Diagnóstico SGSI

Con el fin de realizar un diagnóstico de los sistemas de información, se solicita indicar Si o No,
para cada uno de los siguientes ítems y frente a ellos describa concretamente como se ejecuta
el procedimiento, sin importar si está documentado o no lo está. Debe describirse claramente el
procedimiento con el fin de documentar apropiadamente las políticas de que componen el
Sistema de Gestión de Seguridad de la Información, en caso no existir justificar el porqué en el
campo Descripción del Procedimiento.

Elaborado por: Francisco Javier Velásquez Díaz

Elaborado por: Erika Tatiana Pachón Gómez

Elaborado por:

Empresa: Lexury

Actividad Soporte y desarrollo de software

Comercial:

SI /
Ítem Cuenta Con: Descripción del Procedimiento
NO
Esto se aplica a nivel interno, mediante
la Resolución 084 de 2020 en la que se
adoptó el Plan de Seguridad y
Privacidad de la Información, dicho plan
Sistema de Gestión de Seguridad determina la existencia de un Comité de
1 SI
Informática Gestión de Seguridad de la Información,
así mismo menciona un Oficial de
Seguridad de la Información y su equipo
de apoyo junto con sus funciones y
responsabilidades.
Cuenta con las siguientes
certificaciones:
 Certificado de Profesional de la
Qué nivel de certificación de estudios Seguridad de los Sistemas de
2 posee el Líder de Gerencia de la SI Información (CISSP)
Información  Certificado en Control de Riesgos
y Sistemas de Información
(CRISC)
 Red CompTIA+
3 Inventario de activos informáticos SI Al realizar el inventario de activos se
tiene en cuenta lo siguiente:
 Se debe mantener un registro
actualizado y exacto de todos los

Matriz de riesgos de Seguridad
4 SI
Informática
5 Planes de mejoramiento de Seguridad
Informática
activos de información en el
documento “Matriz inventario de
activos de Información”, el cual
debe ser actualizado al menos
dos veces por año. El propietario
de la información debe hacer su
clasificación y actualización y a
su vez debe informar a la
Subdirección de Informática y
Sistemas de su clasificación para
que tomen las medidas para su
preservación
 Todos los activos de información
deben tener asignado un
propietario quienes deben
asegurarse de revisar
periódicamente las restricciones
de acceso a los activos, y que
estos se encuentren clasificados
apropiadamente.Los funcionarios
y/o contratistas de la
Subdirección de Informática y
Sistemas son los custodios de
los activos de información
 Los activos de tipo “información”
deben clasificarse de acuerdo
con los niveles de clasificación
de la información, de acuerdo
con lo establecido en la Ley 1712
del 6 de marzo de 2014 (Ley de
Transparencia y del derecho de
acceso a la información pública
nacional)
La gestión de los riesgos de Seguridad
en la empresa está a cargo del
responsable de seguridad, y deberá
estar tratando de inicio a fin a través de
un procedimiento en donde se garantice
la atención, análisis y recolección de
evidencia, documentación, solución y
seguimiento de los mismos. Cuando se
presenten riesgos o eventos de
seguridad de la información se deben
reportar de manera oportuna, clasificar,
asignar responsable, responder y
registrar las lecciones aprendidas de
acuerdo con lo definido en una matriz
“Gestión de Riesgos de Seguridad”
SI Para el plan de mejoramiento se
considera las necesidades y objetivos,
los requisitos de seguridad, los procesos

Plan de contingencia Seguridad de la
6 SI
Información
Procedimiento de asignación de
7 Si
credenciales a los usuarios
Procedimiento de asignación de
8
contraseñas a la red WIFI
Procedimiento de ingreso del personal a la
9
Institución
Procedimiento de egreso del personal a la
10
Institución
11 Procedimiento de generación de Si
contraseñas
en donde se maneja información y el
tamaño y estructura de Lexury, además
promueve la preservación de la
confidencialidad,integridad,disponibilidad
y privacidad de la información, a través
de la aplicación de procesos de gestión
del riesgo, brindando confianza a las
partes interesadas y disminuyendo su
afectación en caso de posibles
incidentes.
La empresa cuenta con un plan para
mitigar en caso de ser vulnerada la
información de la misma, habilitando las
instalaciones para continuar con su
funcionamiento adecuadamente. Para
eso se realiza:
 Estudio sobre el área afectada y
revisión de toda la estructura
para evitar otro posible ingreso
no deseado.
 Analizar el nivel de impacto que
tuvo dicho ingreso.
 Modificar las credenciales de la
red como de aquellos usuarios
que no cumplen con la orden de
la actualización periódica de las
contraseñas.
 Restauración de copias de
seguridad.
Las credenciales son generadas por el
ingeniero con ayuda del sistema de
información de la empresa, ingresando
el nombre completo del empleado y su
número del sistema genera un nombre
de usuario único y una contraseña
temporal, las cuales son entregadas al
empleado para su uso y administración
Las contraseñas son generadas
automáticamente por el sistema de
información de la empresa, cada
contraseña está construida bajo el
protocolo de contraseñas seguras las
cuales constan de mayúsculas,
minúsculas y el número de documento
 del empleado así mismo estás
contraseñas deben ser modificadas en
un plazo de 24 horas por el usuario
asignado
La institución cuenta con la generación
de un backup completo semanalmente
de las bases de datos, todas ellas son
almacenadas en la nube y cuentan con
un respaldo en disco duro, cuando se
Procedimiento de generación y
12 SI llegue a presentar una falla o
restauración de Back Up
manipulación indebida de la base de
datos el empleado debe presentar ante
el ingeniero una petición para la
restauración de la base de datos
afectada
Procedimiento de Manejo de discos
13
extraíbles
Procedimiento de control de acceso a
14
internet
Cronograma de mantenimiento de activos
15
informáticos
Reportes de mantenimiento de activos
16
informáticos
17 Hojas de vida de activos informáticos
Compromiso de confidencialidad firmado
18
por los funcionarios
Actas de capacitación a los usuarios
19
internos en Seguridad Informática
Evidencias de capacitación a los usuarios
20
internos en Seguridad Informática
21 Política de escritorio limpio
Manuales del Software de Gestión SI se
22
cuenta con él
Manual de funciones del personal de TIC
23 (Si no lo hay describa las actividades de
cada uno)
Programa de capacitaciones del área de
24
sistemas al personal de la Institución
Procedimiento de asignación de
25 credenciales a los usuarios que hacen uso
del software de gestión
Procedimiento de bloqueo de páginas de
26 uso no institucional (Facebook, Twitter,
YouTube, emisoras online, etc.)
Procedimiento de acceso al centro de
cómputo o servidores, infraestructura de
27
red del área de tecnologías de la
Información
28 Procedimientos para el mantenimiento de
 Software
Procedimientos de adquisición de nueva
29
tecnología
Procedimientos de actualización de la
30
página web de la entidad
Procedimiento de acceso a la página web
31
de la entidad
Procedimiento de conexión de dispositivos
32 móviles al wifi de la Institución (Si se
permite)
Procedimiento de conexión de unidades
33 de memoria (USB) extraíbles a los
equipos de cómputo
Procedimiento de uso aceptable de los
34
activos informáticos
Procedimiento de documentación de
35 pérdidas de información por parte de los
usuarios
Procedimiento de instalación de software
36 en equipos y restricciones de instalación
de software no institucional
Procedimiento de encriptación de
37 mensajes de correo electrónico con
información confidencial
Procedimiento de desarrollo de software
38
seguro
Procedimiento de establecimiento de
proceso disciplinario contra empleados
39 que de alguna u otra manera rompan la
disponibilidad, confidencialidad e
integridad de la información
Procedimiento de asignación de turnos
40 para la atención de la unidad funcional de
tecnologías de la Información
41 Política de protección de datos personales
Política o procedimientos para la
42
protección de derechos de autor
Modelo de Seguridad y Privacidad de la
43
Información
Procedimiento de Seguridad de la
44
Información
Procedimiento para establecer Roles y
45
responsabilidades
Procedimiento para la Gestión
46
Clasificación de Activos
Procedimiento para el manejo de la
47
documentación (Gestión Documental)
Procedimiento para establecer y/o
48
Gestionar los Riesgos del área de TIC
49 Enumere los controles implementados
 para garantizar la Seguridad de la
Información
Cuales Indicadores Gestión de Seguridad
50 de la Información posee la entidad,
Descríbalos
Procedimiento para Continuidad de
51
Negocio
Procedimiento para realizar un análisis de
52 Impacto de Negocio (Enfocado en las
actividades del área de TIC)
Procedimiento para establecer Seguridad
53
en la Nube
Plan de comunicación, sensibilización,
54
capacitación
Programa, Plan y Procedimiento para la
55
realización de Auditoria informática
Procedimiento para establecer la
56
evaluación de desempeño
Procedimiento para establecer Mejora
continua alineada con los procesos de
57
calidad de la organización (Planes de
Mejora)
Lineamientos para las terminales de áreas
58 financieras de la entidad (Áreas que
manejen dinero)
Aseguramiento y/o Transición de
59 protocolo IPv4_IPv6 (Avances en la
transición)
60 Procedimiento para Gestión de Incidentes
Normograma del área de gerencia de la
61
información
Estado de Cumplimiento a la ley 1712 de
62
2014
Control de cambios al software de la
63
organización
64 Caracterización del área de TIC
Política para el tratamiento de datos
65
personales
66 Diseño topológico de la red
Plan de desarrollo tecnológico y de
67
renovación de tecnología
68 PETIC
Plan de Tratamiento de Riesgos de
69
Seguridad y Privacidad de la Información
70 Plan Desarrollo Informático
Manual de manejo de Residuos
71
tecnológicos
72 Sistema de Control de Acceso
73 Manual de Sistemas de información
74 Registro nacional de base de datos
75
76
77
78
79
80
81