perimetral con firewall tipo gateway con los modulos de Antivirus, ANTISPAM, Filtrado
para protegerse contra códigos de Contenidos, entre otros.
maliciosos, y se deben implementar
procedimientos apropiados de toma de
conciencia de los usuarios.
A.10.4.2 Controles contra Control La Guía de Adminsitración de la Plataforma Tecnológica establece a través de la gestión del
códigos móviles directorio activo y el uso de herramientas de Antivirus, instalado en todos los PCs y Servidores,
gestionado de forma centralizada a nivel nacional. Se restringen las descargas de código móvil.
En donde se autoriza el uso de
códigos móviles, la configuración debe
La seguridad perimetral con firewall tipo gateway con los modulos de Antivirus, ANTISPAM, Filtrado
asegurar que el código móvil
de contenidos, entre otros.
autorizado opera de acuerdo con una
política de seguridad definida
claramente, y se debe impedir la
ejecución de códigos móviles no
autorizados.
A.10.5 Respaldo COMO
Objetivo: mantener la integridad y disponibilidad de la información

y de las instalaciones de procesamiento de información.
A.10.5.1Información de Control La Entidad cuenta con el Procedimiento de Respaldo de Datos, que direcciona la forma como se
respaldo. gestionan las copias de respaldo, que soportan las imágenes de los documentos almacenadas en el
Sistema de Información Documental.
Se deben hacer copias de respaldo de
la información y del software, y se
deben poner a prueba con regularidad
de acuerdo con la política de respaldo
acordada.
A.10.6 Gestión de la seguridad de redes COMO
Objetivo: asegurar la protección de la información de las redes y la

protección de la infraestructura de soporte.
A.10.6.1 Controles de redes. Control Se aplica de acuedo con la Guía de Administración de la Plataforma Tecnológica, segregando
Las redes se deben gestionar y funciones de la persona encargada de las redes de datos y de otros servicios de la plataforma
controlar en forma adecuada, con el tecnológica.
fin de protegerlas contra amenazas y
mantener la seguridad en los
sistemas y aplicaciones que usan la
red, incluida la información en tránsito.
A.10.6.2 Seguridad de los Control La Política de Gestión Integal soportado por el Manual de Gestion Integral establece la política para
servicios de la red. el acceso a los servicios de red y determina algunas directrices para la relacion de terceras partes,
respaldado por el Manual de Contratación
Se ha realizado un estudio de Impacto de la Disponibilidad de la Plataforma tecnológica (BIA) que ha

servido para establecer los requerimientos de los tiempos de disponibilidad para la prestacion de
servicios y los acuerdos de prestacion de servicios que deben ofrecer los terceros
A80000SECRETO
#
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1Seguridad
A.10.6.2 Objetivos dede
loscontrol y controles La Política de Gestión Integal soportado por el Manual de Gestion Integral establece la política para
servicios de la red. Las características de seguridad, el acceso a los servicios de red y determina algunas directrices para la relacion de terceras partes,
niveles de servicio y requisitos de respaldado por el Manual de Contratación
gestión de todos los servicios de la red
se deben identificar e incluir en Se ha realizado un estudio de Impacto de la Disponibilidad de la Plataforma tecnológica (BIA) que ha
cualquier acuerdo de servicios de red, servido para establecer los requerimientos de los tiempos de disponibilidad para la prestacion de
ya sea que estos servicios se servicios y los acuerdos de prestacion de servicios que deben ofrecer los terceros
suministren internamente o se
contraten externamente
A.10.7 Manejo de medios COMO
Objetivo: evitar la divulgación, modificación, retiro o destrucción

de activos no autorizada, y la interrupción en las actividades del
negocio.
A.10.7.1 Administración de Control La Entidad cuenta con el Manual de Control y Manejo Administrativo de Bienes establece el proceso
los medios removibles. Debe haber implementados de eliminación de información dependiendo del medio en que se encuentre, incluyendo aquellos
procedimientos para la gestión de los considerados removibles.
medios removibles.
A.10.7.2 Eliminación de Control La Entidad cuenta Manual de Control y Manual de Control y Manejo Administrativo de Bienes.
medios. Cuando ya no se requieran estos
medios, su disposición final debe ser El Formato de Acuerdo de Confidencialidad y buen uso de los activos de información.
en forma segura y sin riesgo, usando
procedimientos formales.
A.10.7.3 Procedimientos para Control La Entidad cuenta con Guia Documental y la Guia de Archivo, ambos soportados por la Tabla de
el manejo de la información. Se deben establecer procedimientos Trámites y la Tabla de Retención Documental, tambien el plan de comunicaciones Organizaciónal y
para el manejo y almacenamiento de comunicacion informativa.
la información, con el fin de protegerla
contra divulgación o uso no El Formato de Acuerdo de Confidencialidad y Buen Uso de los Activos de Información.
autorizado.
A.10.7.4 Seguridad de la Control El Procedimiento de Control de Documentos y Registros de la Entidad establece como se deben
documentación del sistema. La documentación del sistema debe proteger los documento. Se aplica también la Guía de Archivo, que respalda la información del
estar protegida contra uso no Sistema de Información Documental mediante el Procedimiento de Respaldo y Recuperación de la
autorizado. Información.
A.10.8 Intercambio de información COMO

Objetivo: mantener la seguridad de la información y el software que
se intercambia dentro de la organización y con cualquier entidad
externa.
A.10.8.1 Políticas y Control Todo tipo de intercambio de información o de acceso a los activos de información de la Entidad a
procedimientos para Se deben implementar políticas, algún tercero se debe realizar a través de convenios ínter-administrativos o de acuerdos de cualquier
intercambio de información procedimientos y controles para índole, teniendo en cuenta los aspectos descritos en la Politica de Gestion integral soportado por el
proteger el intercambio de información Manual de Gestion Integral numeral 7.3
mediante el uso de todo tipo de
instalaciones de comunicación.
A.10.8.2 Acuerdos de Control La Entidad cuenta con la Política de Gestión Integral, soportada en el Manual de Gestion Integral en
intercambio Se deben establecer acuerdos para el el numeral 10.1 donde se describe la metodologia para los acuerdos de intercambio de informacion.
intercambio de información y de
software entre la organización y partes
externas.
A.10.8.3 Medios físicos en Control La Entidad cuenta con una herramienta (SecureWare) para el cifrado de los discos duros de todos
tránsito. Los medios que contienen información los equipos Portatiles y computadores a nivel nacional, siguiendo las recomendaciones del Manual
se deben proteger contra acceso no de Control y Manejo Administrativo de Bienes y la Guía de Administración de la Plataforma
autorizado, uso inadecuado o Tecnológica.
corrupción durante el transporte más
allá de los límites físicos de la En Bogotá, para las cintas de respaldo de la informacion se entrega a una firma externa en custodia
organización. a través de un contrato, siempre y cuando cumpla los requisitos aplicables, siguiendo el Manual de
Contratación
A.10.8.4 Mensajería Control Se aplica la guia de Adminsitracion de la Plataforma tecnológica que regula la capacidad de los
electrónica. correos másicos de manera coordinada, al igual que el formato de acuerdo de confidencialidad y
buen uso de los activos de información y además en una circular interna se definen que estas
herramientas son para uso exclusivo de labores propias de la Entidad. Los mensajes de coreo
electrónuco se protegen a través de nombre de usuario y contraseña del Directorio Activo. El servicio
de mensajería instántanea no esta permitido, el cual está bloqueado.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1 Objetivos

A.10.8.4 de control y controles
Mensajería Se aplica la guia de Adminsitracion de la Plataforma tecnológica que regula la capacidad de los
electrónica. La información involucrada en la correos másicos de manera coordinada, al igual que el formato de acuerdo de confidencialidad y
mensajería electrónica se debe buen uso de los activos de información y además en una circular interna se definen que estas
proteger apropiadamente. herramientas son para uso exclusivo de labores propias de la Entidad. Los mensajes de coreo
electrónuco se protegen a través de nombre de usuario y contraseña del Directorio Activo. El servicio
de mensajería instántanea no esta permitido, el cual está bloqueado.
A.10.8.5 Sistemas de Control El intercambio de información de los sistemas de información esta establecida a través de convenios
información del negocio. Se deben desarrollar e implementar interadministraticos y como lo define el numeral 4.5 del Manual de Gestion Integral.
políticas y procedimientos para
proteger la información asociada con
la interconexión de los sistemas de
información del negocio.
A.10.9 Servicios de comercio electrónico COMO

Objetivo: garantizar la seguridad de los servicios de comercio
electrónico, y su uso seguro.
A.10.9.1 Comercio Control El comercio electrónico, también conocido como e-commerce (electronic commerce en inglés),
electrónico La información involucrada en el consiste en la compra y venta de productos o de servicios a través de medios electrónicos, tales
comercio electrónico que se transmite como Internet y otras redes informáticas. La Superintendencia de Sociedades es un organismo
por redes públicas se debe proteger técnico, adscrito al Ministerio de Comercio, Industria y Turismo, con personería jurídica, autonomía
contra actividad fraudulenta, disputas administrativa y patrimonio propio, mediante el cual el Presidente de la República ejerce la
contractuales y divulgación y inspección, vigilancia y control de las sociedades mercantiles, así como las facultades que le señala
modificación no autorizadas. la por lo anterior el Comercio Electronico no es una actividad realizada ni es necesaria para la
prestacion de los servicios por parte de la Superintendencia de Sociedades en relación con otras
personas jurídicas o naturales. por lo anterior el Comercio Electronico no es una actividad realizada
ni es necesaria para la prestacion de los servicios por parte de la Superintendencia de Sociedades
en consecuencia no se hace nesario controlar riesgos con este control.(Revisar redacción)
A.10.9.2 Transacciones en Control

línea
La información involucrada en
transacciones en línea debe estar
protegida para impedir su transmisión
incompleta, enrutamiento errado,
alteración de mensajes no autorizada,
divulgación no autorizada, y
duplicación o repetición de mensajes
no autorizada.
A.10.9.3 Información Control

disponible públicamente.
La integridad de la información que
está disponible en un sistema
disponible públicamente se debe
proteger para impedir modificaciones
no autorizadas.
A.10.10 Seguimiento COMO

Objetivo: detectar actividades de procesamiento de información no
autorizadas.
A.10.10.1 Registro de Control La Entidad cuenta con el Procedimiento Implementación de Sistemas de Información, en el cual se
auditorías Se deben elaborar registros de exige que todos los sistemas tengan incorporados el registro de las actividades realizadas tanto por
auditoría para las actividades de los el Administrador como por los usuarios de los sistemas que lo requieren.
usuarios, excepciones y eventos de
seguridad de la información, y se
deben mantener durante un período
acordado para ayudar a futuras
investigaciones y tener acceso a
seguimiento de control.
A.10.10.2 Uso del sistema de Control El Procedimiento de Implementacion de los Sistemas de Información establece que los sistemas,
seguimiento cuando aplique, deben llevar registros de accesos realizados por los usuarios registrados y se
verifican de acuerdo con la guía de Gestión de Usuarios de la Plataforma Técnológica.
Adicionalmente se cuenta con la verificación de Auditorias Internas o las Auditorias Externas.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1 Uso

A.10.10.2 Objetivos de control
del sistema de y controles El Procedimiento de Implementacion de los Sistemas de Información establece que los sistemas,
seguimiento Se deben establecer procedimientos cuando aplique, deben llevar registros de accesos realizados por los usuarios registrados y se
para hacer el seguimiento al uso de verifican de acuerdo con la guía de Gestión de Usuarios de la Plataforma Técnológica.
los servicios de procesamiento de
información, y se deben revisar Adicionalmente se cuenta con la verificación de Auditorias Internas o las Auditorias Externas.
regularmente los resultados de las
actividades de seguimiento.
A.10.10.3 Protección de la Control Los registros de auditoria de los sistemas de información se respalda con el Procedimiento de
información del registro Las instalaciones de registro y la Respaldo y Recuperación y adicionalmente se aplica el Procedimento de Gestión de Logs y
información de registro se deben Registros de Auditoría.
proteger contra alteración y acceso no
autorizado.
A.10.10.4 Registros del Control La Entidad cuenta con el Procedimiento Implementación de Sistemas de Información, en el cual se
administrador y el operador Las actividades del operador y del exige que todos los sistemas tengan incorporados el registro de las actividades realizadas por el
administrador del sistema se deben Administrador del Sistema.
registrar.
A.10.10.5 Registro de fallas stion de Procedimiento de Soporte, Tecnico, Mantenimiento Preventivo y Correctivo, determina el registro de
Las fallas se deben registrar, analizar fallas y dependiendo del problema se aplica el Procedimiento de Acciones Correctivas, Preventivas y
y se deben tomar las medidas de Gestión de Incidentes, donde se analizan las causas y se toman las acciones correspondientes.
apropiadas. Tambien se puede soportar por el Procedimiento de Gestión de Logs y Registros de Auditoría.
A.10.10.6 Sincronización de Control Los relojes se sincronizan de acuerdo con la Guía de Administración de la Plataforma Tecnológica la
relojes Los relojes de todos los sistemas de hora oficial de Colombia.
procesamiento de información
pertinente dentro de una organización
o dominio de seguridad deben estar
sincronizados con una fuente de
tiempo exacto acordada.
A.11 CONTROL DE ACCESO

A.11.1 Requisito del negocio para control del acceso COMO
Objetivo: controlar el acceso a la información.
A.11.1.1 Política de control Control Cada recurso de la plataforma tecnológica y de operación cuenta con mecanismos que solicitan la
de acceso Se debe establecer, documentar y identificación y autenticación previa a su acceso, de acuerdo con los servicios y sistemas de
revisar una política de control de información. Para lo cual ha implementado la Politica de Gestión Integral soportado por el Manual de
acceso con base en los requisitos de Gestión Integral numeral 10.2 y lo aplica según la guía de Administración de la Plataforma
acceso del negocio y de seguridad. Tecnológica, de igual manera el acceso de las personas a las oficinas y areas seguras de la Entidad
se rige por el instructivo de ingreso a las Instalaciones a la Entidad.
A.11.2 Gestión de acceso de usuarios COMO

Objetivo: asegurar el acceso autorizado a los usuarios e impedir el
acceso no autorizado a sistemas de información.
A.11.2.1 Registro de Control La Entidad cuenta con la Guía de Gestión de usuarios Plataforma Tecnologica, controlados por el
usuarios. Debe haber un procedimiento formal Directorio Activo de la Plataforma Microsoft implementada a nivel Nacional, también soportada por la
de registro y cancelación del registro a Guía de Administración de la Plataforma Tecnológica.
usuarios, para conceder y anular el
acceso a todos los sistemas y
servicios de información.
A.11.2.2 Gestión de Control La Entidad cuenta con la guia Guía Gestión de Usuarios Plataforma Tecnologica y los perfiles de
privilegios. Se debe restringir y controlar la usuarios definidos en cada uno de los sistemas de información que lo permiten, inclusive algunos
asignación y uso de privilegios. sistemas de Información se validan contra la misma contraseña del Directorio Activo, también la
misma es revisada por los administradores funcionales de los Sistemas de Información.
A.11.2.3 Gestión de Control La Guía Gestión de usuarios Plataforma Tecnologica, establece los métodos para la asignación de
contraseñas para usuarios. La asignación de contraseñas se debe contraseñas y de igual manera define recomendaciones para que los usuarios utilicen contraseñas
controlar mediante un proceso de seguras, mediante la Guia de Contraseña segura. Se refuerza su aplicación con las funcionalidades
gestión formal. del Directorio Activo, La Guía de Adminsitración de la Plataforma Tecnológica define el rol de gestion
del Directorio Activo.
A.11.2.4 Revisión de los Control La Guía Gestión de usuarios Plataforma Tecnologica establece que el Adminsitrador funcional
derechos de acceso de los mantiene los usuarios del Sistema de información.
usuarios.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1 Objetivos

A.11.2.4 Revisión de
de control
los y controles La Guía Gestión de usuarios Plataforma Tecnologica establece que el Adminsitrador funcional
derechos de acceso de los La dirección debe establecer un mantiene los usuarios del Sistema de información.
usuarios. proceso formal de revisión periódica
de los derechos de acceso de los
usuarios.
A.11.3 Responsabilidades de los usuarios COMO

Objetivo: evitar el acceso a usuarios no autorizados, y el robo o la
puesta en peligro de información y de instalaciones de
A.11.3.1 Uso de contraseñas. Control La Entidad cuenta con Guía de Contraseñas Seguras y esta soportado por el servicio del Directorio
Se debe exigir a los usuarios el Activo para este fin.
cumplimiento de buenas prácticas de
seguridad en la selección y uso de las
contraseñas.
A.11.3.2 Equipo de usuario Control En el Manual de Gestión Integral se ha establecido la politica de puesto de trabajo despejado y
desatendido. Los usuarios deben asegurarse de que bloqueo de pantalla. Adicionalmente se cuenta con el control de protector de pantalla automático por
a los equipos desatendidos se les da medio de la gestión del Directorio Activo, de acuerdo con la Guía de Administración de la Plataforma
protección apropiada. Tecnológica y no permite ser modificado por el usuario.
Para los equipos portátiles se aseguran mediante el uso de guayas entregadas como parte del
equipo.
A.11.3.3 Política de puesto Control Hace parte de la política de Gestión Integral y esta soportado en el Manual de Gestión Integral
de trabajo despejado y Se debe adoptar una política de numeral 10.3.
bloqueo de pantalla. puesto de trabajo despejado para
papeles y medios de almacenamiento
removibles, y una política de bloqueo
de pantalla para instalaciones de
A.11.4 Control de acceso a redes COMO

Objetivo: impedir el acceso no autorizado a servicios en red.
A.11.4.1 Política de uso de Control Hace parte de la política de Gestión Integral y esta soportado en el Manual de Gestión Integral,
los servicios de red. Los usuarios sólo deben tener acceso numeral 10.2.
directo a los servicios para los que han
sido autorizados específicamente.
A.11.4.2 Autenticación de Control Los usuarios remotos que se conecten a la red de la Superintendencia se validarán contra el
usuarios para conexiones Se deben usar métodos de directorio Activo de la Plataforma de la Entidad, después de autorizado el acceso remoto, según la
externas. autenticación apropiados para Guia de Administración de la Plataforma tecnológica de la Entidad.
controlar el acceso de usuarios
remotos.
A.11.4.3 Identificación de Control La Guía de Administración de la Plataforma Tecnologica establece los roles de administracion de
equipos en redes. comunicaciones de las redes de voz y datos, teniendo en cuenta que la red de voz y datos, tanto
La identificación de equipos como sus equipos son identificados con direcciones fijas y única, relacionada con el label de la toma
automáticos se debe considerar como física de conexión y controlada también por autenticación contra el Directorio Activo utilizando
un medio para autenticar conexiones nombre de usuario y contraseña a nivel nacional.
desde lugares y equipos específicos.
A.11.4.4 Protección de Control Las protección de los puertos de diagnóstico de los equipos de red se debe hacer directamente en
puertos de diagnóstico y El acceso físico y lógico a los puertos cada equipo y ellos estan protegidos en cuartos independientes con control de acceso puerta con
configuración remotos. de diagnóstico y configuración se debe llave, pues son considerados Areas Seguras definidas en el instructivo de ingreso a a las
controlar. instalaciones de la Entidad.
A.11.4.5 Subdivisión de Control La Superintendencia maneja las siguientes redes segregadas:

redes. Los grupos de servicios de - Inalambrica (de acceso público) en la sede de Bogotá D.C.
información, usuarios y sistemas de - De área local en cada sede (de acceso interno, autenticando contra Directorio Activo todos hacia
información se deben subdividir en las Bogotá) protegidas con un firewall tipo gateway. Siguiendo las recomendaciones de la Guía de
redes. Administracion de la Infraestructura Tecnológica y la Guía de Gestión de Usuarios de la Plataforma
Tecnológica.
A.11.4.6 Control de conexión Control Existe un firewall que gestiona las políticas de acceso, en especial, gestiona los accesos desde
a las redes. Internet a la red pública y a los servidores, de acuerdo con la Politica de Gestión Integral, donde se
incorpora la Politica de Control de Acceso a la Redes soportado en el Manual de Gestión Integral
numeral 10.2, la Guía de Gestión de Usuarios de la Plataforma Tecnológica y la Guia de
Administracion de la Plataforma Tecnológica.
A80000SECRETO
#
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1Control
A.11.4.6 Objetivos de control y controles
de conexión Existe un firewall que gestiona las políticas de acceso, en especial, gestiona los accesos desde
a las redes. Para redes compartidas, Internet a la red pública y a los servidores, de acuerdo con la Politica de Gestión Integral, donde se
especialmente las que se extienden a incorpora la Politica de Control de Acceso a la Redes soportado en el Manual de Gestión Integral
través de los límites de la numeral 10.2, la Guía de Gestión de Usuarios de la Plataforma Tecnológica y la Guia de
organización, la capacidad de Administracion de la Plataforma Tecnológica.
conexión de los usuarios a la red debe
estar restringida, en línea con la
política de control de acceso y los
requisitos de las aplicaciones del
negocio (véase el numeral 11.1).
A.11.4.7 Control de Control Existe un firewall que gestiona las políticas de acceso, en especial, gestiona los accesos desde
enrutamiento en la red. Se deben implementar controles de Internet a la red pública y a los servidores, de acuerdo con la Politica de Gestion Integral, donde se
enrutamiento para las redes, para incorpora la Politica de Control de Acceso a la Redes soportado en el Manual de Gestión Integral
asegurar que las conexiones entre numeral 10.2, la Guía de Gestión de Usuarios de la Plataforma Tecnologica y la Guía de
computadores y los flujos de Administracion de la Plataforma Tecnológica.
información no incumplan la política de
control de acceso de las aplicaciones
del negocio.
A.11.5 Control de acceso al sistema operativo

A.11.5.1 Control de acceso al sistema operativo COMO
Objetivo: evitar el acceso no autorizado a los sistemas operativos.
A.11.5.1 Procedimientos de Control La Entidad cuenta con la Guía Gestión de Usuarios Plataforma Tecnologica y la Guía de
ingreso seguros Contraseñas Seguras. Los usuarios no administradores no tienen permiso de ingresar a ejecutar
algunas funciones del sistema, como instalación de software, cambio de hora, etc. A través de la
El acceso a los sistemas operativos se gestion del Directorio Activo de la infraestructura.
debe controlar mediante un proceso
de ingreso seguro
A.11.5.2 Identificación y Control La Entidad realiza autenticación utilizando Directorio Activo, cuenta con la Guía Gestión de Usuarios
autenticación de usuarios. Plataforma Tecnologica, Guía de Contraseñas Seguras y la Guia de Administracion de la Plataforma
Tecnológica.
Todos los usuarios deben tener un
identificador único (ID del usuario)
para su uso personal y exclusivo. Se
debe escoger una técnica de
autenticación adecuada para
comprobar la identidad declarada de
un usuario.
A.11.5.3 Sistema de gestión Control La guía de Administracion de la Plataforma Tecnológica establece el rol para la gestión del directorio
de contraseñas. Activo y a través de éste último se aplican los controles necesarios para gestionar las contraseñas
de acceso a los servicios, soportado por el Directorio Activo tiene los controles usuales, como
Los sistemas de gestión de permitir a los usuarios su cambio de contraseña, no despliegue de la clave cuando se digita, solicitud
contraseñas deben ser interactivos y de nueva contraseña en el primer log-on y la aplicación de la guía de contraseñas seguras.
deben asegurar contraseñas de
calidad.
A.11.5.4 Uso de utilitarios Control El Directorio Activo evita que los usuarios puedan instalar software y ejecutar utilitarios como cambio
del sistema de hora y fecha. Los usuarios no tienen acceso a modificar los parámetros de la BIOS. La Gestion
del Directorio Activo se realiza con la Guía de Administración de la Plataforma Tecnológica y la Guía
El uso de programas utilitarios que de Gestión de Usuarios de la Plataforma Tecnológica.
pueden estar en capacidad de anular
el sistema y los controles de aplicación
se debe restringir y controlar
estrictamente.
A.11.5.5 Plazo expirado de la Control Existe una política a través de Directorio Activo que bloquea los equipos después de un tiempo de
sesión. Las sesiones inactivas se deben Inactividad (timeout). Para evitar pérdidas de información, las sesiones de los sistemas operativos se
apagar después de un período de bloquean y no se cierran. La gestion del Directorio Activo se realiza en la Guía de Administración de
inactividad definido. la Plataforma Tecnológica.
A.11.5.6 Limitación del Control El Directorio Activo controla el tiempo de desatención de los computadores conectados a la red y los
tiempo de conexión. bloquea dejando activo un protector de pantalla con protección de contraseña y protegiendo las
aplicaciones abiertas. Gestionado con la Guía de Administración de la Plataforma Tecnológica.
Se deben aplicar restricciones en los
tiempos de conexión, para brindar
Adicionalmente ningun funcionario de la Entidad tiene limitación de tiempo de tabajo debido que se
seguridad adicional en aplicaciones de
desarrollan funciones de prestacion de servicio al ciudadano, por ejemplo en el caso de acceso al
alto riesgo.
servicio de Internet que es de 7 días a la semana 24 horas al día y 365 días al año.
A.11 CONTROL DE ACCESO COMO
A80000SECRETO
#
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1 Objetivos de control y controles COMO

A.11.6 Control de acceso a la información y a las aplicaciones
Objetivo: evitar el acceso no autorizado a la información contenida
en los sistemas de información.
A.11.6.1Restricción de Control La Entidad cuenta con la Guía Gestión de Usuarios de la Plataforma Tecnológica, que establece
acceso a la información. El acceso a la información y a las roles y perfiles de acceso a la información, dentro de cada uno de los sistemas se restringe el
funciones del sistema de aplicaciones acceso a la información particular. Además se asignan permisos de acceso a la información de
por parte de los usuarios se debe carpetas compartidas dependiendo de la necesidad.
restringir de acuerdo con la política de
control de acceso definida.
A.11.6.2 Aislamiento de Control Los traficos de red LAN estan aislados de la red publica inalámbrica en la Ciudad de Bogotá, por lo
sistemas sensibles. Los sistemas sensibles deben tener tanto las aplicaciones se administran y controlan desde el centro de computo en la sede de Bogotá y
entornos informáticos dedicados los recursos son compartidos para las diferentes aplicaciones.
(aislados).
Se considera sensible la inforamción de Banca Vurtual gestionada por el Grupo de Tesorería donde
el esquemas de procesamiento es aislado.
A.11.7 Computación móvil y trabajo remoto COMO

Objetivo: garantizar la seguridad de la información cuando se usan
instalaciones de computación móvil y trabajo remoto
A.11.7.1 Computación y Control Cualquier conexión interna o externa a la red de datos de La Superintendencia de Sociedades se
comunicaciones móviles. Se debe establecer una política formal realiza a través de componentes tecnológicos que garantizan su seguridad. Todos los
y se deben tomar las medidas de computadores de escritorio y portátiles deben tener sus discos cifrados para proteger el acceso a la
seguridad apropiadas para protegerse información por el personal autorizado. Esta alineado con la Política de Gestion Integral soportada
contra los riesgos generados al usar en el Manual de Gestion Integral numeral 10.4.
instalaciones de computación y
comunicación móviles.
A.11.7.2 Trabajo remoto. Control Los funcionarios solicitaran autorización para el acceso remoto o trabajo remoto directamente a la
Se debe desarrollar e implementar una Dirección de Informática y será entregada por el responsable de la Infraestructura de
política, y procedimientos y planes comunicaciónes únicamente, aplicando la Guía de Gestión de Usuarios de la Plataforma
operacionales para actividades de Tecnológica.
trabajo remoto.
A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE

SISTEMAS DE INFORMACIÓN
A.12.1 Requisitos de seguridad de los sistemas de información COMO

Objetivo: garantizar que la seguridad es parte integral de los
sistemas de información.
A.12.1.1 Análisis y Control En estudios previos para la contratación se revisan los requierimiento mínimos técnicos, funcionales
especificación de requisitos y de seguridad de las adquisiciones, dentro del Manual de Contratación, sin embargo tambien estan
de seguridad Las declaraciones de los requisitos del especificados los requerimientos de seguridad de los Sistemas de Inforamción en el Procedimiento
negocio para nuevos sistemas de para la Adquisición e Implementación de los Sistemas de Información.
información, o las mejoras a los
existentes, deben especificar los
requisitos para controles de seguridad.
A.12.2 Procesamiento correcto en las aplicaciones COMO

Objetivo: evitar errores, pérdida, modificación no autorizada o mala
utilización de la información en aplicaciones
A.12.2.1 Validación de los Control El Procedimiento de Implementacion de los Sistemas de Información establece la validación de los
datos de entrada. datos de entrada aplicando modelos de pruebas tecnicas, funcionales y de seguridad que sean
necesarios.
Los datos de entrada a las
aplicaciones se deben validar para
asegurar que son correctos y
apropiados.
A.12.2.2 Control de Control El Procedimiento de Implementacion de los Sistemas de Información, establece algunos controles
procesamiento interno. para validación de los datos de entrada y procesamiento aplicando los modelos de pruebas tecnicas,
funcionales y de seguridad que sean necesarios.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
A.12.2.2 Control de El Procedimiento de Implementacion de los Sistemas de Información, establece algunos controles
procesamiento interno.
Tabla A.1 Objetivos de control y controles para validación de los datos de entrada y procesamiento aplicando los modelos de pruebas tecnicas,
funcionales y de seguridad que sean necesarios.
Se deben incorporar en las
aplicaciones revisiones de validación
para detectar cualquier corrupción de
la información debida a errores de
procesamiento o actos deliberados.
A.12.2.3 Integridad de los Control El intercambio de información de los sistemas de información esta establecida a través de convenios
mensajes. Se deben identificar los requisitos para interadministrativos y como lo define el numeral 7.3.2 del Manual de Gestion Integral, alineado con la
asegurar la autenticación y proteger la Politica de Gestión Integral. Además del procedimiento de Implementación de Sistemas de
integridad de los mensajes en las Información a través del modelo de pruebas exige la verificación de la integridad de los datos de
aplicaciones, y se deben identificar e aucerdo con los requerimientos, funcionales, técnicos y de seguridad.
implementar controles apropiados.
A.12.2.4 Validación de los Control El procedimiento de Implementacion de los Sistemas de Información establece la validación de los
datos de salida. La salida de datos de una aplicación datos de salida aplicando modelos de pruebas tecnicas, funcionales y de seguridad que sean
se debe validar para asegurar que el necesarios.
procesamiento de la información
almacenada es correcto y apropiado
para las circunstancias.
A.12.3 Controles criptográficos COMO
Objetivo: proteger la confidencialidad, autenticidad o integridad de

la información, por medios criptográficos.
A.12.3.1 Política sobre el uso Control La Politica de Gestion Integral soportada en el Manual de Gestion Integral numeral 10.5, y los
de controles criptográficos. Se debe desarrollar e implementar una procesos de intercambio de información que requieran garantizar la identificación plena de los
política sobre el uso de controles usuarios, así como la integridad y confidencialidad de la información que se utilizan, están
criptográficos para la protección de la soportados por un convenio interadministrativo con la entidad que lo requiera.
información.
Adicionalmente la Superintendencia de Sociedades garantiza que la información contenida en los
medios de almacenamiento de los computadores están siendo protegidos mediante un sistema de
cifrado de la información (Secureware), teniendo como llave de acceso la identificación del usuario
en la red, al igual, la transmisión de información de los trámites con los usuarios externos que lo
requieren, utilizan protocolos criptográficos, como certificados de firma digital, para intercambio de
información por Internet.
Los usuarios son responsables por el manejo seguro de estos mecanismos de identificación y así
garantizar el no repudio.
A.12.3.2 Gestión de llaves. Control Los entes de certificación abierta o cerrada son quienes crean y administran los usuarios y las llaves
Se debe implementar un sistema de que entregan a través de algun convenio o acuerdo entre las partes que participan en el intercambio
gestión de llaves para apoyar el uso de información. Soportado también por la Guía de Gestión de Usuarios de la Plataforma
de las técnicas criptográficas por parte Tecnológica.
de la organización.
Se ha incorporado el uso de certificados de firma digitales que garantizan la autenticidad, integridad
y no repudio de los mensajes de datos de las sociedades que se encuentran en vigilancia, sólo para
el trámite de Estados Financieros de fin de ejercicio, que presentan anualmente y que la Entidad ha
contratado a través de una certificadora abierta.
A.12.4 Seguridad de los archivos del sistema COMO

Objetivo: garantizar la seguridad de los archivos del sistema.
A.12.4.1 Control del software Control El Directorio Activo evita que los usuarios puedan instalar software y ejecutar utilitarios como cambio
operativo. Se deben implementar procedimientos de hora y fecha. Los usuarios no tienen acceso a modificar los parámetros de la BIOS de los
para controlar la instalación del computadores. Gestionado según la Guía de Gestión de usuarios de la Plataforma Tecnológica.
software en sistemas operativos.
A.12.4.2 Protección de los Control El procedimiento de Implementación Sistemas de Información establece las condiciones de la
datos de ensayo del sistema. Los datos de ensayo se deben protección de datos utilizafos para las pruebas técnicas, funcioanales y de seguridad.
seleccionar, proteger y controlar
cuidadosamente.
A.12.4.3 Control de acceso al Control El procedimiento de Implementación Sistemas de Información establece la restricción a los
código fuente de los Se debe restringir el acceso al código programas fuentes con que cuenta la Entidad, manejando roles específicos para el desarrollo.
programas fuente de los programas.
A.12.5 Seguridad en los procesos de desarrollo y soporte COMO

Objetivo: mantener la seguridad del software y la información del
sistema de aplicaciones*.
A80000SECRETO
#
A80000SECRETO #
1. OBJETIVO
CONVENCIONES

A.12.5.1 Procedimientos de Control El Procedimiento Cambios al Ambiente Productivo controla los requerimientos de actualización de la
control de cambios. La implementación de los cambios se plataforma tecnológica.
debe controlar estrictamente mediante
el uso de procedimientos formales de
control de cambios.
A.12.5.2 Revisión técnica de Control El procedimiento Cambios al Ambiente Productivo controla los requerimientos de actualización de la
las aplicaciones después de Cuando los sistemas operativos Plataforma Tecnológica.
cambios en el sistema cambian, las aplicaciones críticas del
operativo. negocio se deben revisar y poner a
prueba para asegurar que no hay
impacto adverso en las operaciones o
en la seguridad de la organización.
A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE COMO

SISTEMAS DE INFORMACIÓN
A.12.5.3 Restricciones en los Control El procedimiento Cambios al Ambiente Productivo controla los requerimientos de actualización de la
cambios a los paquetes de Se debe desalentar la realización de Plataforma Tecnológica, de acuerdo con las necesidades específicas de la Entidad los sistemas de
software. modificaciones a los paquetes de información aplican su correspondiente Procedimiento de Implementación de Información para sus
software, que se deben limitar a los actualizaciones.
cambios necesarios, y todos los
cambios se deben controlar
estrictamente.
A.12.5.4 Fuga de información Control El Procedimiento de Implementación de Sistemas de Información, establece responsabilidades para
Se deben impedir las oportunidades controlar la fuga de información antes de su puesta en producción.
para fuga de información.
A.12.5.5 Desarrollo de Control El Manual de Contratación establece las condiciones en que se realiza la supervisión de los
software contratado El desarrollo de software contratado contratos. Tambien debe aplicarse el Procedimiento Implementación Sistemas de Información, al
externamente externamente debe ser supervisado y igual que el Procedimiento de Cambio al Ambiente Productivo.
la organización debe hacer
seguimiento de esto.
A.12.6 Gestión de la vulnerabilidad técnica COMO

Objetivo: reducir los riesgos resultantes de la explotación de las
vulnerabilidades técnicas publicadas.
A.12.6.1 Control de Control Se realizan pruebas de vulnerabilidades periodicamente descrito en la guía de Administración de la
vulnerabilidades técnicas Se debe obtener información oportuna Plataforma Tecnológica.
acerca de las vulnerabilidades
técnicas de los sistemas de
información usados, se debe evaluar
la exposición de la organización a
estas vulnerabilidades, y se deben
tomar las medidas apropiadas
tomadas para abordar el riesgo
asociado.
A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN
A.13.1 Reporte de eventos y debilidades de seguridad de la COMO

información
Objetivo: asegurar que los eventos y debilidades de seguridad de

la información asociados con los sistemas de información se
comunican de una manera que permite que se tomen acciones
correctivas oportunas.
A.13.1.1 Reporte de eventos Control El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad,
de seguridad de la establece los mecanísmos de comunicación de los eventos.
información
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1Reporte
A.13.1.1 Objetivos
de de control y controles
eventos El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad,
de seguridad de la Los eventos de seguridad de la establece los mecanísmos de comunicación de los eventos.
información información se deben reportar a través
de los canales de gestión apropiados,
lo más rápidamente posible.
A.13.1.2 Reporte de las Control El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad, establece
debilidades de seguridad Todos los empleados, contratistas y que todos los funcionarios deben reportar las o conformidades potenciales o eventos de seguridad.
usuarios por tercera parte, de sistemas
y servicios de información, deben
observar y reportar cualquier debilidad
en la seguridad de sistemas o
servicios, observada o que se
sospeche.
A.13.2 Gestión de incidentes y mejoras en la seguridad de la COMO

información
Objetivo: asegurar que se aplica un método consistente y eficaz a
la gestión de los incidentes de seguridad de la información.
A.13.2.1 Responsabilidades y Control El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad que
procedimientos Se deben establecer establece como se deben atender los incidentes y las responsabilidades de quienes participan.
responsabilidades y procedimientos de
gestión para asegurar una respuesta
rápida, eficaz y metódica a los
incidentes de seguridad de la
información.
A.13.2.2 Aprendizaje de los Control La Organización cuenta con el Procedimiento Acciones Correctivas, Preventivas y Gestión de
incidentes de seguridad de la Se deben implementar mecanismos Incidentes
información para posibilitar que los tipos,
volúmenes y costos de los incidentes
de seguridad de la información sean
cuantificados y se les haga
seguimiento.
A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA COMO

INFORMACIÓN
A.13.2.3 Recolección de Control El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad,
evidencia establece como se deben manejar las evidencias para aquellos procesos que lo requieran.
En donde una acción de seguimiento
contra una persona u organización
después de un incidente de seguridad
de la información involucra acciones
legales (ya sea civiles o penales), la
evidencia se debe recolectar, retener y
presentar para cumplir con las reglas
para evidencia establecidas en la
jurisdicción pertinente.
A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

A.14.1 Aspectos de seguridad de la información, de la gestión de la
continuidad del negocio
Objetivo: contrarrestar las interrupciones en las actividades del

negocio y proteger sus procesos críticos contra los efectos de
fallas o desastres de gran magnitud en los sistemas de
información, y asegurar su reanudación oportuna.
A.14.1.1 Incluir la seguridad Control Se gestiona a través del Procedimiento Gestión Plan Recuperación ante Desastre de Tecnología
de la información en el Se debe desarrollar y mantener un (DRP), relacionado tambien con los planes de emergencia institucionales, brigadas de emergencia y
proceso de gestión de la proceso gestionado para la comité paritario de salud ocupacional que permiten proteger las personas y los activos de
continuidad del negocio continuidad del negocio en toda la información importantes que esten bajo su custodia, que se aplica una vez se haya activado el
organización, que aborde los procedimiento de acciones preventivas, correctivas y de gestión de incidentes de la Entidad.
requisitos de seguridad de la
información necesarios para la
continuidad del negocio de la
organización.
A.14.1.2 Valoración de la Control La Entidad ha definido la Guía Plan de Recuperación ante Desastres, la cual ha sido aplicado a
continuidad del negocio y del todos los procesos. También se aplica evaluacion de riesgos cuando hay planeacion de cambios al
riesgo Sistema de Gestión Integrado, Cambios al ambiente productivo de la plataforma tecnológica, dentro
de la metodologia de la construcción del plan de recuperacion ante desastres de tecnologia, el
comité paritario de salud ocupacional COPASO, dentro de los procesos de contratacion o convenios
interadministrativos. Todos estos alineados con la Politica de Gestion Integral soportado en el
Manual de Gestión Integral.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1 Valoración

A.14.1.2 Objetivos dedecontrol
la y controles La Entidad ha definido la Guía Plan de Recuperación ante Desastres, la cual ha sido aplicado a
continuidad del negocio y del Se deben identificar los eventos que todos los procesos. También se aplica evaluacion de riesgos cuando hay planeacion de cambios al
riesgo pueden causar interrupciones en los Sistema de Gestión Integrado, Cambios al ambiente productivo de la plataforma tecnológica, dentro
procesos del negocio, junto con la de la metodologia de la construcción del plan de recuperacion ante desastres de tecnologia, el
probabilidad e impacto de estas comité paritario de salud ocupacional COPASO, dentro de los procesos de contratacion o convenios
interrupciones y sus consecuencias interadministrativos. Todos estos alineados con la Politica de Gestion Integral soportado en el
para la seguridad de la información. Manual de Gestión Integral.
A.14.1.3 Desarrollo e Control La Entidad ha desarrollado e implementado planes de continuidad de prestación de los servicios en
implementación de planes de Se deben desarrollar e implementar cada uno de los procesos, se ha incorporado protección al Recurso Humano dentro del proceso de
continuidad que incluyen planes para mantener o restaurar las Gestion de Talento Humano coordinado por el Comité Paritario de Salud Ocupacional (COPASO)
seguridad de la información operaciones y asegurar la que involucra Brigadas de Emergencia, también se cuenta con el procedimiento de acciones
disponibilidad de información al nivel preventivas y correctivas y de gestión de incidentes de seguridad que aplica la Guía Plan de
requerido y en las escalas de tiempo Recuperacion ante Desastres de Tecnologia cuando sea requerido.
requeridas después de la interrupción
o falla de los procesos críticos del
negocio.
A.14.1.4 Estructura de Control La entidad cuenta con un comite de emergencias que es un organismo de dirección y determinación
planeación de la continuidad Se debe mantener una sola estructura de las políticas, directrices y procedimientos a seguir en caso de emergencias o siniestros que
del negocio de los planes de continuidad del puedan amenazar la integridad de los empleados, visitantes y usuarios, ocasionar daños en el
negocio para asegurar que todos los ambiente, instalaciones y equipos o interrumpir las actividades normales y servicios de la entidad.
planes sean consistentes, abordar en Este comité es el responsable por el manejo integral de la respuesta a una situación de emergencia
forma consistente los requisitos de o incidente que afecte las instalaciones de la entidad, integrado por el representante del Comité
seguridad de la información, e Paritario de Salud Ocupacional (COPASO). Además se aplica tambien el Procedimiento de
identificar prioridades para ensayo y Acciones Preventivas, Correctivas y de Gestión de Incidentes que activa la guía Plan de
mantenimiento. Recuperacion ante Desastres de Tecnologia cuando es requerido.
A.14.1.5 Ensayo, Control Las pruebas de emergencias del personal estan soportados por el plan de acción de salud
mantenimiento y re- Los planes de continuidad del negocio ocupacional del Proceso de Talento Humano, en cuanto a las pruebas de infraestructura dentro del
valoración de los planes de se deben poner a prueba y actualizar plan de Sostenimiento del Sistema de Gestion Integrado, se encuentran programadas las pruebas de
continuidad del negocio regularmente para asegurar que estén acuerdo a la Guía Plan de Recuperacion ante Desastres de tecnología y se gestiona por el
actualizados y sean eficaces. Procedimiento Gestión del Plan de Rrecuperación ante Desastres de tecnologia.
A.15 CUMPLIMIENTO
15.1. COMO
Objetivo: evitar incumplimiento de cualquier ley, obligación
estatutaria, reglamentaria o contractual, y de cualquier requisito de
seguridad.
A.15.1.1 Identificación de la Control Dentro de la Caracterización de cada uno de los procesos de la Entidad se ha definido el
legislación aplicable. Todos los requisitos estatutarios, normograma donde se detalla la legislación aplicable a cada uno de ellos, alineados con la Politica
reglamentarios y contractuales de Gestión Integral cumpliendo con la normatividad vigente.
pertinentes y el enfoque de la
organización para cumplirlos, se
deben definir y documentar
explícitamente, y mantenerlos
actualizados para cada sistema de
información y para la organización.
A.15.1.2 Derechos de Control La Organización cuenta con el Codigo de Buen Gobierno, politicas antipirateria, CIRCULAR
propiedad intelectual (DPI). Se deben implementar procedimientos INTERNA No. 05 24 de febrero de 2000 y la ley de derechos de autor ley 23 de 1982, se revisa
apropiados para asegurar el permanentemente la Guía de Administración de la Plataforma Tecnológica.
cumplimiento de los requisitos
legislativos, reglamentarios y
contractuales sobre el uso de material
con respecto al cual puede haber
derechos de propiedad intelectual, y
sobre el uso de productos de software
patentados.
A.1.5.1.3 Protección de los Control El Procedimiento de Control de Documentos y Registros de la Entidad establece como se deben
registros de la organización. Los registros importantes se deben proteger los documento. Se aplica también el procedimiento de la Guía de Archivo, que respalda la
proteger contra pérdida, destrucción y información del Sistema de Información Documental mediante el procedimiento de respaldo y
falsificación, de acuerdo con los recuperación de la información.
requisitos estatutarios, reglamentarios,
contractuales y del negocio.
A.15.1.4 Protección de los Control El Procedimiento: Selección, Capacitación, Evaluación y Desvinculación de Personal, esta alineado
datos y privacidad de la con la normatividad vigente para la proteccion de la información personal de los funcionarios. El
información personal. acceso a información personal de funcionarios o terceros esta delimitada por la Guía de Gestión de
Usuarios de la Plataforma Tecnológica para los servicios y sistemas de información, dependiendo de
los roles y autorizaciones correspondientes, siempre alineado a la normatividad vigente.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1 Protección

A.15.1.4 Objetivos dedecontrol
los y controles El Procedimiento: Selección, Capacitación, Evaluación y Desvinculación de Personal, esta alineado
datos y privacidad de la Se debe asegurar la protección y con la normatividad vigente para la proteccion de la información personal de los funcionarios. El
información personal. privacidad de los datos, como se exige acceso a información personal de funcionarios o terceros esta delimitada por la Guía de Gestión de
en la legislación, reglamentaciones, y Usuarios de la Plataforma Tecnológica para los servicios y sistemas de información, dependiendo de
si es aplicable, cláusulas contractuales los roles y autorizaciones correspondientes, siempre alineado a la normatividad vigente.
pertinentes.
A.15.1.5 Prevención del uso Control La Entidad cuenta con el Procedimiento Selección, Permanencia y desvinculacion de personal
inadecuado de las Se debe impedir que los usuarios usen firmando el Acuerdo de Confidencialidad y buen uso de los activos de información.
instalaciones de las instalaciones de procesamiento de
procesamiento de la la información para propósitos no
información. autorizados.
A.15.1.6 Reglamentación de Control Los procesos de intercambio de información que requieran garantizar la identificación plena de los
los controles criptográficos. Se deben usar controles criptográficos usuarios, así como la integridad y confidencialidad de la información que se utilizan, están
de conformidad con todos los soportados por un convenio interadministrativo con la entidad que lo requiera aplicando la
acuerdos, leyes y reglamentaciones normativiadad vigente.
pertinentes.
Adicionalmente la Superintendencia de Sociedades garantiza que la información contenida en los
medios de almacenamiento de los computadores están siendo protegidos mediante un sistema de
cifrado de la información (Secureware), teniendo como llave de acceso la identificación del usuario
en la red, al igual, la transmisión de información de los trámites con los usuarios externos que lo
requieren, utilizan protocolos criptográficos, como certificados de firma digital, para intercambio de
información por Internet. De acuerdo con la normatividad vigente para las entidades de certificación,
y según La Politica de Gestion Integral soportada en el Manual de Gestion Integrado numeral 10.5.
A.15.2 Cumplimiento de políticas y normas de seguridad y COMO

cumplimiento técnico
Objetivo: asegurar el cumplimiento de los sistemas con las

políticas y normas de seguridad Organizaciónales.
A.15.2.1 Cumplimiento de las Control El procedimiento de Selección, Permanencia y Desvinculacion de Personal de la Entidad, establece
políticas y normas de Los gerentes deben asegurar que el cumplimiento de las actividades descritas en el Manual de Funciones de la Entidad, evaluaciones
seguridad. todos los procedimientos de seguridad de desmpeño periódico y cualquier contraversión son evaluadas siguiendo la Ley 734 del 2002
dentro de su área de responsabilidad Código Unico Disciplinario.
se realicen correctamente para lograr
el cumplimiento de las políticas y
normas de seguridad.
A.15.2.2 Verificación del Control La Guía de Administración de la Infraestructura Tecnológica establece la periodicidad de la
cumplimiento técnico. Se debe verificar regularmente el aplicación de análisis de vulnerabilidades y aseguramiento de la Plataforma tecnológica. Además se
cumplimiento de las normas de realiza comprobación del cumplimiento Auditoria Interna o a través de alguno de los entes de control
implementación de seguridad. al proceso de gestión de infraestructura.
A.15 CUMPLIMIENTO COMO

A.15.3 Consideraciones de la auditoría de sistemas de información
Objetivo: maximizar la eficacia del proceso de auditoría de

sistemas de información y minimizar la interferencia desde y hacia
éste.
A.15.3.1 Controles de Control La Guía de Administración de la Infraestructura Tecnológica establece la periodicidad de la

auditoría de sistemas de Los requisitos y las actividades de aplicación de análisis de vulnerabilidades y aseguramiento de la Plataforma tecnológica.
información. auditoría que involucran verificaciones
sobre sistemas operacionales se
deben planificar y acordar
cuidadosamente para minimizar el
riesgo de interrupciones en los
procesos del negocio.
A.15.3.2 Protección de las Control De acuerdo con el Procedimiento de Implementación de los sistemas de Información, los registros
herramientas de auditoría de de auditoria son almacenadas en las bases de datos correspondientes dejando registro de las
sistemas de información. acciones de los administradores y usuarios; éstos son respaldados por el Procedimiento de
Respaldo y Recuperación de la Información.
Adicionalmente, según el Procedimiento de Adminsitración de la Plataforma Tecnológica, solo es

instalado el software ques autorizado por la Direccion de Informática y Desarrollo y se gestiona con
el Directorio Activo para que los usuarios no descarguen software no autorizado que pueda afectar la
información de las auditorias de los sistemas de información y aplicar pruebas de vulnerabilidades
no planificadas.
#A80000SECRETO
A80000SECRETO #
1. OBJETIVO
CONVENCIONES
Tabla A.1Protección
A.15.3.2 Objetivosdedelas
control y controles De acuerdo con el Procedimiento de Implementación de los sistemas de Información, los registros
herramientas de auditoría de Se debe proteger el acceso a las de auditoria son almacenadas en las bases de datos correspondientes dejando registro de las
sistemas de información. herramientas de auditoría del sistema acciones de los administradores y usuarios; éstos son respaldados por el Procedimiento de
de información, para evitar que se Respaldo y Recuperación de la Información.
pongan en peligro o que se haga un
uso inadecuado de ellas. Adicionalmente, según el Procedimiento de Adminsitración de la Plataforma Tecnológica, solo es
instalado el software ques autorizado por la Direccion de Informática y Desarrollo y se gestiona con
el Directorio Activo para que los usuarios no descarguen software no autorizado que pueda afectar la
información de las auditorias de los sistemas de información y aplicar pruebas de vulnerabilidades
no planificadas.
#A80000SECRETO

Declaracion de Aplicabilidad V3-7

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Declaracion de Aplicabilidad V3-7

Cargado por

Copyright:

Formatos disponibles

A80000SECRETO #

Tabla A.1 Objetivos de control y controles

A.5 POLÍTICA DE SEGURIDAD

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A.6.2 Partes externas COMO

A.7 GESTIÓN DE ACTIVOS

A.8 SEGURIDAD DE LOS RECURSOS HUMANOS

La Entidad cuenta con los procedimientos de Selección, Permanencia y desvinculacion de Personal

A.8.2 Durante la relación laboral COMO

A.8.2.2 Educación, Control En el procedimiento de Selección, Capacitación, Evaluación y Desvinculación de Personal de la

A.8 SEGURIDAD DE LOS RECURSOS HUMANOS

A.9 SEGURIDAD FÍSICA Y DEL ENTORNO

A.9 SEGURIDAD FÍSICA Y DEL ENTORNO

Tabla A.1 Objetivos de control y controles

A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES

Objetivo: asegurar la operación correcta y segura de las

A.10.2 Gestión de la prestación del servicio por tercera parte COMO

A.10.3 Planificación y aceptación del sistema COMO

Objetivo: minimizar el riesgo de fallas de los sistemas.

A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES COMO

A.10.4 Protección contra códigos maliciosos y móviles

Objetivo: proteger la integridad del software y la información.

A.10.5 Respaldo COMO

Objetivo: mantener la integridad y disponibilidad de la información

A.10.6 Gestión de la seguridad de redes COMO

Objetivo: asegurar la protección de la información de las redes y la

Se ha realizado un estudio de Impacto de la Disponibilidad de la Plataforma tecnológica (BIA) que ha

A.10.7 Manejo de medios COMO

Objetivo: evitar la divulgación, modificación, retiro o destrucción

A.10.8 Intercambio de información COMO

Tabla A.1 Objetivos

A.10.9 Servicios de comercio electrónico COMO

A.10.9.2 Transacciones en Control

A.10.9.3 Información Control

A.10.10 Seguimiento COMO

Adicionalmente se cuenta con la verificación de Auditorias Internas o las Auditorias Externas.

Tabla A.1 Uso

A.11 CONTROL DE ACCESO

A.11.2 Gestión de acceso de usuarios COMO

Tabla A.1 Objetivos

A.11.3 Responsabilidades de los usuarios COMO

A.11.4 Control de acceso a redes COMO

A.11.4.5 Subdivisión de Control La Superintendencia maneja las siguientes redes segregadas:

A.11.5 Control de acceso al sistema operativo

A.11 CONTROL DE ACCESO COMO

Tabla A.1 Objetivos de control y controles COMO

A.11.7 Computación móvil y trabajo remoto COMO

A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE

A.12.1 Requisitos de seguridad de los sistemas de información COMO

A.12.2 Procesamiento correcto en las aplicaciones COMO

A.12.3 Controles criptográficos COMO

Objetivo: proteger la confidencialidad, autenticidad o integridad de

A.12.4 Seguridad de los archivos del sistema COMO

A.12.5 Seguridad en los procesos de desarrollo y soporte COMO

Tabla A.1 Objetivos de control y controles

A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE COMO

A.12.6 Gestión de la vulnerabilidad técnica COMO

A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

A.13.1 Reporte de eventos y debilidades de seguridad de la COMO

Objetivo: asegurar que los eventos y debilidades de seguridad de

A.13.2 Gestión de incidentes y mejoras en la seguridad de la COMO

A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA COMO

A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Objetivo: contrarrestar las interrupciones en las actividades del