DELEGADA DE GESTIÓN

PLAN DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD EN LAS CAJAS DE COMPENSACIÓN FAMILIAR

SEGUIMIENTO Y VERIFICACIÓN DE CUMPLIMIENTO

CAJA DE COMPENSACIÓN: Caja de Compensación Familiar CAJAMAG
FECHA: 4 de mayo de 2022

N° DESCRIPCIÓN ÍTEM SI NO OBSERVACIONES

1. INSTRUMENTO PROTECCIÓN DATOS PERSONALES
1 Presenta la corporación información de soporte al reporte semestral en archivo PDF? X Se presenta una comunicación general que no corresponde a una evidencia documental

2 En el archivo PDF se evidencia relación con la documentación enunciada en el reporte semestral de la estructura? X No se anexa documentación específica sobre la implementación de los diferentes ítems del instrumento

No se documenta la política de protección de datos vigente, donde se evidencie la recolección, uso y gestión de los datos
3 Ítem 1. Cuenta la entidad con una política para la protección de datos personales? X personales.
Ítem 19. Se conserva prueba de haber informado a los titulares sobre el tratamiento de datos personales, sus derechos y
4
canales y procedimientos establecidos? X No se documentan formatos sobre la gestión de actualización.

Ítem 22. Se establece el (los) responsable(s) del tratamiento de datos personales o la respectiva delegación, si es el
5
caso? X No se documenta política de protección de datos y plan para la corrección del error en la definición.

Ítem 29. Se han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la ley No se documentan procedimientos internos o formatos que permitan medidas o controles para cumplir con la ley de protección de
6
de protección de datos personales? X datos.

Ítem 34. Se han establecido mecanismos que garanticen la divulgación interna, así como procesos de capacitación y No se documenta plan para la elaboración de un plan de capacitación al personal dentro de una estrategia institucional por dar
7
entrenamiento en materia de protección de datos personales? X cumplimiento a la establecido en la Ley.

Ítem 35. Se han registrado las bases de datos con información personal que dispone la entidad en el registro nacional de
8
bases de datos que administra la Superintendencia de Industria y Comercio? X No se documenta registro en la base de datos ante la SIC, así como sus respectivas actualizaciones.

Ítem 38. Se cuenta con planes de auditoria para verificar el cumplimiento del programa de tratamiento de datos
9
personales? X No se documenta plan de auditoria para verificar cumplimiento del programa de tratamiento de datos.

2. INSTRUMENTO POLÍTICAS DE SEGURIDAD

1 Presenta la corporación información de soporte al reporte semestral en archivo PDF? X Se presenta una comunicación general que no corresponde a una evidencia documental

2 En el archivo PDF se evidencia relación con la documentación enunciada en el reporte semestral de la estructura? X No se anexa documentación específica sobre la implementación de los diferentes ítems del instrumento

Ítem 2. En la Entidad, cuál de los siguientes documentos tiene oficialmente establecido: plan de seguridad de la
No se documenta el Plan de Seguridad de la Información y evidencia de las acciones para la adaptación de un Sistema de Gestión
3 información sistema de gestión de la seguridad de la información, modelo de seguridad y privacidad de la información – X de la Seguridad de la Información.
MSPI

Ítem 5. La Entidad ha definido programas de capacitación y sensibilización del personal en temas de seguridad de la
4
información para diferentes perfiles y con periodicidad establecida? X No se documentan los soportes de la campaña de sensibilización y acciones del plan de cumplimiento.

Ítem 7. Establece la política de seguridad de la información procedimiento para la actualización del inventario de activos
5
de información y la clasificación de su criticidad de acuerdo con los datos que comprende el activo? X No se documenta la política de identificación y clasificación de activos de información.

Ítem 19. Posee la entidad controles de seguridad a través de redes de datos, controles en la transferencia de la
6 información dentro de la entidad y al exterior, donde se apliquen métodos para proteger la información y suscriban X No se documentan los controles establecidos mediante proxy, nat, acl, sll.
acuerdos de confidencialidad y no divulgación?

Ítem 36. Posee la entidad un modelo de gestión de riesgos de seguridad de la información, en el cual se identifican,
7 evalúan y tratan los riesgos de seguridad, así como para seleccionar medidas de seguridad, de preparación y de X No se documenta la matriz de riesgos donde se identifique los riesgos informáticos y tratamiento.
recuperación?

Ítem 37. La Entidad adelanta a través del área de control interno o por un consultor externo procesos de auditoria para
8
validar la implementación de la seguridad y privacidad de la información. X No se documentan auditorias internas de los subprocesos de la unidad de TI.

3. INSTRUMENTO PROGRAMA DE CIBERSEGURIDAD

1 Presenta la corporación información de soporte al reporte semestral en archivo PDF? X Se presenta una comunicación general que no corresponde a una evidencia documental

Carrera 69 # 25 B – 44 pisos 3, 4 y 7 PBX: 3487800 Bogotá Colombia

Línea Gratuita Nacional 018000910110 en Bogotá D.C.: 3487777
www.ssf.gov.co / e-mail: ssf@ssf.gov.co
 DELEGADA DE GESTIÓN
PLAN DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD EN LAS CAJAS DE COMPENSACIÓN FAMILIAR

SEGUIMIENTO Y VERIFICACIÓN DE CUMPLIMIENTO

N° DESCRIPCIÓN ÍTEM SI NO OBSERVACIONES
1. INSTRUMENTO PROTECCIÓN DATOS PERSONALES
2 En el archivo PDF se evidencia relación con la documentación enunciada en el reporte semestral de la estructura? X
No se anexa documentación específica sobre la implementación de los diferentes ítems del instrumento

Ítem 3. Se establecen, a nivel del plan de seguridad, políticas de aplicación de ciberseguridad para: seguridad perimetral -
3 firewall, interconexión delegaciones (VPN), acceso remoto y teletrabajo, filtro de contenido y control de aplicaciones, X No se documenta la documentación en la cual se especifican las conexiones internas y externas mediante el uso de proxy vpn.
aceleración WAN, Gateway antivirus y filtro antispam, accesos SSL, p.e.?
Ítem 4. Se hace gestión a nivel del responsable de TI de todos los dispositivos hardware en la red, de forma que sólo los
4
dispositivos autorizados tengan acceso a la red? X No se documenta evidencia sobre las restricciones a nivel de vlan, proxy, acl.

Ítem 5. Se hace gestión a nivel del responsable de TI de todo el software en los sistemas, de forma que solo se pueda
5
instalar y ejecutar software autorizado? X No se documenta evidencia sobre la protección UAC de los equipos de la CCF.

Ítem 7. El responsable de TI adelanta un seguimiento continuo para obtener información sobre nuevas vulnerabilidades,
6
identificarlas, remediarlas y reducir la ventana de oportunidad a los atacantes? X No se documenta evidencia sobre los test de vulnerabilidades a los servidores.

Ítem 17. Esta establecido un procedimiento y se hace uso de herramientas para identificar, prevenir y corregir el uso y No se documenta evidencia sobre la herramienta que identifica escalamiento de privilegios. Además, no se documentan las
7
configuración de privilegios administrativos en ordenadores, redes y aplicaciones? X acciones para el plan de cumplimiento.

Ítem 28. Dispone la entidad de un sistema de protección contra intrusiones y amenazas de malware, inteligencia, control
8
y visualización de aplicaciones en tiempo real, e inspección de sesiones SSL cifradas? X No se documenta evidencia del IDS que realiza la correlación de eventos a los servidores externos.

4. INSTRUMENTO SEGURIDAD EN SISTEMAS DE INFORMACIÓN

1 Presenta la corporación información de soporte al reporte semestral en archivo PDF? X Se presenta una comunicación general que no corresponde a una evidencia documental

2 En el archivo PDF se evidencia relación con la documentación enunciada en el reporte semestral de la estructura? X No se anexa documentación específica sobre la implementación de los diferentes ítems del instrumento

Ítem 1. La entidad ha establecido una política de seguridad de la información en los procesos de adquisición, desarrollo y No se evidencia documento de lineamientos para la adquisición, desarrollo y mantenimiento de sistemas de información. No se
3
mantenimiento de los sistemas de información? X documentan acciones del plan de cumplimiento.

Ítem 6. Esta establecido alcance y metodología de plan de pruebas durante el ciclo de vida de los sistemas de
4
información que comprenda pruebas de código, de sistema y de usuario? X No se evidencia documento de lineamientos para las pruebas del producto de software.

Ítem 8. Esta establecido el plan de capacitación y entrenamiento para los sistemas de información para perfiles
5
funcionales y técnicos? X No se evidencia documentación sobre capacitación a usuarios finales.

Ítem 26. Establece el procedimiento de auditoria la gestión de riesgos de seguridad de la información para evaluar la
6
seguridad de las aplicaciones y sus posibles vulnerabilidades y de la efectividad de los controles implementados? X No se documentan las acciones del plan de cumplimiento.

Ítem 28. Se dispone de auditorías de código y registros de pruebas de calidad sobre aplicaciones informáticas (a nivel de
7
código fuente) que permiten conocer e identificar posibles vulnerabilidades? X No se documentan las acciones del plan de cumplimiento.

Ítem 29. Se ha implementado medidas de seguridad a partir de pruebas de Ethical Hacking, con aplicación de diversas
8
metodologías para probar la seguridad de la información? X No se documentan pruebas de seguridad a los sistemas de información para la identificación de vulnerabilidades.

Carrera 69 # 25 B – 44 pisos 3, 4 y 7 PBX: 3487800 Bogotá Colombia

Línea Gratuita Nacional 018000910110 en Bogotá D.C.: 3487777
www.ssf.gov.co / e-mail: ssf@ssf.gov.co