Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ENTIDAD EVALUADA
FECHAS DE EVALUACIÓN
CONTACTO
ELABORADO POR
EVALUACIÓN DE EFECTIVIDA
Evaluación de Efectividad de controles
No.
DOMINIO
AVANCE PHVA
Año
Año % de Avance
COMPONENTE Actual
Entidad
Planificación 5%
Implementación 2%
2020
Evaluación de desempeño 0%
Mejora continua 0%
TOTAL 7%
NIVEL DE
CUMPLIMIENTO
NIVELES DE MADUREZ DEL MODELO DE
Inicial SUFICIENTE
SEGURIDAD Y PRIVACIDAD DE LA
Repetible INTERMEDIO
INFORMACIÓN
Definido INTERMEDIO
Administrado CRÍTICO
Optimizado CRÍTICO
Area TI
21-Sep-22
604 3841090
Analista de gestion de riesgos
40 100 REPETIBLE
20 100 INICIAL
36 100 REPETIBLE
VA
AVANCE CICLO DE FUNCIONAMIENT
DEL MODELO DE OPERACIÓN
100%
20%
80%
20%
AVANCE CICLO DE FUNCIONAMIENT
DEL MODELO DE OPERACIÓN
% Avance Esperado 100%
20%
80%
40% 20%
20%
60%
20%
20% 20%
100% 40%
20% 40%
0%
2%
5%
0%
% de Avance Actual Entidad % Avance Esper
Planificación Implementación
Evaluación de desempeño Mejora continua
2 10
11 21
29 42
46 59
51 60
DETECTAR
100
IDENTIFICAR
50
RESPONDER PROTEGER
RECUPERAR
O DE FUNCIONAMIENTO
DELO DE OPERACIÓN
20%
20%
O DE FUNCIONAMIENTO
DELO DE OPERACIÓN
20%
20%
20%
40%
n Implementación
de desempeño Mejora continua
Area TI
ENTIDAD EVALUADA
Area TI
FUNCIONARIO
Area TI
ENTIDAD EVALUADA
Tipo Entidad
Misión
Análisis de Contexto
Mapa de Procesos
Organigrama
Area TI
TIPOS DE ENTIDAD
DATOS BASICOS
De orden nacional
descripción
PREGUNTAS
La protección de la información de los beneficiarios desde el punto de vista de la confidencialidad y la integridad.
ternos que son necesarios para cumplir su propósito y que afectan su capacidad para
se de IMPLEMENTACIÓN
o y aprobado por la alta Dirección.
a Dirección.
se de EVALUACIÓN DE DESEMPEÑO
l MSPI, revisado y aprobado por la alta Dirección.
establecido en el plan de auditorías, revisado y aprobado por la alta Dirección.
riesgos, revisado y aprobado por la alta Dirección.
se de MEJORA CONTINUA
revisado y aprobado por la alta Dirección.
el plan de auditorías, revisado y aprobado por la alta dirección y verifique como se
se subsanen, para asegurar la mejora continua.
Total
# total de procesos # de procesos definidos en el alcance avance por
procesos
20 5 25%
TIPOS DE ENTIDAD
dad y la integridad.
OBSERVACIONES
Documento de la política de
AD.1.1 Responsable de SI seguridad y privacidad de la
Información
ORGANIZACIÓN DE LA
A2 Responsable de SI SEGURIDAD DE LA
INFORMACIÓN
Separación de deberes /
AD.2.1.2 Responsable de SI
tareas
AD.2.1.3 Responsable de SI Contacto con las autoridades.
Dispositivos Móviles y
AD.2.2 Responsable de SI
Teletrabajo
Política para dispositivos
AD.2.2.1 Responsable de SI
móviles
AD.2.2.2 Responsable de TICs Teletrabajo
Responsable de SI/Gestión
SEGURIDAD DE LOS
AD.3 Humana/Líderes de los procesos RECURSOS HUMANOS
Terminación y cambio de
AD.3.2.4 Responsable de SI
empleo
Terminación o cambio de
AD.3.2.5 Responsable de SI
responsabilidades de empleo
AD.3.2.6
AD.3.2.7 Responsable de SI GESTIÓN DE ACTIVOS
Responsabilidad de los
AD.3.2.8 Responsable de SI
activos
AD.3.2.9 Responsable de SI Inventario de activos
Area TI
Componente planificación y
Orientación de la dirección para gestión de la seguridad de A.5 modelo de madurez nivel
la información gestionado
A.7
Proteger los intereses de la Entidad como parte del proceso Modelo de Madurez
A.7.3
de cambio o terminación de empleo. Definido
A.8
A.8.2.2
Evitar la divulgación, la modificación, el retiro o la A.8.2.3
destrucción no autorizados de la información almacenada A.8.3
en los medios. A.8.3.1
A.8.3.2
A.8.3.3
Area TI
CIBERSEGURIDAD PRUEBA
PR.DS-5
De acuerdo a la NIST los contratistas deben estar coordinados y
alineados con los roles y responsabilidades de seguridad de la
información.
Indague y solicite evidencia del como la dirección se asegura de
que los empleados y contratistas:
a) Estén debidamente informados sobre sus roles y
responsabilidades de seguridad de la información, antes de que se
les otorgue el acceso a información o sistemas de información
confidenciales.
b) Se les suministren las directrices que establecen las
ID.GV-2 expectativas de seguridad de la información de sus roles dentro de
la Entidad.
c) Logren un nivel de toma de conciencia sobre seguridad de la
información pertinente a sus roles y responsabilidades dentro de
la organización y estén motivados para cumplir con las políticas.
d) Tengan continuamente las habilidades y calificaciones
apropiadas y reciban capacitación en forma regular.
e) Cuenten con un canal para reporte anónimo de incumplimiento
de las políticas o procedimientos de seguridad de la información
(“denuncias internas”).
Entreviste a los líderes de los procesos y pregúnteles que saben
sobre la seguridad de la información, cuales son sus
responsabilidades y como aplican la seguridad de la información
en su diario trabajo.
Pregunte como se asegura que los funcionarios, Directores,
Gerentes y contratistas tomen conciencia en seguridad de la
información, alineado con las responsabilidades, políticas y
procedimientos existentes en la Entidad.
Solicite el documento con el plan de comunicación, sensibilización
y capacitación, con los respectivos soportes, revisado y aprobado
por la alta Dirección. Verifique que se han tenido en cuenta
buenas prácticas como:
40
20
20
80
40
40
80
0
40
80
40
0
27
20
0
20
40
40
20
20
20
20
38
60
40
20
20
20
20
20
20
20
33
60
20
20
40
20
20
20
20
60
60
20
20
20
20
20
20
n/a
20
20
20
20
20
20
20
RECOMENDACIÓN
CONTROL DE ACCESO
Responsable de
T.1 SI/Responsable de TICs CONTROL DE ACCESO
Responsable
SEGURIDAD FÍSICA de la
Y DEL ENTORNO
T.3 seguridad SEGURIDAD FÍSICA Y DEL Prevenir el acceso físico no
física/Responsable de ENTORNO autorizado, el daño y la interferencia
Responsable
SI/Líderes de de
loslaprocesos ÁREAS SEGURAS
T.3.1 a la información y a las instalaciones
seguridad física
de procesamiento de información de
la organización.
Se debe definir y usar perímetros de
seguridad, y usarlos para proteger
Responsable de la
T.3.1.1 Perímetro de seguridad física áreas que contengan información
seguridad física
sensible o crítica, e instalaciones de
manejo de información.
Mantener la seguridad de la
TRANSFERENCIA DE información transferida dentro de
T.5.2 Responsable de TICs
INFORMACIÓN una organización y con cualquier
entidad externa.
Se debe contar con políticas,
procedimientos y controles de
Políticas y procedimientos de transferencia formales para proteger
T.5.2.1 Responsable de TICs
transferencia de información la transferencia de información
mediante el uso de todo tipo de
instalaciones de comunicación.
Area TI
Componente
planificación y
A.9 modelo de madurez
nivel gestionado
Modelo de madurez
A.9.1
definido
A.9.1.1 PR.DS-5
PR.AC-4
A.9.1.2 PR.DS-5
PR.PT-3
Modelo de madurez
A.9.2 gestionado
cuantitativamente
A.9.2.1 PR.AC-1
A.9.2.2 PR.AC-1
PR.AC-4
A.9.2.3
PR.DS-5
A.9.2.4 PR.AC-1
A.9.2.5
A.9.2.6
Modelo de madurez
A.9.3
definido
A.9.3.1 PR.AC-1
Modelo de madurez
A.9.4 gestionado
cuantitativamente
PR.AC-4
A.9.4.1 PR.DS-5
A.9.4.2 PR.AC-1
A.9.4.3 PR.AC-1
PR.AC-4
A.9.4.4
PR.DS-5
A.9.4.5 PR.DS-5
A.10.1.1
A.10.1.2
A.11
Modelo de madurez
A.11.1
definido
A.11.1.1 PR.AC-2
PR.AC-2
A.11.1.2
PR.MA-1
A.11.1.3
ID.BE-5
A.11.1.4 PR.AC-2
A.11.1.5 PR.IP-5
Componente planeación
A.11.1.6 PR.AC-2
A.11.2 Modelo de madurez
definido
A.11.2.1 PR.IP-5
ID.BE-4
A.11.2.2
PR.IP-5
ID.BE-4
A.11.2.3 PR.AC-2
PR.IP-5
A.11.2.5 PR.MA-1
A.11.2.6 ID.AM-4
PR.DS-3
A.11.2.7
PR.IP-6
A.11.2.8
A.11.2.9 PR.PT-2
A.12
PR.IP-1
A.12.1.2
PR.IP-3
A.12.1.3 ID.BE-4
A.12.1.4 PR.DS-7
A.12.2
PR.DS-6
A.12.2.1 Modelo de madurez DE.CM-4
gestionado
RS.MI-2
Modelo de madurez
A.12.3
gestionado
PR.DS-4
A.12.3.1
PR.IP-4
Modelo de madurez
A.12.4 gestionado
cuantitativamente
Modelo de madurez PR.PT-1
A.12.4.1 gestionado DE.CM-3
cuantitativamente RS.AN-1
A.12.4.2 PR.PT-1
PR.PT-1
A.12.4.3
RS.AN-1
A.12.4.4 PR.PT-1
Modelo de madurez
A.12.5 definido
PR.DS-6
PR.IP-1
A.12.5.1
PR.IP-3
DE.CM-5
Modelo de madurez
A.12.6
gestionado
ID.RA-1
ID.RA-5
A.12.6.1 PR.IP-12
DE.CM-8
RS.MI-3
PR.IP-1
A.12.6.2
PR.IP-3
Modelo de madurez
A.12.7 gestionado
cuantitativamente
A.12.7.1
A.13
Modelo de madurez
A.13.1
definido
PR.AC-3
PR.AC-5
A.13.1.1
PR.DS-2
PR.PT-4
A.13.1.2
PR.AC-5
A.13.1.3
PR.DS-5
Modelo de madurez
A.13.2
definido
ID.AM-3
PR.AC-5
PR.AC-3
A.13.2.1
PR.DS-2
PR.DS-5
PR.PT-4
A.13.2.2
PR.DS-2
A.13.2.3
PR.DS-5
A.13.2.4 PR.DS-5
A.14
Modelo de madurez
A.14.1 definido
A.14.1.1 PR.IP-2
PR.DS-2
A.14.1.2 PR.DS-5
PR.DS-6
PR.DS-2
A.14.1.3
PR.DS-5
PR.DS-6
Modelo de madurez
A.14.2
definido
A.14.2.1 PR.IP-2
A.14.2.2 PR.IP-1
PR.IP-3
A.14.2.3 PR.IP-1
A.14.2.4 PR.IP-1
A.14.2.5 PR.IP-2
A.14.2.6
A.14.2.7 Modelo de madurez DE.CM-6
A.14.2.8 gestionado DE.DP-3
A.14.2.9 cuantitativamente
Modelo de madurez
A.14.3
definido
A.14.3.1
A.16
A.16.1 PR.IP-9
A.16.1.1 DE.AE-2
RS.CO-1
Modelo de madurez
A.16.1.2 DE.DP-4
definido
Modelo de madurez
A.16.1.3 RS.CO-2
definido RS.RP-1
DE.AE-2
A.16.1.4 Madurez
Modelo de Inicial
madurez RS.AN-1
RS.AN-4
A.16.1.5 gestionado
Modelo de madurez RS.MI-2
DE.DP-5
A.16.1.6 cuantitativamente
Modelo de madurez
gestionado RC.RP-1
RS.AN-2
gestionado
cuantitativamente RC.RP-1
RS.IM-1
A.16.1.7 RS.AN-3
Modelo de madurez
definido
N DE LA LINEA BASE DE SEGURIDAD ADMINISTRATIVA Y TÉCNICA
EVANTAMIENTO DE INFORMACIÓN
Area TI
PRUEBA EVIDENCIA
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
40
40
40
40
50
40
60
60
0
60
40
20
60
60
60
60
60
60
60
60
40
49
30
20
20
20
60
20
20
60
60
55
60
60
40
60
60
60
60
60
60
60
60
40
40
40
40
40
40
40
40
40
40
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
RECOMENDACIÓN
Se debe crear una politica de control de acceso que cumpla con los requisitos
de la empresa y de la seguridad de la informacion.
Se debe crear una politica que describa el uso y/o manejo para tener
autorizacion para el acceso a las redes y servicios de la red
COMPONENTE ID CARGO
P.1 Responsable SI
PLANIFICACIÓN
PLANIFICACIÓN
P.2
P.3 Calidad
P.4 Responsable SI
P.5 Responsable SI
P.6 Responsable SI
P.8 Responsable SI
P.9 Responsable SI
PROMEDIO
ÓN DE IMPLEMENTACIÓN
I.1 Responsable SI
I.2 n/a
I.3 Responsable SI
I.4 Responsable SI
PROMEDIO
EVALUACI
DESEMPE
E.1 Responsable SI
ÑO
M.1 Responsable SI
A
ITEM DESCRIPCIÓN
Alcande MSPI (Modelo de Seguridad y Privacidad Se debe determinar los límites y la aplicabilidad del SGSI
de la Información) para establecer su alcance.
Se debe definir un conjunto de políticas para la
Políticas de seguridad y privacidad de la seguridad de la información aprobada por la dirección,
información publicada y comunicada a los empleados y a la partes
externas pertinentes
Area TI
PRUEBA
Solicite el documento del alcance que debe estar apobado, socializado al interior de la
Entidad, por la alta dirección.
Determine si en la definición del alcance se consideraró:
1) Aspectos internos y externos referidos en el 4.1.:
La Entidad debe determinar los aspectos externos e internos que son necesarios para
cumplir su propósito y que afectan su capacidad para lograr los resultados previstos en
el SGSI. Nota. La terminación de estos aspectos hace referencia a establecer el contexto
interno y externo de la empresa, referencia a la norma ISO 31000:2009 en el apartado
5.3.
2) Los requisitos referidos en 4.2.:
a. Se debe determinar las partes interesadas que son pertinentes al SGSI.
b. Se debe determinar los requisitos de las partes interesadas.
Nota. Los requisitos pueden incluir los requisitos legales y de reglamentación y las
obligaciones contractuales.
3) Las interfaces y dependencias entre las actividades realizadas y las que realizan otras
entidades del gobierno nacional o entidades exteriores
Solicite la política de seguridad de la información de la entidad y evalúe:
a) Si se definen los objetivos, alcance de la política
b) Si esta se encuentra alineada con la estrategia y objetivos de la entidad
c) Si fue debidamente aprobada y socializada al interior de la entidad por la alta
dirección
Revise si la política:
a)Define que es seguridad de la información
b) La asignación de las responsabilidades generales y específicas para la gestión de la
seguridad de la información, a roles definidos;
c) Los procesos para manejar las desviaciones y las excepciones.
Indague sobre los responsables designados formalmente por la dirección para
desarrollar, actualizar y revisar las políticas.
Verifique cada cuanto o bajo que circunstancias se revisan y actualizan, verifique la
ultima fecha de emisión de la política frente a la fecha actual y que cambios a sufrido,
por lo menos debe haber una revisión anual.
Para la calificación tenga en cuenta que:
1) Si se empiezan a definir las políticas de seguridad y privacidad de la información
basada en el Modelo de Seguridad y Privacidad de la Información, están en 20.
2) Si se revisan y se aprueban las políticas de seguridad y privacidad de la información, ,
están en 40.
3) Si se divulgan las políticas de seguridad y privacidad de la información, están en 60.
Entreviste a los líderes de los procesos y pregúnteles que saben sobre la seguridad de la
información, cuales son sus responsabilidades y como aplican la seguridad de la
información en su diario trabajo.
Solicite
Pregunte Formatos
como sede procesos
asegura queylos procedimienos
funcionarios,debidamente
Directores, Gerentes definidos,y contratistas
establecidos y
aprobados por el comité que integre los sistemas
tomen conciencia en seguridad de la información, alineado con las responsabilidades, de gestión institucional, por ejemplo
el sistema
Solicite
políticas el de
acto calidad
1) Solicitey aprocedimientos SGC.
administrativo
la entidad la metodología a través
existentes en del cual se
la Entidad.
y criterios de riesgo de seguridad, aprobadodel
crea o se modifica las funciones por la
Verifique:
Solicite
comité
Solicite el
el inventario
gestión
documento
alta Dirección que incluya: de
institucional activos
con el (ó e
plande
que
deinformación,
haga sus
comunicación, revisado
veces), y aprobado
en donde
sensibilización por la alta
se incluyan
y capacitación,los temasconde
1)
los Cómo
Dirección
seguridad seyde
respectivos
1. Criterios controla
revise:
de laAceptación
soportes, su distribución,
información deen
revisado Riesgos acceso,
la entidad,
y aprobado
o toleranciarecuperación
revisado
por allayriesgo
aprobado
alta yque
usohan
Dirección. por Verifique
la alta
sido Dirección.
que se han
informados por
2)
1) Cómo
Ultima
Revise
tenido
1)
la Solicite
alta la sevezalmacena
enestructura
cuentaque
el plan de
Dirección. se del
buenas y se
actualizó
SGSI: asegura
prácticasdecomo:
tratamiento su preservación
riesgos y la declaración de aplicabilidad verifique
3)
2)
1)
que: Cómoseñale
Que
Tiene
2. Criterios seSGSI
el controlan
para bajo algún
suficiente
realizar losevaluaciones
cambios
criterio
apoyo de la importancia
la dealtariesgos. del activo
dirección?, esto se ve reflejado en comités
3)
donde
a)
a. SeQue señale
se
Desarrollar discutan
seleccionaron el propietario
campañas,temas
opciones como del
elaborar activo
la política
folletospara
apropiadas de SI, los
y boletines. riesgos
tratar los riesgos, o incidentes.
teniendo en cuenta los
Indague
2)
b) Están
Los
resultados quien(es)
claramente
planes
2) Solicite los de toma
de resultados el(los)
definidos
la evaluación de encargado(s)
los
conciencia
de de roles
las riesgos. y de
y actualizar
responsabilidades
comunicación, y
evaluaciones de riesgos y establezca:revisar
de las el inventario
ypolíticas
asignados de activos
de aseguridad
personal ycony
cada
las
b. Se cuanto
competencias
privacidad de
determinaron se la realiza todosesta
requeridas?,
información, losrevisión.
están
controles aprobados
necesarios
a. Cuantas evaluaciones repetidas de riesgos se han realizado y que sus resultados y documentados,
para implementar por la
las alta Dirección
opciones
De
3)
c) acuerdo
Están
Verifique
escogidas
consistentes, a válidos
que
para NIST
identificadas
elnuevosseylosdeben
tratamiento empleados
comparables.considerar
responsables y como
y contratistas
de riesgos. activos
responsabilidades el personal,
son objeto para la dispositivos,
protección de
de sensibilización sistemas
enlos
SI.
eactivos?
d)
c. instalaciones
Indague
b. Compare
Que (Una
se hayancada físicas
práctica
cuanto
los controles que
común
identificado permitenes
odeterminados
conlos que a
nombrar la
criterios
riesgos entidad
en un
seplan
el
asociados cumplir
propietario
actualizan
de con
para
la los
contratamiento su misión
cada
programas
pérdida con
de activo,
lalosy objetivos,
dedelquien
toma dedada
Anexo
confidencialidad, Ay
su
de importancia
entonces
conciencia.
verifique
integridad que y ydese
se convierte
no riesgos estratégicos.
hanenomitidos
el responsable
disponibilidad controles,
de de su protección)
si estos
la información han sido
dentro delomitidos
alcance.se debe reflejar
Tenga
4)Estan
e) en
c. Verifique
en cuenta
definidas
la declaración
Que se que en
hayan para
laslas
de laevidencias
calificación:
responsabilidades
aplicabilidad.
identificado se puede
los dueños para la gestión
de establecer
los riesgos.losdel asistentes
riesgo de SI al yprograma
la aceptacióny el de
1)
tema
d. Siriesgos
Que Se
losRevise identifican
impartido.
se la residuales?
Declaración
hayan en forma
analizado delos general
riesgoslos
Aplicabilidad es activos
que tenga
decir: de información
los controlesde la Entidad,
necesarios están en
y la
40.
5)
f) Estan definidos
Incluir
justificación
- Evaluado enlas los las yexclusiones,
temas documentados
deconsecuencias de toma(impacto) de losque
ya conciencia
sea niveles
se los deprocedimientos
autorización?
implementen
potenciales o no ybásicos
si se materializan los de
la justificación seguridad
riesgos para
2)
6)
de
las Si
Se
la se cuenta
cuenta
información
exclusiones
identificados con con un un
de (tales inventario
presupuesto
como eldel
los controles de activos
formalmente
reporte de
AnexodeA,incidentesinformación
asignado
y que hayadesido física
aseguridad
las y lógica
actividades
revisado dey la de
del toda
SGSIla
información)
aprobado (porlay
por
entidad,
ejemplo
los
alta controlesdocumentado
campañas
Dirección.
- Evaluado de línea de basey firmado
sensibilización
(tales por
como la
en alta
la dirección,
seguridad
seguridad
la probabilidad realista de que ocurran los riesgos identificados dede están
la en
información)
las 60.
contraseñas, los controles del
3)
e. Si
softwarese
Revise revisa
que y
malicioso,
el monitorean
plan
- Determinado los niveles de riesgo.y los
de periódicamente
escritorios
tratamiento limpios).
de riesgoslos activos
haya sido de información
revisado y de
aprobado la entidad,
por la alta
están
g)
Dirección.
e. Que en
se80.
De acuerdo hayan a NIST
evaluadoverifique que losesfuncionarios
los riesgos decir: con roles privilegiados entienden sus
responsabilidades
f. Revise que exista
- Comparado yuna
roles.
los resultados aceptación
del análisisde los deriesgos
riesgosresiduales
con los criteriospor parte de los dueños de
definidos
Para
los la calificación
riesgos.
- Priorizado los riesgos tenga en cuentapara
analizados que:el tratamiento de riesgos.
Solicite y evalue el documento con la estrategia de planificación y control operacional,
revisado y aprobado por la alta Dirección.
N/A
Solicite los Indicadores de gestión del MSPI definidos, revisados y aprobados por la alta
Dirección.
componente planificación
componente planificación
componente planificación
componente planificación
ID.RA-5 componente planificación
ID.RM-1
ID.RA-6 componente planificación
Modelo de Seguridad y
ID.RM-2
ID.RM-1
ID.RM-3 Privacidad de la Información,
ID.RM-2
componente
componente planificación
planificación
ID.RM-3
componente implementación
componente implementación N/A
componente implementación
componente implementación
NIVEL DE CUMPLIMIENTO
PHVA RECOMENDACIÓN
0
Crear politicas, publicarlas y
20
cumplirlas
0
9 1.8
0
0
0 0
0
se tiene conocimiento de la
0 normatividad pero no se encuentra
0 documentado ni establecido 0
ENTIDAD EVALUADA
ID REQUISITO CARGO
R1 n/a
R2 n/a
R3 n/a
R4 n/a
R5 Responsable de SI
R6 n/a
R7 n/a
R8 n/a
R10 n/a
R11 n/a
R12 n/a
R13 n/a
R14 n/a
R15 n/a
R16 n/a
R17 n/a
R18 n/a
R19 n/a
R20 n/a
R21 n/a
R22 n/a
R23 n/a
R24 n/a
R25 n/a
R26 n/a
R27 n/a
R28 n/a
R29 n/a
R30 n/a
R31 n/a
R32 n/a
R33 n/a
R34 n/a
R35 n/a
R36 n/a
R37 n/a
Responsable de
R38 compras y
adquisiciones
Responsable de
R39 compras y
adquisiciones
R40 n/a
R41 n/a
R42 n/a
R43 n/a
R44 n/a
R45 n/a
R46 n/a
R47 n/a
R48 n/a
R49 n/a
R50 n/a
R51 n/a
R52 n/a
R53 n/a
DE MADUREZ GESTIONADO CUANTITATIVAMENTE
R55 n/a
LIMITE DE MADUREZ OPTIMIZADO
INSTRUMENTO
REQUISITO HOJA
Determinar el impacto que generan los eventos que atenten contra la integridad, Técnicas
disponibilidad y confidencialidad de la información de la Entidad.
Con base en el inventario de activos de información clasificado, se establece la
Madurez
caracterización de cada uno de los sistemas de información.
Identificar los riesgos asociados con la información, físicos, lógicos, identificando PHVA
sus vulnerabilidades y amenazas.
PHVA
Se utilizan indicadores de cumplimiento para establecer si las políticas de
seguridad y privacidad de la información y las clausulas establecidas por la PHVA
organización en los contratos de trabajo, son acatadas PHVA
Se realizan pruebas
correctamente. de manera
Se deben sistemática
generar informesadel
losdesempeño
controles, para
de ladeterminar si
operación del
están funcionando de manera adecuada. Se deben generar informes del PHVA
MSPI, con la medición de los indicadores de gestión definidos.
desempeño de la operación del MSPI, con la revisión y verificación continua de PHVA
los controles implementados. También se generan informes de auditorías de
Administrativas
acuerdo a lo establecido en el plan de auditorías de la entidad.
Se realizan pruebas de efectividad en la Entidad, para detectar vulnerabilidades
(físicas, lógicas y humanas) y accesos no autorizados a activos de información
críticos.
1) Se realizan pruebas y ventanas de mantenimiento (simulacro), para
determinar la efectividad de los planes de respuesta de incidentes, es 60.
Técnicas
2) Si La Entidad aprende continuamente sobre los incidentes de seguridad
presentados, es 80.
Se realizan pruebas a las aplicaciones o software desarrollado “in house” para
determinar que cumplen con los requisitos de seguridad y privacidad de la Técnicas
información
Area TI
AD.3.2.2 20 20 CUMPLE
P.1 0 20 MENOR
AD.1.1 20 20 CUMPLE
P.4 40 20 MAYOR
R5 100 20 MAYOR
AD.1.1 20 20 CUMPLE
P.1 0 60 MENOR
T.7.1.4 20 20 CUMPLE
R9 40 N/A N/A
#N/A 0
#N/A 0
I.5 #N/A N/A N/A
E.1 0 N/A N/A
E.2 0 N/A N/A
E.3 0 N/A N/A
M.1 0 N/A N/A
AD.6.2 #N/A N/A N/A
T.7.1.6 20 N/A N/A
T.6.2.8 20 N/A N/A
CUMPLIMIENTO
NIVEL 2 NIVEL GESTIONADO NIVEL 3
GESTIONADO DEFINIDO
60 #N/A 60
40 #N/A 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 CUMPLE 60
40 MAYOR 60
40 MENOR 60
60 MENOR 60
40 MENOR 60
60 MENOR 60
40 MENOR 60
40 MENOR 60
40 #N/A 60
40 #N/A 60
40 CUMPLE 60
40 MAYOR 60
40 MENOR 60
40 MAYOR 60
40 MAYOR 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
0 660
N/A N/A N/A
N/A N/A N/A
N/A N/A N/A
N/A N/A N/A
N/A N/A N/A
N/A N/A N/A
N/A N/A N/A
N/A N/A N/A
CUMPLIMIENTO
CUMPLIMIENTO NIVEL 4 NIVEL 4
NIVEL DEFINIDO GESTIONADO GESTIONADO
CUANTITATIVAMENTE CUANTITATIVAMENTE
#N/A 80 #N/A
#N/A 80 #N/A
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MAYOR 80 MAYOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 60 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
#N/A 80 #N/A
#N/A 80 #N/A
MENOR 80 MENOR
MAYOR 80 CUMPLE
MENOR 80 MENOR
CUMPLE 80 MENOR
CUMPLE 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
#N/A 80 #N/A
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
CUMPLE 80 MENOR
MENOR 80 MENOR
CUMPLE 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
#N/A 80 #N/A
#N/A 80 #N/A
#N/A 80 #N/A
MENOR 80 MENOR
N/A 60 CUMPLE
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 CUMPLE
N/A 60 #N/A
660 MENOR
N/A N/A N/A
UADA
CUMPLIMIENTO
NIVEL 5
OPTIMIZADO
NIVEL 5 NIVEL
OPTIMIZADO
GESTIONADO
100 #N/A
CUANTITATIVAMENTE
100 MENOR
100 MENOR
80 MENOR
980 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 #N/A
100 #N/A
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
1100 MENOR
100 MENOR
100 MENOR
100 #N/A
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 #N/A
100 #N/A
100 #N/A
100 MENOR
1100 MENOR
80 #N/A
60 MENOR
60 MENOR
60 MENOR
60 MENOR
60 #N/A
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 #N/A
880 MENOR
60 #N/A
1660 CUMPLE
0
20
40
60
80
100
CUMPLE?
0
0
0
NO ALCANZA NIVEL INICIAL
FTIC-LP-09-15
INSTRUMENTO DE IDENTIFICACIÓN DE LA LINEA BASE DE SEGURIDAD A
HOJA LEVANTAMIENTO DE INFORMACIÓN
Area TI
ENTIDAD EVALUADA
SUBCATEGORIA CONTROL
FUNCIÓN NIST ANEXO A ISO CARGO
NIST
27001
DE.AE-1, DE.AE-3,
DETECTAR n/a Responsable de SI
DE.AE-4, DE.AE-5
Area TI
ENTIDAD EVALUADA
FUNCION CSF
DETECTAR
DETECTAR
IDENTIFICAR
IDENTIFICAR
RESPONDER
RECUPERAR
IDENTIFICAR
RESPONDER
IDENTIFICAR
IDENTIFICAR
RECUPERAR
PROTEGER
DETECTAR
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
DETECTAR
RESPONDER
PROTEGER
PROTEGER
RESPONDER
RESPONDER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
DETECTAR
RESPONDER
PROTEGER
PROTEGER
PROTEGER
DETECTAR
RESPONDER
PROTEGER
PROTEGER
RESPONDER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
DETECTAR
IDENTIFICAR
IDENTIFICAR
PROTEGER
DETECTAR
RESPONDER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
DETECTAR
DETECTAR
PROTEGER
DETECTAR
RESPONDER
DETECTAR
RESPONDER
DETECTAR
RESPONDER
RESPONDER
RESPONDER
RESPONDER
RECUPERAR
DETECTAR
RESPONDER
RESPONDER
RESPONDER
IDENTIFICAR
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
IDENTIFICAR
PROTEGER
DETECTAR
PROTEGER
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
PROTEGER
PROTEGER
DETECTAR