logo empresa código: mp-psi-01 versión

LOGO EMPRESA POLITICAS DE SEGURIDAD

Código: MP-PSI-01 Versión: 1.0

0

2017

POLITICAS DE

SEGURIDAD

Versión 1.0



1

CONTROL DE VERSIONES

Código Versión Fecha Descripción de

Cambios

Elaborado por Aprobó

MP-PSI-01 1.0 29/03/2017 Primera Versión

Ing. Heiner Suarez Ing. Hawin Tapiero

Ing. Heiner Suarez Ing. Hawin Tapiero



2

Tabla de contenido

1. OBJETIVO ................................................................................................................. 3

2. ALCANCE .................................................................................................................. 3

3. GLOSARIO ................................................................................................................ 4

4. ASPECTO REGLAMENTARIO .................................................................................. 6

4.1. REGULACIÓN EXTERNA ................................................................................... 6

4.2. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES ............................................. 6

4.2.1. Políticas de Seguridad de la Información ................................................. 6

4.2.2. Políticas Específicas de Seguridad de la Información ............................. 8

4.2.3. Acuerdos de Niveles de Servicio – ANS Internos .................................. 34

5. REPRESENTACIÓN GRÁFICA DEL PROCESO ..................................................... 35

6. DESCRIPCIÓN DE PROCEDIMIENTOS .................................................................. 36

6.1. PLANEACIÓN ................................................................................................... 36

6.1.1. Políticas Generales ................................................................................... 36

6.1.2. Plan de Sensibilización y Capacitación .................................................. 37

6.2. INSPECCIÓN, ANÁLISIS, MEJORAMIENTO Y SERVICIOS DE SGSI ............ 38

6.2.1. Monitoreo .................................................................................................. 38

6.2.2. Detección y Análisis de Vulnerabilidades............................................... 43

6.2.3. Gestión de Incidentes .............................................................................. 46

6.2.4. Gestión de Usuarios ................................................................................. 51

6.3. GOBERNABILIDAD DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN –

SGSI 54

6.3.1. Cumplimiento ............................................................................................ 54

7. VIGENCIA, CONSULTAS Y APROBACIONES ....................................................... 56



3

INTRODUCCIÓN

Las entidades del sector asegurador tienen en cuenta la información como un componente

indispensable en la conducción y consecución de los objetivos definidos por la estrategia

de la organización, razón por la cual es necesario que se establezca un marco en el cual

se asegure que la información es protegida de una manera adecuada independientemente

de la forma en la que ésta sea manejada, procesada, transportada o almacenada.

Este documento describe las políticas y normas de seguridad de la información definidas

por las entidades del sector asegurador. Para la elaboración del mismo, se toman como

base las leyes y demás regulaciones aplicables, la norma ISO 27001:2013 y las

recomendaciones del estándar ISO 27002:2013.

Las políticas incluidas en este manual se constituyen como parte fundamental del sistema

de gestión de seguridad de la información de las entidades del sector asegurador y se

convierten en la base para la implantación de los controles, procedimientos y estándares

definidos. La seguridad de la información es una prioridad para las entidades y por tanto es

responsabilidad de todos velar por que no se realicen actividades que contradigan la

esencia y el espíritu de cada una de estas políticas.

1. OBJETIVO

Formalizar el procedimiento de Gestión de Seguridad de la Información, que hace

parte del proceso de Gestión de Riesgos y Control.

Definir y reglamentar los procedimientos requeridos para la operación del Sistema

de Gestión de la Seguridad de la Información - SGSI, con el fin de asegurar que se

ejecuten las actividades requeridas para proteger la información de las amenazas

que recaigan sobre ella.

Generar una cultura para disminuir el riesgo de información que le permita a la

Entidad mantener el monitoreo, control y medición de las amenazas y

vulnerabilidades, y aplicar procedimientos que salvaguarden la confidencialidad,

integridad, disponibilidad y privacidad de la información.

2. ALCANCE

Este manual reglamenta el proceso, desde la definición de políticas y la planeación, hasta

el mejoramiento del proceso, pasando por la implementación de los planes, la ejecución y

monitoreo continuo, extractando lecciones y aplicando nuevas y mejores prácticas.



4

3. GLOSARIO

Activo de Información: Es un dato o elemento que tiene valor para la Entidad.

Amenaza: Hecho que puede producir un daño provocado por un evento.

ASI: Analista de Seguridad de la Información.

Auditoria. Practica de buen gobierno que permite identificar el nivel de cumplimiento y

adherencia dentro de la organización a las normas, principios o buenas prácticas de la

disciplina que se está analizando.

Confidencialidad: Seguridad de que la información es accesible solamente por quienes

están autorizados para ello.

Disponibilidad: Seguridad de que los usuarios autorizados tienen acceso a la información

y a los activos asociados cuando los requieren.

Dispositivo de almacenamiento de información: Cualquier elemento fijo o removible que

haga parte de un equipo o que pueda ser conectado a los equipos de procesamiento o

transmisión de información, en el que resida o pueda residir información, entre los más

conocidos están: memorias USB, dispositivos de reproducción de multimedia, unidades de

CD-DVD fijas o removibles, Tape Back-ups, unidades de disco USB, unidades de ZIP

Driver, cámaras fotográficas, dispositivos móviles.

Doble Participación. Principio por el cual un empleado no puede concentrar varias

funciones dentro de un mismo proceso para llevar a cabo, de forma unilateral, labores de

modificación y/o aprobaciones.

Dueño de la Información: Un individuo o unidad organizacional que tiene responsabilidad

por clasificar y tomar decisiones de control con respecto al uso de su información.

Evento: Suceso repentino que puede generar alguna afectación o alarma en un sistema de

información.

Incidente: Hecho o evento que puede afectar un activo de información.

Integridad: Protección de la exactitud, del estado completo de la información y de los

métodos de procesamiento.

Logs: Registro oficial de eventos durante un periodo de tiempo en particular. Identifica

información sobre quién, qué, cuándo, dónde y por qué un evento ocurre en cualquier

sistema de información.

Norma: Conjunto de reglas requeridas para implantar las políticas. Las normas hacen

mención específica de tecnologías, metodologías, procedimientos de aplicación y otros

factores involucrados y son de obligatorio cumplimiento.



5

Nivel de Sensibilidad: Es un indicador del valor o importancia que tiene la información

para la organización, dependiendo de la clasificación asignada a cada uno de las

características de integridad, disponibilidad y privacidad de dicha información.

Procedimientos: Pasos operacionales específicos que los individuos deben tomar para

lograr las metas definidas en las políticas.

Riesgo: Probabilidad de ocurrencia de un evento de seguridad.

Seguridad física: La protección de los equipos de procesamiento de la información de

daños físicos, destrucción o robo; Protege las facilidades asignadas para el procesamiento

de la información de daño, destrucción o ingreso desautorizados; y al personal de las

situaciones potencialmente dañosas.

Seguridad de la Información: Preservación de la confidencialidad, la integridad y la

disponibilidad de la información; además, puede involucrar otras propiedades tales como:

autenticidad, trazabilidad, no repudio y afinidad.

Segregación de Funciones. Principio por el cual se reglamentan las funciones de uno o

más funcionarios para la implementación del principio de la doble participación. Igualmente

dichas funciones no deben ser contradictorias entre sí o sobreponer responsabilidades

entre los actores de un procedimiento.

Sistema de Gestión de la Seguridad de la Información (SGSI): Parte del sistema de

gestión global basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es

garantizar que los riesgos de la seguridad de la información son conocidos, asumidos,

gestionados y minimizados por la organización de una forma documentada, sistemática,

estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos,

el entorno y las tecnologías.

El Sistema de Gestión incluye la estructura organizacional, políticas, actividades de

planificación, responsabilidades, prácticas, procedimientos, procesos, recursos.

Usuarios: Un individuo que tiene autoridad limitada y específica del dueño de información

para ver, modificar, adicionar, divulgar o eliminar información.

Vulnerabilidad: Debilidad de un sistema que compromete la integridad, disponibilidad o la

confidencialidad del mismo.

VPN: Tecnología de red, que permite una extensión segura de la red local sobre una red

pública o no controlada.



6

4. ASPECTO REGLAMENTARIO

4.1. REGULACIÓN EXTERNA

Ley 1581 de 2012 Protección de Datos Personales

Ley 1328 de 2009 Régimen de Protección al Consumidor Financiero

4.2. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES

4.2.1. Políticas de Seguridad de la Información

a. Declaración de la Política

La política de seguridad de la información de las entidades del sector asegurador tiene

como objetivo garantizar la protección de los activos de información involucrados en la

ejecución de los procesos que desarrolla la Organización en el ejercicio de su actividad,

mediante un equipo calificado y comprometido con la seguridad de la información,

garantizando la continuidad en las operaciones y procesos que soportan los objetivos del

negocio y la mejora continua.

b. Objetivos de la Política

Fortalecer la gestión de seguridad de la información a través de la implementación

y sostenimiento de un Sistema de Gestión de Seguridad de la Información - SGSI.

Optimizar los procesos, estableciendo mecanismos que garanticen el mejoramiento

continuo.

Promover programas de formación y sensibilización de los funcionarios de la

Entidad, en torno a la seguridad de la información y a la continuidad del negocio

Crear y mantener una cultura organizacional en seguridad de la información.

c. Alcance de la Política

La Política de Seguridad de la Información aplica para todos los niveles de la Entidad:

usuarios (que incluye funcionarios, accionistas, clientes), terceros (que incluye proveedores

y contratistas), entes de control y entidades relacionadas que acceden, ya sea interna o

externamente a cualquier activo de información independiente de su ubicación.

Adicionalmente la presente Política aplica a toda la información creada, procesada o



7

utilizada a nivel corporativo, sin importar el medio, formato, presentación o lugar en el cual

se encuentre.

d. Principios de Seguridad

Confidencialidad: La información solo podrá ser accedida, modificada y/o eliminada por

quienes estén autorizados para ello.

Disponibilidad: La información deberá estar accesible siempre que se requiera.

Integridad: La información deberá preservar su veracidad y fidelidad a la fuente,

independientemente del lugar y de la forma de almacenamiento y transmisión.

e. Cumplimiento

La Política de Seguridad de la Información y Continuidad del Negocio, la normatividad

interna, procesos, procedimientos, estándares, controles y directrices derivados de aquella,

son de obligatorio cumplimiento por los funcionarios, miembros, afiliados, clientes,

proveedores, titulares de información, entes de control, autoridades administrativas o

judiciales y, en general, toda persona natural o jurídica que acceda a cualquier activo de

información. Su incumplimiento acarreará las acciones a que hubiere lugar.

f. Aplicabilidad

La gestión de la continuidad estará enfocada a controlar los riesgos actuales y potenciales

de la información de acuerdo con el impacto sobre las operaciones y los objetivos de

negocio de la Entidad, bajo el marco de la norma de Seguridad Internacional ISO 27001, y

las recomendaciones de estamentos de control y vigilancia.

g. Compromiso de la Dirección

La Alta Dirección de la Organización, declara estar comprometida con la información, como

uno de sus activos más importantes, por lo tanto, manifiesta su total compromiso con el

establecimiento, implementación y gestión de un Sistema de Seguridad de la Información

que incluye el diseño e implementación de un plan de continuidad y recuperación ante

desastres.

La Alta Dirección demostrará su compromiso a través de:

La revisión y aprobación de la política contenida en este documento.

La divulgación de esta política a todos los funcionarios de la Compañía,

El aseguramiento de los recursos adecuados para implementar y mantener la

política de Seguridad de la Información.



8

4.2.2. Políticas Específicas de Seguridad de la Información

A continuación se desarrollan políticas específicas asociadas directamente a los dominios,

objetivos de control y controles del Anexo A de la Norma ISO 27001:2013 y relacionadas

directamente con la Política General, que especifican la conducta aceptada por la Entidad

en el manejo de su información y las acciones que deben ser tomadas para lograr los

objetivos de la presente política.

A.5. POLÍTICA DE SEGURIDAD

A.5.1. Directrices de la Dirección en seguridad de la información

Objetivo: La dirección debe brindar apoyo y orientación para la seguridad de la información

de acuerdo con los requisitos del negocio de los seguros y con las leyes y reglamentos

pertinentes.

A.5.1.1. Conjunto de políticas para la seguridad de la información.

Control: se debe definir en conjunto de las políticas de seguridad de la información de

acuerdo a las necesidades identificadas en el análisis de riesgos, aprobada por la dirección,

publicada y comunicada a los empleados y partes externas pertinentes.

A.5.1.2. Revisión de las políticas para la seguridad de la información.

Control: se debe verificar que se definan, implementen, revisen y actualicen las políticas de

seguridad de la información.

Diseñar, programar y realizar los programas de auditoría del sistema de gestión de

seguridad de la información, los cuales estarán a cargo del área de Seguridad de la

Información.

A.6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

A.6.1. Organización interna

Objetivo: establecer un marco de referencia de gestión para iniciar y controlar la

implementación y la operación de la seguridad de la información dentro de la organización.

A.6.1.1. Asignación de responsabilidades para la seguridad de la información.

Control: se debe mantener una organización de seguridad, donde los roles y

responsabilidades estén definidas y asignadas a los participantes en el modelo de

seguridad establecido por la Entidad.

Cada activo de información de la Entidad debe tener un dueño que debe ser responsable

de su seguridad.



9

La información que la Entidad utilice para el desarrollo de sus objetivos de negocio debe

tener asignado un dueño, quién la utiliza en su área y es el responsable por su correcto

uso. Así, él toma las decisiones que son requeridas para la protección de su información y

determina quiénes son los usuarios y sus privilegios de uso.

Los dueños de la información son los responsables de asegurar que la información del

negocio cuente con las políticas para la protección y preservación de la confidencialidad,

integridad, disponibilidad y privacidad de la información.

El uso de la información de la Entidad por personal de terceros, socios, entidades

relacionadas, ya sea local o remotamente, debe ser formalizado por medio de acuerdos que

hagan obligatorio el cumplimiento del presente Manual. En el contrato de servicios se debe

incluir un documento que detalle sus compromisos en el cuidado de la información de la

Entidad y las penas a que estarían sujetos en caso de incumplirlos.

El cumplimiento de los niveles de servicio en seguridad de la información de terceros, debe

ser verificado periódicamente.

Cada relación con un tercero debe tener un representante de alto nivel dentro de la misma,

que vele por el correcto uso y la protección de la información del negocio. Éste será

responsable por la actividad de dichos funcionarios durante la vigencia del contrato.

A.6.1.2. Segregación de tareas.

Control: los deberes y áreas de responsabilidad en conflicto se deben separar para reducir

las posibilidades de modificación no autorizada o no intencional de la información de la

Entidad, o el uso indebido de los activos de la organización.

A.6.1.3. Contacto con las autoridades.

Control: se deben mantener los contactos apropiados con las autoridades pertinentes, que

pueden apoyar a solucionar conflictos en cuanto a la seguridad de la información de la

Entidad.

A.6.1.4. Contacto con grupos de interés especial.

Control: para la entidad siempre debe ser conveniente mantener contactos apropiados con

grupos de interés especial u otros foros y asociaciones profesionales especializadas en

seguridad.

A.6.1.5. Seguridad de la información en la gestión de proyectos.

Control: durante la planeación y ejecución de los proyectos de la Entidad, además de las

áreas interesadas, debe participar el área de Seguridad de la Información como generador

de recomendaciones en la evaluación de los riesgos inherentes con dichos proyectos.

A.6.2. Dispositivos para movilidad y teletrabajo.

Objetivo: garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.



10

A.6.2.1. Política de uso de dispositivos para movilidad.

Control: el uso de dispositivos móviles, tales como PDAs, smartphones, celulares u otros

dispositivos electrónicos sobre los que se puedan realizar intercambios de información con

cualquier recurso de la Entidad, debe estar autorizado de forma explícita por la dependencia

respectiva, en conjunto con la Gerencia de Seguridad de la Información y podrá llevarse a

cabo sólo en dispositivos provistos por la organización para tal fin.

A.6.2.2. Teletrabajo.

Control: se debe proteger la información a la que se tiene acceso, que es procesada o

almacenada en lugares en los que se realiza teletrabajo. Esta información debe estar

encriptada y tener todos los softwares necesarios para protegerla de los ataques.

A.7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.

A.7.1. Antes de la contratación.

Objetivo: asegurar que los empleados y contratistas comprenden sus responsabilidades y

son idóneos en los roles para los que se consideran.

A.7.1.1. Investigación de antecedentes.

Control: los nuevos empleados que ingresen a la Entidad, deben pasar por un proceso de

investigación de antecedentes, con el fin de mitigar los riesgos en el uso de la información.

A.7.1.2. Términos y condiciones de contratación.

Control: los contratos de los empleados deben incluir cláusulas que especifiquen las

responsabilidades y los cuidados que deben tener con la información de la Entidad.

A.7.2. Durante la contratación.

Objetivo: asegurarse de que los empleados y contratistas tomen conciencia de sus

responsabilidades de seguridad de la información y las cumplan.

A.7.2.1. Responsabilidades de gestión.

Control: la Entidad debe proveer los mecanismos necesarios para asegurar que sus

empleados cumplan con sus responsabilidades en Seguridad de la Información desde su

ingreso hasta su retiro.

A.7.2.2. Concienciación, educación y capacitación en seguridad de la información.

Control: la Entidad debe establecer un programa permanente de creación de cultura en

seguridad de la información para los empleados y terceros, capacitándolos constantemente

en actualizaciones regulares sobre las políticas y procedimientos pertinentes para su cargo.

A.7.2.3. Proceso disciplinario.

Control: las Políticas de Seguridad de la Información con sus respectivas normas,

estándares, procedimientos y demás documentos que se generen y soporten el Sistema de



11

Gestión de Seguridad de la Información son de obligatorio cumplimiento. La ejecución de

acciones que atenten contra la confidencialidad, disponibilidad, integridad y privacidad de

la información resultará en una acción disciplinaria que puede llegar hasta la terminación

del contrato de trabajo y al posible establecimiento de un proceso judicial bajo las leyes

nacionales o internacionales que apliquen.

A.7.3. Cese o cambio de puesto de trabajo.

Objetivo: proteger los intereses de la organización como parte del proceso de cambio o

terminación del contrato.

A.7.3.1. Cese o cambio de puesto de trabajo.

Control: se debe informar a los empleados o contratistas, las responsabilidades y los

deberes de seguridad de la información que permanecen validos después de la terminación

o cambio de contrato, los cuales deben cumplir.

A.8. GESTIÓN DE ACTIVOS.

A.8.1. Responsabilidad sobre los activos.

Objetivo: identificar los activos organizacionales y definir las responsabilidades de

protección apropiadas.

A.8.1.1. Inventario de activos.

Control: la Entidad debe mantener un inventario de recursos o activos de información. Los

dueños de la información deben clasificar la información basados en su valor, sensibilidad,

riesgo de pérdida o compromiso y/o requerimientos legales de retención.

A.8.1.2. Propiedad de los activos.

Control: el área responsable del proceso debe realizar el debido control y mantenimiento al

inventario de activos de tecnología e información, para establecer responsabilidad sobre la

tenencia de los mismos y la información sobre estos, incluido el control al licenciamiento de

software.

A.8.1.3. Uso aceptable de los activos.

Control: independientemente del medio en donde se encuentre cada activo de información,

éstos deben ser clasificados por el dueño de la información, mediante el estándar de

clasificación establecido. Estos controles deben ser aplicados y mantenidos durante el ciclo

de vida de la información, desde su creación, durante su uso autorizado y hasta su

apropiada disposición o destrucción.

A.8.1.4. Devolución de activos.

Control: todos los empleados y usuarios de partes externas deben devolver todos los

activos de la organización que se encuentren a su cargo, al terminar su empleo, contrato o

acuerdo. Debe quedar un acta de dicha devolución, firmada por ambas partes.



12

A.8.2 Clasificación de la información.

Objetivo: asegurar que la información recibe un nivel apropiado de protección, de acuerdo

con su importancia para la organización.

A.8.2.1. Directrices de clasificación.

Control: Los dueños de la información deben clasificar los niveles de sensibilidad de la

misma, de acuerdo con los siguientes criterios:

CRITERIO / NIVEL ALTO MEDIO BAJO

PRIVACIDAD

El acceso está

restringido a pocas

personas, existe un

conocimiento explícito

de las personas que

manipulan dicha

información.

El acceso está

restringido a un grupo

de personas

claramente definido.

No son necesarios

los controles para la

divulgación de este

nivel de información.

INTEGRIDAD

La información no

debe cambiar, sin un

proceso establecido,

identificando quién

tiene la

responsabilidad de

liberar la última

versión. Los datos

deben estar

actualizados en su

totalidad. Y se debe

identificar quién y

cuándo se realizó

modificación a la

información.

De igual forma, los

procesos que afectan

dicha información

deben estar

controlados en sus

cambios y versiones.

Se requiere para su modificación seguir los procedimientos establecidos.

La información debe

estar actualizada y

controlada en sus

versiones.

No es necesario mantener el control de versiones sobre este tipo de información.

DISPONIBILIDAD Es de vital importancia

para el negocio

mantener el acceso a

No es crítico que la

información tenga

Esta información no

se requiere para los



13

esta información, que

debe tenerse en

cuenta para los planes

de recuperación del

negocio.

demoras en su

consulta.

procesos críticos de

negocio.

A.8.2.2. Etiquetado y manipulado de la información.

Control: se deben aplicar los siguientes criterios para etiquetar la información de la Entidad:

CRITERIO / TIPO Y

NIVEL

PRIVACIDAD INTEGRIDAD DISPONIBILIDAD

A M B A M B A M B

CONFIDENCIAL X X X

INTERNA X X X

PUBLICA X X X

Toda información que sea utilizada dentro de los procesos desarrollados por la Entidad

debe estar catalogada de acuerdo con los siguientes niveles de sensibilidad:

Nivel 1. Información Pública: Los datos de este nivel pueden ser entregados al público

en general, sin ninguna implicación para la Entidad. Los datos no son vitales. Pérdidas de

este tipo de información son de bajo riesgo y no requieren controles especiales. P.ej.:

Información de campañas publicitarias y de estados financieros una vez que hayan sido

aprobados. La integridad de la información pública debe ser vigilada para no atentar en

contra de la imagen y reputación de la Organización.

Nivel 2. Información Interna: La información clasificada en este nivel debe estar

restringida al acceso externo. Si ésta llegase a ser divulgada, las consecuencias son de

riesgo medio. El acceso interno debe ser selectivo. La integridad de la información es

importante pero no es vital. Se cataloga dentro de este nivel cualquier tipo de información

que tenga por lo menos una de las siguientes características:

Información relevante a procesos internos, controles y registros.

Manuales organizacionales y de responsabilidades de cargos.

Información operativa y técnica de los sistemas de información.

Nivel 3. Información Confidencial. Este tipo de información debe ser protegida del acceso

externo e interno no autorizado. Si esta información es conocida por personas no



14

autorizadas se corre el riesgo de afectar la operación normal de la Entidad, su reputación

frente al mercado y la continuidad del negocio.

Se cataloga dentro de este nivel cualquier tipo de información que tenga por lo menos una

de las siguientes características:

Información suministrada por otras entidades relacionadas con sus clientes.

Claves de acceso asociados con servicios de consultas y modificación de

información de las bases de datos.

Código fuente de aplicativos e información técnica sensible.

Códigos de identificación y verificación de clientes.

Códigos de acceso a correo de voz.

Información que solo será comunicada internamente por necesidad entre las áreas,

por ejemplo:

Información sobre adquisición o desarrollo de sistemas y productos.

Estrategias de mercadeo.

Extractos financieros de clientes.

Información personal de los funcionarios, relacionada con compensación

salarial o vida privada (dirección y teléfono de residencia, celular personal).

Información relativa a los clientes y negocios de la Entidad.

Información que revele situaciones de la Entidad, tales como informes de

auditoría, procesos judiciales en curso o información del gremio que pueda

ser utilizada para beneficio propio o de terceros.

Planes de producto, estrategias de lanzamiento de nuevos productos y/o

rentabilidad de los mismos.

Información interna comúnmente compartida: manuales, procedimientos,

políticas e instrucciones internas relacionadas con el negocio.

A.8.2.3. Manipulación de activos.

Control: Cada gerente de área debe realizar el proceso de clasificación de información,

inventariando la información utilizada por su área, especificando los siguientes puntos:

Nombre la información

Procesos en los que es utilizada

Formato en el que se encuentra

Nivel de sensibilidad

En los casos en que la misma información esté clasificada por diferentes áreas en niveles

de sensibilidad diferentes, la Gerencia de Seguridad de la Información determinará el valor

y el nivel de clasificación para dicha información.

A.8.3. Manejo de los soportes de almacenamiento.

Objetivo: establecer procedimientos eficaces para el manejo de los soportes de

almacenamiento, de acuerdo con la clasificación de la información



15

A.8.3.1. Gestión de soportes extraíbles.

Control: no está permitida la conexión a la red de la Entidad de equipos portátiles,

notebooks, computadores, dispositivos móviles o cualquier otro dispositivo que se

considere removible, de uso personal de los funcionarios, sin la debida autorización del Jefe

inmediato y de la Gerencia de Seguridad de la Información.

A.8.3.2. Eliminación de soportes.

Control: la entidad, establece la siguiente política en materia de respaldo y borrado seguro

de la información:

Permanentemente se debe efectuar copia de respaldo de toda la información considerada

confidencial o sensible y que se encuentre contenida en los equipos de la Entidad. En

especial se debe asegurar el respaldo de información cuando termine el vínculo laboral del

funcionario o contractual del proveedor responsable de su generación, edición y manejo,

así como cuando se vaya a dar de baja un activo tecnológico (por pérdida, daño, devolución,

enajenación o donación, entre otros).

Se deben adoptar procedimientos para la aplicación de técnicas de borrado seguro de

información, mediante herramientas o procesos manuales o automáticos que permitan

eliminar toda la información contenida en el equipo o dispositivo asignado a un funcionario

o proveedor cuando sea necesario, ya sea por su desvinculación o por la baja del activo

tecnológico.

Los procedimientos establecidos en esta política, se deben aplicar a todo dispositivo de

almacenamiento que contenga información confidencial o sensible para la Entidad, como

discos duros, dispositivos removibles, tabletas, equipos móviles, entre otros.

Está prohibida la reutilización y/o reasignación de equipos o dispositivos a otros

funcionarios o terceros que contenga información sensible de la Entidad sin que la

respectiva gerencia de Tecnología haya aplicado previamente los procedimientos de back-

up y de borrado seguro de información.

A.8.3.3. Soportes físicos en tránsito.

Control: durante el transporte fuera de los límites físicos de la organización, los soportes

que contengan información deben estar protegidos contra accesos no autorizados, usos

indebidos o deterioro. Se etiquetarán las cajas con el nivel confidencialidad de la

información que contienen. Se redactara un acta de envío y una de recepción en la que

constará claramente el compromiso de confidencialidad adquirido por el transportista y se

designarán las personas de la Organización responsables tanto del envío como de la

recepción.

A.9. CONTROL DE ACCESOS.

A.9.1. Requisitos de negocio para el control de accesos.

Objetivo: limitar el acceso a información y a instalaciones de procesamiento de información.



16

A.9.1.1. Política de control de accesos.

Control: el uso de la información de la Entidad debe ser controlado para prevenir accesos

no autorizados. Los privilegios sobre la información deben ser otorgados y mantenidos de

acuerdo con las necesidades de la operación, limitando el acceso sólo a lo que es requerido.

A.9.1.2. Control de acceso a las redes y servicios asociados.

Control: el acceso a la red de de la Entidad debe ser otorgado solo a usuarios autorizados,

previa definición, verificación y control de los perfiles y roles para el acceso en los diferentes

sistemas de información, en coordinación con el área de Recursos Humanos, la Gerencia

Administrativa y la Gerencia de IT.

A.9.2. Gestión de acceso de usuario.

Objetivo: garantizar el acceso a los usuarios autorizados e impedir los accesos no

autorizados a los sistemas de información.

A.9.2.1. Gestión de altas/bajas en el registro de usuarios.

Control: se debe establecer por la Entidad, los procedimientos para cubrir todas la etapas

del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios

hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de

información.

A.9.2.2. Gestión de los derechos de acceso asignados a usuarios.

Control: se deben establecer mecanismos de control de acceso físico y lógico para los

usuarios, con el fin de asegurar que los activos de información se mantengan protegidos de

una manera consistente con su valor para el negocio y con los riesgos de pérdida de

confidencialidad, integridad, disponibilidad y privacidad de la información.

A.9.2.3. Gestión de los derechos de acceso con privilegios especiales.

Control: la Entidad se reserva el derecho de restringir el acceso a cualquier información en

el momento que lo considere conveniente. El personal seleccionado por la Entidad podrá

utilizar tecnología de uso restringido como la de monitoreo de red, datos operacionales y

eventos en seguridad de la información. Ningún hardware o software no autorizados serán

cargados, instalados o activados en los recursos informáticos, sin previa autorización formal

de la Gerencia de Seguridad de la Información.

A.9.2.4. Gestión de información confidencial de autenticación de usuarios.

Control: los usuarios de la Entidad serán requeridos para que se autentiquen ellos mismos,

previa obtención del acceso a la información. Dependiendo del valor de la información y del

nivel de riesgo, la Entidad definirá medios de autenticación apropiados, que no podrán ser

compartidos (como la palabra clave) y deberán estar habilitados solamente para las

jornadas de trabajo establecidas por la Entidad. Dichos medios de autenticación contienen

información confidencial que no debe ser revelada o almacenada en lugares que puedan

ser accedidos por personas no autorizadas.



17

A.9.2.5. Revisión de los derechos de acceso de los usuarios.

Control: en el uso de la información de la Entidad no se debe presumir privacidad, por lo

que cuando ésta sea utilizada se deben crear registros de la actividad realizada, que pueden

ser revisados periódicamente o en una investigación, con el objetivo de detectar abusos y

amenazas.

A.9.2.6. Retirada o adaptación de los derechos de acceso.

Control: todos los usuarios que acceden la información de la Entidad deben disponer de un

medio de identificación y el acceso debe ser controlado a través de una autenticación

personal, la cual puede ser modificada cuando se presente un cambio de funciones del

empleado o se retire definitivamente de la organización.

A.9.3. Responsabilidades del usuario.

Objetivo: hacer que los usuarios rindan cuentas por la salvaguarda de su información de

autenticación.

A.9.3.1. Uso de información confidencial para la autenticación.

Control: cada usuario es responsable por sus acciones mientras usa cualquier recurso de

información de la Entidad. Por lo tanto, la identidad de cada usuario que acceda los recursos

informáticos debe ser establecida y autenticada de una manera única y no puede ser

compartida.

A.9.4. Control de acceso a sistemas y aplicaciones.

Objetivo: evitar el acceso no autorizado a sistemas y aplicaciones.

A.9.4.1. Restricción del acceso a la información.

Control: el acceso a la información de la Entidad y a las funciones de los sistemas de las

aplicaciones, será restringido de acuerdo con la política de control de acceso, ya que se

debe asegurar que los usuarios de la información, únicamente tengan acceso a lo que les

concierne.

A.9.4.2. Procedimientos seguros de inicio de sesión.

Control: se debe concienciar y controlar que los usuarios sigan buenas prácticas de

seguridad en la selección, uso y protección de claves o contraseñas, las cuales constituyen

un medio de validación de la identidad de un usuario y consecuentemente un medio para

establecer derechos de acceso a las instalaciones, equipos o servicios informáticos de

manera segura.

Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le

asignen para la utilización de los equipos o servicios informáticos de la Entidad.

Los usuarios deben tener en cuenta los siguientes aspectos:



18

No incluir contraseñas en ningún proceso de registro automatizado, por ejemplo

almacenadas en un macro o en una clave de función.

El cambio de contraseña solo podrá ser solicitado por el titular de la cuenta o su jefe

inmediato.

Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de

bloqueo cuando no estén en uso.

Se bloqueara el acceso a todo usuario que haya intentado el ingreso, sin éxito, a un

equipo o sistema informático, en forma consecutiva por cinco veces.

La clave de acceso será desbloqueada sólo por el responsable de la gestión de

usuarios, luego de la solicitud formal por parte del responsable de la cuenta. Para

todas las cuentas especiales, la reactivación debe ser documentada y comunicada

al gestor de usuarios.

A.9.4.3. Gestión de contraseñas de usuario.

Control: las contraseñas deben ser:

Poseer algún grado de complejidad y no deben ser palabras comunes que se

puedan encontrar en diccionarios, ni tener información personal, por ejemplo: fechas

de cumpleaños, nombre de los hijos, placas de automóvil, etc.

Tener mínimo diez caracteres alfanuméricos.

Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.

Cambiarse obligatoriamente cada 30 días, o cuando lo establezca el Área de

Tecnología y Sistemas de Información.

Cada vez que se cambien estas deben ser distintas por lo menos de las últimas tres

anteriores.

Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la

cuenta de usuario.

No se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos,

ni todos alfabéticos.

No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o

compartirse.

No ser reveladas a ninguna persona, incluyendo al personal del Área de Tecnología

y Sistemas de Información.

No regístralas en papel, archivos digitales o dispositivos manuales, a menos que se

puedan almacenar de forma segura y el método de almacenamiento este aprobado.

A.9.4.4. Uso de herramientas de administración de sistemas.

Control: el área de Tecnología de la Entidad, velará porque los recursos de la plataforma

tecnológica y los servicios de red sean operados y administrados en condiciones

controladas y de seguridad, que permitan un monitoreo posterior de la actividad de los

usuarios administradores, poseedores de los más altos privilegios sobre dichas plataformas

y servicios.



19

A.9.4.5. Control de acceso al código fuente de los programas.

Control: el área de Tecnología de la Entidad, como responsable de la administración de los

sistemas de información, aplicativos y sus códigos fuente, propenderá para que estos sean

debidamente protegidos contra accesos no autorizados a través de mecanismos de control

de acceso lógico. Así mismo, velará porque los desarrolladores, tanto internos como

externos, acojan buenas prácticas de desarrollo en los productos generados para controlar

el acceso lógico y evitar accesos no autorizados a los sistemas administrados.

A.10. CIFRADO.

A.10.1. Controles criptográficos.

Objetivo: el objetivo es garantizar un uso adecuado y eficaz de la criptografía para proteger

la confidencialidad, la autenticidad y/o la integridad de la información.

A.10.1.1. Política de uso de los controles criptográficos.

Control: la Entidad velará porque la información, clasificada como reservada o restringida,

será cifrada al momento de almacenarse y/o transmitirse por cualquier medio, con el

propósito de proteger su confidencialidad e integridad.

A.10.1.2. Gestión de claves.

Control: la Entidad debe proteger los tipos de claves de modificación o destrucción; las

claves secretas y las privadas además requieren protección contra su distribución no

autorizada. Con este fin deben usarse técnicas criptogramas para asegurar la confiabilidad

de la información. Se debe utilizar protección física para cubrir el equipo usado en la

generación, almacenamiento y archivo de claves.

A.11. SEGURIDAD FÍSICA Y AMBIENTAL.

A.11.1. Áreas seguras.

Objetivo: el objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la

información de la organización y las instalaciones de procesamiento de la información.

A.11.1.1. Perímetro de seguridad física.

Control: la seguridad física de la Entidad debe basarse en perímetros y áreas seguras, las

cuales serán protegidas por medio de controles circundantes apropiados.

A.11.1.2. Controles físicos de entrada.

Control: todas las entradas a las áreas físicas del negocio deben tener un nivel de seguridad

acorde con el valor de la información que se procesa y administra en ellas. La información

confidencial o sensitiva debe mantenerse en lugares con acceso restringido cuando no es

utilizada.



20

A.11.1.3. Seguridad de oficinas, despachos y recursos.

Control: Los ingresos y egresos de personal a las instalaciones de la Entidad, deben ser

registrados; por consiguiente, los funcionarios y personal provisto por terceras partes deben

cumplir completamente con los controles físicos implantados. Los funcionarios deben portar

el carné que los identifica como tales en un lugar visible mientras se encuentren en las

instalaciones de la Entidad; en caso de pérdida del carné o tarjeta de acceso a las

instalaciones, deben reportarlo a la mayor brevedad posible.

A.11.1.4. Protección contra las amenazas externas y ambientales.

Control: la Entidad debe proveer las condiciones físicas y medioambientales necesarias

para certificar la protección y correcta operación de los recursos, en especial la plataforma

tecnológica ubicada en el centro de cómputo; deben existir sistemas de control ambiental

de temperatura y humedad, sistemas de detección y extinción de incendios, sistemas de

descarga eléctrica, sistemas de vigilancia y monitoreo y alarmas en caso de detectarse

condiciones ambientales inapropiadas. Estos sistemas se deben monitorear de manera

permanente.

A.11.1.5. El trabajo en áreas seguras.

Control: la Entidad proveerá la implantación y velará por la efectividad de los mecanismos

de seguridad física y control de acceso que aseguren el perímetro de sus instalaciones. Así

mismo, controlará las amenazas físicas externas e internas y las condiciones

medioambientales de sus oficinas, para mantener las áreas seguras de cualquier factor de

riesgo.

A.11.1.6. Áreas de acceso público, carga y descarga.

Control: la Entidad debe proporcionar los recursos necesarios para ayudar a proteger,

regular y velar por el perfecto estado de los controles físicos implantados en las

instalaciones y especialmente debe certificar la efectividad de los mecanismos de seguridad

física y control de acceso al centro de cómputo, centros de cableado y demás áreas de

procesamiento de información. Aquellos funcionarios o personal provisto por terceras partes

para los que aplique, en razón del servicio prestado, deben utilizar prendas distintivas que

faciliten su identificación en las áreas de acceso público.

A.11.2. Seguridad de los equipos.

Objetivo: el objetivo es evitar la pérdida, los daños, el robo o el compromiso de activos y la

interrupción a las operaciones de la organización.

A.11.2.1. Emplazamiento y protección de equipos.

Control: los recursos informáticos de la Entidad deben estar físicamente protegidos contra

amenazas de acceso no autorizado y amenazas ambientales para prevenir exposición,

daño o pérdida de los activos e interrupción de las actividades.



21

A.11.2.2. Instalaciones de suministro.

Control: la Entidad debe asegurar que las labores de mantenimiento de redes eléctricas, de

voz y de datos, sean realizadas por personal idóneo y apropiadamente autorizado e

identificado; así mismo, se debe llevar control de la programación de los mantenimientos

preventivos.

A.11.2.3. Seguridad del cableado.

Control: el área de Tecnología de la Entidad, debe certificar que el centro de cómputo y los

centros de cableado que están bajo su custodia, se encuentren separados de áreas que

tengan líquidos inflamables o que corran riesgo de inundaciones e incendios.

A.11.2.4. Mantenimiento de los equipos.

Control: los medios y equipos donde se almacena, procesa o comunica la información,

deben mantenerse con las medidas de protección físicas y lógicas, que permitan su

monitoreo y correcto estado de funcionamiento; para ello se debe realizar los

mantenimientos preventivos periódicamente cada seis meses y correctivos cuando se

requieran.

A.11.2.5. Salida de activos fuera de las dependencias de la empresa.

Control: la Entidad debe velar porque la entrada y salida de información, software,

estaciones de trabajo, servidores, equipos portátiles y demás recursos tecnológicos

corporativos de las instalaciones, cuente con la autorización documentada y aprobada

previamente por el responsable de los recursos físicos o en su defecto el área responsable

del activo.

A.11.2.6. Seguridad de los equipos y activos fuera de las instalaciones.

Control: el área responsable de los recursos físicos debe velar porque los equipos que se

encuentran sujetos a traslados físicos fuera del instituto, posean pólizas de seguro que

cubran los diferentes riesgos que puedan presentar.

A.11.2.7. Reutilización o retirada segura de dispositivos de almacenamiento.

Control: el área de Tecnología debe efectuar la reutilización o retirada segura de los

dispositivos de almacenamiento que tienen información de la Entidad, a través de los

mecanismos necesarios en la plataforma tecnológica, ya sea cuando son dados de baja o

cambian de usuario.

A.11.2.8. Equipo informático de usuario desatendido.

Control: el área de Tecnología debe velar porque los equipos informáticos de los usuarios

que no trabajan dentro de las instalaciones de la Entidad, tengan sus medios de

almacenamiento cifrados, los softwares para protección de la información, que eviten que

la información se accedida por personas no autorizadas.



22

A.11.2.9. Política de puesto de trabajo despejado y bloqueo de pantalla.

Control: tanto los funcionarios como el personal provisto por terceras partes deben

asegurarse que en el momento de ausentarse de su puesto de trabajo, sus escritorios se

encuentren libres de documentos y medios de almacenamiento, utilizados para el

desempeño de sus labores; estos deben contar con las protecciones de seguridad

necesarias de acuerdo con su nivel de clasificación. También deben bloquear sus

estaciones de trabajo en el momento de abandonar su puesto de trabajo.

A.12. SEGURIDAD EN LA OPERATIVA.

A.12.1. Responsabilidades y procedimientos de operación.

Objetivo: el objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la

información de la organización y las instalaciones de procesamiento de la información.

A.12.1.1. Documentación de procedimientos de operación.

Control: la Entidad debe efectuar, a través de sus funcionarios responsables de los

procesos, la documentación y actualización de los procedimientos relacionados con la

operación y administración de la plataforma tecnológica.

A.12.1.2. Gestión de cambios.

Control: todo cambio a la infraestructura informática deberá estar controlado y será

realizado de acuerdo con los procedimientos de gestión de cambios del Área de Tecnología

y Sistemas de Información de la Entidad.

A.12.1.3. Gestión de capacidades.

Control: el área de Tecnología, a través de sus funcionarios, debe realizar estudios sobre

la demanda y proyecciones de crecimiento de los recursos administrados (capacity

planning) de manera periódica, con el fin de asegurar el desempeño y capacidad de la

plataforma tecnológica. Estos estudios y proyecciones deben considerar aspectos de

consumo de recursos de procesadores, memorias, discos, servicios de impresión, anchos

de banda, internet y tráfico de las redes de datos, entre otros.

A.12.1.3. Separación de entornos de desarrollo, prueba y producción.

Control: el área de Tecnología debe proveer los recursos necesarios para la implantación

de controles que permitan la separación de ambientes de desarrollo, pruebas y producción,

teniendo en cuenta consideraciones como: controles para el intercambio de información

entre los ambientes de desarrollo y producción, la inexistencia de compiladores, editores o

fuentes en los ambientes de producción y un acceso diferente para cada uno de los

ambientes.

A.12.2. Protección contra código malicioso.

Objetivo: el objetivo es garantizar que la información y las instalaciones de procesamiento

de información estén protegidas contra el malware.



23

A.12.2.1. Controles contra el código malicioso.

Control: la Entidad proporcionará los mecanismos necesarios que garanticen la protección

de la información y los recursos de la plataforma tecnológica en donde se procesa y

almacena, adoptando los controles necesarios para evitar la divulgación, modificación o

daño permanente ocasionados por el contagio de software malicioso. Además,

proporcionará los mecanismos para generar cultura de seguridad entre sus funcionarios y

personal provisto por terceras partes frente a los ataques de software malicioso.

A.12.3. Copias de seguridad.

Objetivo: alcanzar un grado de protección deseado contra la pérdida de datos.

A.12.3.1. Copias de seguridad de la información.

Control: la Entidad certificará la generación de copias de respaldo y almacenamiento de su

información crítica, proporcionando los recursos necesarios y estableciendo los

procedimientos y mecanismos para la realización de estas actividades. Las áreas

propietarias de la información, con el apoyo del área de Tecnología, encargada de la

generación de copias de respaldo, definirán la estrategia a seguir y los periodos de

retención para el respaldo y almacenamiento de la información.

Así mismo, la Entidad velará porque los medios magnéticos que contienen la información

crítica sean almacenados en una ubicación diferente a las instalaciones donde se encuentra

dispuesta. El sitio externo donde se resguarden las copias de respaldo debe contar con los

controles de seguridad física y medioambiental apropiados

A.12.4. Registro de actividad y supervisión.

Objetivo: registrar los eventos relacionados con la seguridad de la información y generar

evidencias.

A.12.4.1. Registro y gestión de eventos de actividad.

Control: la Entidad realizará monitoreo permanente del uso que dan los funcionarios y el

personal provisto por terceras partes a los recursos de la plataforma tecnológica y los

sistemas de información. Además, velará por la custodia de los registros de auditoria

cumpliendo con los periodos de retención establecidos para dichos registros.

El área de Tecnología definirá la realización de monitoreo de los registros de auditoria sobre

los aplicativos donde se opera los procesos misionales de la Entidad. El Comité de revisión

de logs mensualmente se reunirá a analizar los resultados del monitoreo efectuado.

A.12.4.2. Protección de los registros de información.

Control: el área de Tecnología debe certificar la integridad y disponibilidad de los registros

de auditoria generados en la plataforma tecnológica y los sistemas de información de la

Entidad. Estos registros deben ser almacenados y solo deben ser accedidos por personal

autorizado.



24

A.12.4.3. Registros de actividad del administrador y operador del sistema.

Control: el área de Control Interno debe revisar periódicamente los registros de auditoria de

los administradores y operadores de la plataforma tecnológica y los sistemas de información

con el fin de identificar brechas de seguridad y otras actividades propias del monitoreo.

A.12.4.4. Sincronización de relojes.

Control: el área de Tecnología debe proveer un sistema que sincronice los relojes de todos

los sistemas de procesamiento de información pertinentes dentro de la Entidad o de un

dominio de seguridad. Este sistema debe ser una fuente de sincronización única de

referencia.

A.12.5. Control del software en explotación.

Objetivo: garantizar la integridad de los sistemas operacionales para la organización.

A.12.5.1. Instalación del software en sistemas en producción.

Control: la Entidad, a través del área de Tecnología, designará responsables y establecerá

procedimientos para controlar la instalación de software operativo, se cerciorará de contar

con el soporte de los proveedores de dicho software y asegurará la funcionalidad de los

sistemas de información que operan sobre la plataforma tecnológica cuando el software

operativo es actualizado.

A.12.6. Gestión de la vulnerabilidad técnica.

Objetivo: evitar la explotación de vulnerabilidades técnicas.

A.12.6.1. Gestión de las vulnerabilidades técnicas.

Control: la Entidad, a través del área de Tecnología y la Gerencia de Seguridad de la

Información, revisará periódicamente la aparición de vulnerabilidades técnicas sobre los

recursos de la plataforma tecnológica por medio de la realización periódica de pruebas de

vulnerabilidades, con el objetivo de realizar la corrección sobre los hallazgos arrojados por

dichas pruebas. Estas dos áreas conforman el Comité de vulnerabilidades encargado de

revisar, valorar y gestionar las vulnerabilidades técnicas encontradas.

A.12.6.1. Restricciones en la instalación de software.

Control: La instalación de software en los computadores suministrados por la Entidad, es

una función exclusiva del área de Tecnología y Seguridad de la Información. Se mantendrá

una lista actualizada del software autorizado para instalar en los computadores.

Periódicamente, el área de Tecnología y Seguridad de la Información efectuará la revisión

de los programas utilizados en cada dependencia. La descarga, instalación o uso de

aplicativos o programas informáticos no autorizados será considera como una violación a

las Políticas de Seguridad de la Información de la Entidad.

A.12.7. Consideraciones de las auditorías de los sistemas de información.

Objetivo: minimizar el impacto de actividades de auditoría en los sistemas operacionales.



25

A.12.7.1. Controles de auditoría de los sistemas de información.

Control: el área de Auditoría debe realizar monitoreo periódicamente para evaluar la

conformidad con las políticas de la organización, para evaluar el nivel de implementación

de los sistemas de información, para evaluar el estado de mantenimiento y la capacidad de

mejoramiento de los sistemas de información.

A.13. SEGURIDAD EN LAS TELECOMUNICACIONES.

A.13.1. Gestión de la seguridad en las redes.

Objetivo: evitar el acceso físico no autorizado, los daños e interferencias a la información

de la organización y las instalaciones de procesamiento de la información.

A.13.1.1. Controles de red

Control: La Entidad establecerá, a través del área de Tecnología, los mecanismos de control

necesarios para proveer la disponibilidad de las redes de datos y de los servicios que

dependen de ellas y minimizar los riesgos de seguridad de la información transportada por

medio de las redes de datos.

De igual manera, propenderá por el aseguramiento de las redes de datos, el control del

tráfico en dichas redes y la protección de la información reservada y restringida de la

Entidad.

A.13.1.2. Mecanismos de seguridad asociados a servicios en red

Control: el área de Tecnología debe identificar los mecanismos de seguridad y los niveles

de servicio de red requeridos e incluirlos en los acuerdos de servicios de red, cuando estos

se contraten externamente.

A.13.1.3. Segregación de redes

Control: el área de Tecnología debe mantener las redes de datos segmentadas por

dominios, grupos de servicios, grupos de usuarios, ubicación geográfica o cualquier otra

tipificación que se considere conveniente para la Entidad.

A.13.2. Intercambio de información con partes externas.

Objetivo: mantener la seguridad de la información que transfiere una organización

internamente o con entidades externas.

A.13.2.1. Políticas y procedimientos de intercambio de información

Control: la Entidad asegurará la protección de la información en el momento de ser

transferida o intercambiada con otras entidades u otro destino externo y establecerá los

procedimientos y controles necesarios para el intercambio de información; así mismo, se

establecerán Acuerdos de Confidencialidad y/o de Intercambio de Información con las

terceras partes con quienes se realice dicho intercambio.



26

La Entidad propenderá por el uso de tecnologías informáticas y de telecomunicaciones para

llevar a cabo el intercambio de información; sin embargo, establecerá directrices para el

intercambio de información en medio físico.

A.13.2.2. Acuerdos de intercambio

Control: el área Legal, en acompañamiento con el área de Seguridad de la Información,

debe definir los modelos de Acuerdos de Confidencialidad y/o de Intercambio de

Información entre la Entidad y terceras partes incluyendo los compromisos adquiridos y las

penalidades civiles o penales por el incumplimiento de dichos acuerdos. Entre los aspectos

a considerar se debe incluir la prohibición de divulgar la información entregada por la

Entidad a los terceros con quienes se establecen estos acuerdos y la destrucción de dicha

información una vez cumpla su cometido.

A.13.2.3. Mensajería electrónica

Control: la Entidad, entendiendo la importancia del correo electrónico como herramienta

para facilitar la comunicación entre funcionarios y terceras partes, proporcionará un servicio

idóneo y seguro para la ejecución de las actividades que requieran el uso del correo

electrónico, respetando siempre los principios de confidencialidad, integridad, disponibilidad

y autenticidad de quienes realizan las comunicaciones a través de este medio.

A.13.2.4. Acuerdos de confidencialidad y secreto

Control: el área Legal debe establecer en los contratos que se establezcan con terceras

partes, los Acuerdos de Confidencialidad o Acuerdos de intercambio dejando explícitas las

responsabilidades y obligaciones legales asignadas a dichos terceros por la divulgación no

autorizada de información de beneficiarios de la Entidad que les ha sido entregada en razón

del cumplimiento de los objetivos misionales.

A.14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE

INFORMACIÓN.

A.14.1. Requisitos de seguridad de los sistemas de información.

Objetivo: garantizar que la seguridad de la información sea una parte integral de los

sistemas de información en todo el ciclo de vida, incluyendo los requisitos para aquellos

que proporcionan servicios en redes públicas.

A.14.1.1. Análisis y especificación de los requisitos de seguridad.

Control: los requerimientos de seguridad de la información deben ser identificados previos

al diseño de los sistemas de tecnología de la información. Durante el desarrollo, estos

requerimientos deben ser incluidos dentro de los sistemas y si una modificación es

requerida, ésta debe cumplir estrictamente con los requerimientos de seguridad de la

información que han sido previamente establecidos. El nivel de Seguridad de la Información

de un sistema no puede verse disminuido, por lo que la información y los sistemas en

producción no serán utilizados para desarrollo, prueba o mantenimiento de aplicaciones.



27

A.14.1.2. Seguridad de las comunicaciones en servicios accesibles por redes

públicas.

Control: el área de Tecnología debe asegurar que los sistemas de información o aplicativos

informáticos que pasan a través de redes públicas, incluyen controles de seguridad y

cumplen con las políticas de seguridad de la información, con el fin de proteger la

información de la Entidad de posibles ataques.

A.14.1.3. Protección de las transacciones por redes telemáticas.

Control: los desarrolladores de las aplicaciones, deben certificar la transmisión de

información relacionada con pagos o transacciones en línea a los operadores encargados,

por medio de canales seguros.

A.14.2. Seguridad en los procesos de desarrollo y soporte.

Objetivo: garantizar que la seguridad de la información se diseñe e implemente dentro del

ciclo de vida de desarrollo de los sistemas de información.

A.14.2.1. Política de desarrollo seguro de software

Control: la Entidad velará porque el desarrollo interno o externo de los sistemas de

información cumpla con los requerimientos de seguridad esperados, con las buenas

prácticas para desarrollo seguro de aplicativos, así como con metodologías para la

realización de pruebas de aceptación y seguridad al software desarrollado. Además, se

asegurará que todo software desarrollado o adquirido, interna o externamente cuenta con

el nivel de soporte requerido por la Entidad.

A.14.2.2. Procedimientos de control de cambios en los sistemas.

Control: el área de Tecnología debe contar con sistemas de control de versiones para

administrar los cambios de los sistemas de información de la Entidad. La realización de un

cambio tecnológico que no considere los requerimientos de seguridad de la Información

hace que la Entidad esté expuesta a riesgos. Por lo tanto, cada cambio tecnológico debe

asegurar el cumplimiento de la Política de Seguridad de la Información y sus respectivas

normas, y en caso de exponer a la Entidad a un riesgo en seguridad de la información, éste

debe ser identificado, evaluado, documentado, asumido y controlado por el respectivo

dueño de la información.

A.14.2.3. Revisión técnica de las aplicaciones tras efectuar cambios en el sistema

operativo.

Control: el área de Tecnología, debe realizar pruebas de todos los sistemas, cuando se

presente un cambio de sistema operativo en los equipos de cómputo de la Entidad, con el

fin de revisar los posibles impactos en las operaciones o en la seguridad de la información

de la organización.



28

A.14.2.4. Restricciones a los cambios en los paquetes de software.

Control: la realización de un cambio tecnológico en un paquete de software entregado por

un tercero, que no considere los requerimientos de seguridad de la Información hace que

la Entidad esté expuesta a riesgos. Por lo tanto, cada cambio tecnológico debe asegurar el

cumplimiento de la Política de Seguridad de la Información y sus respectivas normas, y en

caso de exponer a la Entidad a un riesgo en seguridad de la información, éste debe ser

identificado, evaluado, documentado, asumido y controlado por el respectivo dueño de la

información.

A.14.2.5. Uso de principios de ingeniería en protección de sistemas.

Control: la Entidad establecerá mecanismos de control en la labor de implementación en el

sistema de información, con el objetivo de asegurar que la información a la que tengan

acceso o servicios que sean provistos por las mismas, cumplan con las políticas, normas y

procedimientos de seguridad de la información.

A.14.2.6. Seguridad en entornos de desarrollo.

Control: la Entidad establecerá y protegerá adecuadamente los entornos para las labores

de desarrollo e integración de sistemas que abarcan todo el ciclo de vida de desarrollo del

sistema.

A.14.2.7. Externalización del desarrollo de software.

Control: el área de Tecnología debe establecer el procedimiento y los controles de acceso

a los ambientes de desarrollo de los sistemas de información; así mismo, debe asegurarse

que los desarrolladores internos o externos, posean acceso limitado y controlado a los datos

y archivos que se encuentren en los ambientes de producción.

A.14.2.8. Pruebas de funcionalidad durante el desarrollo de los sistemas.

Control: los desarrolladores de los sistemas de información deben considerar las buenas

prácticas y lineamientos de desarrollo seguro durante el ciclo de vida de los mismos,

pasando desde el diseño hasta la puesta en marcha.

A.14.2.9. Pruebas de aceptación.

Control: el área de Tecnología debe generar metodologías para la realización de pruebas

al software desarrollado, que contengan pautas para la selección de escenarios, niveles,

tipos, datos de pruebas y sugerencias de documentación.

A.14.3. Datos de prueba.

Objetivo: garantizar la protección de los datos que se utilizan para procesos de pruebas.

A.14.3.1. Protección de los datos utilizados en prueba

Control: el área de Tecnología de la Entidad protegerá los datos de prueba que se

entregarán a los desarrolladores, asegurando que no revelan información confidencial de

los ambientes de producción. Tecnología debe certificar que la información a ser entregada



29

a los desarrolladores para sus pruebas será enmascarada y no revelará información

confidencial de los ambientes de producción.

A.15. SUMINISTRADORES.

A.15.1. Seguridad de la información en las relaciones con suministradores.

Objetivo: garantizar la protección de los activos de la organización que son accesibles a

proveedores.

A.15.1.1. Política de seguridad de la información para suministradores.

Control: la Entidad establecerá mecanismos de control en sus relaciones con terceras

partes, con el objetivo de asegurar que la información a la que tengan acceso o servicios

que sean provistos por las mismas, cumplan con las políticas, normas y procedimientos de

seguridad de la información.

Los funcionarios responsables de la realización y/o firma de contratos o convenios con

terceras partes se asegurarán de la divulgación de las políticas, normas y procedimientos

de seguridad de la información a dichas partes.

A.15.1.2. Tratamiento del riesgo dentro de acuerdos de suministradores.

Control: el área de Tecnología, el área Legal y el área de Seguridad de la Información deben

generar un modelo base para los Acuerdos de Niveles de Servicio y requisitos de Seguridad

de la Información, con los que deben cumplir terceras partes o proveedores de servicios;

dicho modelo, debe ser divulgado a todas las áreas que adquieran o supervisen recursos

y/o servicios tecnológicos.

A.15.1.3. Cadena de suministro en tecnologías de la información y comunicaciones.

Control: el área de Tecnología, el área Legal y el área de Seguridad de la Información,

deben elaborar modelos de Acuerdos de Confidencialidad y Acuerdos de Intercambio de

Información con terceras partes. De dichos acuerdos deberá derivarse una responsabilidad

tanto civil como penal para la tercera parte contratada.

A.15.2. Gestión de la prestación del servicio por suministradores.

Objetivo: mantener el nivel en la prestación de servicios conforme a los acuerdos con el

proveedor en materia de seguridad de información.

A.15.2.1. Supervisión y revisión de los servicios prestados por terceros.

Control: el área de Seguridad de la Información, debe identificar y monitorear los riesgos

relacionados con terceras partes o los servicios provistos por ellas, haciendo extensiva esta

actividad a la cadena de suministro de los servicios de tecnología o comunicaciones

provistos.



30

A.15.2.2. Gestión de cambios en los servicios prestados por terceros.

Control: los supervisores de contratos con terceros, con el apoyo del área de Seguridad de

la Información, deben administrar los cambios en el suministro de servicios por parte de los

proveedores, manteniendo los niveles de cumplimiento de servicio y seguridad establecidos

con ellos y monitoreando la aparición de nuevos riesgos.

A.16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.

A.16.1. Gestión de incidentes de seguridad de la información y mejoras.

Objetivo: garantizar una administración de incidentes de seguridad de la información

coherente y eficaz en base a un enfoque de comunicación de los eventos y las debilidades

de seguridad.

A.16.1.1. Responsabilidades y procedimientos.

Control: la Entidad promoverá entre los funcionarios y personal provisto por terceras partes

el reporte de incidentes relacionados con la seguridad de la información y sus medios de

procesamiento, incluyendo cualquier tipo de medio de almacenamiento de información,

como la plataforma tecnológica, los sistemas de información, los medios físicos de

almacenamiento y las personas.

De igual manera, asignará responsables para el tratamiento de los incidentes de seguridad

de la información, quienes tendrán la responsabilidad de investigar y solucionar los

incidentes reportados, tomando las medidas necesarias para evitar su reincidencia y

escalando los incidentes de acuerdo con su criticidad.

La Alta Dirección o a quien delegue, son los únicos autorizados para reportar incidentes de

seguridad ante las autoridades; así mismo, son los únicos canales de comunicación

autorizados para hacer pronunciamientos oficiales ante entidades externas.

A.16.1.2. Notificación de los eventos de seguridad de la información.

Control: los propietarios de los activos de información deben informar lo antes posible al

área de Seguridad de la Información, los incidentes de seguridad que identifiquen o que

reconozcan su posibilidad de materialización.

A.16.1.3. Notificación de puntos débiles de la seguridad.

Control: en caso de conocer la pérdida o divulgación no autorizada de información

clasificada como uso interno, reservada o restringida, los funcionarios deben notificarlo al

área de Seguridad de la Información para que se registre y se le dé el trámite necesario.

A.16.1.4. Valoración de eventos de seguridad de la información y toma de decisiones.

Control: el Comité de Seguridad de la Información debe analizar los incidentes de seguridad

que le son escalados y activar el procedimiento de contacto con las autoridades, cuando lo

estime necesario.



31

A.16.1.5. Respuesta a los incidentes de seguridad.

Control: el área de Seguridad de la Información debe designar personal calificado, para

investigar adecuadamente los incidentes de seguridad reportados, identificando las causas,

realizando una investigación exhaustiva, proporcionando las soluciones y finalmente

previniendo su re-ocurrencia.

A.16.1.6. Aprendizaje de los incidentes de seguridad de la información.

Control: el área de Seguridad de la Información debe, con el apoyo del área de Tecnología

y la Secretaría General, crear bases de conocimiento para los incidentes de seguridad

presentados con sus respectivas soluciones, con el fin de reducir el tiempo de respuesta

para los incidentes futuros, partiendo de dichas bases de conocimiento.

A.16.1.7. Recopilación de evidencias.

Control: el área de Seguridad de la Información debe evaluar todos los incidentes de

seguridad de acuerdo a sus circunstancias particulares, reuniendo las evidencias

necesarias y escalar al Comité de Seguridad de la Información aquellos en los que se

considere pertinente.

A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA

CONTINUIDAD DEL NEGOCIO.

A.17.1. Continuidad de la seguridad de la información.

Objetivo: mantener la seguridad de la información integrada en los sistemas de gestión de

continuidad del negocio de la organización.

A.17.1.1. Planificación de la continuidad de la seguridad de la información.

Control: la Entidad debe desarrollar, documentar, implementar y probar periódicamente

procedimientos para asegurar una recuperación razonable y a tiempo de la información

crítica de la Entidad, sin disminuir los niveles de seguridad establecidos.

A.17.1.2. Implantación de la continuidad de la seguridad de la información.

Control: la Entidad proporcionará los recursos suficientes para proporcionar una respuesta

efectiva de funcionarios y procesos en caso de contingencia o eventos catastróficos que se

presenten en el instituto y que afecten la continuidad de su operación.

Además, responderá de manera efectiva ante eventos catastróficos según la magnitud y el

grado de afectación de los mismos; se restablecerán las operaciones con el menor costo y

pérdidas posibles, manteniendo la seguridad de la información durante dichos eventos. La

Entidad mantendrá canales de comunicación adecuados hacia funcionarios, proveedores y

terceras partes interesadas.



32

A.17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad de la

información.

Control: el comité de simulacros, junto con el área de Seguridad de la Información, debe

asegurar la realización de pruebas periódicas del plan de recuperación ante desastres y/o

continuidad de negocio, verificando la seguridad de la información durante su realización y

la documentación de dichas pruebas.

A.17.2. Redundancias.

Objetivo: garantizar la disponibilidad de las instalaciones de procesamiento de información.

A.17.2.1. Disponibilidad de instalaciones para el procesamiento de la información.

Control: la Entidad propenderá por la existencia de una plataforma tecnológica redundante

que satisfaga los requerimientos de disponibilidad aceptables. El área de Tecnología y el

área de Seguridad de la Información, deben analizar y establecer los requerimientos de

redundancia para los sistemas de información críticos para la Entidad y la plataforma

tecnológica que los apoya, también deben evaluar y probar soluciones de redundancia

tecnológica y seleccionar la solución que mejor cumple los requerimientos de la Entidad. El

área de Tecnología debe realizar pruebas periódicas sobre dichas soluciones, para

asegurar el cumplimiento de los requerimientos de disponibilidad de la Entidad.

A.18. CUMPLIMIENTO.

A.18.1. Cumplimiento de los requisitos legales y contractuales.

Objetivo: evitar incumplimientos a requisitos relacionados con la seguridad de la

información de cualquier tipo especialmente a las obligaciones legales, estatutarias,

normativas o contractuales.

A.18.1.1. Identificación de la legislación aplicable.

Control: el área de tecnología debe identificar y velar porque el software instalado en los

recursos de la plataforma tecnología cumpla con los requerimientos legales y de

licenciamiento aplicables.

A.18.1.2. Derechos de propiedad intelectual (DPI).

Control: para todo el personal de la entidad es importante tener presente que deben cumplir

con las leyes de derechos de autor y acuerdo de licenciamiento de software. Es ilegal

duplicar software o su documentación sin la autorización del propietario de derechos de

autor y su reproducción no autorizada es una violación de la ley.

A.18.1.3. Protección de los registros de la organización.

Control: el área Legal y el área de Seguridad de la Información deben identificar,

documentar y mantener actualizados los requisitos legales, reglamentarios o contractuales

aplicables a la Entidad, que están relacionados con los registros de la organización, para

protegerlos contra pérdidas, destrucción, falsificación, accesos y publicación no

autorizados.



33

A.18.1.4. Protección de datos y privacidad de la información personal.

Control: en cumplimiento de la de Ley 1581 de 2012, por la cual se dictan disposiciones

para la protección de datos personales, la Entidad a través del área de Seguridad de la

Información, propenderá por la protección de los datos personales de sus beneficiarios,

proveedores y demás terceros de los cuales reciba y administre información.

A.18.1.5. Regulación de los controles criptográficos.

Control: el área de Tecnología debe implantar los controles criptográficos necesarios para

proteger la información personal de los beneficiarios, funcionarios, proveedores u otras

terceras partes almacenada en bases de datos o cualquier otro repositorio y evitar su

divulgación, alteración o eliminación sin la autorización requerida.

A.18.2. Revisiones de la seguridad de la información.

Objetivo: garantizar que se implementa y opera la seguridad de la información de acuerdo

a las políticas y procedimientos organizacionales.

A.18.2.1. Revisión independiente de la seguridad de la información.

Control: la Entidad debe realizar revisiones periódicamente, para validar si se deben realizar

actualizaciones a las políticas de seguridad. Los controles que se establezcan deben ser

los que corresponden a la norma de seguridad internacional ISO 27001 y otras fuentes

como COBIT, ITIL, BASILEA II, entre otros.

A.18.2.2. Cumplimiento de las políticas y normas de seguridad.

Control: Los diferentes aspectos contemplados en este documento de políticas de

seguridad, son de obligatorio cumplimiento para todos los funcionarios, contratistas y otros

colaboradores de la Entidad. En caso de que se violen las políticas de seguridad ya sea de

forma intencional o por negligencia, la Entidad tomará las acciones disciplinarias y legales

correspondientes.

El documento de la Política de Seguridad para las Tecnologías de la Información y las

Comunicaciones - TICs debe prevenir el incumplimiento de las leyes, estatutos,

regulaciones u obligaciones contractuales que se relacionen con los controles de seguridad.

A.18.2.3. Comprobación del cumplimiento.

Control: el área de Control Interno debe revisar periódicamente los registros de auditoria de

la plataforma tecnológica y los sistemas de información con el fin de identificar cumplimiento

de las políticas y normas de seguridad dispuestas por la información de la organización.



34

4.2.3. Acuerdos de Niveles de Servicio – ANS Internos

ANS PLAZO MÁXIMO

(días hábiles) RESPONSABLE

Envío de solicitudes de

creación, modificación,

eliminación y novedades

de funcionarios.

• 5 días – Disposición del puesto de

trabajo.

• 5 días – novedades como vacaciones y

licencias.

• 5 días – Promoción de funcionarios.

• Inmediato – Modificación, eliminación e

Incapacidades de funcionarios

Gerencia

Administrativa y

Gerencia de

Recursos

Humanos

Elaboración, reporte y

envío del seguimiento al

tratamiento de las

vulnerabilidades

encontradas en el

período.

Al menos una vez por trimestre IT



35

5. REPRESENTACIÓN GRÁFICA DEL PROCESO



36

6. DESCRIPCIÓN DE PROCEDIMIENTOS

6.1. PLANEACIÓN

6.1.1. Políticas Generales

DESCRIPCIÓN DE PROCEDIMIENTOS

No. ACTIVIDAD ÁREA EJECUTORA CARGO RESPONSABLE

DESCRIPCIÓN

1 Define y elabora la

propuesta de las

políticas de seguridad

Gerencia de Seguridad de la Información Gerente

Estructura la propuesta de políticas de seguridad, con base en los procesos de la Entidad, las

buenas prácticas en términos manejo y control de seguridad de la información y los reportes e

informes de eventos e incidentes de seguridad.

2 Evalúa y ajusta las

políticas

Gerencia de Seguridad de la Información

Vicepresidencia de Tecnología

Gerencia Administrativa y Financiera

Vicepresidencia de Operaciones

Gerencia Jurídica

Gerente / Oficial de Seguridad de la Información

Vicepresidente

Gerente

Vicepresidente

Gerente

• Presenta la propuesta de políticas a las demás áreas involucradas.

• Evalúa, revisa y modifica las políticas actuales en materia de GSI.

• Propone, ajusta y define lineamientos en GSI para ser aprobados por la Presidencia.

• Ajusta y genera la propuesta definitiva para aprobación de la Presidencia.

3 Aprueba la política

a nivel organizacional


Presidencia

Gerente

Presidente



37

Presenta la propuesta definitiva de la Política de Seguridad para aprobación. Presidencia revisa y

aprueba la política de GSI.

4 Formaliza la política Vicepresidencia de Operaciones Gerente de Calidad

Recibe y formaliza la política.

5 Divulga la política Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información

Una vez aprobada y formalizada la política, la divulga a todos los miembros de la Entidad por medio

de los canales establecidos por la Gerencia de Seguridad de la Información.

6.1.2. Plan de Sensibilización y Capacitación



DESCRIPCIÓN

1 Define y elabora la

propuesta de

capacitación

Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información

• Analiza las métricas por eventos ocurridos, identificando las vulnerabilidades detectadas que puedan afectar las políticas y procedimientos en materia de seguridad.

• Revisa los temas tratados en capacitaciones anteriores, con el fin de determinar las necesidades

de mejora que se deban reforzar en la capacitación de los funcionarios.

2 Define el plan de

capacitación GSI


• Establece el plan de capacitación relacionado con la GSI para los funcionarios nuevos (inducción) y antiguos, determinando los temas a tratar, los objetivos propuestos, el público objetivo, los medios, la frecuencia, los responsables de cada tarea, el cronograma de actividades y la metodología a aplicar.



38

• Define y coordina el apoyo de las diferentes áreas a la Gerencia de Seguridad de la Información

durante las capacitaciones (Talento Humano, Tecnología de la Información, Mercadeo)

3 Ejecuta y evalúa el plan

de sensibilización y

capacitación

Gerencia Seguridad de la Información

Gerencia Administrativa y Financiera

Área usuaria

Gerente / Oficial de Seguridad de la Información / Arquitecto de Seguridad Profesional Selección y Capacitación

Vicepresidente / Gerente

• Desarrolla las actividades de capacitación propuestas en el plan de capacitación.

• Evalúa el nivel de entendimiento del tema, mediante la aplicación de pruebas al final de las

mismas.

4 Monitorea los avances

del plan de capacitación


• Realiza un monitoreo de las métricas del proceso.

• Con base en los resultados gestiona las mejoras al esquema de sensibilización.

6.2. INSPECCIÓN, ANÁLISIS, MEJORAMIENTO Y SERVICIOS DE SGSI

6.2.1. Monitoreo



DESCRIPCIÓN

1 Ejecuta el monitoreo Gerencia de Seguridad de la Información Oficial de Seguridad de la Información

• Identifica los tipos de monitoreo a realizar para los recursos informáticos seleccionados.

• Ejecuta el monitoreo, mediante la realización de las siguientes actividades:



39

a) Verificación de la autenticación de usuarios

b) Validación de las actividades de usuarios

c) Revisión de la aplicación de estándares en las plataformas

d) Inspección de logs y bitácoras de seguridad

e) Detección de virus en los recursos informáticos

f) Verificación de la utilización de comandos y utilitarios sensibles

g) Realización de pruebas de penetración

2 Realiza la revisión de la

aplicación de

estándares en las

plataformas

Gerencia de Seguridad de la Información Oficial de Seguridad de la Información /

Arquitecto de Seguridad de la Información

• Define los recursos informáticos sobre los cuales se realizará la verificación de estándares de seguridad, teniendo en cuenta los criterios de selección como por ejemplo: a) Muestra al azar.

b) Recursos recientemente actualizados.

c) Por tipo de plataforma.

d) Por área de negocio.

e) Por dueño del recurso informático.

f) Por implicación en incidentes.

g) Otras.

• El Oficial de seguridad solicita al Arquitecto de Seguridad de la Información la última versión de los estándares de seguridad a ser revisados e identifica los medios de verificación de la aplicación de estándares a ser empleados para la revisión, de acuerdo con los tipos de plataforma, considerando:

a) Utilidades estándar del sistema operacional.

b) Herramientas específicas para propósitos de verificación.

c) Comparación de archivos.

d) Revisión manual.

• El Arquitecto de Seguridad coordina con los administradores de los recursos informáticos, la agenda para la revisión de la aplicación de los estándares de seguridad en las plataformas seleccionadas.



40

• El Oficial de Seguridad revisa el cumplimiento con los estándares de seguridad, de acuerdo con la agenda definida, verificando cuando sea posible la fecha de última modificación de los parámetros, documentando los hallazgos de acuerdo con su criticidad.

• Solicita al administrador del recurso, la documentación básica del mismo (bitácora de modificaciones, registro de eventos u otros) para verificar:

a) El adecuado registro de las modificaciones realizadas a la configuración, incluyendo las justificaciones y autorizaciones de los cambios.

b) Aceptaciones de riesgo para el caso de parámetros o configuraciones que difieran de la definición del estándar aplicable.

• Revisa y documenta las justificaciones o aclaraciones recibidas de los administradores de los recursos informáticos objeto de la revisión, para todos los casos.

• Establece para cada recurso informático, el plan de acción requeridos como respuesta a los posibles hallazgos, en función de su criticidad, incluyendo:

a) Actividades para realizar los ajustes a la configuración

b) Responsables asignados

c) Fechas de verificación de la implantación

• Solicita al administrador del recurso informático la implantación de los valores de los parámetros de seguridad y verifica su atención:

• Elabora el informe de la revisión, incluyendo:

a) Recursos informáticos y estándares verificados

b) Agenda de revisión empleada

c) Hallazgos o casos catalogados como desviación en la aplicación de los estándares

d) Justificaciones proporcionadas por los responsables de los Recursos Informáticos

e) Recomendaciones (las que apliquen, de acuerdo el volumen e impacto de los hallazgos).

• Almacena la documentación, para seguimiento.

3 Efectúa la verificación

de la utilización de


Arquitecto de Seguridad



41

comandos y utilitarios

sensibles

Si se identifican situaciones como el uso o intento de uso de utilitarios o comandos sensibles en

actividades no autorizadas - sin justificación - o el uso o intento de uso de utilitarios por parte de

usuarios no autorizados o el frecuente uso errado de comandos y utilitarios restringidos

• Inicia el procedimiento gestión de incidentes de seguridad.

• Documenta y archiva el informe de la realización del procedimiento de revisión de uso de

utilitarios y comandos sensibles.

4 Inspecciona los logs y

bitácoras de seguridad


Arquitecto de Seguridad / Ingeniero Sénior

• Asegura el adecuado registro de los eventos previamente definidos para el recurso informático,

revisando en forma diaria o con la periodicidad definida, como mínimo los siguientes aspectos:

a) Llenado de discos del sistema o medios de almacenamiento

b) Integridad de los archivos generados (sobre escritura, modificación)

c) Inhabilitación del registro a nivel aplicativo o de sistema operativo

d) Ejecución de procesos automáticos o manuales de copia de seguridad a medios externos

e) Configuración de opciones de logs o trace en el sistema

• Revisa el contenido de los archivos de registro de eventos del recurso informático, de acuerdo

con la periodicidad definida en función de la criticidad del mismo, considerando entre otros: a)

Alarmas generadas por el sistema

b) Eventos de acceso no autorizado

c) Acceso a aplicaciones no autorizadas

d) Comportamientos anormales.

• Notifica al administrador del recurso informático y a los responsables asignados mediante el procedimiento de notificación, escalamiento y respuesta ante eventos, informando acerca de la situación detectada en el monitoreo realizado.



42

• Reporta las situaciones anormales que puedan ser catalogadas como incidentes o problemas

de seguridad, para proceder a su atención mediante el seguimiento de los procedimientos

correspondientes.

• Notifica al administrador del recurso informático y a los responsables identificados, informando acerca de la situación detectada en el monitoreo realizado, cuando aplique.

5 Verifica perfiles de

usuario


Gerencia de Ingeniería de Software

Oficial de Seguridad de la Información

Gerente

• Solicita al administrador del recurso informático la lista de usuarios activos con sus respectivos

perfiles.

• Verifica la información recibida, validando en función de la situación del negocio la necesidad de

mantener los perfiles asignados, estableciendo las discrepancias y/o documentando las

solicitudes de ajuste requeridas.

• Asegura, por parte de los responsables, la ejecución de actividades de mantenimiento de usuarios y/o perfiles, según aplique.

• La Gerencia de Ingeniería de Software, envía al Oficial de Seguridad, el reporte incluyendo el

detalle del resultado de la verificación, confirmando la realización de la misma, los hallazgos

evidenciados y acciones ejecutadas cuando aplique.

• El Oficial de Seguridad de la Información recibe los reportes y/o solicitudes, programa las

revisiones y solicita los ajustes a que haya lugar.

6 Verifica la actividad de

los usuarios


Área usuaria

Oficial de Seguridad de la Información /

Arquitecto de

Seguridad de la Información / Ingeniero Sénior

Vicepresidente / Gerente



43

• La Gerencia de Seguridad de la Información recolecta, edita y almacena la información de los

logs., con el fin de obtener de las fuentes, el subconjunto de información requerido para el

análisis.

• Realiza un primer análisis de la información obtenida a fin de:

a) Verificar la actividad de los usuarios

b) Establecer patrones anormales de comportamiento

c) Identificar usuarios inactivos

d) Identificar violaciones a la seguridad o incidentes

e) Identificar intentos de ataques sistemáticos

f) Identificar el incumplimiento de cualquiera de las políticas de protección de la información

definidas

g) Documenta los hallazgos y los envía al dueño de la Información.

• La gerencia usuaria, revisa la información recibida del monitoreo y define las acciones

correctivas que apliquen.

• Si se detectaron usuarios inactivos o patrones anormales de comportamiento, la Gerencia de Seguridad de la Información revisa y ajusta los perfiles de los usuarios, iniciando los cambios que se requieran, según la Matriz de Perfiles de Usuarios y evalúa la incorporación de otros mecanismos de registro y control si se requiere.

• Genera reporte de control de la actividad de los usuarios y almacena el reporte.

7 Aplica correctivos Gerencia de Plataforma Tecnológica Gerente

Ejecuta las acciones de operación correspondientes a situaciones normales o controladas, de

acuerdo con las recomendaciones de mantenimiento del recurso informático

6.2.2. Detección y Análisis de Vulnerabilidades



44



DESCRIPCIÓN

1

Realiza pruebas de

detección de

vulnerabilidades

Gerencia de Seguridad de la Información Arquitecto de Seguridad

• Inicia la ejecución de pruebas de penetración e inspección de código en los recursos

informáticos seleccionados.

• Extrae el informe del resultado de las pruebas, generado como salida del procedimiento de la

actividad anterior.

• Continua con el tratamiento y documentación de hallazgos del monitoreo de seguridad.

2 Identifica y valida las

vulnerabilidades por

medio del análisis de

las fuentes de

monitoreo

Gerencia de Seguridad de la Información Oficial de Seguridad / Arquitecto de Seguridad

• Identifica las posibles vulnerabilidades que podrían ser aprovechadas para el

rompimiento de los controles de seguridad de la Entidad, mediante el análisis de las

fuentes clasificadas, considerando:

a) Resultados generados por la herramienta de monitoreo.

b) Vulnerabilidades anteriores.

c) Incumplimiento al estándar de Seguridad

d) Incumplimiento al políticas de Seguridad

• Recopila la información adicional disponible, para la confirmación o aclaración de la

vulnerabilidad mediante:

a) Realización de entrevistas.

b) Observación visual del entorno asociado con la vulnerabilidad.

c) Solicitud de información adicional a los administradores de recursos informáticos involucrados.

d) Verificación de documentos de aceptación de la vulnerabilidad.

3 Gerencia de Seguridad de la Información Oficial de Seguridad / Arquitecto de Seguridad



45

Clasifica la

vulnerabilidad

• Clasifica las vulnerabilidades en categorías para su análisis teniendo en cuenta:

a) Resultados generados por la herramienta de monitoreo

b) Informes anteriores

c) Huecos de seguridad.

d) Reportes de incidentes

• Incumplimiento al políticas de Seguridad

4

Analiza y documenta la

vulnerabilidad

Gerencia de Seguridad de la Información Oficial de Seguridad / Arquitecto de Seguridad

Si se trata de una vulnerabilidad comprobada, documenta:

a) La vulnerabilidad identificada mediante un informe, incluyendo la descripción de la misma, el

impacto que podría causar, y adicionando cualquier comentario pertinente que permita la

resolución de la misma, documentar los recursos informáticos y activos de información que

podrían verse afectados directamente por la vulnerabilidad.

b) Recurso informático en el cual fue identificada la vulnerabilidad.

c) Equipo o información residente en el área vulnerable.

d) Recomendaciones generales para su solución.

Mantiene una bitácora de las vulnerabilidades encontradas para su control y seguimiento.

5 Define el plan de acción Gerencia de Seguridad de la Información


Gerente

Vicepresidente

• Decide con base en los resultados del análisis anterior u otros aspectos relevantes, si el riesgo

es aceptado o si se aprueba la iniciación de la ejecución del plan de implantación.

• Si el riesgo es aceptado por el jefe del implantador:

a) Documenta la aceptación del riesgo mediante un acta, estableciendo la justificación de la aceptación y el período de la misma.

b) Notifica al área de seguridad para que modifique la línea base de la herramienta de monitoreo.

• Define el plan de implantación y las posibles fechas y costos.

• Diligencia el Formato de Control de Cambios de Infraestructura.



46

• Si se requiere suspensión del servicio, realiza el trámite a través de la Gerencia de Tecnología.

• Notifica la estrategia y plan de mitigación del riesgo a la Gerencia de Seguridad de la

Información.

6 Implementa los cambios

o informa

Vicepresidencia de Tecnología Vicepresidente

• Ejecuta el plan de acción establecido y certifica los cambios.

• En el evento en que no sea posible llevar a cabo algún correctivo en el corto plazo, documenta e

informa a la Gerencia de Seguridad de la Información, señalando las razones.

7 Efectúa el seguimiento

del plan de acción

Gerencia de Seguridad de la Información Gerente

Realiza seguimiento al desarrollo del plan propuesto sobre las acciones definidas y el tratamiento de

la vulnerabilidad.

6.2.3. Gestión de Incidentes



DESCRIPCIÓN

1 Detecta y reporta el

incidente

Gerencia área usuaria


Gerente

Gerente

Cualquier funcionario detecta el incidente de seguridad y lo reporta a la Gerencia de Seguridad de la

Información.

2 Gerencia de Seguridad de la Información Oficial de Seguridad de la Información



47

Categoriza el

incidente de

seguridad

Si se confirma que el reporte se trata de un incidente válido: clasifica el incidente en la categoría

correspondiente, estableciendo el tipo más adecuado entre los siguientes:

a) Ataques por Virus

b) Incidentes de Acceso Físico

c) Incidentes de Red

d) Incidentes de Comunicaciones

e) Incidentes de Base de Datos

f) Incidentes de Aplicativo

g) Ataques a la Red de Datos y Recursos Tecnológicos

h) Incidentes Humanos

3 Documenta el

incidente

Gerencia de Seguridad de la Información Oficial de Seguridad de la Información

• Si el reporte no corresponde a un incidente de seguridad:

a) Documenta en el formato las razones por las cuales no se considera un incidente de seguridad.

b) Notifica a quien corresponda “Mesa de Ayuda” o Help Desk para que realice las acciones necesarias de acuerdo con el problema real para resolverlo.

• Documenta en la Bitácora de Incidentes de Seguridad de la Información, archiva el formato

correspondiente y cierra el incidente.

4 Analiza y define las

acciones de

protección



Vicepresidente / Gerente de Calidad y

Soporte TI Gerente / Oficial de Seguridad de

la Información

• La Gerencia de Seguridad de la Información, determina si el incidente afecta a la Entidad y su

impacto, teniendo en cuenta lo siguiente:

a) BAJO: Si el incidente es aislado y solo afecta una estación de trabajo interna o asociado. Este

tipo de incidente es definido también como problema de usuario final, es un evento que podría

ser una amenaza menor ó es el resultado de una actividad no autorizada, pero que no

compromete recursos críticos ó información sensitiva



48

b) MEDIO: Si el incidente afecta las estaciones de un grupo de trabajo interno o los servicios

internos operativos de la Entidad, es un evento que puede ser una amenaza futura, pero que no

se identifica como una amenaza seria y/o inmediata.

c) ALTO: Es un evento muy crítico, en el cual representa una seria amenaza y afecta de forma

inmediata a uno o más recursos críticos o pone en peligro información sensitiva o

confidencial, el incidente involucra uno o más usuarios externos de los servicios de la Entidad.

• Junto con la Gerencia de Tecnología, analizan las condiciones del incidente con el fin de

identificar la amenaza y/o debilidad y posteriormente determinar los mecanismos y/o acciones

de protección que deben ser aplicados.

• Si el incidente es catalogado con ALTO o MEDIO, conforma el equipo para la atención del

incidente incluyendo los especialistas identificados en la fase de detección, teniendo en cuenta

el tipo de recursos informáticos afectados y el nivel de especialización requerido.

• Monitorea las herramientas actuales de software y hardware, y los registros de actividad del

sistema para determinar las causas del incidente.

• Procede con las acciones documentadas de acuerdo al tipo de incidente identificado, y al

impacto definido.

• El Coordinador de Calidad identifica los clientes afectados y les informa del incidente.

• Si el impacto del incidente es BAJO, entre las Gerencias de Tecnología y de Seguridad de la

Información determinan las acciones a seguir y diligencian el Formato de Reporte de

Incidentes.

• El Oficial de Seguridad de la Información determina en primera instancia si el reporte se trata de un incidente de Seguridad válido, mediante:

a) Revisión detallada de la información recibida

b) Verificación adicional de las fuentes de información asociadas.

c) Solicitud de información adicional a los Administradores de los Recursos Informáticos.

d) Documentación de incidentes anteriores.



49

• Verifica si se han presentado situaciones similares y han sido documentadas acciones

específicas en respuesta a los incidentes, para ser usadas en el tratamiento del incidente,

mediante la revisión de fuentes como:

a) Informes de auditorías previas

b) Bitácora de Incidentes

c) Reportes de vulnerabilidades conocidas de los sistemas

d) Reporte generador por el monitoreo de herramientas

• Define el plan de trabajo para la implantación de la protección

requerida, incluyendo:

a) Actividades a realizar

b) Responsables asignados

c) Plan de pruebas

d) Escalamiento de Incidentes

5 Ejecuta el plan de

acción



Vicepresidente / Gerente de Plataforma

Tecnológica

Gerente / Oficial de Seguridad de la Información



50

• Notifica a los implicados las acciones a tomar.

• Procede con las acciones documentadas de acuerdo al tipo de incidente identificado, y al

impacto definido.

• Determina el grado de daño causado a los recursos informáticos o información de la Entidad,

mediante la revisión detallada de los sistemas afectados y lo identificado en la documentando

los hallazgos así como los daños detectados durante su revisión.

• Confirma los recursos informáticos afectados, servicios y entidades afectadas directa o

indirectamente por el incidente, incluyendo la identificación preliminar de los especialistas

(internos / externos) que de acuerdo con su especialidad podrían responder al incidente.

• Define el plan de trabajo la implantación de las acciones correctivas requeridas, de acuerdo con los daños evidenciados en la actividad anterior y durante todo el proceso de tratamiento del incidente ejecutando el procedimiento de control de cambios.

• Notifica a las personas afectadas, usuarios o clientes, acerca de la disponibilidad de los

sistemas, informando acerca de cualquier limitación o condición especial, previo a ser puesto

nuevamente en operación.

• Define y documenta el esquema requerido para el monitoreo en producción de la correcta realización y efectividad de las acciones ejecutadas sobre los recursos informáticos, asignando los responsables correspondientes para su ejecución.

• Si se detecta un problema operativo, proceder a reportarlo al Help Desk, para ser atendido

según los procedimientos de operación existentes.

• Documenta el incidente en el formato de Reporte de Incidentes, incluyendo la mayor cantidad de detalles posibles, anexos o referencias a documentación, con el fin de completar el reporte del incidente y contar con la información para futura referencia.

6 Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información

/ Arquitecto de Seguridad de la Información



51

Realiza el

seguimiento y

evaluación a los

incidentes y plan

• Almacena la información disponible del incidente en la “Bitácora de Incidentes en Seguridad de la Información” para poder continuar con la ejecución del procedimiento de “Tratamiento de Incidentes de Seguridad” Elabora el plan de acción con el fin de prevenir la ocurrencia de eventos similares.

• Realiza el monitoreo y establece las acciones preventivas y correctivas para eliminar la causa.

• Realiza el seguimiento quincenal de los incidentes reportados y generar estadísticas para tomar

acciones preventivas y/o correctivas que apoyen la calidad del servicio.

6.2.4. Gestión de Usuarios



DESCRIPCIÓN

1 Solicita la creación,

modificación o

eliminación de

usuarios en la

herramienta de gestión

de usuarios

Gerencia de Talento Humano Profesional Máster

• Para los nuevos funcionarios; solicita la creación de los usuarios vía GAUS y SAP, ingresado la información básica relacionada con el nombre, identificación, cargo a desempeñar y dependencia. NOTA: La herramienta de Gestión y Autenticación de Usuarios – GAUS se basa en la información contenida en la Matriz de Perfiles de Usuarios.

• Para los funcionarios que han cambiado de cargo o de área de trabajo; solicita las modificaciones en claves y accesos a los usuarios.



52

• Para los funcionarios que presentan novedades como licencias, vacaciones o incapacidades; solicita la suspensión temporal de las claves y accesos.

• Para aquellos funcionarios que requieran privilegios especiales, se debe realizar la solicitud de aprobación, mediante el formato de Entrega de Contraseñas de Usuarios con Altos Privilegios.

• Para los funcionarios que han sido desvinculados, solicita la eliminación de los usuarios.

2 Recibe, revisa y

aprueba la solicitud y

realiza la creación /

modificación /

eliminación de

usuarios


Gerencia de Plataforma Tecnológica

Gerencia de Calidad y Soporte TI

Coordinación Administrativa

Ingeniero Sénior

Gerente

Gerente

Profesional / Analista

• Para funcionarios nuevos: • La Gerencia de Seguridad de la Información valida los datos básicos del usuario para

creación en GAUS según lo expuesto en el Manual de Usuario Administrador - GAUS.

• Realiza la configuración de la tarjeta de ingreso a las instalaciones de la Entidad. • La Gerencia de Tecnología, configura, instala la terminal de telefonía en el puesto de

trabajo del nuevo funcionario.

• Configura cuenta de correo electrónico del nuevo funcionario. • A través de la Mesa de Ayuda configura, prepara, dispone e instala los equipos de

cómputo con sus respectivas claves de acceso para el nuevo funcionario.

• El área de soporte informa al nuevo funcionario las claves de acceso al PC y las herramientas GAUS, Mesa de Servicios.

• La Coordinación Administrativa informa al usuario la clave de acceso a los centros de

fotocopiado.

• Para las modificaciones, gestiona las actualizaciones del caso.

• Para los funcionarios desvinculados, elimina todos los accesos.

3

Solicita accesos y

permisos especiales

(cuando aplique)

Área usuaria Vicepresidente / Gerente / Jefe inmediato

El Vicepresidente, Gerente o Jefe Inmediato que por labores inherentes a su cargo o por necesidades particulares de la operación de la Entidad, requiera la instalación y/o acceso a



53

herramientas de: software y/o hardware particulares debe efectuar la solicitud vía Mesa de Servicios, para los siguientes casos: a) Acceso a Bases de Datos: en la solicitud debe explicarse los motivos/necesidad particular del funcionario, especificar la tabla a la cual se solicita el acceso, el tipo de acceso (solo lectura, creación o modificación de los registros de la tabla). La solicitud se debe tramitar a través del Formato de Solicitud de Acceso a Aplicaciones o Servicios.

b) VPN: esta solicitud se realiza cuando el usuario deba efectuar conexiones remotas seguras a las redes internas de la Organización. Si la solicitud proviene de un cliente externo, se debe tramitar a través del formato de Solicitud Datos VPN. Para clientes internos se debe realizar a través de la Mesa de Servicios.

c) Dispositivos especiales: esta solicitud se realiza cuando el usuario solicite la habilitación de

puertos USB, para este fin es necesario diligenciar el Formato de Solicitud de Uso de Dispositivos

de Almacenamiento de Información.

d) Internet: para accesos sin restricción a páginas web (según el perfil del cargo), mediante el

control de herramientas de monitoreo.

e) Permisos de acceso a nivel Firewall: debe especificarse la duración y el tipo acceso del usuario

(permanente, por tiempo definido). Esta solicitud se debe tramitar a través de la Mesa de Ayuda,

adjuntando el formato de Registro de Modificación Firewall.

f) Permisos de acceso a Centro de Cómputo: Estas solicitudes serán tramitadas a través de la

Mesa de Servicios, y configuradas en la herramienta de control de acceso físico. Una vez que

el funcionario ingrese al Centro de Cómputo, debe diligenciar el formato Control de Ingreso al

Centro de Cómputo.

4 Recibe, revisa y

aprueba la solicitud y

realizar la

modificación de los

accesos del usuario

Gerencia de Seguridad de la Información Ingeniero Sénior / Oficial de Seguridad de la

Información

El Ingeniero Sénior de la Gerencia de Seguridad de la Información valida los datos básicos

del usuario y la solicitud realizada por el área usuaria; de ser aprobada se habilitan los



54

accesos solicitados clasificando al usuario de acuerdo con la Matriz de Perfiles de

Usuarios.

6.3. GOBERNABILIDAD DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN – SGSI

6.3.1. Cumplimiento



DESCRIPCIÓN

1 Recibe, atiende la

programación de

visitas de

auditoría

Gerencia de Seguridad de la información Gerente

Recibe las visitas de auditoría programadas por entidades externas y la revisoría fiscal.

2 Ejecuta la

inspección y

auditoría

Gerencia de Seguridad de la

información/Comercial Gerencias Comerciales

Gerente

Fuerza Comercial

• El funcionario de la fuerza comercial recibe una solicitud formal y cuestionario de preguntas de la entidad externa para efectuar una visita a la Organización.

• Coordina una reunión con la entidad externa y/o revisoría fiscal para revisar los puntos

a tratar durante la visita. Desarrolla conjuntamente con las entidades las auditorías.

3 Gerencia de Seguridad de la información Gerencia



55

Elabora el

informe y

determina el plan

de acción

• Elabora las respuestas a las preguntas del cuestionario enviado por la Entidad externa las

cuales son entregadas como parte del informe.

• Establece el plan de acción para los hallazgos encontrados con las recomendaciones del caso.

4 Implementa

correctivos y/o

acciones de

mejora

Gerencia de Seguridad de la información Gerente

Con base al plan de acción definido, implementa los correctivos y acciones de mejora necesarias

para resolver los hallazgos de las auditorías.



56

7. VIGENCIA, CONSULTAS Y APROBACIONES

VIGENCIA DEL MANUAL A PARTIR DE 29/03/2017

CONSULTAS Y ACLARACIONES Gerencia de Seguridad de la información

APROBACIONES

NOMBRE CARGO /

DEPENDENCIA

FIRMA

Hawin Andrei Tapiero Presidente ORIGINAL FIRMADO

Heiner Suarez Ramírez Gerente de

Seguridad de la

Información

ORIGINAL FIRMADO

logo empresa código: mp-psi-01 versión

Documents