Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fecha: 8/31/2021
Se analiza las amenazas y debilidades, teniendo en cuenta los objetivos estratégicos y de proceso de la entidad, a nivel de Contexto interno, externo y del Proceso.
Aprendizaje y
Perspectiva: Cliente usuario Cliente usuario Cliente usuario Cliente usuario Cliente usuario Financiera Proceso Proceso
crecimiento
Mejora de ejecució n
1000 emprendimientos. 14826 vendedores presupuestal en relació n
informales identificados y % de participació n en el a la línea base.
500 acompañ amientos a créditos. registrados.
Meta: 95% 8 Plazas priorizadas. abastecimiento de alimentos Mínimo el 75% Mínimo el 75% 90% 90%
Mejora en la
en Bogotá
600 emprendedores de subsistencia 5535 personas bici recuperació n de cartera
formados. taxistas identificadas. en relación a la línea
base.
Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo
Apoyo Evaluació n
Dirigir y coordinar la formulació n,
implementació n y seguimiento de la Identificar, caracterizar y Fortalecer las Brindar alternativas econó micas Establecer objetivos, metas, estrategias,
Plataforma Estratégica de la Entidad y registrar a la població n competencias laborales transitorias reguladas en el espacio indicadores de gestió n,
Procesos los proyectos de inversió n en el marco de Definir política, estrategias e instrumentos de sujeto de atenció n para generales y específicas de pú blico y fuera de él, asesorar y acciones, asignar recursos y políticas de
comunicació n interna y externa para promover Identificación, Procesos misionales acompañ ar las unidades e iniciativas operació n.
estratégicos las políticas de gestió n y desempeñ o, en contar con informació n Gestión para la las personas que ejercen Gestión para la soberanía,
Planeación estratégica Gestión de y divulgar el portafolio de servicios y la gestió n caracterización y registro Fortalecimiento para la economía productivas de la economía popular a
concordancia con las líneas de actualizada y confiable formación y actividades de la seguridad alimentaria y
y táctica intervenció n y los programas del plan de comunicaciones de la entidad a la ciudadanía, con oportunidad, de la población sujeto de que permita ofrecer a los empleabilidad economía informal, que popular través de la formulació n de planes de nutricional Administrar el Sistema Distrital de Plazas de
transparencia y eficacia, en el marco de los atención negocio, fortalecimiento empresarial, Mercado con el fin de suministrar los
desarrollo distrital, las políticas del usuarios los servicios y les facilite su
objetivos y metas institucionales. el apalancamiento financiero con el productos básicos de consumo doméstico
sector y la normatividad vigente para el alternativas econó micas inserció n en el sistema
fin de mejorar su productividad y (canasta básica familiar) en condiciones
logro de los objetivos propuestos de la de la entidad. productivo de la ciudad. calidad de vida de los beneficiarios. ó ptimas de calidad, costos, accesibilidad,
entidad.
oportunidad y confianza en el marco de las
normas sanitarias y ambientales vigentes.
Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo
Procesos de apoyo
Proceso Objetivo
Estructura organizacional /
Personas
Políticos
(demografía, responsabilidad social,
Funciones y Responsabilidades
Sociales y Culturales
trabajo en equipo).
implementadas /
Estratégicos
Recursos y conocimientos con que se
(presupuesto de funcionamiento,
(Avances en tecnología, acceso a
Procedimientos asociados
desarrollan los procesos.
capacidad instalada).
gobierno en línea)
Tecnológicos
Financieros
cuenta /
utilizados y su efectividad, flujo de la
(Disponibilidad de capital, liquidez,
proceso
FO-016 V-04
Código: PM02-MR-005
MATRIZ RIESGOS SEGURIDAD DE LA INFORMACION Versión: 1
Fecha: 8/31/2021
Dependencia:
SESEC - Subdirección de Emprendimiento, Servicios Empresariales y Comerciales
Procesos: Fortalecimiento de la Economía Popular - Emprendimiento y Emprendimiento Social
Proceso:
Brindar alternativas económicas transitorias reguladas en el espacio público y fuera de él,
asesorar y acompañar las unidades e iniciativas productivas de la economía popular a
través de la formulación de planes de negocio, fortalecimiento empresarial, el
apalancamiento financiero con el fin de mejorar su productividad y calidad de vida de los
Objetivo del beneficiarios.
proceso:
Errores humanos en el
Reprocesos de
cumplimiento de las labores.
carácter
administrativo y Pérdida de Disponibilidad de la
Situaciones administrativas
Activos de información digital operativo en el marco información digital almacenada,
durante la relación laboral Inadecuada gestión de la información Perdida de la 24 a 500 veces
PM02 RSI002 descrito en el inventario de activos de la institucionalidad Disponibilidad
procesada y manejada en los Fallas tecnológicas
por año.
Media Mayor Alto 0 PM02 CSI002
(incapacidades, vacaciones, física. sistemas de información utilizados
de Información del proceso. de la Entidad
muerte, licencias). en el proceso.
Denegación de los
servicios
Modificación indebida de la
información.
Insuficiencia o mal funcionamiento de Pérdida o robo de
controles de acceso físico. información
Uso no autorizado de la
información Pérdida de Confidencialidad de la
Activos de información digital Falta de monitoreo en los controles de Fraude información digital almacenada,
Perdida de la 24 a 500 veces
PM02 RSI003 descrito en el inventario de activos acceso físico a las edificaciones y recintos. Confidencialidad
procesada y manejada en los Fallas tecnológicas
por año.
Media Mayor Alto 0 PM02 CSI001
Ingeniería social. sistemas de información utilizados
de Información del proceso. Alto nivel de
Ubicado en una zona de susceptible de incidentes de en el proceso.
Coacción.
vandalismo, protestas y manifestaciones. seguridad de la
información.
Entrega indebida de la
Acceso a zonas seguras sin control.
información.
DESCRIPCIÓN
VERSIÓN No. FECHA
DEL CAMBIO
Elaboracion del
documento, por
pirmera vez se
plasma
informacion de
1 riesdos de 8/31/2021
seguridad de la
informacion en
herramienta unica
Atributos del control Tratamiento
Responsable: Subdirector (a), profesional especializado, 1. Trimestralmente, a través del seguimiento y acompañamiento a
profesional SESEC. unidad productiva el equipo psicosocial colaborara en la recolección
Periodicidad: Eventual cuando se requiere. de información física de los beneficiarios, con el diligenciamiento del
Propósito: Garantizar que la información del sistema formato Registro de Identificación Básica.
GOOBI y HEMI este actualizada.
Como se realiza la actividad: en el marco del Nota: Los resultados del seguimiento a la unidad productiva se
procedimiento Emprendimiento Social, posterior al sorteo registran HEMI.
se crea el perfil del beneficiario en el sistema de
información de HEMI (datos personales, asignación de Reducir, evitar o 2. Trimestralmente, a través de informe de gestión se reportara las A.12.4.2-Protección de la
Correctivo 10% Manual 15% 25% Documentado Continua Con registro 45% 68% Alto
compartir el riesgo
Cautela información de registro
alternativa). acciones de actualización que realizo el proceso en HEMI y se
Observaciones y desviaciones: se solicita al beneficiario propone convocar a mesa de trabajo con SGRSI identificación y
documentos para actualizar los datos en el sistema. HEMI caracterización las acciones que permitirán avanzar en mayor
genera la ficha virtual (alineada al formato registro de alcance la actualización de información.
identificación) para que el beneficiario la diligencie y se
procede a la actualización. 3. Bimensualmente, con soporte de informe trimestral solicitar al
Evidencias: informe con la información gestionada de proceso Gestión de seguridad de la información y recursos
ingreso de información de los comerciantes en HEMI y tecnológicos mesas de orientación para considerar soluciones a
GOOBI. novedades que estén presentando las herramientas GOOBI y HEMI.
1. Responsable:
2. Periocidad:
3. Proposito:
0% 0% 0%
4. Como se realiza la actividad:
5. Observaciones y desviaciones:
6. Evidencia:
Tratamiento Seguimiento: Segundo cuatrimestre - 1ra línea de defensa Monitoreo: Segundo cuatrimestre - 2da línea de defensa
Fecha de Fecha de Estado de plan de Acciones que se realizaron para el cumplimiento de plan Avance del Desempeño del Calidad y coherencia del Resultado del
Responsable Indicador Evidencia Observaciones Análisis del avance
implementación seguimiento acción de acción indicador control registro o evidencia indicador
1. 31/12/2021 Permanecen
(Trimestral) Ejecución del
1. 01/08/2021
plan de acción las TRD No
Subdirector (a), profesional especializado, profesional SESEC. Este proceso lo lidera Gestión documental SAF a
2. 31/12/2021 del tratamiento hubo No reporto eventos Es necesario identificar el estado
2. 01/08/2021 En curso través de las actualizaciones de Tablas de actual de la tabla de retención No valida No aprobado
Gestión Documental
(Mensual) del riesgo en el
Retención Documental actualización materializados documental del proceso
tiempo
3. 01/08/2021
3. 31/12/2021 programado en este
(Trimestral) cuatrimestre
Ejecución del
Subdirector (a), profesional especializado, profesional SESEC. plan de acción
del tratamiento No tenemos información de reporte de incidente No reporto eventos
1. 01/08/2021 1. 31/12/2021 En curso 100% Valida Aprobado
Gestión de seguridad de la información y recursos del riesgo en el de Tecn Inf materializados
tecnológicos. tiempo
programado
Ejecución del
1. 01/08/2021 1. 31/12/2021 No han convocado mesas de trabajo de revisión
Subdirector (a), profesional especializado, profesional SESEC. plan de acción
del tratamiento de políticas No reporto eventos
2. 01/08/2021 2. 31/12/2021 En curso Valida Aprobado
Gestión de seguridad de la información y recursos del riesgo en el No tenemos información de reporte de incidente materializados
tecnológicos. tiempo de Tecn Inf
3. 01/08/2021 3. 31/12/2021
programado
Monitoreo: Segundo cuatrimestre - 2da línea de defensa Seguimiento: Tercer cuatrimestre - 1ra línea de defensa Monitoreo: Tercer cuatrimestre - 2da línea de defensa
REGISTRO DE INCIDENTE
Subdirección/
Proceso:
Dependencia:
Descripción de la
materialización del riesgo:
Nuevas consecuencias?:
Nuevas consecuencias?:
Control vulnerado:
Lección aprendida:
Lección aprendida:
dd/mm/aa
Tipo de riesgo:
Existe incidencia de
materialización de este riesgo?
(Mencione histórico)
de causas (5 - ¿PORQUÉ?)
Responsables: Fecha:
Responsables: Fecha:
Responsables: Fecha:
FORMATO
Dependencia
Procesos
Proceso
Objetivo de proceso
Alcance
¿Qué son los activos?
Riesgo
Nota: La sola presencia de una vulnerabilidad no causa daños por sí misma, ya que representa únicamen
pueda explotar esa debilidad. Una vulnerabilidad que no tiene una amenaza puede no requerir la implem
Riesgo inherente
Opciones de manejo
Seguimiento cuatrimestral
Primera línea de defensa
Monitoreo cuatrimestral
Segunda línea de defensa
Fecha de elaboración
Subdirección/Dependencia:
E INCIDENTE
Proceso:
Tipo de riesgo:
Descripción de la materialización del
riesgo:
REGISTRO DE INCIDE
Existe incidencia de materialización de
este riesgo? (Mencione histórico)
1. ¿Porqué?
2. ¿Porqué?
3. ¿Porqué?
4. ¿Porqué?
5. ¿Porqué?
Nuevas causas?:
Nuevas consecuencias?:
Control vulnerado:
Plan de acción (incluye procesos
transversales):
Lección aprendida:
Se determinan las
características o aspectos
esenciales del proceso
Establecimiento del contexto interno
y sus interrelaciones.
Se pueden considerar
factores como:
Mencionar el objetivo del proceso, para reconocer los principios básicos y el marco general de la actuación para el control y la
El alcance contempla las entradas, actividades y salidas que genera el proceso (esto permite identificar los puntos criticos que
Un activo es cualquier elemento que tenga valor para la organización, sin embargo, en el contexto de seguridad digital, son ac
-Servicios web
-Redes
-Información física o digital
-Tecnologías de información TI
-Tecnologías de operación TO que utiliza la organización para funcionar en el entorno digital
Identificación del riesgo: se podrán identificar los siguientes tres (3) riesgos inherentes de seguridad de la información:
Pérdida de la confidencialidad
Pérdida de la integridad
Pérdida de la disponibilidad
Para cada riesgo se deben asociar el grupo de activos, o activos específicos del proceso, y conjuntamente analizar las posibles
materialización.
Guia Vulnerabilidades
Guia Amenazas
a vulnerabilidad no causa daños por sí misma, ya que representa únicamente una debilidad de un activo o un control, para que la vulnerab
Una vulnerabilidad que no tiene una amenaza puede no requerir la implementación de un control.
La descripción del riesgo debe contener todos los detalles que sean necesarios y que sea fácil de entender tanto para el líder d
propone una estructura que facilita su redacción y claridad que inicia con la frase POSIBILIDAD DE y se analizan los siguientes a
1
Probabilidad
2
Se analiza qué tan posible es que ocurra el riesgo, se
expresa en términos de frecuencia o factibilidad,
donde frecuencia implica analizar el número de 3
eventos en un periodo determinado.
4
Nivel
1
Impacto
5
El riesgo identificado ha presentado eventos
históricos?
1. Responsable:
2. Periocidad:
3. Proposito:
5. Observaciones y desviaciones:
6. Evidencia:
Automático: 25%
Peso (valor porcentual que indica la Guía de
administración del riesgo DAFP) Manual: 15%
Probabilidad:
Es la multiplicación de la
Probabilidad inherente % y la
Es IMPORTANTE tener en cuenta la valoración calificación del control %;
asignada a en los atributos de los controles: posteriormente se resta a la
Probabilidad inherente el resultado
*Tipo (preventivo, detectivo y correctivo). de la multiplicación anterior.
Reducir, evitar o compartir el riesgo: Si el nivel de riesgo residual se ubica en riesgo ALTA o EXTREMA
Acciones desarrolladas del plan de acción: Se mencionan las actividades que generaron evidencia para el cumplimiento del pl
Avance del indicador: De acuerdo al indicador planteado en el Tratamiento del riesgo, se reporta el avance del mismo durante
Evidencia: Todo soporte que repose en el DRIVE o pagina de web de la entidad.
Observaciones: Las que considere la primera línea de defensa para tener en cuenta en el siguiente cuatrimestre (modificacion
Se menciona el cumplimiento o
incumplimiento de las acciones del
Desempeño del control= # eventos materializados / plan de acción frente al reporte que
frecuencia del riesgo (# veces que se hace la actividad) realiza la primera línea de defensa en
cada cuatrimestre.
Redactar la lección aprendida para ser socializada y divulgada al interior de la entidad, con el
propósito de evitar la reincidencia de la materialización del riesgo.
Mencionar todos los gestores que participan en la elaboración del registro de incidente.
Código:
Versión:
Fecha:
1) Políticos
2) Sociales y culturales
3) Legales y reglamentarios
4) Tecnológicos
5) Financieros
6) Económicos
to permite identificar los puntos criticos que tiene el proceso y en donde indetificar los peligros)
o, en el contexto de seguridad digital, son activos elementos tales como: -Aplicaciones de la organización.
rno digital
oceso, y conjuntamente analizar las posibles amenazas y vulnerabilidades que podrían causar su
un activo o un control, para que la vulnerabilidad pueda causar daño, es necesario que una amenaza
ntrol.
ue sea fácil de entender tanto para el líder del proceso como para personas ajenas al proceso. Se
POSIBILIDAD DE y se analizan los siguientes aspectos.
de fraude
fraude, por personas
actuaciones ajenas a comisión
irregulares, la organización (no participa
de hechos delictivospersonal
abuso dedeconfianza,
la entidad).
apropiación indebida,
ciones legales o internas de la entidad en las cuales está involucrado por lo menos 1 participante interno
alizadas de forma intencional
ware, telecomunicaciones, y/o con ánimo
interrupción de lucrobásicos.
de servicios para sí mismo o para terceros.
ciones contrarias a las leyes o acuerdos de empleo, salud o seguridad, del pago de demandas por daños
ación.
ntarias de las obligaciones frente a los usuarios y que impiden satisfacer una obligación profesional
víos de los activos fijos por desastres naturales u otros riesgos/eventos externos como atentados,
.
Frecuencia
La actividad que conlleva el riesgo se ejecuta como máximos 2 veces por año.
La actividad que conlleva el riesgo se ejecuta mínimo 500 veces al año y máximo 5000 veces
por año.
La actividad que conlleva el riesgo se ejecuta más de 5000 veces por año.
Afectación Económica
Entre 10 y 50 SMLMV
ecta que algo ocurre y devuelve el proceso a los controles preventivos Atacan la probabilidad de
des de procesamiento o validación de información que se ejecutan por un sistema y/o aplicativo de
ntervención de personas para su realización.
Impacto:
**Cuando se asigna un control de TIPO Correctivo este es el único que permite modificar el
impacto.
RADA
go ALTA o EXTREMA
Tolerancia del riesgo: es el valor de la máxima desviación admisible del nivel de riesgo con
respecto al valor del apetito de riesgo determinado por la entidad.
eraron evidencia para el cumplimiento del plan de acción durante el cuatrimestre en vigencia.
esgo, se reporta el avance del mismo durante el cuatrimestre en vigencia.
rializo el riesgo.
rialización del riesgo.
ente.
PM02-MR-005
1
8/31/2021
Calculo de probabilidad Probabilidad %
Baja 40%
Media 60%
Alta 80%
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.9
1.10
1.11
1.12
1.13
1.14
1.15
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
2.10
2.11
2.12
2.13
2.14
2.15
2.16
2.17
2. Procesos
2.18
2.19
2.20
2.21
2.22
2.23
2.24
2.25
2.26
2.27
2.28
2.29
2.30
2.31
2.32
2.33
2.34
3.1
3.2
3.3
3.4
3.5
3. Infraestructura 3.6
Física /Activo
Hardware 3.7
3.8
3.9
3.10
3.11
3.12
4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
4.10
4.11
4.12
4.13
4.14
4.15
4.16
4.17
4.18
4. Sistemas de 4.19
Información,
Servicios 4.20
informáticos,
Información 4.21
4.22
4.23
4.24
4.25
4.26
4.27
4.28
4.29
4.30
4.31
4.32
4.33
4.34
4.35
4.36
4.37
4.38
4.39
5.1
5.2
5.3
5.4
5.5
5. Hardware 5.6
5.7
5.8
5.9
5.10
5.11
VULNERABILIDADES MÁS COMUNES DE LOS ACTIVOS
CAUSAS
Desconocimiento de las políticas para el buen uso de los activos de información (Red, Correo,
Internet, Sistemas de Información, Chat, Redes Sociales, etc.).
Falta de integrar la seguridad de la información en todas las fases de la gestión del proyecto.
Falta de la autorización por parte del titular para el tratamiento de los datos personales.
Ausencia de un proceso formal para la revisión periódica de los permisos de acceso de los
usuarios.
Ausencia de documentación de los puertos que utilizan los sistemas de información o servicios
informáticos.
Falta de integrar la seguridad de la información durante todo el ciclo de vida de los sistemas.
Falta o fallas de sincronización de los relojes de los sistemas de procesamiento de información.
Ausencia de sistemas redundantes (Alta Disponibilidad), que permita dar una respuesta más
rápida en eventos de falla.
Arquitectura de red de datos sin cumplir con los requerimientos de seguridad de la información.
Obsolescencia tecnológica.
1.9
2.1
2.2
2.3
2.4
2.5
2.6
2. Infraestructura Física 2.7
2.8
2.9
2.10
2.11
2.12
2.13
2.14
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3. Sistemas de Información/Servicios
3.8
informáticos/Información
3.9
3.10
3.11
3.12
3.13
3.14
3.15
3.16
4.1
4.2
4.3
4.4
4. Hardware
4.5
4.6
4.7
AMENAZAS MÁS COMUNES
AMENAZAS
Sobrecarga laboral.
Ingeniería social.
Coacción.
Sabotaje.
Errores humanos en el cumplimiento de las labores.
Acciones fraudulentas
Entrega indebida de la información.
Modificación indebida de la información.
Situaciones administrativas durante la relación laboral (incapacidades,
vacaciones, muerte, licencias).
Contaminación, Polvo, Corrosión.
Fallas de electricidad.
Señales de interferencia.
Daño en instalaciones físicas.
Fallas en el aire acondicionado.
Fallas en las UPS.
Fallas en la planta eléctrica.
Desastres naturales.
Incendio.
Inundación.
Asonada/Conmoción civil / Terrorismo/Vandalismo.
Desastre accidental.
Daño en componentes tecnológicos
Ataque informático para acceder a información reservada o clasificada.
Ataque informático para modificar datos.
Ingeniería social.
Interceptación de información.
Cifrado no autorizado de la información por malware o acción mal
intencionada.
Corrupción de los datos por fallas en el software.
Suplantación de usuarios.
Abuso de privilegios.
Elevación de privilegios.
Exposición de información confidencial y de uso interno por errores de
configuración.
Malware / software malicioso.
Denegación de servicios.
Alteración de la información
Divulgación de la información
Uso indebido de la información
Uso no autorizado de la información
Fallas en los componentes de hardware.
Falla de medios de respaldo y recuperación.
Fallas en el aire acondicionado.
Uso de equipos no autorizados como piñas, videocámaras, y grabadoras
entre otros.
Hurto de equipos, medios magnéticos o documentos.
Fallas en el suministro de energía eléctrica
Acceso a información confidencial y de uso interno desde componentes
tecnológicos reciclados o desechados.
ANEXO A - NTC-ISO-IEC 27001:2013
ID ID Objetivo de
Dominio Objetivo de Control ID Control
Dominio Control
Política de Seguridad de la A.5.1.1
A.5 Política de Seguridad A.5.1
Información A.5.1.2
A.6.1.1
A.6.1.2
Organización de la A.6.1 Organización interna A.6.1.3
A.6 Seguridad de la A.6.1.4
Información A.6.1.5
Dispositivos móviles y A.6.2.1
A.6.2
teletrabajo A.6.2.2
A.7.1.1
A.7.1 Antes de asumir el empleo
A.7.1.2
A.7.2.1
Seguridad de los Durante la ejecución del
A.7 A.7.2 A.7.2.2
Recursos Humanos empleo
A.7.2.3
Terminación o cambio de
A.7.3 A.7.3.1
empleo
A.8.1.1
A.8.1.2
A.8.1 Responsabilidad por los activos
A.8.1.3
A.8.1.4
A.8.2.1
A.8 Gestión de Activos
A:8.2 Clasificación de la información A.8.2.2
A.8.2.3
A.8.3.1
A.8.3 Manejo de Medios A.8.3.2
A.8.3.3
Requisitos del Negocio para A.9.1.1
A.9.1
Control de Acceso A.9.1.2
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2 Gestión de acceso de usuarios
A.9.2.4
A.9.2.5
A.9 Control de Acceso A.9.2.6
Responsabilidades de los
A.9.3 A.9.3.1
usuarios
A.9.4.1
A.9.4.2
Control de Acceso a Sistemas y
A.9.4 A.9.4.3
Aplicaciones
A.9.4.4
A.9.4.5
A.10.1.1
A.10 Criptografía A.10.1 Controles Criptográficos
A.10.1.2
A.11.1.1
A.11.1.2
A.11.1.3
A.11.1 Áreas Seguras
A.11.1.4
A.11.1.5
A.11.1.6
A.11.2.1
Seguridad Física y del
A.11 A.11.2.2
Entorno
A.11.2.3
A.11.2.4
A-11.2 Equipos A.11.2.5
A.11.2.6
A.11.2.7
A.11.2.8
A.11.2.9
A.12.1.1
Procedimientos Operacionales A.12.1.2
A.12.1
y Responsabilidades A.12.1.3
A.12.1.4
Protección Contra Códigos
A.12.2 A.12.2.1
Maliciosos
A.12.3 Copias de Respaldo A.12.3.1
A.12.4.1
Seguridad de las A.12.4.2
A.12 A.12.4 Registro y Seguimiento
Operaciones A.12.4.3
A.12.4.4
Control de Software
A12.5 A.12.5.1
Operacional
Gestión de la Vulnerabilidad A.12.6.1
A.12.6
Técnica A.12.6.2
Consideraciones sobre
A.12.7 Auditorias de Sistemas de A.12.7.1
Información
A.13.1.1
Gestión de la Seguridad de las
A.13.1 A.13.1.2
Redes
A.13.1.3
Seguridad de las
A.13 A.13.2.1
Comunicaciones
A.13.2.2
A.13.2 Transferencia de Información
A.13.2.3
A.13.2.4
A.14.1.1
Requisitos de seguridad de los
A.14.1 A.14.1.2
sistemas de información
A.14.1.3
A.14.2.1
A.14.2.2
Adquisición, A.14.2.3
A.14 Mantenimiento y A.14.2.4
Desarrollo de Sistemas Seguridad en los procesos de
A.14.2 A.14.2.5
desarrollo y soporte
Adquisición,
A.14 Mantenimiento y
Desarrollo de Sistemas Seguridad en los procesos de
A.14.2
desarrollo y soporte
A.14.2.6
A.14.2.7
A.14.2.8
A.14.2.9
A.14.3 Datos de prueba A.14.3.1
Seguridad de la información en A.15.1.1
A.15.1 las relaciones con los A.15.1.2
Relaciones con los proveedores
A.15 A.15.1.3
Proveedores
Gestión de la prestación de A.15.2.1
A.15.2
servicios de proveedores A.15.2.2
A.16.1.1
A.16.1.2
Gestión de Incidentes Gestión de incidentes y A.16.1.3
A.16 de Seguridad de la A.16.1 mejoras en la seguridad de la A.16.1.4
Información información A.16.1.5
A.16.1.6
A.16.1.7
A.17.1.1
Aspectos de Seguridad Continuidad de Seguridad de la A.17.1.2
de la Información de la A.17.1
A.17 Información
Gestión de Continuidad A.17.1.3
de Negocio
A.17.2 Redundancias A.17.2.1
A.18.1.1
A.18.1.2
Cumplimiento de requisitos
A.18.1 A.18.1.3
legales y contractuales
A.18.1.4
A.18 Cumplimiento
A.18.1.5
A.18.2.1
Revisiones de seguridad de la
A.18.2 A.18.2.2
información
A.18.2.3
NTC-ISO-IEC 27001:2013
Control
A.13.1.1-Controles de redes
A.13.1.2-Seguridad de los servicios de red.
A.13.1.3-Separación en las redes
A.13.2.1-Políticas y procedimientos de transferencia de información
A.13.2.2-Acuerdos sobre transferencia de información
A.13.2.3-Mensajes electrónicos
A.13.2.4-Acuerdos de confidencialidad o de no divulgación
A.14.1.1-Análisis y especificación de requisitos de seguridad de la información
A.14.1.2-Seguridad de servicios de las aplicaciones en redes públicas
A.14.1.3-Protección de transacciones de servicios de aplicaciones
A.14.2.1-Política de desarrollo seguro
A.14.2.2-Procedimientos de control de cambios en sistemas
A.14.2.3-Revisión técnica de aplicaciones después de cambios en la plataforma de
operaciones
A.14.2.4-Restricciones en los cambios a los paquetes de software
A.14.2.5-Principios de construcción de los sistemas seguros
A.14.2.6-Ambiente de desarrollo seguro
A.14.2.7-Desarrollo contratado externamente
A.14.2.8-Pruebas de seguridad de sistemas
A.14.2.9-Prueba de aceptación de sistemas
A.14.3.1-Protección de datos de prueba
A.15.1.1-Política de seguridad de la información para las relaciones con proveedores
A.15.1.2-Tratamiento de la seguridad dentro de los acuerdos con proveedores
A.15.1.3-Cadena de suministro de tecnología de información y comunicación
A.15.2.1-Seguimiento y revisión de los servicios de los proveedores
A.15.2.2-Gestión de cambios a los servicios de los proveedores
A.16.1.1-Responsabilidades y procedimientos
A.16.1.2-Reporte de eventos de seguridad de la información
A.16.1.3-Reporte de debilidades de seguridad de la información
A.16.1.4-Evaluación de eventos de seguridad de la información y decisiones sobre ellos.
A.16.1.5-Respuesta a incidentes de seguridad de la información
A.16.1.6-Aprendizaje obtenido de los incidentes de seguridad de la información
A.16.1.7-Recolección de evidencia
A.17.1.1-Planificación de la continuidad de la seguridad de la información
A.17.1.2-Implementación de la continuidad de la seguridad de la información
A.17.1.3-Verificación, revisión y evaluación de la continuidad de la seguridad de la información
A.17.2.1-Disponibilidad de instalaciones de procesamiento de información
A.18.1.1-Identificación de la legislación aplicable y de los requisitos contractuales
A.18.1.2-Derechos de propiedad intelectual
A.18.1.3-Protección de registros
A.18.1.4-Privacidad y protección de información de datos personales
A.18.1.5-Reglamentación de controles criptográficos
A.18.2.1-Revisión independiente de la seguridad de la información
A.18.2.2-Cumplimiento con las políticas y normas de seguridad
A.18.2.3-Revisión del cumplimiento técnico