Declaración Aplicabilidad 27001-2013

DECLARACION DE AP
GTI010-PRC10 SEGU
G
TÚ E
N° CONTROL DOMINIO-CONTROL CONTROL APLICADO
POLÍTICAS DE
5 SEGURIDAD DE LA
INFORMACIÓN
Orientación de la
dirección para la
5.1 gestión de la
seguridad de la
información.
Políticas para la La CGN cuenta con la Política de seguridad de la

1 5.1.1 seguridad de la información y el Manual de seguridad de la información, los
información. cuales fueron aprobados por la Alta dirección, publicadas y
comunicadas
En a los servidores
el GIT de Informática públicos , separadas
se encuentran colaboradores y
las líneas
partes
de externas
trabajo pertinentes desarrollo, pruebas y
(infraestructura,
planeación)
Revisión de las políticas Se cuenta con organigrama (Documento solo para uso
2 5.1.2 de seguridad de la interno del proceso - Este organigrama no es oficial)
información.
Definido en el manual
La CGN proporciona de seguridad,
a los en el anumeral
usuarios acceso 10.1.
los diferentes
Revisióndedeinformación,
activos la Política y el
se Manual de Políticas
realiza unica y exclusivamente
ORGANIZACIÓN DE LA bajo registro de usuario por medio del dominio de la
6. SEGURIDAD DE LA entidad, de igual forma la creación de usuarios solo se
INFORMACIÓN. realiza si se solicita formalmente la creación de usuario por
medio de un
La entidad formato autorizado
actualmente por cada
se encuentra coordinador
inscrita de
en los grupos
grupo interno de trabajo, en cumplimiento
de respuesta a emergencia COLcert - Csirt Ponal a la politica de
6.1 Organización interna. seguridad de la entidad. El proceso gestion TICs cuenta con
Roles y los
El formatos
Plan GTI010-FOR02
de contingencia
Integracion del comité de SOLICITUD
detalla algunos
seguridad DE CUENTAS
denumeros de DEen el
la información
USUARIO
responsabilidades para contacto
sistema de INSTITUCIONAL
con las autoridades
gestion y GTI010-FOR03
y desempeñocompetentes CREACIÓN
y personal
- Resolución 193 delDE19
3 6.1.1
la seguridad de la USUARIOS
encargado. APLICATIVO CHIP, GTI010-FOR04 SOLICITUD DE
de junio 2019
información. CUENTAS DE USUARIO INSTITUCIONAL -VPN
4 6.1.2 Separación de deberes. Se menciona en el flujograma de Gestión de incidente del
procedimiento de seguridad de la información para incluir
el reporte de incidentes a estos grupos de contacto y
autoridades competentes
Contacto con las Se menciona en el numeral 10.4. Contacto con Autoridades

5 6.1.3
autoridades. y Grupos de interés del manual de seguridad
El GIT cuenta con documento que contienen los contactos

con autoridades y grupos de interes especial.
La entidad esta inscrita en los grupos de respuesta a
emergencias ciberneticas de colombia (CCP - CSIRT),
Contacto con grupos de ademas cuenta el contanto ColCERT. Los integrantes del
6 6.1.4
especial interés. grupo interno
En el GIT de seguridad
se adopta de la CGN
este control, hanque
puesto asistido y
la seguridad
participado en foros, capacitaciones y eventos de
de la Información se debe tratar en la gestión de losseguridad
de la información.
proyectos, independientemente del tipo de proyecto o
naturaleza del mismo
Se menciona en
Metodología el numeral
proyectos 10.4. Contacto con Autoridades
- TIC-GDP-MPY-FAS0-FACT-TIC-GDP-
yMPY-FAS0-FACT-MatrizRiesgosProyecto
Grupos de interés del manual de seguridad
El GIT cuenta
Definido en elcon documento
numeral 2.1 delque contienen
formato los contactos
GTI04-FOR02 -
con autoridades
FORMATO y grupos de interes
DE ESPECIFICACIONES especial.TIC-PLG-CJU-
TECNICAS,
2020-C-PREC-Anexo Matriz de Riesgo donde se menciona
Seguridad de la las especificaciones de seguridad informatica de producto
7 6.1.5 información en la y/o servicio
gestión de proyectos.
6.2 Disposistivos móviles

y teletrabajo
Política para dispositivos Se contempla en el manual de seguridad de la información

8 6.2.1
móviles. en el numeral 10.6.1 Política de dispositivos móviles, puesto
que se debe adoptar las medidas necesarias de seguridad
de soporte, para gestionar los riesgos introducidos por el
uso de estos dispositivos
la información en el numeral 10.6.2, alineada con lo
9 6.2.2 Teletrabajo establecido en la Resolución 224 de 2022 de la CGN.
7. SEGURIDAD DE LOS
RECURSOS HUMANOS.
Antes de asumir el
7.1 empleo
La CGN adopta este control, puesto que se realiza la
revision de documentos precontractuales, verificaciones de
10 7.1.1 Selección. los antecedentes de todos los candidatos al empleo se deba
llevan a cabo de acuerdo con las leyes, reglamentaciones y
ética pertinentes, y deben ser proporcionales a los
requisitos de la entidad, a la clasificación de la información
y sistemas a los que se va a tener acceso
Actuamente se cumple con los lineamientos que establece

la ley 80 de 1993 , ley 1150 de 2007 y decreto
reglamentario 1082 de 2015 - Estas normas se aplican para
la contratacciòn.
Este control se cumple puesto que actualmente todo el

personal de la CGN sea funcionario de planta, contratista o
Términos y condiciones proveedor deben firmar un acuerdo de confidencialidad
11 7.1.2
del empleo. donde se menciona la responsabilidad y aceptación de
terminos y condiciones relativos a la seguridad de la
información.
Se establece tambien en los contratos naturales en la

clausula segunda Obligaciones, literal B) Obligaciones
generales del contratista y cláusula vigésima sexta
Confidencialidad. En los contratos juridicos se menciona en
la cláusula vigésima tercera.- confidencialidad y Cláusula
segunda. – obligaciones, literal a) obligaciones específicas
item 2: Requisitos conexos aplicables a este servicio
7.2 Durante la ejecución

del empleo.
entidad
Responsabilidades de la
12 7.2.1
dirección.
El GIT de apoyo informatico realiza regularmente
Toma de conciencia, sensibilizacion mediante tips de seguridad proyectados en
educación y formación el portal de intranet, correo electronicos, wallpaper en los
13 7.2.2
en la seguridad de la equipos de los servidores públicos.
información.
En ocasiones se utiliza el espacio con la que cuenta nuestro
proceso en la revista virtual de la CGN el cual permite la
publicación de temas relacionados con seguridad de
información y generalidades de la misma.
Se generan espacios de sensibilizacion de seguridad de la

información en las jornadas de inducción y reinducción por
parte del GIT de Planeación.
La CGN actuará de acuerdo a las normas y Leyes

pertinentes en caso de alguna violación de la seguridad. Se
encuentra definido en el numeral 7. Cumplimiento del
14 7.2.3 Proceso disciplinario. Manual de seguridad.
Los procesos disciplinarios en la Contaduría General de la

Nación se llevan a cabo de acuerdo con la Ley 1952 de
2019). (Código Único Disciplinario), por parte de Secretaria
General.
Terminación y cambio
7.3 de empleo
Este control se aplica con el procedimiento que se realiza a

través de la administración de las cuentas de usuario y las
Terminación o cambio clausulas estipuladas en las obligaciones del contratista en
15 7.3.1 de responsabilidades de términos de Confidencialidad
empleo.
Se da cumplimiento con el reporte de las Novedades
(Vacaciones, terminación del empleo, cambio de
responsabilidades, etc) desde el GIT de gestión humana
para personal de planta) y el GIT de gestión administrativa
para los contratistas para los casos que procedan
8. GESTIÓN DE ACTIVOS.
Responsabilidad por
8.1 los activos.
procedimiento GTI-PRC11 - ADMINISTRACIÓN DE ACTIVOS
DE TIC
16 8.1.1 Inventario de activos.
DE TIC
16 8.1.1 Inventario de activos.
Se cuenta con un documento controlado, el formato GTI11-

17 8.1.2 Propiedad de los activos. FOR01 - Registro detallado de activos TI del proceso de
Gestión Tics, donde se visualiza el listado de equipos,
impresoras, portatiles, licencias, aplicaciones, identificado
propietario actual del activo y otras caracteristicas
Uso aceptable de los Los activos de información de la entidad son recursos que
18 8.1.3
activos. deben utilizarse para el cumplimiento de las funciones de
los empleados y estan bajo su responsabilidad
Definido en el numeral 10.14. Política de uso de los

Recursos de Información del Manual de seguridad
Una vez finalizado la relacion contractual o uso del activo,

su propietario o custodio debe devolverlo a la entidad
cumpliendo los procedimientos establecidos para la
19 8.1.4 Devolución de activos. devolución de los activos que se menciona en los
procedimientos GAD-PRC02 - TRASLADO DE ELEMENTOS
ENTRE SERVIDORES PÚBLICOS Y/O CONTRATISTAS y los
formatos GAD02-FOR01 - TRASLADO DE ELEMENTOS
DEVOLUTIVOS - GAD05-FOR01 FORMATO DE PAZ Y SALVO
POR DESVINCULACIÓN O TERMINACIÓN DE CONTRATO que
pertenencen al proceso Gestion administrativa.
Este control se define en el numeral 10.13. Política de

Acceso a los recursos de información literales i) j) del
Manual de seguridad informática.
Clasificación de la
8.2
información.
Clasificación de la Se menciona en el numeral 10.10 literal b. y c Gestión de

20 8.2.1
información. Activos del Manual de seguridad y numeral 10.30 literal a.
b.
cony d
elPolítica de Confidencialidad
instructivo de la Información.
Gestión de Activos_TIC donde se
especifican los criterios de etiquetado.
Etiquetado de la
21 8.2.2
información. En la actualidad, se encuentran etiquetados los activos de
manera digital en el formato PI28-FOR01- Gestión de
activos de información
El manejo adecuado de los activos se especifica en el
procedimiento gestión de activos de información de
22 8.2.3 Manejo de activos. acuerdo a los responsables.
8.3 Manejo de medios

La entidad prohíbe el uso de dispositivos extraíbles salvo
para los casos de la alta dirección y usuarios con
Gestión de medios autorización expresa de los lideres de proceso.
23 8.3.1
removibles.
El GIT de informatica cuenta con la politica GTI010-POL04 -
POLÍTICA PARA EL USO DE MEDIOS REMOVIBLES, BORRADO
SEGURO Y DISPOSICIÓN DE MEDIOS.
Para dar cumplimiento al adecuado procedimiento se
cuenta con el instructivo de borrado seguro (GTI010-INS01)
El GIT de apoyo informática cuenta con la politica GTI010-

Disposición de los POL04 - POLÍTICA PARA EL USO DE MEDIOS REMOVIBLES,
24 8.3.2
medios. BORRADO SEGURO Y DISPOSICIÓN DE MEDIOS.
Con el fin de dar cumplimiento con el adecuado

procedimiento se cuenta con el instructivo de borrado
seguro (GTI010-INS01)
Transferencia de medios Se hace mencion en el manual de seguridad de la

25 8.3.3
físicos. información numeral 10.35. Política de respaldo de datos
del manual de seguridad de la información.
9. CONTROL DE ACCESO
Requisitos del negocio
9.1 para control de
acceso.
Definido en el manual de seguridad de la información
Política de control de Numeral 10.38. Política de Control de Acceso
26 9.1.1
acceso.
Este requisito tambien se tiene en cuenta en el flujograma
del procedimiento de seguridad de la información del
control de acceso a sistemas de informacion y
administracion de usuarios y contraseñas,
Se cuenta con los formatos GTI010-FOR02 Solicitud de

cuentas de usuario institucional, GTI010-FOR03 Creacion de
ususarios aplicativo CHIP y GTI010-FOR04 - Solicitud de
cuentas de usuario institucional - VPN
Este control se aplica puesto que se asigna bajo la

autorización de un supervisor el acceso de los usuarios a la
red, es necesario controlar estos accesos, cuidando que
cada persona acceda exclusivamente a aquella información
a la que se le ha concedido permiso. Los permisos de acceso
Acceso a redes y a a las redes y servicios de red se evidencian en el registro de
27 9.1.2
servicios en red. los formatos establecidos, estos accesos se auditan
periodicamente
Definido en el literal c) del numeral 10.13. Política de

Acceso a los recursos de información del manual de
seguridad y en el flujograma Seguridad de Redes,
Comunciaciones y servicios de TI del procedimiento de
seguridad de la información
Se cuenta con los formatos GTI010-FOR02 Solicitud de

cuentas de usuario institucional - VPN , ademas de la
politica de acceso a la VPN y el procolo de conexion
Gestión de acceso a
9.2
usuarios.
Se controla con la implementación de un proceso formal de
registro y de cancelación de registro de usuarios, para
posibilitar la asignación de los derechos de acceso, para ello
Registro y cancelación se cuenta con formato GTI010-FOR02 Solicitud de cuentas
28 |
del registro de usuarios. de usuario institucional, el cual permite la creacion,
eliminacion, modificacion y habilitacion de usuario para
conceder los permisos a cada una de los cuentas que
debera tener acceso durante el periodo contractual, hace
parte del proceso de Gestiòn TICs y el formato GAD05-
FOR01 - Paz y salvo por desvinculación o terminación de
contrato del proceso Gestión Administrativa
Se controla con los procedimientos que realizan los

procesos de gestion humana y administrativa reportando al
GIT de Informatica las novedades de los funcionarios de
planta y contratistas, con el fin de tomar las acciones segun
el caso (GTH-PRC17 - GAD-PRC21)
Se controla con la implementación de un proceso formal de

registro de usuarios, para posibilitar la asignación de los
derechos de acceso, para ello se cuenta con 3 formatos
Suministro de acceso de TICS GTI010-FOR02 - Solicitud de Cuentas de Usuario
29 9.2.2
usuarios. Institucional. GTI010-FOR03 Creación de usuarios aplicativo
CHIP GTI010-FOR04 Solicitud de Cuentas de Usuario
Institucional - VPN que hacen parte del proceso de Gestiòn
TICs
Se implementa tambien el procedimiento que realiza el

GIT de talento humano (GTH-PRC17 - GAD-PRC21)
reportando al GIT de Informatica las novedades de los
funcionarios de planta y contratistas, con el fin de tomar
las acciones segun el caso
Para todos los activos inventariados tanto físicos como
virtuales, es necesario establecer niveles de permiso según
los perfiles y privilegios del usuario. El procedimiento para
Gestión de derechos de la asignación y el uso de privilegios de acceso se establece
30 9.2.3
acceso privilegiado. a traves del registro de los datos del usuario en los
formatos que se establecen en el procedimiento para ello
se cuenta con los formatos GTI010-FOR02 Solicitud de
cuentas de usuario institucional - VPN , ademas de la
politica de acceso a la VPN y el procolo de conexion
Tambien se encuentra definido en el literal a) del numeral

10.12. Política de Gestió de acceso a usuarios del manual de
Para garantizar la confidencialidad de la información es
necesario adoptar acciones que permitan
controlar la asignación de credenciales de acceso a los
diferentes activos o sistemas de informacion que manejan
en la entidad, para ello se cuenta con los formatos de
creación de cuenta a los usuarios a traves de los formatos
GTI010-FOR02 Solicitud de cuentas de usuario institucional,
GTI010-FOR03 Creacion de ususarios aplicativo CHIP y
Gestión de información GTI010-FOR04 - Solicitud de cuentas de usuario
31 9.2.4 de autenticación secreta institucional - VPN - Los administradores de las cuentas de
de usuarios. usuario ( BDME - CHIP - ORFEO - DOMINIO, etc) dara al
usuario una clave temporal la cual se deberá cambiar al
realizar el primer ingreso a cada plataforma. En el caso del
CHIP el sistema envia al correo del usuario una contraseña
alfanumerica
Se cuenta con el documento del acuerdo de

confidencialidad, el cual debe ser diligenciado por todos los
funcionarios de la entidad o cualquier persona que tenga
una relacion contractual, ademas de la cláusula que se
encuentra inmerso en todos los contratos
Se define en el numeral 10.12 Gestión de acceso a

usuarios del manual de seguridad de la informacion
Revisión de los derechos Definido en el numeral 10.38. Política de Control de Acceso

32 9.2.5
de acceso de usuarios. literal g) en el cual se define que la revisión se realizará cada
6 meses y se tendra como soporte el reporte de novedades
de personal por parte de Gestión Humana y Secretaria
General GTH-PRC17 Y GAD-PRC17 Vrs el cumplimiento de
los formatos GTI010-FOR02, GTI010-FOR03, GTI010-FOR04
El proceso de talento humano y el de gestión administrativa
informa al GIT de Apoyo Informático las novedades del
personal de planta y contratista (vacaciones, renuncia,
incapacidades, licencias, etc). Se evidencia mediante la
apertura de un servicio en Service Desk que restrinja el
Retiro o ajuste de los acceso a los diferentes servicios de correo, dominio,
33 9.2.6
derechos de acceso. aplicativos, etc por el periodo de tiempo de la novedad
(GAD-PRC21 - GTH-PRC17), se encuentra definido en el
numeral 10.38 Política de control de acceso literal d) del
manual de seguridad.
Se cuenta con el formato GAD05-FOR01 - Formato de paz

y salvo por desvinculacion o terminacion de contrato que
hace parte del proceso de gestion administrativa
La CGN proporciona el formato GAD-PRC02 - Traslado de

Elementos entre Servidores Públicos y/o Contratistas, el
cual debe ser diligencia desde el incio de contrato hasta su
finalización
Este requisito tambien se tiene en cuenta en el flujograma

del Control de acceso a sistemas de información del
procedimiento de seguridad de la información y en el
manual de seguridad de la informacion
9.3 Resposabilidades de
los usuarios.
Uso de información Definido en el numeral 10.19. Política de Administración de

34 9.3.1 secreta para la Contraseñas del Manual de Seguridad de la información.
autenticación.
El GIT de apoyo informatico ha realizado sensibilizaciones
en seguridad de la información, los cuales han incluido
temas relacionados con el manejo de contraseñas y el uso
adecuado que debe tener
Control de acceso a
9.4 sistemas y
aplicaciones.
Restricción de acceso a Definido en los literales e), f) del numeral 10.38 Política de
35 9.4.1
la información. Control de Acceso del Manual de seguridad.
Las restricciones de acceso están definidas de acuerdo a
cada perfil y a lo que se especifica en los formatos GTI010-
FOR02, GTI010-FOR03, GTI010-FOR04
Definido en el numeral 10.38. Política de Control de Acceso

del Manual de Seguridad. Ingreso seguro de las
aplicaciones, autenticación al dominio, autenticación a los
sistemas de información y en el flujograma del
Procedimiento de procedimiento de seguridad de la información, Seguridad
36 9.4.2
ingreso seguro. fisica y del entorno. Las restricciones de acceso están
definidas de acuerdo a cada perfil.
Tambien se define en el numeral 10.36. Política de Acceso

logico
En los servidores se visualiza el last login y desde que IP se

realizo la conexion, ademas se puede realizar la verificación
de los intentos fallidos o exitosos de ingreso al sistema
A traves del Firewall se determina cualquier evento de

intrusion de la seguridad en los sistemas de la CGN
Despues de un tiempo de no uso de los sistemas de

informacion y aplicaciones de la entidad el tiempo de
conexion caduca, lo que hace que usuario ingrese
nuevamente con sus credenciales
El Proceso Gestión Tics cuenta con el documento GTI02-

Sistema de gestión de POL01 - Politica de Administración de Usuarios y/o
37 9.4.3
contraseñas. Contraseñas
Se menciona en el numeral 10.19. Política de

Administración de Contraseñas del manual de seguridad de
la información
Actualmente la CGN no permite el uso de programas
utilitarios a sus usuarios, sin embargo en ocasiones se
Uso de programas hacen algunas excepciones y se realizan solamente con la
38 9.4.4
utilitarios privilegiados. autorizacion del coordinador del GIT de informatica y son
acciones que solo realiza el personal de soporte en
actividades como : Tareas de mantenimiento, Revisión de
software, Recuperar Datos Perdidos, Eliminar software
malicioso, etc.
Definido en el literal d) del numeral 10.14. Política de uso

de los Recursos de Información del manual de seguridad
Control de acceso a Actuamente se cuenta con el SW Subversion

39 9.4.5 códigos fuente de svn://172.18.89.17/chip - en pandora\ - Solo tienen acceso
programas. los desarrolladores y se manejan perfiles de acceso
Existe un software o repositorio de códigos fuente de las

aplicaciones que permite llevar versionamiento, accesos y
publicación de las aplicaciones (Aplicativos free NEXUS -
librerias de aplicativos, HUDSON - Generación de Versión
SONAR - Verifica errores en codigo fuente - calidad de
software en Base de Datos SQL, SVN - repositorio de codigo
fuente, instalado en el servidor PANDORA)
10. CRIPTOGRAFÍA
Controles
10.1 criptográficos
Definido en el numeral 10.20. Política de criptografía y
llaves criptográficas del Manual de Seguridad
En la contaduria se asegura el cifrado de las contraseñas en

los desarrollos internos de los sistemas de información
( CHIP, BDME, Aplicativo WEB, SchipWeb, etc)
Política sobre el uso de Se cuenta con certificacion SSL para la pagina del CHIP y el
40 10.1.1
controles criptográficos. dominio contaduria.gov.co y token de autenicacion para
algunos procedimientos que se realizan en otros GITs de la
CGN ( Administrativa, SIIF)
Para las conexiones remotas utilizamos VPN IPsec que

consta de una suite de protocolos diseñados para
autenticar y cifrar todo el tráfico de IP entre dos
ubicaciones, permite que los datos fiables pasen a través de
redes
El correo de la CGN utiliza la encriptación estándar TLS, el

cual es un protocolo de cifrado para el envío de mensajes
de forma segura, tanto si son entrantes como salientes.
Ayuda a prevenir el espionaje entre servidores de correo
electrónico y mantiene la privacidad de los mensajes
mientras se transfieren de un proveedor de correo a otro.
Definido en el numeral 10.20 " Política de criptografía y

41 10.1.2 Gestión de llaves. llaves criptográficas" del Manual de seguridad.
Se cuenta con un certificado de servidor seguro SSL para la

pagina del CHIP y el dominio contaduria.gov.co, Token de
acceso el cual genera una llave dinamica para el acceso, 10
licencias de encripción de datos para dispositivos externos
(USB -DD) de la SUITE DE SEGURIDAD ANTIVIRUS - ESET
ENDPOINT SECURITY
SEGURIDAD FÍSICA Y
11.
DEL ENTORNO
11.1 Áreas seguras.
El perímetro del centro de computo está ubicado en el piso
15 de la Calle 26 No. 69 - 76 Edificio Elemento Torre 1
(Aire) Bogotá D.C, en el primer piso se realiza la solicitud de
ingreso.
Perímetro de seguridad Actualmente las areas de procesamiento de información se
42 11.1.1
física encuentran protegidas por alarmas, bitacora de acceso, lo
cual está definido en el numeral 10. 22 literal a) del manual
de seguridad, adicional, se cuentan con la señalizacion de
acceso solo a personal autorizado. La salida de emergencia
del centro de computo cuenta con alarma que se puede
activar fuera del area en mención. También se encuentra
en el flujograma de seguridad física y del entorno.
La entidad cuenta con una area de recepcion en el piso 15

que esta integrado por funcionarios de la CGN, ademas hay
personal de vigilancia en el edificio, quienes controlan el
ingreso a las diferentes oficinas de la torre.
El piso 15 cuentan con una puerta de acceso a las

instalaciones, donde los servidores publicos y
colaboradores deben utilizar tarjetas de proximidad para el
ingreso
Se cuenta con un funcionario quien es el administrador del
datacenter, el cual permite el ingreso al centro de computo
del personal responsable de los componentes o elementos
que se encuentran en esta area segura, asi mismo las
personas ajenas al area es decir proveedores que requieran
ingresar al Datacenter deben registrarse en el formato
GTI02-FOR01 Bitácora Plataforma tecnológica
Controles de acceso Tambien se define en el numeral 10.37 Política de Acceso
43 11.1.2
físico. Físico del Manual de Seguridad
En el piso quince se encuentra el area de recepcion que se

encargan de dar acceso a todo el personal externo que
ingresa a la entidad, ademas se toma registro y se
suministra carnet de visitante con su respectivo codigo y
ficha de brigada de emergencia , mismo que debe portar en
un lugar visible.
La entidad cuenta cuenta con software llamado DataPark

donde se registra ingreso de visitantes, se registran algunos
datos como nombre, apellido, cedula, registro fotografico,
fecha y hora de entrada y salida, se encuentra definido en
el numeral 10.21 del manual de seguridad.
Todos los funcionarios externos e internos cuentan con

identificacion, se debe portar carnet institucional y carnet
de visitante de manera obligatoria y en un lugar visible.
En las areas de procesamiento de información existen

Seguridad de oficinas, restrinciones de acceso a personal no autorizado, definido
44 11.1.3
recintos e instalaciones. en los numerales 10.21 y 10.37 del Manual de seguridad.
El GIT cuenta con el directorio telefonico de los

funcionarios responsables de cada uno de los recursos
tecnologicos de la entidad
La CGN cuenta con una herramienta de monitoreo que
Protección contra vigila los equipos (hardware), aplicaciones (software), y
45 11.1.4 amenazas externas y servicios que se especifiquen, alertando cuando el
ambientales. comportamiento de los mismos no sea el deseado o se haya
efectuado algun cambio.
La CGN esta respaldada por el firewall el cual genera

alarmas sobre cualquier instrusion que se pueda realizar a
los sistemas o a la red a traves de ataques maliciosos
El area de gestion administrativa informa que la entidad

cuenta con un seguro de desastres con las aplicaciones
normales a estos casos que son imprevistos. Adicional se
cuenta con extintores en las diferentes áreas y DC.
Se cuenta con control de acceso al centro de computo. El

acceso de terceras partes debe ser autorizado y se deben
Trabajo en áreas registrar los datos en la planilla de ingreso GTI02-FOR01-
46 11.1.5
seguras. Bitácora plataforma tecnológica. Adicionalmente se
archivan mensualmente.
Los trabajos y actividades dentro del centro computo por

proveedores son supervisados por lider del area o persona
encargada del componente. Ademas se deja registro del
procedimiento realizado en el formato GTI02-FOR01-
Bitácora plataforma tecnológica y demas documentacion
que sea suministrada por el proveedor (orden de servicio,
formato, observacion)
Áreas de despacho y Se define en el numeral 10.23. Áreas de Entrega y Carga del

47 11.1.6
carga. manual de seguridad de la información
Los equipos adquiridos son revisados previamente junto a

la empresa que hace entrega, esto con el fin de verificar
estado fisico y funcionamiento
11.2 Equipos
El centro de computo se encuentra aislado y su ingreso esta
Ubicación y protección controlado mediante lo expresado en el numeral 11.1.2 de
48 11.2.1
de los equipos. este documento. Éste mismo cuenta con un sistema de
refrigeración de alta precisión y no se encuentra expuesto a
efectos químicos o radiación. Existen dos aires
acondicionados, principal y de contingencia distribuidos en
el centro de computo.
Se nombra en el numeral 10.24 "Ubicación y protección de

los equipos" y numeral 10.21 Area seguras
El centro de computo cuenta con un suministro de enegía

sin interrupción (2 UPS de 15 KVA cada una y para usuarios
una de 20 KVA).
49 11.2.2 Servicios de suministro.
Adicionalmente el edificio cuenta con una planta de
suministro eléctrico
Definidio en el numeral 10.25 "servicios de suministro" en

el manual de seguridad
50 11.2.3 Seguridad del cableado.

El cableado en la CGN esta implementado mediante
canaletas para su correcta distribución y así evitar
atenuación o interferencia en la Red, todos los puntos
(datos) se encuentran plenamente identificados.
El mantenimiento de los equipos computo de la entidad

estara a cargo del grupo de soporte de la CGN,
Mantenimiento de
51 11.2.4
equipos. El mantenimiento de los equipo de Datacenter se realizara
a través procesos de contratación externos que efectuan
para dar cumplimiento a este control y asegurar el optimo
funcionamiento de la plataforma
Definido en el numeral 10.27 "mantenimiento de equipos"

del manual de seguridad
Definido en el literal i,j) del numeral 10.13. Política de
Acceso a los recursos de información del Manual de
52 11.2.5 Retiro de activos. seguridad. Existe un formato de retiro de activos (no
incluido en el SGC)
En caso de movimiento de activos en la entidad se

diligencia el formato de traslado GAD-PRC02 - TRASLADO
DE ELEMENTOS ENTRE SERVIDORES PÚBLICOS Y/O
CONTRATISTAS con el encargado de almacén
En caso de retiro de activo de la entidad se cuenta con

formato GTI11-FOR02-Salida y reintegro de elementos.doc
Seguridad de equipos y
53 11.2.6 activos fuera de las
instalaciones.
Definido en el numeral 10.6.1 Política de dispositivos
móviles del Manual de Seguridad
Disposición segura o
54 11.2.7
reutilización de equipos.
Se cuenta con la política de uso de medios removibles,
borrado seguro y disposición medios el cual establece el
procedimiento que se debe realizar para asegurar y
garantizar que la información haya sido manipulada según
lineamientos y directrices de la misma
Definido en el literal a), d) , e) y g) del numeral 10.34

"política de pantalla despejada y escritorio limpio" del
Equipos de usuario Manual de seguridad
55 11.2.8
desatendido.
Se socializa a los usuarios la importancia de implementar
metodos de proteccion como bloqueo de teclas o control
equivalente Win + L
Tambien se tiene configurado en el GPO bloqueo de

pantallas con protector protegido con contraseña
Política de escritorio
56 11.2.9
limpio y pantalla limpia.
Definido en el numeral 10.34 "Política de pantalla

despejada y escritorio limpio" del Manual de seguridad
12. SEGURIDAD DE LAS

OPERACIONES
Procedimientos
12.1 operacionales y
resposabilidades
El proceso Gestión TICS cuenta con un repositorio

documental el cual permite almacenar y centralizar los
Procedimientos de documentos o archivos de forma digital , de tal manera que
57 12.1.1 operación se pueda acceder en cualquier momento. Tambien se utiliza
documentados. en algunos procesos un servidor de archivos que se conoce
como repositorio Pathfinder
Este control se cumple con la documentacion que maneja la

entidad a traves de SIGI en la intranet y guias de operación.
El proceso de gestión TICs documenta los procedimientos

de las actividades operacionales asociadas a la plataforma
tecnológica.
Para dar cumplimiento con este control se cuenta con el
procedimiento GTI-PRC06 PROCEDIMIENTO
58 12.1.2 Gestión de cambios. CERTIFICACIÓN DE SOFTWARE y formatos GTI01-FOR02
ORDEN DE CAMBIO , GTI07-FOR03 DOCUMENTOS
GUIONES DE PRUEBA incluido dentro del SGC, ademas del
flujograma Gestión de cambios tecnologicos del
procedimiento de seguridad de la información.
Adicionalmente se cuenta con el formato GTI02-FOR04 -

Administracion a cambios de TI, donde se registran todos
los cambio que realizan en la plataforma tecnologica y
sistemas de información.
El Git de informática cuenta con: El plan de inversión, plan

de acción y el Plan Estratégico de Tecnología de la
Información (PETI).
59 12.1.3 Gestión de capacidad. Flujograma gestion de la capacidad del procedimiento de
seguridad de la informacion
El encargado de la plataforma de monitoreo Zabbix del GIT

de apoyo reporta con una periodicidad trimestral informe
actualizado de la capacidad de la infraestructura tecnologia
Se cuenta con herramienta de monitoreo zabbix que

permite realizar gestión de la capacidad de los equipos de
infraestructura
El proceso Gestión Tics tiene implementado ambientes que

Separación de los permiten reducir el riesgo de accesos o cambios no
60 12.1.4 ambientes de desarrollo, autorizados en los sistemas de información entre ellos
pruebas y operación. estan: Desarrollo, pruebas, contingencia y produccion.
Se establecen privilegios de usuarios teniendo en cuenta el

perfil y responsabilidades
12.2 Protección contra

códigos maliciosos
Definido en el numeral 10.29 "Control de virus" del Manual
Controles contra códigos de seguridad
61 12.2.1
maliciosos.
Se cuenta con un software de antivirus que permite
implementar controles adecuados para la detenccion ,
prevencion y proteccion contra códigos maliciosos
Se realizan campañas de sensibilización sobre manejo de

amenazas de correos maliciosos y antispam
12.3 Copias de respaldo
Actualmente se cuenta con la política GTI03-POL01

Respaldo de POLÍTICAS DE COPIAS DE RESPALDO y el procedimiento GTI-
62 12.3.1
información. PRC03 PROCEDIMIENTO OPERACIÓN CENTRO DE
COMPUTO, el flujograma copias de respaldo del
procedimiento seguridad de la información
Se meciona en el manual de seguridad de la informacion en

el numeral 10.35 Política de respaldo de datos
La CGN como respaldo genera backups de los servidores de

gestión y de los usuarios a través de la herramienta bacula
12.4 Registro y
seguimiento
Se cuenta con formato GTI010-FOR01 REGISTRO

INCIDENTES SEGURIDAD DE LA INFORMACIÓN, ademas en
63 12.4.1 Registro de eventos. los numerales 10.32. Política de Gestión de Incidentes de
Seguridad de la Información y 10.39. Política de Conflictos
legales del Manual de seguridad.
Se dispone a los usuarios el correo electronico

seguridadinformatica@contaduria.gov.co. para reportar
incidentes de seguridad
La responsabilidad debe ser asumida por el usuario
autorizado para acceder a la información, ya que cada
Protección de la usuario cuenta con un perfil de acuerdo a las actividades y
64 12.4.2
información de registro. tareas que realiza.
Se evidencia a traves de los formatos GTI010-FOR02 -
Solicitud de Cuentas de Usuario Institucional. GTI010-
FOR03 Creación de usuarios aplicativo CHIP GTI010-FOR04
Solicitud de Cuentas de Usuario Institucional - VPN que
hacen parte del proceso de Gestión TICs
Registros del Los registros se pueden reflejar actualmente en los

65 12.4.3 administrador del formatos GTI02-FOR01 Bitacora de la Plataforma
operador. tecnológica", GTI02-FOR04 Admon-cambios -TI, GTI03-
FOR01-Cheklist
Los relojes de todos los sistemas de procesamiento de

información dentro de la organización o del dominio de
Sincronización de seguridad estan sincronizados con una fuente de tiempo
66 12.4.4
relojes. exacta y acordada con NTP.
Para los servidores Windows, se deja dentro de las políticas

para que todos los equipos dentro del dominio se
sincronicen con el NTP del servidor de dominio.
Para los servidores Linux y AIX, se configura el archivo

/etc/ntp.conf para que se sincronice con el servidor de
dominio.
Control de software
12.5 operacional
Definido en el literal d) del numeral 10.14 Política de Uso de

Instalación de software los Recursos de Información, los literales a) y b) del
67 12.5.1
en sistemas operativos. numeral 10.28 Política de Cumplimiento ante
requerimientos legales y contractuales – Derechos de autor
y el literal e) del numeral 10.29 Política de Control de
Virus del manual de seguridad
Los registros se pueden reflejar actualmente en el formato

GTI02-FOR04 Admon-cambios -TI
12.6 Gestión de la
vulnerabilidad técnica
Analisis de vulnerabilidades desde la consola de antivirus
Eset Enpoint, registro de amenazas y vulnerabilidades, se
Gestión de las identifican vulnerabilidades tecnicas desde la herramienta
68 12.6.1 vulnerabilidades perimetral - Fortinet.
técnicas.
Plan de remedicacion y seguimiento de vulnerabilidades
Matriz de riesgos de seguridad de la información el riesgo

No 5. Instalación y uso de software con vulnerabilidades
conocidas en los sistemas operativos de los equipos de
cómputo y servidores de Procedimiento de administración
de la plataforma tecnológico, - Se cuenta con una matriz de
riesgos con su debido plan de tratamiento
Definido en el literal d) del numeral 10.15 Política de Uso de

Restricciones sobre la los Recursos de Información, los literales a) y b) del
69 12.6.2
instalación de software. numeral 10.26 Política de Cumplimiento ante
requerimientos legales y contractuales – Derechos de autor
y el literal e) del numeral 10.27 Política de Control de Virus
del manual de seguridad
Restricciones configuradas en el firewall y en el dominio

windows para descargar software
Consideraciones sobre
12.7 auditorías de sistemas
de información
los grupos de seguridad y de infraestructuran realizan

Controles de auditorías pruebas de vulnerabilidades a algunos servidores de la
70 12.7.1 de sistemas de plataforma tecnologica
información.
La entidad realiza auditorías del sistema programadas. Ha
desarrollado para ello un cronograma para la realización de
auditorías de los sistemas documentado como la ficha de
proceso de auditorías.
SEGURIDAD DE LAS
13.
COMUNICACIONES
13.1 Gestión de la
seguridad de las redes
El administrador de la red realiza un control de trafico y red,

se cuenta con la segmentación de red Revisión y monitoreo
del Firewall, monitoreo canales
71 13.1.1 Controles de redes.
Se establece Política de acceso a la red inalámbrica
Por causa de la pandemia se activaron cuentas de VPN las

cueles fueron asignadas teniendo en cuenta los criterios
de privilegios y de perfiles, adiconial a esto se cuenta con
instructivo y politica
Politica de zona wifi y en el FLUJOGRAMA SEGURIDAD DE

REDES,COMUNICACIONES Y SERVICIOS DE TI del
procedimiento de seguridad de la información, donde se
contemplan los criterios de seguridad en la red
El administrador de red de la CGN identifica los

mecanismos de seguridad registrados en su diagrama de
configuración, las medidas de control utilizada para los
Seguridad de los accesos y trafico de la red a traves del firewall, también
72 13.1.2
servicios de red. mantiene en contacto con los proveedores y verifica los
ANS con peridiocidad
A traves del firewall Fortinet se aplican logging y

seguimiento adecuados para posibilitar el registro y
detección de acciones que pueden afectar, o son
pertinentes a la seguridad de la información
Se realiza el aislamiento de redes mediante VPN, redes,

73 13.1.3 Separación en las redes. segmentación Y VLANs por piso del edificio.
Los segmentos de red de los servidores y equipos usuarios

se encuentran separados - Se cuenta con diagrama de
topologia de la red
Transferencia de
13.2 información
Políticas y
procedimientos de La cgn cuenta con el protocolo de FTPS para los usuarios
74 13.2.1
transferencia de estrategicos
información.
Definido en el numeral 10.40 "Política de transferencia de
información" del manual de seguridad y en el numeral 6 del
instructivo PI28 -INS01 se habla del Métodos de
transferencia
Se realizan campañas a los funcionarios sobre el uso

adecuado de la información para que tome las
precauciones apropiadas de no revelar información
confidencial
Se cuenta con clausula de confidencialidad en los contratos,

ademas del documento del acuerdo de confidencialidad
Acuerdos sobre que es diligenciado y firmado por los proveedores
75 13.2.2 transferencia de
información. Se firman polizas de cumplimiento que permiten tener
garantia
Niveles aceptables que se realizan en el control de acceso y

manejo de la información de acuerdo a la actividad N° 3
Verificar el adecuado manejo de la información del item 7.
CLASIFICACIÓN , ETIQUETADO Y MANEJO DE LA
INFORMACIÓN del procedimiento de gestion de activos.

información" del manual de seguridad
La plataforma de correo de la entidad es Gmail por tal

76 13.2.3 Mensajería electrónica. motivo la seguridad de la misma está controlada de
acuerdo a las políticas y condiciones contractuales del
proveedor.
La mensajería electrónica se protege contra acceso no

autorizado, modificación o denegación del servicio
Se define uso en el literal k) del numeral 10.40 "Política de
transferencia informacion" de acuerdo a la clasificación. Se
requiere su uso en el numeral 10.143"Politica de accesos a
Acuerdos de los recursos de informacion " literal d), e) y f) del Manual
77 13.2.4 confidencialidad o de no de seguridad y numeral 10.30 "Confidencialidad de la
divulgación. información"
La CGN cuenta con el documento acuerdo de

confidencialidad que es diligenciado por proveedores,
contratistas y servidores públicos
Tambien se encuentra registrado en los contratos que se

suscribe la CGN con contratistas y terceros.
ADQUISICIÓN,
14. DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS
Requisitos de
14.1 seguridad de los
sistemas de
información
Mediante reuniones con los desarrolladores y responsables
de los proyectos se establecen los requisitos relacionados
Análisis y especificación con seguridad de la información se deberían incluir en los
de requisitos de requisitos para nuevos sistemas de información,
78 14.1.1
seguridad de la requerimientos que se registran en el documento de
información. especificaciones tecnicas, ademas del diligenciamiento de
los GPS (Guiones de Prueba Seguridad).
Para la adquisición de nuevos sistemas, se requiere

diligenciar en el documento GTI04-FOR02 formato de
especificaciones técnicas el requisito de seguridad en el
item 2.1 ESPECIFICACIONES DE SEGURIDAD INFORMATICA
DE PRODUCTO Y/O SERVICIO, el cual esta incluido dentro
del SGC y pertenece al proceso Gestión Tics
Al firmar la solicitud de cuentas de usuarios se da por

informado de las politicas y el manual de seguridad de la
CGN
Adquision de certificado SSL adquisición, instalación y

Seguridad de servicios configuración de un certificado de servidor seguro ssl tipo
79 14.1.2 de las aplicaciones en ev, para la plataforma de la uae contaduría general de la
redes públicas. nación.
Los servicios de aplicaciones que pasan sobre redes

públicas se protegen mediante protocolos seguros
Protección de La CGN cuenta con un certificado de servidor seguro SSL

transacciones de los para la pagina del CHIP
80 14.1.3
servicios de las
aplicaciones. Ademas el ingreso a los aplicativos y equipos de
almacenamiento se realiza a traves de autenticacion
Seguridad en los
procesos de
14.2
desarrollo y de
soporte
Se cuenta con la politica GTI07-POL01 - POLITICA DE
DESARROLLO Y MANTENIMIENTO DE SOFTWARE, donde se
establece los lineamientos que deben ser aplicados durante
el ciclo de desarrollo
Separación de los ambientes de desarrollo, pruebas y

produccion
Política de desarrollo Este control se realiza a traves del ciclo de vida de
81 14.2.1
seguro. desarrollo, es decir se realiza un proceso formal de
documentación, especificaciones, pruebas, control de
calidad y gestion de la implementacion y se evidencia con
los procedimientos GTI-PRC07 PROCEDIMIENTO
DESARROLLO DE SOFTWARE, GTI-PRC08
PROCEDIMIENTO GENERACIÓN DE VERSIÓN, GTI-PRC09
PROCEDIMIENTO MANTENIMIENTO DE SOFTWARE, GTI-
PRC06 PROCEDIMIENTO CERTIFICACIÓN DE SOFTWARE
Actualmente está establecido los formato GTI02-FOR04 -

ADMINISTRACION DE CAMBIOS DE TI y GTI01-FOR02
Orden de cambio, y pertenece al proceso Gestión Tics.
incluido dentro del SGC
El grupo de desarrollo del area de GIT de apoyo informatico

cumple con la politica de desarrollo seguro, metodologia
que se menciona y se encuentra en el documento de
Politica de desarrollo y mantenimiento de software
Actualmente está establecido el formato GTI01-FOR02
Orden de cambio. incluido dentro del SGC y pertenece al
proceso Gestión Tics
Procedimientos de
82 14.2.2 control de cambios en
Se cuenta con el flujograma gestión cambios tecnologicos
sistemas.
del procedimiento de seguridad de la información, tambien
se controla a traves del ciclo de vida de desarrollo, es decir
se realiza un proceso formal de documentación,
especificaciones, pruebas, control de calidad y gestion de la
implementacion y se evidencia con los procedimientos GTI-
PRC07 PROCEDIMIENTO DESARROLLO DE SOFTWARE,
GTI-PRC08 PROCEDIMIENTO GENERACIÓN DE VERSIÓN,
GTI-PRC09 PROCEDIMIENTO MANTENIMIENTO DE
SOFTWARE, GTI-PRC06 PROCEDIMIENTO CERTIFICACIÓN
DE SOFTWARE y la metodologia de desarrollo GTI07-MTD01
- METODOLOGIA DE DESARROLLO Y MANTENIMIENTO DE
SOFTWARE y el formato de control de cambios, con
aprobación del comité para el sistema CHIP
Revisión técnica de las Anter de salir un cambio de los sistemas se realizan pruebas
aplicaciones después de de versionamiento las cuales se encuentran en el
83 14.2.3 cambios en la repositorio de pruebas. Se soportan con los formatos
plataforma de GTI06-FOR02 - ACTA DE RECIBO A SATISFACCIÓN - GTI06-
operación. FOR03 - ACTA DE CERTIFICACIÓN DE VERSIÓN
Se realizan pruebas después de cambios o actualizaciones

en los sistemas de informacion
Los cambios que se realizan al sistema Chip son autorizados
a traves del Comité operativo y seguridad CHIP
Restricciones en los
84 14.2.4 cambios a los paquetes Los cambios o modificaciones que se realizan en el
de software. aplicativo SARA desde la plataforma Samanta
En el aplicativo SOA (Sistema ON Line Administrativo) los

cambios los realiza el proveedor y son autorizados por el
secretario general, normalemente, no se realizan cambios
ni modificaciones - Se estipula en el contrato que el SW
debe ser actualizado a la ultima version del aplicativo
En el aplicativo ORFEO se tiene la nueva version 5.0 y los

cambios los realiza directamente funcionarios del proceso
Tics, en este caso el adminsitrador del aplicativo y
desarrollador contratado para los ajustes que requera
elaplicativo
Para la adquisición de nuevos sistemas, se requiere

Principios de diligenciar en el documento GTI04-FOR02 formato de
85 14.2.5 construcción de los especificaciones técnicas el requisito de seguridad en el
sistemas seguros. item 2.1 ESPECIFICACIONES DE SEGURIDAD INFORMATICA
DE PRODUCTO Y/O SERVICIO, el cual esta incluido dentro
del SGC y pertenece al proceso Gestión Tics
Ademas en los procedimientos de desarrollo de la

aplicaciones se tienen en cuenta la validadcion de los datos,
autenticacion, verificacion en la calidad del codigo fuente
metodos o metodologia para desarrollo de las mismas
Actuamente se cuenta con el SW Subversion
svn://172.18.80.17/ - en pandora\ - Solo tienen acceso los
Ambiente de desarrollo desarrolladores y algunas personas y se manejan perfiles de
86 14.2.6
seguro. acceso

publicación de las aplicaciones (Aplicativos free NEXUS -
librerias de aplicativos, HUDSON - Generación de Versión
SONAR - Verifica errores en codigo fuente - calidad de
software en Base de Datos SQL, SVN - repositorio de codigo
fuente, instalado en el servidor PANDORA)
Desarrollo contratado
87 14.2.7
externamente.
Actualmente la entidad no adelanta procesos para la

contración de desarrollos con proveedores externos
El grupo de certificacion de SW esta encargado de realizar

Pruebas de seguridad de las pruebas necesarias de los aplicativos y/o solicitudes
88 14.2.8
sistemas. realizados a traves de USD, una vez las pruebas se finalizan
y cumplen con los requrimientos esperados se pasan al
ambiente de produccion
Se programan test de vulnerabilidad interno y externo con

el apoyo de funcionarios de los grupos de infraestructura y
de seguridad sobre los servidores criticos de la CGN
Prueba de aceptación de
89 14.2.9
sistemas.
El grupo de certificacion de SW esta encargado de realizar

las pruebas necesarias de los aplicativos y/o solicitudes
realizados a traves de USD, una vez las pruebas se finalizan
y cumplen con los requerimientos esperados se pasan al
ambiente de produccion
14.3 Datos de prueba
Las pruebas en los sistemas de informacion se realizan con

datos de producción en un ambiente de prueba y solo tiene
acceso el personal que hace parte del grupo de certificación
Protección de datos de de software, se cuenta con control de acceso y estos
90 14.3.1
prueba usuarios tienen conocimiento que la información es
confidencial y su uso tiene como proposito validar el
funcionamiento y comportamiento de los sistemas a traves
de pruebas. Ademas se firma documento de acuerdo de
confidencialidad
Algunas pruebas se realiazan en los ambientes asignados

para tal fin (Ambiente de contingencia y pruebas)
Dependiendo de las pruebas a realizar se efectua la

restauracion y/o despliegue de BD para el ambiente que se
va a utilizar
RELACIONES CON LOS
15.
PROVEEDORES
Seguridad de la
información en las
15.1
relaciones con los
proveedores
Los proveedores que realizan actividades en la entidad
cuentan con permisos exclusivamente en los sistemas
relacionados con el objeto del contrato
Manual de seguridad de la información item 7

Política de seguridad de Cumplimiento
la información para las
91 15.1.1
relaciones con los Se cuenta con los formatos de autorización para conexion
proveedores. de VPN con firmas de autorización y control de equipos y
aplicaciones a los que accede. Formato GTI010-FOR04
Solicitud de Cuentas de Usuario Institucional - VPN que
hacen parte del proceso de Gestiòn TICs
El GIT de informatica elabora la politica de seguridad de la

informacion para proveedores, este documento se
encuentra controlado y pertenece al procedimiento de
Una vez firmados los contratos juridicos lo proveedores

deben firman el acuerdo de confidencialidad, documento
que suministra el GIT Adminstrtaiva
En caso de los proveedores de servicios relacionados con la

plataforma tecnoligica se establecen o se definen los
niveles de acuerdos de servicios - ANS
Tratamiento de la La confidenciabilidad se aplica en clausula del contrato,

seguridad dentro de los seguridad de acceso con las configuraciones que se llevan a
92 15.1.2
acuerdos con cabo en el servidor del dominio - y demas documentos en
proveedores carpeta de proveedor ( cambios realizados a servidores,
actas, informes)
Los servidores publicos firman el acuerdo de

confidencialidad donde se comprometen a hacer uso de los
activos de informacion para uso propio de sus actividades y
funciones, las cuales no seran divulgada ni difundida para
otros fines
Cadena de suministro de Los proveedores que realizan actividades en la entidad
tecnología de cuentan con permisos exclusivamente a los activos
93 15.1.3
información y relacionados en el objeto contractual, para el casos de
comunicación. sistemas de información se asigna conexión por VPN
(formato creacion de usuario para VPN), y para el sistema
CHIP se controla a traves del formato creacion usuario CHIP
Se firma un Acuerdo de confidencialidad con los

proveedores que acceden a información
Se establecen los ANS con proveedores de internet, correo

Gestión de la
15.2 prestación de
servicios de
proveedores
Los proveedores deben entregar un documento (Informe,

Seguimiento y revisión orden de servico, actas, etc) donde se especifique las
94 15.2.1 de los servicios de los actividades realizadas en la entidad - Esto depende de las
proveedores. especificaciones detalladas en el contrato y de los sistemas
que tengan a cargo.
Algunos aspectos que se tienen en cuenta para la revision y

seguimiento del mismo son las actividades que deben
realizar ya que se depende del tipo de recurso y/o
plataforma que sea afectada
Gestión de cambios en
95 15.2.2 los servicios de los
proveedores.
Actualmente se realizan registros o control de cambios

significativos en los servidores y se maneja a traves del
formatos GTI02-FOR02 - HOJA DE VIDA DE SERVIDORES.
GTI01-FOR02 Orden de cambio,GTI02-FOR 04
ADMINISTRACIÓN DE CAMBIOS A TI
GESTIÓN DE INCIDENTES
16. DE SEGURIDAD DE LA
INFORMACIÓN
Gestión de incidentes
y mejoras en la
16.1
seguridad de la
información
Se menciona en el flujograma de Gestión De Incidentes,

Amenazas y Debilidades De Seguridad del procedimiento
Resposabilidades y de la seguridad de la informacion y se establece la gestión
96 16.1.1 procedimientos. en el instructivo GTI010-INS04 instructivo para la gestión
de incidentes de seguridad de la información.
Ademas se cuenta con los contactos de los grupos de

interes para reportar las acciones necesarias relacionadas
con incidentes de seguridad
Se cuenta con el formato GTI010-FOR01 - REGISTRO

INCIDENTES SEGURIDAD DE LA INFORMACIÓN y la cuenta
Reporte de eventos de de correo electronico
97 16.1.2 seguridad de la seguridadinformatica@contaduria.gov.co
información
Ademas de lo establecido en los numerales 10.32. Política
de Gestión de Incidentes de Seguridad de la Información del
manual de seguridad, adermas de la ejecución detallada en
el flujograma de Gestión De Incidentes, Amenazas y
Debilidades De Seguridad del procedimiento de la
Reporte de debilidades A traves de los tips de seguridad se ha dado a conocer el
98 16.1.3 de seguridad de la correo electronico donde deben reportar los incidentes o
información. incosistencias que puedan alterar la seguridad de la
informacion de la entidad, ademas del registro en Services
desk
Se han hecho uso de los canales de comunicación de la

entidad para evitar ser victima de modalidades de
ciberdelicuencia e indicando el medio para reportar
Este control se realizara a traves de analisis que se realiza

sobre el incidente y que se define en el formato GTI010-
FOR01 - REGISTRO INCIDENTES SEGURIDAD DE LA
Evaluación de eventos INFORMACIÓN en el item lecciones aprendidas
de seguridad de la
99 16.1.4
información y decisiones Se menciona en el flujograma de Gestión De Incidentes,
sobre ellos. Amenazas y Debilidades De Seguridad del procedimiento
de la seguridad de la informacion y se establece la gestión
en el instructivo GTI010-INS04 instructivo para la gestión
de incidentes de seguridad de la información.
Ademas se cuenta con los contactos de los grupos de

interes para reportar las acciones necesarias relacionadas
con incidentes de seguridad
Este procedimiento se realizara a traves de analisis que se
realiza sobre el incidente y se registra en el formato
GTI010-FOR01 - REGISTRO INCIDENTES SEGURIDAD DE LA
Respuesta a incidentes INFORMACIÓN
100 16.1.5 de seguridad de la
información. Dependiendo del analisis y del nivel de complejidad del
incidente se deberá reportar a los grupos de contacto de
emergencia los cuales esta inscriptos la entidad CCP - CSIRT
´s y Colcert
Este control se trata de acuerdo a lo establecido en el

flujograma Gestión De Incidentes, Amenazas y Debilidades
De Seguridad del procedimiento GTI-PRC010 - SEGURIDAD
DE LA INFORMACIÓN
Con base a los casos reportados por los funcionarios se ha

optado por realizar seguimiento y control a la plataforma
tecnologica a traves del sistema de monitoreo Zabbix, es un
Aprendizaje obtenido de sistema para monitorear la capacidad, el rendimiento y la
los incidentes de disponibilidad de los servidores, equipos, aplicaciones y
101 16.1.6
seguridad de la bases de datos. Además ofrece características avanzadas de
información. monitoreo, alertas y visualización.
Actualmente se estan monitoreando solo los servidores
tanto fisicos como virtuales, UPS y switches. (PING, ESPACIO
ES DISCOS, PROCESADOR Y MEMORIA)

de la seguridad de la informacion y en el formato GTI10-
FOR01 Registro de incidentes de seguridad d ela
información
Con base a los casos reportados por los funcionarios se ha
optado por realizar seguimiento y control a la plataforma
102 16.1.7 Recolección de evidencia tecnologica a traves de la herramienta de monitoreo
Levantamiento de evidencias y documentar todo lo

relacionado con el incidente.

de la seguridad de la informacion
ASPECTOS DE
SEGURIDAD DE LA
INFORMACIÓN DE LA
17.
GESTIÓN DE
CONTINUIDAD DEL
NEGOCIO
Continuidad de
17.1 seguridad de la
información
Planificación de la El area de informatica cuenta con un documento que

continuidad de la contiene el Plan de Contigencia, el cual presenta una
103 17.1.1
seguridad de la estructura estratégica y operativa, que ayuda a controlar
información situaciones de emergencia y a minimizar los impactos
negativos que esta pueda generar sobre la plataforma
tecnologica, para esto implementa una serie de
procedimientos alternativos que permitan recuperar el
funcionamiento normal de la operación en el menor tiempo
posible.
Implementación de la La CGN cuenta con un plan de contingencia en el cual se

continuidad de la incluye el plan de contingencia del sistema CHIP misional en
104 17.1.2
seguridad de la el centro alterno de datos que se encuentra ubicado en la
información ciudad de Medellin
Se cuenta con las guias de contingencia para los servicios

tecnologicos criticos de la CGN
Verificación, revisión y
evaluación de la
105 17.1.3 continuidad de la
seguridad de la
información.
Se han realizado actualización al plan de contingencia

incluyendo pruebas y simulacros teniendo como base las
guias de implementacion.
17.2 Redundancias
Disponibilidad de
instalaciones de
106 17.2.1
procesamiento de
información. Se cuenta con replicación de datos en tiempo real de la
información misional de datacenter principal a data center
alterno.
Existe configuracion de discos en Raid 10, fuentes de poder,

aire acondicionado, firewall, ups, switches, dominio, Etc
18. CUMPLIMIENTO
Cumplimiento de
18.1 requisitos legales y
contractuales
Identificación de la
legislación aplicable y de Se evidencia en la pagina Web de la CGN el Nomograma
107 18.1.1
los requisitos Institucional
contractuales. http://www.contaduria.gov.co/wps/portal/internetes/
home/internet/normativa/normatividad-entidad
Actuamente se cumple con los lineamientos que establece

la ley 80 de 1993 , ley 1150 de 2007 y decreto
reglamentario 1510 de 2013 - Estas normas se aplican para
la contratacciòn
Se estable en el manual de seguridad de la informacion las
disposiciones para la gestión de derecho de propiedad
Derechos de propiedad intelectual y derechos de autor numeral 10.26 Política de
108 18.1.2
intelectual. Cumplimiento ante requerimientos legales y contractuales
– Derechos de autor, ademas se evidencia en los contratos
con la clausula de propiedad intelectual.
Se evidencia en el flujograma derecho de propiedad

intelectual del procedimiento de seguridad de la
informacion
109 18.1.3 Protección de registros. La CGN cuenta con la Política de privacidad y protección de
datos personales que se encuentra publicada en la pagina
de la entidad y en el aplicativo movil , ademas de las TRD, el
repositorio en Galatea, logs, registros de auditorias (Visor
de sucesos) y demas elementos que permiten obtener
registros
Privacidad y protección
110 18.1.4 de información de datos
personales.
La CGN cuenta con la Política de privacidad y protección de

datos personales que se encuentra publicada en la pagina
de la entidad y aplicativo movil
Reglamentación de
111 18.1.5
controles criptográficos. La CGN cuenta con el certificacion SSL que permite
establecer conexiones seguras y cifrar la información
transmitida. Esta credencial se encuentra instalada para la
pagina del CHIP, se implemento la autenticacion de los
usuarios para conexion de algunos sistemas de informacion
a traves de dispositivos (Token)
Revisiones de
18.2 seguridad de la
información
Se establece periodicidad, seguimiento, monitoreo y
Revisión independiente control en el numeral 10.1 Revisión de la Política y el
112 18.2.1 de la seguridad de la Manual de Políticas del manual de seguridad
información.
El requisito aplica a la totalidad del Sistema de Gestión. La
entidad desarrolla auditorías objetivas e independientes,
que se evidencia mediante el Plan de Auditorías y los
informes de auditoría derivados.
Se implementan politicas y reglas para el manejo optimo de

la información, plataforma tecnologica y sistemas de
informacion, acción que realizan algunos administradores
Cumplimiento con las de los sistemas
113 18.2.2 políticas y normas de
seguridad. Se establece en la revision por la direccion y se menciona
en el manual de seguridad 10.1. Revisión de la Política y el
Manual de Políticas
Aplica a todos los servidores públicos, colaboradores y

líderes de procesos de la entidad. La alta dirección impulsa
la implementación de la Seguridad de la Información y
evidencia de ello es la publicación y cumplimiento de la
política, manual y procedimiento.
Se establece periodicidad, monitoreo y control en el

numeral 10.1. Revisión de la Política y el Manual de Políticas
Revisión del del manual de seguridad
114 18.2.3
cumplimiento técnico.
Se realiza la revisión periódica y las necesidades se plasman
en el plan de adquisición del área para VoBo y aprobacion
Seguimiento y control con la herramientas que dsipone la

entidad para efectuar el monitoreo para la plataforma
tecnológica (Zabbix, Firewall, Antivirus, Test de
Fecha de actualización: Octubre de 2022 vulnerabilidades, Etc)
Revisión y Actualización: Ing. Diego Fernando Camelo. - Ing. Lorena Sofia Valderrama M.
VoBo y Aprobación: Ing. Gustavo Adolfo Gonzalez
ECLARACION DE APLICABILIDAD ISO 27001:2013
GTI010-PRC10 SEGURIDAD DE LA INFORMACIÓN
GESTION TICS
TÚ ERES LA CLAVE !!
CONTROLES EXCLUSION
IMPLEMENTADOS CONTROLES JUSTIFICACION
SI / NO SI / NO
Se establece para dar cumpliento de la norma 27001

y asegurar la integridad de la informacion que
maneja la CGN
SI NO
Cumplimiento a la norma 27001:2013, MSPI de
Mintic
Para hacer el adecuado control y seguimiento

enfocado a posibles mejoras
SI NO
Mintic
Para toma de decisiones, escalabilidad y asignación

Es
de necesario que asignar
responsabilidades en cada uno
relacionadas conde los grupos
Seguridad de
un perfil de
la Informaciónacuerdo a las responsabilidades u objeto
SI NO contractual , puesto que los deberes y áreas de
responsabilidad
Cumplimiento a la senorma
deben27001:2013,
separar, paraMSPI
reducir
de las
posibilidades
Mintic de modificación no autorizada, o no
SI NO
intencional, o el uso indebido de los activos de la
organización.
Para reportar de manera oportuna los incidentes de
Cumplimiento
seguridad que apuedan
la norma 27001:2013,
afectar MSPI de
la continuidad de la
Mintic
operación del negocio.
SI NO
Mintic
La entidad requiere estar adscrita a foros,
asociaciones y entidades que presten asesoria en
cualquier ambito e intercambiar información sobre
SI NO cuestiones de seguridad

Mintic
En todos los proyectos se deben valorar los riesgos

en seguridad de la información para identificar los
controles pertinentes durante el proyecto
SI NO
Mintic
Reducir los riesgos de conexión de dispositvos

móviles a la red de la CGN y/o perdida
SI NO
Mintic
necesarias para dar cumplimiento a los lineamientos
SI NO de teletrabajo mediante la Resolución 224 de 2022.

Asegurar la idoneidad del funcionario para asumir
sus responsabilidades relacionadas con el manejo de
la información en relacion al acceso y riesgos
SI NO identificados.

Mintic
Para asegurar que los empleados y contratistas

acepten y cumplan las condiciones relacionadas con
la seguridad de la información.
SI NO
Mintic
empleados de la entidad mediante la concientización

SI NO del SGSI
Todos los funcionarios de la Entidad deben aplicar
Seguridad de la Información en su día a día para
entender el impacto de su comportamiento en la
SI NO organización

Mintic
Para aplicar el proedimiento disciplinario frente a

acciones de funcionarios que comentan violaciones
SI NO a la seguridad de la información.

Mintic
Para asegurar que se cumplan los requisitos de

seguridad de la información , es necesario realizar un
seguimiento de los activos de información y perfiles
que son asignados a cada funcionario dentro de la
SI NO
contratación

Mintic
Es necesario identificar los activos de información y

sus niveles de importancia para gestionar los riesgos
asociados a la Seguridad de la Informacón.
SI NO
asociados a la Seguridad de la Informacón.
SI NO
Mintic
Para asegurar el manejo apropiado del activo de
acuerdo a las politicas de seguridad establecidas
SI NO
Mintic
Para dar el uso apropiado del activo en relacion a las

reglas establecidas a los requisitos de seguridad de la
información
SI NO
Mintic
Es necesario validar y controlar el estado del empleo,

contrato y/o acuerdo en caso de finalización para
formalizar la devolución del activo de forma segura
SI NO
Mintic
la ley 1712 de 2014(Ley de transparecia) Con el fin de

asegurar el manejo adecuado de los activos de tipo
SI NO información
Es necesario dar
Cumplimiento cumplimiento
a la a la normatividad
norma 27001:2013, MSPI de de
la ley 1712 de 2014(Ley de transparecia) Con el fin de
asegurar el manejo adecuado de los activos de tipo
SI NO información
Cumplimiento
Se a la norma
requiere garantizar 27001:2013,
la proteccíón y elMSPI de
manejo
Mintic del activo a traves del procedimiento de
optimo
gestión de activos
SI NO
Mintic
Se requiere impletar una pólicita para evitar la
propagación de virus informaticos y fuga de
información
SI NO
Mintic
Con la pólitica a implemenar se asegura el borrado

seguro de la información y estado del medio
SI NO
Mintic
Se requiere custodiar de manera segura la

información para evitar acceso no autorizado o
SI NO corrupción en el transporte

Mintic
La CGN debe establecer roles y perfiles de acceso de
acuerdo a las funciones del cargo dando
cumplimiento a los acuerdos de confidencialidad
SI NO
Mintic
Es necesario que solo los usuarios de la red y

servicios de red tengan permisos de acceso
especificos a las conexiones de la Entidad
SI NO
Mintic
Se debe implementar un proceso que permita
asignar y revocar los derechos de acceso, cuando el
SI NO funcionario inicie o finalice su vinculación laboral

Mintic
Se debe implementar un proceso que permita

asignar y revocar los derechos de acceso, cuando el
funcionario inicie o finalice su vinculación laboral
SI NO
Mintic
La CGN debe establecer roles y perfiles de acceso de
acuerdo a las funciones del cargo dando
cumplimiento a los acuerdos de confidencialidad
SI NO
Mintic
Se requiere verificar la identidad de los usuarios que
hacen uso de los sistemas de la Entidad por medio
de autenticación

SI NO
Mintic
Nota: La cuenta de correo actualmente es gmail, por

lo tanto el bloqueo no es permitido a las diferentes
cuentas de esta plataforma
Los resposables de los activos de informacion deben

validar que los permisos esten acordes con las
funciones del cargo, para asegurar que no hayan
SI NO obtenido privilegios no autorizados

Mintic
Los responsables de los activos de informacion deben
validar que los permisos esten acordes con las
funciones del cargo, para asegurar que no hayan
obtenido privilegios no autorizados. En caso de
SI NO finalización de contrato se deben revocar los
permisos

Mintic
Los funcionarios deben cumplir con las directrices

establedidas en la pólitica para salvaguardar la
información a traveés de la autenticación.
SI NO
Mintic
validar que los derechos de acceso de los usuarios
esten acordes con las funciones del cargo
SI NO
Mintic

validar que los derechos de acceso de los usuarios
esten acordes con las funciones del cargo
SI NO
Mintic
Se requiere asegurar la calidad de las contraseñas

para el ingreso confiable a los sistemas.
SI NO
Mintic
Se debe limitar la disponibilidad de los programas
utilitarios a través de la autrorización del
Coordinador
SI NO
Mintic
Se debe controlar el acceso a los códigos fuentes

para reducir el riesgo de manipulación y divulgación
de la fuente de los programas y elementos asociados
SI NO
Mintic
La entidad debe establecer las normas para la
utilización de la riptografia y el trafico de la
información garantizando la protección de la
SI NO información

Mintic
Las normas de criptografia deberán contener la

gestión de llaves dentro de las cuales deben estar
relacionadas a protección, tiempo de vida, y ciclo de
SI NO vida

Mintic
Se debe establecer los perimetros de seguridad
necesarios para proteger la información y controlar
el acceso
SI NO
Mintic
Las áreas de información sensible deberán estar
protegidas por un sistema de control físico
SI NO
Mintic
Dado el carácter de la información que se maneja

dentro de la Entidad se deben tomar las medidas
para proteger las oficinas, recintos e instalaciones de
SI NO la Entidad

Mintic
Para proteger a la Entidad se debe contar con el
conocimiento adecuado del manejo de daños
naturales o causados por el hombre
SI NO
Mintic
Se debe proteger a la entidad con procedimientos de

seguridad que cubran el trabajo en áreas seguras y
donde la información sea más sensible y suceptible
SI NO
Mintic
Los puntos de acceso se deben aislar y controlar para

evitar el acceso de personal ajeno a la Entidad sin el
persmiso correspondiente
SI NO
Mintic
Se debe establecer un área segura para la ubicación
de los equipos y minimizar la exposición a peligro
ambiental y la intrusión no autorizada
SI NO
Mintic
Se deben garantizar el servicio de potencia para los

equipos de la Entidad
SI NO
Mintic
El cableado de potencia y de telecomunicaciones

debe estar debidamente identificado e
implementado mediante una opción segura
SI NO
Mintic
Se deben implementar directrices de mantenimiento

de equipos que garanticen su disponibilidad. Estas
directrices deben establecer los intervalos y las
especificaciones del servicio y deben ser registradas
SI NO en bitacoras detallando las fallas y los
mantenimientos efectuados

Mintic
Las directrices para protección de los activos debe
considerar la identificación del personal interno y
externo que tiene la autorización de retiro de los
activos, debeinlcuir el tiempo por el cual se retiran
SI NO los activos y verificar que se cumplen con las
devoluciones

Mintic
Para proteger los activos y activos fuera de la

instalación de la Endtidad se deben generar
directrices que estén enfocadas a la seguridad
SI NO
Mintic
Se debe disponer de lineamientos para la disposición

y reutilización de los equipos, los cuales garantizarán
la eliminación de la información ya sea por
destrucción o sobre escrtitura, de tal forma que esta
SI NO
información no sea recuperable

Mintic
Los usuarios de la entidad deben tener clara y

apropiada la directriz sobre el uso de los equipos, la
confidencialidad de la información, el uso de las
SI NO contraseñas y manejo de las sesiones

Mintic
Los usuarios de la entidad deben tener clara y
apropiada la directriz sobre el uso de los equipos, la
confidencialidad de la información, el uso de las
contraseñas y manejo de las sesiones
SI NO

Mintic
Se deben crear los procedimientos y documentarlos

para las actividades de operaciones de tal forma que
garanticen la seguridad
SI NO
Mintic
Los cambios en los procesos deben documentarse.
La documentación debe contener aspectos como:
identificación, planificación, valoración del impacto
SI NO etc

Mintic
En el cumplimiento de la misión y gestión de la CGN,

se hace necesario como principio de seguridad,
controlar la capacidad operacional, disponiendo los
recursos necesarios para suplir las necesidades y
garantizar la disponibilidad de la plataforma
SI NO
tecnológica .

Mintic
Se debe garantizar por parte de la Entidad la

separación de ambiente de desarrollo pruebas y
producción, de tal forma que se minimicen los
SI NO riesgos de acceso o cambios no autorizados.

Mintic
Se debe garantizar la seguridad de la información
creando póliticas y controles que prohiban el uso de
software no autorizado, hacer la detección de
software no autorizado, restringir el acceso a sitios
SI NO
web que se sospecha son malicioso

Mintic
La pólitica de respaldo de datos debe contener los

requisitos para copias de información de la entidad
tanto de hardware como de software para preservar
la disponibilidad de la información
SI NO

Mintic
Para dar un correcto manejo a los eventos se deben

establecr las directrices para el registro,
SI NO almacenamiento y consulta de los (event log)
Mintic
Para aplicar la protección de la información se
requiere que a cada Funcionario se le asigne un
usuario y contraseña que le permita el ingreso de
forma segura a la información , a las tareas
SI NO
asignadasy asi establecer el control

Mintic
Se debe controlar y proteger los registros de los

usuarios privilegiadosque puedan afectar la
SI NO

Mintic
Los relojes de la organización se deben sincronizar

para cumplir con la reglamentación y mantener una
medida estandar en la organización
SI NO

Mintic
Solo el personal autorizado dentro de la organización

puede hacer la instalación o desinstalacion de
software en los equipos de la organización, para asi
SI NO ser controlado

Mintic
Para la gestión de vulnerabilidades técnicas
establecidas en la matriz de riesgos, se debe contar
SI NO con los controles apropiados para su manejo

Mintic
Solo el personal autorizado dentro de la organización

puede hacer la instalación o desinstalacion de
software en los equipos de la organización
SI NO

Mintic
Se deben documentar y hacer seguimiento a los

resultados de las auditorias de sistemas
SI NO
Mintic
Para el adecuado uso de las redes de información se
deben establecer los controles y procedimientos para
asegurar la configuración segura de los dispositivos y
SI NO estar documentados

Mintic
Mediante los mecanismos de control adecuados se

deben determinar y gestionar los servicios de red
SI NO
Mintic
Para una mejor gestión y control de red se deben

segmentar los dominios creando separación de red.
SI NO
Mintic
Garantizar la integridad, disponibilidad y
confindencialidad de la informacion
SI NO
Mintic

SI NO
Mintic
Por el intercambio de datos con usuarios internos y

externos se debe contar con un sistema de correo
electrónico que permita: protección de información,
SI NO confiabilidad y disponible

Mintic
Por aseguramiento de la información, se deben
definir los lineamientos de los acuerdos de
confidencialidad a nivel interno para funcionarios y/o
contratistas y para empresas que prestan servicios a
SI NO la Entidad

Mintic
Los diferentes metodos para la identificación de
requisitos de la información se pueden usar para
obtener los que son de obligatorio cumplimiento a
partir de políticas y reglamentación
SI NO

Mintic

SI NO
Mintic
Por aseguramiento de accesos a las aplicaciones, se

deben instalar certificados de seguridad que
involucren transacciones
SI NO

Mintic
Mediante la implementación de mecanismos de
control se deben aplicar tecnicas de programación
(desarrollo o reuso de código) para garantizar
SI NO practica de desarrollo seguro

Mintic
Para garantizar practica segura de desarrollo, se
requiere controlar las tecnicas de programación
(desarrollo o reuso de código)
SI NO

Mintic
Para asegurar el correcto funcionamiento de los

sistemas una vez aplicados los cambios se deben
aplicar pruebas y asi llevar el control de versiones
SI NO debidamente documentado

Mintic
Cada cambios en el software debe considerar los
riesgos y dejar documentados los controles que se
han aplicado
SI NO

Mintic
La seguridad de desarrollo se debe establecer en

todas las capas del desarrollo de los nuevos sistemas
SI NO
Mintic
Se debe implementar el ambiente de desarrollo
seguro de modo que proteja adecuadamente los
procesos y procedimientos suministrados a todos los
funcionarios considerando el carácter de los datos,
los controles de seguridad, el control de acceso,
SI NO
entre otros.

Mintic
Se deben supervisar, controlar y realizar seguimiento

a los desarrollos contratados externamente. Ademas
de establecer los umbrales y niveles de seguridad
propios de acuerdo a los requisitos contratuales y
SI NO practicas controladas a traves del ciclo de vida de
desarrollo

Mintic
Se requiere del desarrollo de pruebas en los sistema

para la verificación y preparación detallada de las
actividades que permitan asegurar el
funcionamiento optimo durante el proceso del ciclo
desarrollo
SI NO

Mintic
Es necesario contar con un ambiente de pruebas
para asegurar que el sistema realice los
procedimientos adecuados que mitiga los riesgos y
controle o evite cualquier tipo de vulnerabilidades, el
resultado de estas pruebas deberan tener criterios
SI NO
de acepción y debe ser confiables

Mintic
Se debe asegurar los datos operacionales de

información (datos personales, o cualquier
imformacion que se considere confidencial) los
cuales seran utilizados con propositos de pruebas
SI NO

Mintic
Es necesario controlar el acceso de los proveedores a
la información de la entidad, asi mismo exigir el
cumplimiento de las politicas de seguridad existentes
SI NO y acuerdos de confindecialidad firmados

Mintic
Se debe incluir terminos especificos de seguridad,

con el fin de garantizar la confidenciallidad,
integridad y disponibilidad de la información
suministrada a los proveedores, de manera que
exista claridad en los acuerdos para ambas partes
SI NO

Mintic
Se deben incluir en los acuerdos, procesos de
seguimiento, herramientas y el uso de buenas
practicas para validar que los produtos y servicios
cumplan con los requisitos de seguridad establecidos
SI NO
Mintic
Se debe realizar control y seguimiento a los servicios

sumnistrados por los proveedores, para asegurar el
cumplimiento de los terminos y condiciones de los
requisitos de seguridad de la información, asi mismo
la gestión adecuada de los incidentes y problemas
SI NO
que se ocasionen durante la prestación del servicio

Mintic
Es necesario gestionar los cambios en el suministro

del servicio por parte de los proveedores, con el uso
de mejores practicas y controles de seguridad,
teniendo en cuenta la criticidad de la informacion y
los procesos del negocio involugrados para realizar
una adecuada revaloración de los riesgos
SI NO

Mintic
Se deben establecer responsabilidades y
procedimientos para la gestión adecuada, de los
incidentes de seguridad de la información, que
permitan asegurar una respuesta oportuna y eficaz
SI NO

Mintic
Todos los empleados de la organización deben

conocer el procedimiento para reportar eventos de
seguridad de la información a traves de los canales
SI NO establecidos para tal fin.

Mintic
Todos los empleados de la organización deben
reportar cualquier debilidad de seguridad de la
información observada o sospechada en los sistemas
o servicios, para anticipar un incidente de seguridad
SI NO
Mintic
Es necesario evaluar cada evento de seguridad,

teniendo en cuenta la clasificación, priorización e
impacto para determinar si este se clasificara como
un incidente de seguridad de la informacíon
SI NO
Mintic
Es necesario dar respuesta inmediata y oportuna a
los eventos presentados en la entidad, gestionando
adecuadamente los incidentes de seguridad de la
información, por tanto se debe controlar de acuerdo
a los implementado y/o procedimientos establecidos
SI NO
Mintic
Se deben utilizar mecanismos o herramientas que

permitan realizar analisis e identificación temprana
de los evento detectados, que permitan minimizar el
impacto o probabilidad de un incidente futuro
SI NO

Mintic
Se requiere mantener las evidencias y/o soportes de
los elementos o herramientas que permitan la
identificación, preservaciópn y recoleccion de la
informacion
SI NO

Mintic
Es necesario mantener actualizado las guias que

contienen el plan de contingencia para cada uno de
los servicios de la Entidad, con el fin de preservar la
SI NO continuidad del negocio en caso de sinisestro

Mintic
Es necesario estrablecer procedimientos y controles

para asegurar el nivel de continuidad requerido en
SI NO caso de una situación adversa
Es necesario la realización de simulacros que
permitan verificar, revisar y evaluar el plan de
contingecia y continuidad, con el fin de asegurar que
su implementación sea valida y eficaz
SI NO
Mintic
Es necesario implementar herramientas o procesos

que permitan asegurar la disponibilidad, integridad y
confidencialidad de la información y los sistemas de
información de modo que se reduzcan o se mitigen
los riesgos a traves de componentes o arquitecturas
SI NO
redundantes

Mintic
Se deben dar cumplimiento a los requisitos legales

pertinentes, de acuerdo a la naturaleza de la entidad
y a los requisitos y/o controles exigidos para
mantener la seguridad de la información
SI NO
Mintic
Es necesario implementar procedimiento apropiado
que permita asegurar el cumplimiento de los
requisistos legales relacionados con la propiedad
intelectual y uso legal de sofware
SI NO

Mintic
Se requiere salvaguardar los registros de acuerdo a

su clasificación y periodo retención, de manera que
se asegure su integridad y protección de la
informacion contra perdida debido a cambios
SI NO furturos

Mintic
Se debe garantizar la gestión adecuada de la

proteccion de los datos por medio de la politica y/o
procedimietnos que se encuentren establecidos
SI NO Cumplimiento a la norma 27001:2013, MSPI de

Mintic
Se debe controlar los accesos a los contenidos,

brindar confiabilidad de la información cifrada,
ademas dar cumplimiento con la reglamentación
pertinente al uso de estas herramientas
SI NO

Mintic
Es necesario establecer controles que aseguren la
correcta implementación y operación de la gestion
de seguridad de la información en la entidad
SI NO

Mintic
Se requiere evaluar el cumplimiento de las politicas,

procedimientos y demás requisitos de seguridad de
la información para verificar eficiencia y eficacia de
SI NO su implementación

Mintic
Se requiere evaluar el cumplimiento de las politicas,

procedimientos y demás requisitos de seguridad de
la información realizando pruebas a traves de
herramientas que permitan la interpretación y
SI NO valoración de vulnerabilidades que puedan
comprometer la seguridad de los sistemas.

Mintic
EVIDENCIAS
Política del SGSI y Manual de Seguridad de la Información v. 6 - 2022
Acta comité CIGD - Documentos (Octubre 13 2022)
Resolución 193 de 2019 - Integración al CIGD el Comité de

Seguridad de la Información
Estructura del GIT Apoyo Informático
Intranet - Proceso
Inscripción GruposGestión TICs - Formatos
de Respuesta a Emergencias ColCERT - CsirtGOB -
CsirtPONAL (Directorio)
Número Emergencia - Plan Contingencia

Plan de continuidad de negocio
Flujograma Incidentes
Numeral 10.4 Manual Seguridad de la Información

Cuadro Grupo de Contacto Incidentes SI
TIC-GDP-MPY-FAS0-FACT-TIC-GDP-MPY-FAS0-FACT-
MatrizRiesgosProyecto
formato GTI04-FOR02 -FORMATO DE ESPECIFICACIONES TECNICAS,
TIC-PLG-CJU-2020-C-PREC-Anexo Matriz de Riesgo
Manual de seguridad de la información en el numeral 10.6.1 Política

de dispositivos móviles
Manual de seguridad de la información en el numeral 10.6.2 Política

de Teletrabajo y Trabajo Remoto.
Resolucion 224 de 2022

Evidencia se encuentra en el proceso de talento humano para
personal de planta y gestión administrativas para el caso de los
contratistas
Evidencia se encuentra en el proceso de talento humano para

personal de planta y gestión adminstrativas para el caso de los
contratistas.
Acuerdo de confidencialidad
Contratos naturales
Contratos juridicos
seguridad
Material de sensibilización sobre la aplicación de buenas prácticas

Material de sensibilización divulgado
Revista virtual de la CGN - Artículo sobre Contaseñas
Jornadas de inducción y reinducción por parte del GIT de

Planeación.
Manual de seguridad de la Información.
Soporte Creación de Cuentas de Usuario Institucional
Cláusula de Confidencialidad
Soporte reporte de las Novedades (Vacaciones, terminación del

empleo, cambio de responsabilidades, etc) del GIT de gestión
humana para personal de planta) y el GIT de gestión administrativa
Procedimientos PI-PRC28 - Gestión de Activos de Información

Formato GTI11-FOR01 - Registro detallado de activos TI del proceso
de Gestión Tics
Formato GTI11-FOR01 - Registro detallado de activos TI del proceso

de Gestión Tics
Manual de seguridad de la información - numeral 10.14. Política de

uso de los Recursos de Información
Procedimiento GAD-PRC02 - Traslado de elementos entre

Servidores Públicos y/o Contratistas
Formatos GAD02-FOR01 - Traslado de elementos devolutivos;

GAD05-FOR01 Formato de Paz y Salvo por desvinculación o
terminación de Contrato
Manual de seguridad de la información - literales i) j) del numeral

10.14. Política de Acceso a los recursos de información
Procedimiento PI-PRC28 Gestion de Activos de Información
InstructivoPI28-INS01 Gestión de Activos de la información
Manual de seguridad de la información - numeral 10.10 Gestión de

Activos
InstructivoPI28-INS01 Gestión de Activos de la información (criterios
etiquetado)
Procedimientos PI-PRC28 - Gestión de Activos de Información

Confidencialidad de lade
Manual de seguridad Información" literales
la información g), h)10.30
- numeral y i) Politica de
Instructivo PI28-INS01 Gestión de Activos de la información -

Numeral 6
Manual de seguridad de la información - numeral 10.11 Gestión de
medios removibles (Unidades de almacenamiento)
Evidencia Excepciones de la alta dirección y usuarios con

autorización expresa de los lideres de proceso.
Politica GTI010-POL04 - Política para el uso de medios removibles,

seguro y dispositivos de medios
Instructivo GTI010-INS01 Borrado seguro
Politica GTI010-POL04 - Política para el uso de medios removibles,

borrado seguro y Disposición de medios
Instructivo GTI010-INS01 Borrado seguro
Manual de seguridad de la información - numeral 10.35. Política de

respaldo de datos
Manual de seguridad de la información Numeral 10.36. Política de
Control de Acceso
Flujograma Control de Acceso a sistemas de informacion y

administracion de usuarios y contraseñas del Procedimiento GTI010
- Seguridad de la Información
Formatos:
GTI010-FOR02 Solicitud de cuentas de usuario institucional
GTI010-FOR03 Creacion de ususarios aplicativo CHIP y GTI010-
FOR04 - Solicitud de cuentas de usuario institucional - VPN
Manual de seguridad de la información - literal c) del numeral 10.13.

Política de Acceso a los recursos de información
Flujograma Seguridad de Redes, Comunicaciones y servicios de TI

del GTI-PRC010 Procedimiento Seguridad de la Información
Formatos:
GTI010-FOR03 Creacion de ususarios aplicativo CHIP
GTI010-FOR04 - Solicitud de cuentas de usuario institucional - VPN
Procolo de conexión
Formato GTI010-FOR02 Solicitud de cuentas de usuario institucional
Formato GAD05-FOR01 - Paz y salvo por desvinculación o

terminación de contrato del proceso Gestión Administrativa
Reporte del proceso de Gestión Humana y Gestión Administrativa

Novedades (Procedimientos GTH-PRC17 y GAD-PRC21)
Formatos:
Reporte del proceso de Gestión Humana y Gestión Administrativa

Novedades (Procedimientos GTH-PRC17 y GAD-PRC21)
Formatos:
Manual de seguridad de la información - literal a) del numeral 10.12.

Política de Gestión de Acceso a Usuarios
Formatos:
Evidencia asignación de credenciales a las cuentas de usuario
( BDME - CHIP - ORFEO - DOMINIO, etc)
En el caso del CHIP el sistema envia al correo del usuario una
contraseña alfanumerica
Manual de Seguridad de la Información - numeral 10.12.Gestión e

acceso a asuarios.
Manual de Seguridad de la Información - numeral 10.38. Política de

Control de Acceso literal g) en el cual se define que la revisión se
realizará cada 6 meses -> Evidencia Reporte de novedades de
personal (Gestión Humana y Secretaria General GTH-PRC17 Y
GAD-PRC17)
Formatos:
Evidencia Reporte de novedades de personal (Gestión Humana y
Secretaria General GTH-PRC17 Y GAD-PRC17)
Formatos:
Manual de seguridad de la Información - numeral 10.38 Política de

control de acceso literal d)
Formato GAD05-FOR01 - Formato de paz y salvo por

desvinculación o terminacion de contrato
Formato GAD-PRC02 - Traslado de Elementos entre Servidores

Públicos y/o Contratistas
Flujograma del Control de acceso a sistemas de información del

GTI-PRC010 Procedimiento de Seguridad de la Información
Manual de Seguridad de la Informacion
GTI02-POL01 Política de Administración de Usuarios /o Contraseñas

- numeral 7.7 "Administración de Contraseñas"

Administración de Contraseñas
Evidencia Revista Digital - artículo sobre manejo de contraseñas y el

uso adecuado
Manual de Seguridad de la Información - literales e), f) del numeral
10.38. Política de Control de Acceso del Manual de seguridad.
Formatos:
Manual de Seguridad de la Información - numerales 10.36 Acceso

lógico; 10.37 Acceso Físico y 10.38. Política de Control de Acceso en
general
Flujograma de Seguridad Física y del Entorno del GTI-PRC010

Procedimiento de Seguridad de la Información
Evidencia sobre acceso a los servidores y verificación de los intentos

fallidos o exitosos de ingreso al sistema
GTI02-POL01 - Politica de Administración de Usuarios y/o

Contraseñas
Manual de Seguridad de la Información -numeral 10.19. Política de

Administración de Contraseñas
Uso de Programas utilitarios
Manual de Seguridad de la Información - literal d) numeral 10.14.

Política de uso de los Recursos de Información
Actuamente se cuenta con el SW Subversion

svn://172.18.89.17/chip - en pandora\ - Solo tienen acceso los
desarrolladores y se manejan perfiles de acceso

publicación de las aplicaciones (Aplicativos free NEXUS - librerias de
aplicativos, HUDSON - Generación de Versión SONAR - Verifica
errores en codigo fuente - calidad de software en Base de Datos
SQL, SVN - repositorio de codigo fuente, instalado en el servidor
PANDORA)
Manual de Seguridad de la Información numeral 10.20 Política de
criptografía y llaves criptográficas
Evidencia del cifrado de las contraseñas en los desarrollos internos

de los sistemas de información ( CHIP, BDME, Aplicativo WEB,
SchipWeb, etc)
Evidencia del certificacion SSL para la página del CHIP y el dominio

contaduria.gov.co
Uso de tokens de autenicación (Administrativa, SIIF) Pendiente por

definir el uso de token para la conexión VPN para contratistas
Evidencia Protocolos de autenticación y cifrado del tráfico de IP
Evidencia aplicación encriptación estándar TLS - protocolo de

cifrado Consola de Correo
Manual de Seguridad de la Información numeral 10.20" Política de

criptografía y llaves criptográficas"
Evidencia Certificado de servidor seguro SSL para la pagina del CHIP

y el dominio contaduria.gov.co
Token de acceso el cual genera una llave dinamica para el acceso,
10 licencias de encripción de datos para dispositivos externos (USB -
DD) de la SUITE DE SEGURIDAD ANTIVIRUS - ESET ENDPOINT
SECURITY
El perímetro del centro de computo está ubicado en el piso 15 de la
Calle 26 No. 69 - 76 Edificio Elemento Torre 1 (Aire) Bogotá D.C.
GTI02-FOR01 Bitacora Plataforma Tecnológica
Manual de Seguridad de la Información - numeral 10. 22 Áreas

Comunes del Edificio; numeral 10.24 Ubicación y protección de
equipos y para proveedores numeral 10.45.6 Acceso a centro de
cómputo
Flujograma de seguridad física y del entorno del GTI-PRC010

Formato GTI02-FOR01 Bitácora Plataforma tecnológica
Manual de Seguridad de la Información numeral 10.37. Política de

Acceso Físico
En el piso quince se encuentra el area de recepcion que se encargan

de dar acceso a todo el personal externo que ingresa a la entidad,
ademas se toma registro y se suministra carnet de visitante con su
respectivo codigo y ficha de brigada de emergencia , mismo que
debe portar en un lugar visible.
La entidad cuenta cuenta con software llamado DataPark donde se

registra ingreso de visitantes, se registran algunos datos como
nombre, apellido, cedula, registro fotografico, fecha y hora de
entrada y salida
Manual de Seguridad de la Información numeral 10.21 Áreas

Seguras
SI-MA-01 Manual de Seguridad Física - Edificio
Manual de Seguridad de la Información - numerales del 10.21 al

10.24
Evidencia - Directorio telefónico Responsables de los recursos

tecnologicos de la entidad
Evidencia Herramienta de monitoreo que vigila los equipos
(hardware), aplicaciones (software), y servicios
Reporte firewall monitoreo tráfico de la red
Evidencia Fotográfica Extintores en las diferentes áreas y Data

Center
Formato GTI02-FOR01- Bitácora plataforma tecnológica
Documentación que suministrada el proveedor (orden de servicio,

formato, observacion) sobre actividades Data Center
Manual de Seguridad de la Información - numeral 10.23 Áreas de

Entrega y Carga
Manual de Seguridad de la Información - numeral 10.24 "Ubicación
y protección de los equipos" y numeral 10.21 Áreas Seguras
Evidencia Mantenimiento suministro de enegía de respaldo (2 UPS

de 15 KVA cada una y para usuarios una de 20 KVA).
Validar existencia Planta de suministro eléctrico del Edificio

Manual de Seguridad de la Información numeral 10.25 "servicios de
suministro" en el manual de seguridad
Evidencia - protección cableado
Soporte mantenimientos ejecutados
Contrato Mantenimiento Proveedores de la plataforma tecnológica
Manual de Seguridad de la Información numeral 10.27

"mantenimiento de equipos" del manual de seguridad
Manual de Seguridad de la Información literal i) y j) del numeral
10.13. Política de Acceso a los recursos de información
Formato de retiro de activos
Formato de traslado GAD-PRC02 - Traslado de elementos entre

servidores públicos y/o contratistas
En caso de retiro de activo de la entidad Formato GTI11-FOR02-

Salida y reintegro de elementos
Manual de Seguridad de la Información numeral 10.6.1 Política de

dispositivos móviles
GTI010-POL04 Política de uso de medios removibles, borrado seguro

y disposición medios
Manual de Seguridad de la Información literal a), d) , e) y g) del

numeral 10.34 "política de pantalla despejada y escritorio limpio"
Evidencia Socialización Buenas Prácticas
Evidencia configuración en el GPO bloqueo de pantallas con

protector protegido con contraseña
Manual de seguridad de la información- numeral 10.34 "Política de
pantalla despejada y escritorio limpio"
Repositorio documental
Validar los procesos de servidor de archivos que se conoce como

repositorio Pathfinder
Este control se cumple con la documentacion que maneja la entidad

a traves de SIGI en la intranet y guias de operación.
El proceso de gestión TICs documenta los procedimientos de las

actividades operacionales asociadas a la plataforma tecnológica.
Procedimientos GTI-PRC06 Procedimiento Certificación de
Software.
Formatos
GTI01-FOR02 Orden de Cambio
GTI07-FOR03 - Documentos Guiones de Prueba
Formato GTI02-FOR04 - Administracion a cambios de TI
Flujograma Gestión de cambios tecnologicos del GTI-PRC010

Procedimiento de Seguridad de la Información.
Plan de inversión
Plan de acción
Plan Estratégico de Tecnología de la Información (PETI).
Flujograma gestion de la capacidad del GTI-PRC010 Procedimiento

de Seguridad de la Información
Evidencia monitoreo Plataforma Zabbix
Reporte trimestral - Informe actualizado de la capacidad de la

infraestructura tecnologia
Evidenca separación de ambientes: Desarrollo, pruebas,

contingencia y produccion.
Formatos:
Privilegios de usuarios según perfil y responsabilidades
Manual de Seguridad de la Información numeral 10.29 "Control de
virus"
Evidencia Software de antivirus ESET
Evidencia de Campañas de sensibilización sobre manejo de

amenazas de correos maliciosos y antispam
Política GTI03-POL01 Políticas de Copias de Respaldo
Procedimiento GTI-PRC03 Procedimiento Operación Centro de

Cómputo
Flujograma copias de respaldo del GTI-PRC010 Procedimiento

Manual de seguridad de la informacion en el numeral 10.35 Política

de respaldo de datos
Evidencia de la generación de backups de los servidores de gestión y

de los usuarios a través de la Herramienta Bácula
Formato GTI010-FOR01 Registro incidentes Seguridad de la

Información
Manual de Seguridad de la Información numerales 10.32. Política de

Gestión de Incidentes de Seguridad de la Información y 10.39.
Política de Conflictos legales
Reportes de usuarios al Correo electronico

seguridadinformatica@contaduria.gov.co
Formatos:
GTI010-FOR02 - Solicitud de Cuentas de Usuario Institucional
GTI010-FOR03 Creación de usuarios aplicativo CHIP
GTI010-FOR04 Solicitud de Cuentas de Usuario Institucional - VPN
Formatos:
GTI02-FOR01 Bitacora de la Plataforma tecnológica"
GTI02-FOR04 Admon-cambios -TI
GTI03-FOR01-Cheklist
FALTA Evidencia Sincronización de los relojes de los Equipos;

Servidores con el NTP del servidor de dominio.
Validar la configuración en los servidores Linux y AIX, del archivo

/etc/ntp.conf para que se sincronice con el servidor de dominio.
Manual de Seguridad de la Información literal d) y f) del numeral

10.14 Política de Uso de los Recursos de Información, los literales a)
y b) del numeral 10.28 Política de Cumplimiento ante
requerimientos legales y contractuales – Derechos de autor y el
literal e) del numeral 10.29 Política de Control de Virus
Formato GTI02-FOR04 Admon-cambios -TI

Reporte y analisis de vulnerabilidades desde la consola de antivirus
Eset Enpoint,
Reporte de amenazas y vulnerabilidades - herramienta perimetral -

Fortinet.
Proceso de remedicacion y seguimiento de vulnerabilidades
Matriz de riesgos de seguridad de la información el riesgo No 5.

Instalación y uso de software con vulnerabilidades conocidas en los
sistemas operativos de los equipos de cómputo y servidores
Procedimiento de administración de la plataforma tecnológico
Manual de Seguridad de la Información literal d) del numeral 10.14

Política de Uso de los Recursos de Información, los literales a) y b)
del numeral 10.28 Política de Cumplimiento ante requerimientos
legales y contractuales – Derechos de autor y el literal e) del
numeral 10.29 Política de Control de Virus
Evidencia de las restricciones configuradas en el firewall y en el

dominio windows para descargar software
Pruebas de vulnerabilidades a algunos servidores de la plataforma

tecnologica
Auditorías del sistema programadas por la Entidad.
Plan de Auditorias CGN

El administrador de la red realiza un control de trafico y red, se
cuenta con la segmentación de red Revisión y monitoreo del
Firewall, monitoreo canales
Se establece Política de acceso a la red inalámbrica
Por causa de la pandemia se activaron cuentas de VPN las cueles

fueron asignadas teniendo en cuenta los criterios de privilegios y de
perfiles, adiconial a esto se cuenta con instructivo y politica
Politica de zona wifi y en el FLUJOGRAMA SEGURIDAD DE

REDES,COMUNICACIONES Y SERVICIOS DE TI del procedimiento de
seguridad de la información, donde se contemplan los criterios de
seguridad en la red
El administrador de red de la CGN identifica los mecanismos de

seguridad registrados en su diagrama de configuración, las medidas
de control utilizada para los accesos y trafico de la red a traves del
firewall, también mantiene en contacto con los proveedores y
verifica los ANS con peridiocidad
A traves del firewall Fortinet se aplican logging y seguimiento

adecuados para posibilitar el registro y detección de acciones que
pueden afectar, o son pertinentes a la seguridad de la información
Se realiza el aislamiento de redes mediante VPN, redes,

segmentación Y VLANs por piso del edificio.
Los segmentos de red de los servidores y equipos usuarios se

encuentran separados - Se cuenta con diagrama de topologia de la
red
La cgn cuenta con el protocolo de FTPS para los usuarios
estrategicos
FTP:
http://galatea.contaduria.gov.co/svn/TIC_Gestion_TICs/trunk/INF
(Infraestructura)/SOP (Sistemas Operativos)/AIX (AIX)/FTP
(Descargas FTP-SITE CGN)/TIC-INF-SOP-AIX-FTP-Entidades FTP.xls

información" del manual de seguridad y en el numeral 6 del
instructivo PI28 -INS01 se habla del Métodos de transferencia
Se realizan campañas a los funcionarios sobre el uso adecuado de la

información para que tome las precauciones apropiadas de no
revelar información confidencial
Se cuenta con clausula de confidencialidad en los contratos, ademas

del documento del acuerdo de confidencialidad que es diligenciado
y firmado por los proveedores
Se firman polizas de cumplimiento que permiten tener garantia
Niveles aceptables que se realizan en el control de acceso y manejo

de la información de acuerdo a la actividad N° 3 Verificar el
adecuado manejo de la información del item 7. CLASIFICACIÓN ,
ETIQUETADO Y MANEJO DE LA INFORMACIÓN del procedimiento
de gestion de activos.

información" del manual de seguridad
La plataforma de correo de la entidad es Gmail por tal motivo la

seguridad de la misma está controlada de acuerdo a las políticas y
condiciones contractuales del proveedor.
La mensajería electrónica se protege contra acceso no autorizado,

modificación o denegación del servicio
Manual de Seguridad de la Información - literal k) numeral 10.40
"Política de transferencia informacion"; numeral 10.13 "Politica de
accesos a los recursos de informacion " literal d), e) y f) y numeral
10.30 "Confidencialidad de la información"
Evidencias del Acuerdo de Confidencialidad (proveedores,

contratistas y servidores públicos)
Documento de especificaciones tecnicas, ademas del
diligenciamiento de los GPS (Guiones de Prueba Seguridad).
Nuevos sistemas- GTI04-FOR02 formato de especificaciones

técnicas el requisito de seguridad en el item 2.1 ESPECIFICACIONES
DE SEGURIDAD INFORMATICA DE PRODUCTO Y/O SERVICIO
Al firmar la solicitud de cuentas de usuarios se da por informado de

las politicas y el manual de seguridad de la CGN
Evidencia de la adquisición del certificado SSL
Los servicios de aplicaciones que pasan sobre redes públicas se

protegen mediante protocolos seguros (Evidencia)
La CGN cuenta con un certificado de servidor seguro SSL para la

pagina del CHIP
Ademas el ingreso a los aplicativos y equipos de almacenamiento se

realiza a traves de autenticacion
Politica GTI07-POL01 - Política de Desarrollo y Mantenimiento de
Software (lineamientos ciclo de desarrollo)
Evidencia Separación de los ambientes de desarrollo, pruebas y

produccion
Procedimientos GTI-PRC07 Procedimiento Desarrollo de Software;

GTI-PRC08 Procedimiento de Generación de Versión; GTI-PRC09
Procedimiento de Mantenimiento de Software, GTI-PRC06
Procedimiento de Certificación de Software
Formatos
GTI02-FOR04 - Administración de Cambios de TI
GTI01-FOR02 Orden de Cambio
Formato GTI01-FOR02 Orden de cambio.
Flujograma Gestión de Cambios Tecnologicos del GTI-

PRC010Procedimiento de Seguridad de la Información
Procedimientos GTI-PRC07 Procedimiento Desarrollo de Software;

GTI-PRC08 Procedimiento de Generación de Versión; GTI-PRC09
Procedimiento de Mantenimiento de Software, GTI-PRC06
Procedimiento de Certificación de Software
GTI07-MTD01 -
Metodologia de Desarrollo y Matenimiento de Software
Formato de control de cambios, con aprobación del comité para el

sistema CHIP
Formatos:
GTI06-FOR02 - Acta de Recibo a Satisfacción
GTI06-FOR03 - Acta de Certificación de Versión
Evidencia aprobación cambios
Adquisición Nuevos Sistemas: Evidencia:
GTI04-FOR02 Formato de especificaciones técnicas el requisito de

seguridad en el item 2.1 ESPECIFICACIONES DE SEGURIDAD
INFORMATICA DE PRODUCTO Y/O SERVICIO
GTI04-FOR02 formato de especificaciones técnicas el requisito de
seguridad en el item 2.1 ESPECIFICACIONES DE SEGURIDAD
INFORMATICA DE PRODUCTO Y/O SERVICIO
La entidad no ha contratado el servicio de Desarrollo de Software

con proveedores
GTI-PRC06 Procedimiento de Certificación de Software
Resultados pruebas del test de vulnerabilidad interno y externo

GTI07-MTD01 -
GTI07-MTD01 -
Evidencia - Configuración Ambientes de Contingencvia y Pruebas
Contrato - Proveedores
Manual de Seguridad de la Información - numeral 7 Cumplimiento y

numeral 10.45 Política para proveedores de Servicios
Formato GTI010-FOR04 Solicitud de Cuentas de Usuario

Institucional - VPN
GTI010-POL02 Politica de seguridad de la informacion para

proveedores de servicios
Para proveedores de servicios Plataforma Tecnológica -> Evidencia

Acuerdos de servicios - ANS
Evidencia - Clausula de confidenciabilidad y Especificaciones

Técnicas Anexo Contrato
Formato GTI04-FOR02 -FORMATO DE ESPECIFICACIONES TECNICAS

Acuerdos de confidencialidad con proveedores
Documentos proveedores
Hojas de Vida Servidores

Flujograma Gestión de Cambios Tecnológicos del GTI-PRC010
Flujograma de Gestión de Incidentes del GTI-PRC010 Procedimiento
De Seguridad de la Información
Instructivo GTI010-INS04 para la gestión de incidentes de seguridad

de la información.
Lista de contactos de los grupos de interes
Formato GTI010-FOR01 - Registro Incidentes Seguridad de la

Información
Reportes a la cuenta de correo electronico

seguridadinformatica@contaduria.gov.co

Gestión de Incidentes de Seguridad de la Información
Flujograma de Gestión de Incidentes, Amenazas y Debilidades de

Seguridad del GTI-PRC010 Procedimiento de la seguridad de la
información
Campañas de sensibilización sobre Tips de seguridad de la
información - Correo Masivo y o registro en Heramienta de Mesa de
Servicio

Información - Item Lecciones Aprendidas

de la Seguridad de la Informacion
Instructivo GTI010-INS04 para la gestión de incidentes de seguridad

de la información.
Lista de contactos de los grupos de interes para reportar las

acciones necesarias relacionadas con incidentes de seguridad
Información
De acuerdo al analisis y nivel de complejidad establecido del

incidente reporta a los grupos de atención de incidentes (CsirtGob;
CCP - Csirt´s y Colcert
Flujograma Gestión de Incidentesdel GTI-PRC010 Procedimiento de

Sistema de monitoreo Zabbix
Evidencia monitoreo de los componentes de la Plataforma

Tecnológica.
Flujograma de Gestión de Incidentes del GTI-0RC010 Procedimiento

de la Seguridad de la Información
Formato GTI10-FOR01 Registro de incidentes de seguridad d ela

información
Evidencia del seguimiento y control a la plataforma tecnológica
(herramienta de monitoreo)
Evidencias relacionadas con el incidente.

de la Seguridad de la Información
Plan de Contigencia (Guías)

Plan de contingencia
Centro Alterno de Datos - Medellin para el Sistema CHIP misional
Guias de contingencia para los servicios tecnologicos críticos

Plan de contingencia actualizado (pruebas y simulacros conformea
las guias de implementacion.
Evidencia de la replicación de datos de la información misional del

Data Center principal al Data Center Alterno.
Evidencia de configuración de los discos en Raid 10, fuentes de

poder, aire acondicionado, firewall, ups, switches, dominio, Etc
Normatividad Institucional de la página Web
Evidencia cumplimiento lineamientos ley 80 de 1993 , ley 1150 de

2007 y decreto reglamentario 1510 de 2013 y demás normas para
llevar a cabo la contratacción
Manual de seguridad de la información numeral 10.26 Política de
Cumplimiento ante requerimientos legales y contractuales –
Derechos de autor
Contratos con la clausula de propiedad intelectual.
Flujograma derecho de propiedad intelectual del procedimiento de

Política de privacidad y protección de datos personales
TRD - CGN
Repositorio en Galatea, logs, registros de auditorias (Visor de

sucesos) y demas elementos que permiten obtener registros
Política de privacidad y protección de datos personales
Evidencia de la certificación SSL, credencial se encuentra instalada

para la pagina del CHIP
Autenticación de los usuarios para conexion del sistema de

información SIIF a traves de dispositivos (Token)
Manual de Seguridad de la Información numeral 10.1 Revisión de la
Política
Auditorías internas - Plan de Auditorías e informes de auditoría

derivados
Cumplimiento de la Política del SGSI, el Manual de Seguridad de la

Información y demás Políticas específicas.
Evidencia de la Revisión por la dirección
Manual de Seguridad de la Información numeral 10.1. Revisión de la

Política
Manual de Seguridad de la Información - numeral 10.1. Revisión de

la Política
Plan de adquisición del GIT Apoyo Informático con aprobacion
Seguimiento y control con la herramientas de monitoreo para la

plataforma tecnológica (Zabbix, Firewall, Antivirus, Test de
vulnerabilidades, Etc)

Declaración Aplicabilidad 27001-2013

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Declaración Aplicabilidad 27001-2013

Cargado por

Copyright:

Formatos disponibles

DECLARACION DE AP

N° CONTROL DOMINIO-CONTROL CONTROL APLICADO

Políticas para la La CGN cuenta con la Política de seguridad de la

Contacto con las Se menciona en el numeral 10.4. Contacto con Autoridades

El GIT cuenta con documento que contienen los contactos

6.2 Disposistivos móviles

Política para dispositivos Se contempla en el manual de seguridad de la información

Actuamente se cumple con los lineamientos que establece

Este control se cumple puesto que actualmente todo el

Se establece tambien en los contratos naturales en la

7.2 Durante la ejecución

Se generan espacios de sensibilizacion de seguridad de la

La CGN actuará de acuerdo a las normas y Leyes

Los procesos disciplinarios en la Contaduría General de la

Este control se aplica con el procedimiento que se realiza a

Se cuenta con un documento controlado, el formato GTI11-

Definido en el numeral 10.14. Política de uso de los

Una vez finalizado la relacion contractual o uso del activo,

Este control se define en el numeral 10.13. Política de

Clasificación de la Se menciona en el numeral 10.10 literal b. y c Gestión de

8.3 Manejo de medios

El GIT de apoyo informática cuenta con la politica GTI010-

Con el fin de dar cumplimiento con el adecuado

Transferencia de medios Se hace mencion en el manual de seguridad de la

Se cuenta con los formatos GTI010-FOR02 Solicitud de

Este control se aplica puesto que se asigna bajo la

Definido en el literal c) del numeral 10.13. Política de

Se cuenta con los formatos GTI010-FOR02 Solicitud de

Se controla con los procedimientos que realizan los

Se controla con la implementación de un proceso formal de

Se implementa tambien el procedimiento que realiza el

Tambien se encuentra definido en el literal a) del numeral

Se cuenta con el documento del acuerdo de

Se define en el numeral 10.12 Gestión de acceso a

Revisión de los derechos Definido en el numeral 10.38. Política de Control de Acceso

Se cuenta con el formato GAD05-FOR01 - Formato de paz

La CGN proporciona el formato GAD-PRC02 - Traslado de

Este requisito tambien se tiene en cuenta en el flujograma

Uso de información Definido en el numeral 10.19. Política de Administración de

Definido en el numeral 10.38. Política de Control de Acceso

Tambien se define en el numeral 10.36. Política de Acceso

En los servidores se visualiza el last login y desde que IP se

A traves del Firewall se determina cualquier evento de

Despues de un tiempo de no uso de los sistemas de

El Proceso Gestión Tics cuenta con el documento GTI02-

Se menciona en el numeral 10.19. Política de

Definido en el literal d) del numeral 10.14. Política de uso

Control de acceso a Actuamente se cuenta con el SW Subversion

Existe un software o repositorio de códigos fuente de las

En la contaduria se asegura el cifrado de las contraseñas en

Para las conexiones remotas utilizamos VPN IPsec que

El correo de la CGN utiliza la encriptación estándar TLS, el

Definido en el numeral 10.20 " Política de criptografía y

Se cuenta con un certificado de servidor seguro SSL para la

La entidad cuenta con una area de recepcion en el piso 15

El piso 15 cuentan con una puerta de acceso a las

En el piso quince se encuentra el area de recepcion que se

La entidad cuenta cuenta con software llamado DataPark

Todos los funcionarios externos e internos cuentan con

En las areas de procesamiento de información existen

El GIT cuenta con el directorio telefonico de los

La CGN esta respaldada por el firewall el cual genera

El area de gestion administrativa informa que la entidad

Se cuenta con control de acceso al centro de computo. El