ANEXO A MODELO DE MEDICIÓN PARA EL …repository.udistrital.edu.co/bitstream/11349/6618/2...definido por Gobierno en Línea, este documento esta enfocado en los objetivos de control

1

ANEXO A

MODELO DE MEDICIÓN PARA EL SISTEMA DE GESTIÓN DE SEGURIDAD

DE LA INFORMACIÓN IMPLEMENTADO EN LAS ENTIDADES

GUBERNAMENTALES

En este Anexo, se han plasmado cada una de las estructuras de medición que pueden ser

utilizadas para la realización de una auditoría dentro de las organizaciones gubernamentales

que tengan implementado el modelo del Sistema de Gestión de Seguridad de la informaciones

definido por Gobierno en Línea, este documento esta enfocado en los objetivos de control y

controles que son implementados en la creación del Sistema de Gestión de Seguridad de la

Información en las Entidades del Estado.

2

A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

A.5.1 DIRECTRICES ESTABLECIDAS POR LA DIRECCIÓN PARA LA

SEGURIDAD DE LA INFORMACIÓN

Tabla 1. Medición para directrices establecidas por la dirección para la seguridad de la

información

Identificación de la estructura de medición

Nombre de la estructura de medición Plan de Entrenamiento y sensibilización del

personal en la política general de seguridad y

privacidad de la información de la entidad.

Identificador numérico 5.1

Propósito de la estructura de

medición

El indicador permite tener una medida base del

personal que conoce y se encuentra en línea con

la política general de seguridad y privacidad de

la información de la entidad.

El objetivo del indicador es establecer la

efectividad de un plan de entrenamiento y

sensibilización previamente definido como

medio para el control de incidentes de seguridad

y privacidad de la información dentro de la

entidad. Referencia (Guía 2 y 14 del Modelo de

Seguridad).

Objetivo del control / proceso A.5.1 Directrices establecidas por la dirección

para la seguridad de la información

Objetivo: Brindar orientación y apoyo por parte

de la dirección, para la seguridad de la

información de acuerdo con los requisitos del

negocio y con las leyes y reglamentos

pertinentes.

Control(1)/proceso(1) A.5.1.1 Políticas para la seguridad de la

información

Control: Se debería definir un conjunto de

políticas para la seguridad de la información,

aprobada por la dirección, publicada y

comunicada a los empleados y partes externas

pertinentes.

3

Control(2)/proceso(2) A.5.1.2 Revisión de las políticas para seguridad

de la información

Control: Las políticas para seguridad de la

información se deberían revisar a intervalos

planificados o si ocurren cambios significativos,

para asegurar su conveniencia, adecuación y

eficacia continúas.

Objeto de medición y atributos

Objeto de medición Totalidad de la Base de datos de empleados y

colaboradores de la Entidad evaluada.

1) Personal que ha completado el

entrenamiento y sensibilización en la

política general de seguridad y

privacidad de la información.

2) Personal que ha participado en charlas

informativas para la divulgación de

cambios en la política general de

seguridad y privacidad de la

información.

Atributo Registro de entrenamientos y Charlas.

1) Estado del personal con respecto al

entrenamiento y sensibilización inicial.

(No iniciado, En curso, Completo).

No iniciado: Personal sin plan de

entrenamiento y sensibilización

definido.

En curso: Personal que se encuentra

desarrollando el plan de entrenamiento y

sensibilización.

Completo: Personal que ya ha

completado en su totalidad el plan de

entrenamiento y sensibilización.

2) Estado del personal con respecto a las

Charlas informativas (No ha

participado, Si Participó, Sin cambios,

Sin entrenamiento)

4

No ha participado: Personal que ya

realizó el plan de entrenamiento, pero

aún no ha sido participe en las charlas

informativas más recientes.

Si participó: Personal que ya realizó el

plan de entrenamiento y de igual manera

participó en las charlas informativas

más recientes.

Sin cambios: Personal que ya realizó el

plan de entrenamiento y debe ser

partícipe de las charlas informativas

cuando se requiera (Cuando existan



información).

Sin entrenamiento: Personal que no ha

recibido el plan de entrenamiento por lo

que no debe ser partícipe de las charlas

informativas aun.

Especificación de medidas base (para cada medida base [1..n])

Método de medición 1) Definición porcentual de la cantidad de

empleados y colaboradores que han

recibido el entrenamiento sobre la

política general de seguridad y


2) Definición porcentual de la cantidad de


participado en las charlas informativas

para la divulgación de cambios (si los

hay) en la política general de seguridad

y privacidad de la información

Especificación de medida derivada

Función de medición Definir un Umbral porcentual de Cumplimiento

para cada trimestre de medición durante los

primeros cuatro trimestres después de estos

cuatro trimestres el umbral se define por el

modelo analítico de este indicador de gestión,

1) Contar el número de personas con:

5

Atributo: estado del personal con

respecto al entrenamiento inicial - >

(Completo).

Y dividir esta cantidad entre el número

total de empleados y colaboradores de la

entidad, multiplicar el resultado por 100.

Realizar la evaluación dependiendo el

umbral definido.



respecto a las Charlas informativas - >

(Si Participó, Sin cambios)


el número de personas con



(Completo), multiplicar el resultado por

100.

Realizar la evaluación según el modelo

analítico.

Especificación del indicador

Indicador Uso de identificadores de color. Gráfico de

barras que representa cumplimiento en varios

períodos de reporte con respecto a los umbrales

(rojo, amarillo, verde) definidos por el Modelo

analítico.

Reportes realizados trimestralmente tanto para

el plan de entrenamiento, como para el plan de

divulgación de cambios.

Modelo analítico 0-60% - Rojo; 61-90% - Amarillo; 91-100%

Verde

6

Especificación de los modelos de decisión

Criterios de decisión Rojo - se requiere intervención, es necesario

efectuar un análisis de las causas para

determinar las razones del no cumplimiento o

rendimiento pobre

Amarillo - se recomienda que se siga de cerca

este indicador por la posibilidad de que se

deslice a Rojo

Verde - no se requiere acción, continuar con el

proceso como se viene desarrollando.

Resultados de medición

Interpretación de un indicador Tomar acciones correctivas para el siguiente

periodo de medición si el indicador se encuentra

en Rojo o Amarillo. Las acciones correctivas

son Específicas de la Entidad.

Partes interesadas

Cliente de la medición Gerencia de seguridad, Gerencia de Recursos

humanos, La alta dirección u otra parte

interesada que requiera o solicite información

sobre la efectividad de los entrenamientos y

charlas informativas.

Revisor de la medición Gerente de seguridad, Gerente de Recursos

Humanos.

Propietario de la información Gerencia de seguridad, Gerencia de Recursos

humanos, La alta dirección

Recolector de la información Gerencia de Recursos humanos.

Frecuencia / Periodicidad

Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes

Frecuencia del análisis de datos Trimestral

Frecuencia del informe de los

resultados de la medición

Trimestral

Revisión de la medición Revisar Mensualmente

Período de medición Anual

Los autores

7

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A.6.1 ORGANIZACIÓN INTERNA

Tabla 2. Medición para organización interna


Nombre de la estructura de medición Definición de roles y responsabilidades para el

cumplimiento de la política de seguridad y




medición

El indicador permite determinar y hacer

seguimiento, al compromiso de la gerencia de

seguridad y la alta dirección, en cuanto a

seguridad de la información, en lo relacionado

con la asignación de personas y sus respectivas

responsabilidades relacionadas a la seguridad y

privacidad de la información al interior de la

entidad, Referencia (Guía 4 del Modelo de

Seguridad).

Objetivo del control / proceso A.6.1 Organización interna

Objetivo: Establecer un marco de referencia de

gestión para iniciar y controlar la

implementación y la operación de la seguridad

de la información dentro de la organización.

Control(1)/proceso(1) A.6.1.1 Roles y responsabilidades para la

seguridad de información

Control: Se deberían definir y asignar todas las

responsabilidades de la seguridad de la

información.

Control(2)/proceso(2) A.6.1.2 Separación de deberes

Control: Los deberes y áreas de responsabilidad

en conflicto se deberían separar para reducir las

posibilidades de modificación no autorizada o

no intencional, o el uso indebido de los activos

de la organización.

Control(3)/proceso(3) A.6.1.3 Contacto con las autoridades

Control: Se deberían mantener los contactos

apropiados con las autoridades pertinentes.

8

Control(4)/proceso(4) A.6.1.4 Contacto con grupos de interés especial

Control: Es conveniente mantener contactos

apropiados con grupos de interés especial u

otros foros y asociaciones profesionales

especializadas en seguridad.

Control(5)/proceso(5) A.6.1.5 Seguridad de la información en la

gestión de proyectos

Control: La seguridad de la información se

debería tratar en la gestión de proyectos,

independientemente del tipo de proyecto.




1) Personal que tiene su rol y

responsabilidades definidas dentro de la

entidad en lo que se refiere a la


información.

Atributo Registro del personal en el cual se relaciona el

estado de su rol y responsabilidades dentro de la

entidad en lo que se refiere a la seguridad y

privacidad de la información, tomando como

base la Guía 4 del Modelo de Seguridad.

1) Estado del personal con respecto a su rol

y responsabilidades dentro de la entidad

en lo que se refiere a la seguridad y

privacidad de la información (Definido

y Cumplido, Definido, No Definido).

Definido y Cumplido: Personal que

cuenta con un rol y unas

responsabilidades definidas y ha

cumplido con cada uno de los objetivos

definidos para su rol dentro de la

entidad.

Definido: Personal que cuenta con un

rol y unas responsabilidades definidas

pero aún no ha cumplido con la totalidad

9

de los objetivos definidos para su rol

dentro de la entidad.

No Definido: Personal que aún no

cuenta con un rol y unas

responsabilidades definidas dentro de la

entidad.



empleados y colaboradores que tienen

su rol y responsabilidades definidas y

que ha cumplido con cada uno de los

objetivos definidos para su rol dentro de

la entidad.


Función de medición Umbral definido por el modelo analítico de este

indicador de gestión,



respecto a su rol y responsabilidades

dentro de la entidad en lo que se refiere

a la seguridad y privacidad de la

información - > (Definido y Cumplido).





umbral definido.






analítico.

Reportes realizados anualmente.


Verde

10





rendimiento pobre



deslice a Rojo








Se hace necesario crear nuevos roles y asignar

responsabilidades en los roles actuales, por lo

tanto, el indicador está enfocado, no solo a la

contratación de nuevas personas, sí no a la

asignación de responsabilidades a cada uno de

los roles ya definidos por la entidad.

Partes interesadas







Humanos.







11



Anual



Los autores

A.6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO

Tabla 3. Medición para dispositivos móviles y teletrabajo


Nombre de la estructura de medición Implementación de Políticas de Seguridad y

Privacidad de la información en lo relacionado

al Uso de dispositivos móviles y teletrabajo en

la entidad.



medición

Identificar la implementación de estándares en

lo relacionado al uso de dispositivos móviles y

teletrabajo dentro de la política de seguridad y

privacidad de la información de la entidad.

Objetivo del control / proceso A.6.2 Dispositivos móviles y teletrabajo

Objetivo: Garantizar la seguridad del teletrabajo

y el uso de dispositivos móviles.

Control(1)/proceso(1) A.6.2.1 Política para dispositivos móviles

Control: Se deberían adoptar una política y unas

medidas de seguridad de soporte, para gestionar

los riesgos introducidos por el uso de

dispositivos móviles.

Control(2)/proceso(2) A.6.2.2 Teletrabajo

Control: Se deberían implementar una política y

unas medidas de seguridad de soporte, para

proteger la información a la que se tiene acceso,

que es procesada o almacenada en los lugares en

los que se realiza teletrabajo.

12


Objeto de medición Muestreo de empleados de la entidad, para

identificar el cumplimiento de las políticas de

seguridad y privacidad de la información en lo

relacionado al Uso de dispositivos móviles y

teletrabajo.

SGSI de la Entidad

Atributo Preguntas puntuales para realizar la verificación

de la implementación de las políticas de

seguridad y privacidad de la información en lo

relacionado al Uso de dispositivos móviles y

teletrabajo en la entidad.

1) ¿Se han definido dentro de la política

general de seguridad y privacidad de la

información estándares que garanticen

el buen uso de dispositivos móviles

dentro de la entidad? (SI se evidencia

implementación o NO se evidencia

implementación)



información estándares que garanticen

las buenas prácticas a la hora de efectuar

labores en teletrabajo? (SI se evidencia


implementación)

Se debe profundizar sobre la respuesta de cada

empleado que haya sido escogido dentro del

muestreo.



empleados en los que (SI se evidencia

implementación) de estándares que

garanticen el buen uso de dispositivos

móviles dentro de la política general de


información de la entidad.

13




garanticen las buenas prácticas a la hora

de efectuar labores en teletrabajo dentro

de la política general de seguridad y

privacidad de la información de la

entidad.





Atributo: (SI se evidencia


garanticen el buen uso de dispositivos

móviles dentro de la política general de




total de la muestra tomada para la

evaluación, multiplicar el resultado por

100.




garanticen las buenas prácticas a la hora

de efectuar labores en teletrabajo dentro

de la política general de seguridad y

privacidad de la información de la

entidad.




100.

Realizar la evaluación dependiendo el umbral

definido.

14





(CUMPLE y NO CUMPLE).

Reportes realizados mensualmente.

Modelo analítico 0-90% - NO CUMPLE; 91-100% - CUMPLE


Criterios de decisión NO CUMPLE - se requiere intervención, es

necesario efectuar un análisis de las causas para

determinar las razones del no cumplimiento.

CUMPLE - no se requiere acción, continuar con

el proceso como se viene desarrollando.




en NO CUMPLE. Las acciones correctivas son

Específicas de la Entidad.

Partes interesadas






Revisor de la medición Gerente de seguridad.

Propietario de la información Gerencia de seguridad, La alta dirección

Recolector de la información Gerencia de seguridad.



Frecuencia del análisis de datos Mensual

15



Mensual



Los autores

16

A.7 SEGURIDAD DE LOS RECURSOS HUMANOS

A.7.1 ANTES DE ASUMIR EL EMPLEO

Tabla 4. Medición para antes de asumir el empleo


Nombre de la estructura de medición Implementación de un proceso de Ingreso y

Desvinculación del personal Idóneo para

asegurar el cumplimiento de la política general

de seguridad y privacidad de la información de

la entidad



medición

Identificar si el proceso de Ingreso y

Desvinculación del personal de la entidad es el

indicado para garantizar el cumplimiento de la

política general de seguridad y privacidad de la

información.

Objetivo del control / proceso A.7.1 Antes de asumir el empleo

Objetivo: Asegurar que los empleados y

contratistas comprenden sus responsabilidades

y son idóneos en los roles para los que se

consideran.

Control(1)/proceso(1) A.7.1.1 Selección

Control: Las verificaciones de los antecedentes

de todos los candidatos a un empleo se deberían

llevar a cabo de acuerdo con las leyes,

reglamentos y ética pertinentes, y deberían ser

proporcionales a los requisitos de negocio, a la

clasificación de la información a que se va a

tener acceso, y a los riesgos percibidos.

Control(2)/proceso(2) A.7.1.2 Términos y condiciones del empleo

Control: Los acuerdos contractuales con

empleados y contratistas, deberían establecer

sus responsabilidades y las de la organización

en cuanto a la seguridad de la información.

17


Objeto de medición Procedimiento de Ingreso y Desvinculación del

personal

Atributo Preguntas puntuales para determinar si el procedimiento de Ingreso y Desvinculación del

personal de la entidad es el indicado para

garantizar el cumplimiento de la política general

de seguridad y privacidad de la información.

1) ¿Dentro del procedimiento de Ingreso y

Desvinculación del personal de la

entidad se garantiza que el personal que

va a ser contratado cuente con las

competencias técnicas y sea una persona

éticamente correcta y confiable,

especialmente si accede a información

sensitiva de la entidad? (SI se evidencia

o NO se evidencia)

2) ¿En los acuerdos contractuales que son

firmados tanto por el empleado como

por el empleador existen cláusulas en las

cuales se puntualice sobre la

confidencialidad de la información y

respecto a las leyes y derechos de la

propiedad intelectual? (SI se evidencia o

NO se evidencia)


Método de medición 1) 0 NO CUMPLE (NO se evidencia); 1

CUMPLE (SI se evidencia)

2) 0 NO CUMPLE (NO se evidencia); 1



Función de medición 1) SI se evidencia = CUMPLE; NO se

evidencia = NO CUMPLE

2) SI se evidencia = CUMPLE; NO se


18







Modelo analítico 0 - NO CUMPLE; 1 - CUMPLE












Partes interesadas






Revisor de la medición Gerente de seguridad y Gerente de Recursos

humanos.

Propietario de la información Gerencia de seguridad, La alta dirección y

Gerencia de Recursos humanos







Trimestral

19

Revisión de la medición Revisar Trimestralmente


Los autores

A.7.2 DURANTE LA EJECUCIÓN DEL EMPLEO

Tabla 5. Medición durante la ejecución del empleo


Nombre de la estructura de medición Plan de Entrenamiento y Concientización del

personal en las políticas y procedimientos

pertinentes para su cargo.



medición

Evaluar el cumplimiento de los requerimientos

sobre el entrenamiento anual en la

concientización sobre las políticas y

procedimientos pertinentes para su cargo.

Objetivo del control / proceso A.7.2 Durante la ejecución del empleo

Objetivo: Asegurarse de que los empleados y

contratistas tomen conciencia de sus

responsabilidades de seguridad de la

información y las cumplan.

Control(1)/proceso(1) A.7.2.1 Responsabilidades de la dirección

Control: La dirección debería exigir a todos los

empleados y contratistas la aplicación de la

seguridad de la información de acuerdo con las

políticas y procedimientos establecidos por la

organización.

Control(2)/proceso(2) A.7.2.2 Toma de conciencia, educación y

formación en la seguridad de la información

Control: Todos los empleados de la

organización, y en donde sea pertinente, los

contratistas, deberían recibir la educación y la

formación en toma de conciencia apropiada, y

actualizaciones regulares sobre las políticas y

procedimientos pertinentes para su cargo.

20

Control(4)/proceso(4) A.7.2.3 Proceso disciplinario

Control: Se debería contar con un proceso

disciplinario formal el cual debería ser

comunicado, para emprender acciones contra

empleados que hayan cometido una violación a

la seguridad de la información.





entrenamiento y concientización en las

políticas y procedimientos pertinentes

para su cargo.



cambios en las políticas y

procedimientos pertinentes para su

cargo.

SGSI de la Entidad



entrenamiento y concientización inicial.



entrenamiento y concientización

definido.



concientización.



entrenamiento y concientización.




Sin entrenamiento)

21


realizó el plan de entrenamiento y

concientización pero aún no ha sido

participe en las charlas informativas más

recientes.


plan de entrenamiento y

concientización y de igual

manera participó en las charlas



plan de entrenamiento y concientización

y debe ser partícipe de las charlas

informativas cuando se requiera

(Cuando existan cambios en las políticas

y procedimientos pertinentes para su

cargo).


recibido el plan de entrenamiento y

concientización por lo que no debe ser


aun.

Preguntas puntuales para determinar si se

cuenta con un documento en el cual se describan

los procedimientos disciplinarios que se llevan

a cabo en la entidad cuando se requieren y si este

procedimiento es el indicado para garantizar el

cumplimiento de la política general de

seguridad y privacidad de la información.

3) ¿Dentro de las políticas y

procedimientos de la entidad existe

algún documento que describa los

procesos disciplinarios que se deben

llevar a cabo con el fin de garantizar la


información dentro de la entidad? (SI se

evidencia o NO se evidencia)




recibido el entrenamiento y

concientización en las políticas y

22

procedimientos pertinentes para su

cargo.





hay) en las políticas y procedimientos

pertinentes para su cargo.











respecto al entrenamiento y

concientización inicial - > (Completo).





umbral definido.









23


100.


analítico.




Indicador 1) Uso de identificadores de color. Gráfico

de barras que representa cumplimiento

en varios períodos de reporte con

respecto a los umbrales (rojo, amarillo,

verde) definidos por el Modelo

analítico.

Reportes realizados trimestralmente

2) Uso de identificadores de color. Gráfico



respecto a los umbrales (rojo, amarillo,

verde) definidos por el Modelo

analítico.

Reportes realizados trimestralmente

3) Uso de identificadores de color. Gráfico



respecto a los umbrales (CUMPLE y

NO CUMPLE).


Modelo analítico 1) 0-60% - Rojo; 61-90% - Amarillo; 91-

100% Verde

2) 0-60% - Rojo; 61-90% - Amarillo; 91-

100% Verde

3) 0 - NO CUMPLE; 1 - CUMPLE

24


Criterios de decisión 1) Rojo - se requiere intervención, es

necesario efectuar un análisis de las

causas para determinar las razones del

no cumplimiento o rendimiento pobre

Amarillo - se recomienda que se siga de

cerca este indicador por la posibilidad de

que se deslice a Rojo

Verde - no se requiere acción, continuar

con el proceso como se viene

desarrollando.

2) Rojo - se requiere intervención, es

necesario efectuar un análisis de las

causas para determinar las razones del

no cumplimiento o rendimiento pobre

Amarillo - se recomienda que se siga de

cerca este indicador por la posibilidad de

que se deslice a Rojo

Verde - no se requiere acción, continuar

con el proceso como se viene

desarrollando.

3) NO CUMPLE - se requiere

intervención, es necesario efectuar un

análisis de las causas para determinar las

razones del no cumplimiento.

CUMPLE - no se requiere acción,

continuar con el proceso como se viene

desarrollando.


Interpretación de un indicador 1) Tomar acciones correctivas para el

siguiente periodo de medición si el

indicador se encuentra en Rojo o

Amarillo. Las acciones correctivas son


2) Tomar acciones correctivas para el


25

indicador se encuentra en Rojo o

Amarillo. Las acciones correctivas son


3) Tomar acciones correctivas para el


indicador se encuentra en NO

CUMPLE. Las acciones correctivas son


Partes interesadas







Humanos.



Recolector de la información 1) Gerencia de Recursos humanos.

2) Gerencia de Recursos humanos.

3) Gerencia de seguridad.






Trimestral

Revisión de la medición 1) Revisar Mensualmente

2) Revisar Mensualmente

3) Revisar Trimestralmente


Los autores

A.7.3 TERMINACIÓN O CAMBIO DE EMPLEO

Tabla 6. Medición para terminación o cambio de empleo


Nombre de la estructura de medición Implementación de un proceso de terminación

de contrato o cambio de empleo Idóneo para

asegurar el cumplimiento de la política general

26

de seguridad y privacidad de la información de

la entidad



medición

Identificar si el proceso de terminación de

contrato o cambio de empleo de la entidad es el



información.

Objetivo del control / proceso A.7.3 Terminación o cambio de empleo

Objetivo: Proteger los intereses de la

organización como parte del proceso de cambio

o terminación del contrato.

Control(1)/proceso(1) A.7.3.1 Terminación o cambio de

responsabilidades de empleo

Control: Las responsabilidades y los deberes de

seguridad de la información que permanecen

validos después de la terminación o cambio de

contrato se deberían definir, comunicar al

empleado o contratista y se deberían hacer

cumplir.


Objeto de medición Procedimiento de terminación de contrato o

cambio de empleo de la entidad.

Atributo Preguntas puntuales para determinar si el

procedimiento de terminación de contrato o

cambio de empleo de la entidad es el indicado

para garantizar el cumplimiento de la política


información.

¿En los acuerdos contractuales que son

firmados tanto por el empleado como por el

empleador existen cláusulas en las cuales se

puntualice sobre la confidencialidad de la

información y respecto a las leyes y derechos de

la propiedad intelectual, aun después de la

terminación de contrato o cambio de empleo?

(SI se evidencia o NO se evidencia)

27


Método de medición 0 NO CUMPLE (NO se evidencia); 1 CUMPLE

(SI se evidencia)


Función de medición SI se evidencia = CUMPLE; NO se evidencia =

NO CUMPLE



















Partes interesadas







humanos.







28



Trimestral



Los autores

29

A.8 GESTIÓN DE ACTIVOS

A.8.1 RESPONSABILIDAD POR LOS ACTIVOS

Tabla 7. Medición para responsabilidad por los activos


Nombre de la estructura de medición Gestión y Clasificación de Activos



medición





con el proceso de Gestión y clasificación de

activos dentro de la entidad. Referencia (Guía 5

del Modelo de Seguridad).

Objetivo del control / proceso A.8.1 Responsabilidad por los activos

Objetivo: Identificar los activos

organizacionales y definir las responsabilidades

de protección apropiadas.

Control(1)/proceso(1) A.8.1.1 Inventario de activos

Control: Se deberían identificar los activos

asociados con la información y las instalaciones

de procesamiento de información, y se debería

elaborar y mantener un inventario de estos

activos.

Control(2)/proceso(2) A.8.1.2 Propiedad de los activos

Control: Los activos mantenidos en el

inventario deberían tener un propietario.

Control(3)/proceso(3) A.8.1.3 Uso aceptable de los activos

Control: Se deberían identificar, documentar e

implementar reglas para el uso aceptable de

información y de activos asociados con

información e instalaciones de procesamiento

de información.

30

Control(4)/proceso(4) A.8.1.4 Devolución de activos

Control: Todos los empleados y usuarios de

partes externas deberían devolver todos los

activos de la organización que se encuentren a

su cargo, al terminar su empleo, contrato o

acuerdo.


Objeto de medición Procedimiento de identificación y clasificación

de activos de la entidad


procedimiento de identificación y clasificación

de activos de la entidad es el indicado para



1) ¿Dentro del procedimiento de

identificación y clasificación de activos

de la entidad se garantiza que todos los

activos sean identificados e

inventariados por la entidad y que de

igual manera sean clasificados de

acuerdo a su nivel de confidencialidad o

criticidad? (SI se evidencia o NO se

evidencia)



de la entidad se tienen en cuenta las

actividades de asignación de activos y

su respectiva devolución una vez se

termina la relación laboral con la

entidad? (SI se evidencia o NO se

evidencia)



de la entidad se tienen actividades para

garantizar una correcta disposición de

los activos cuando ya no se requieran,

asegurando su transferencia hacia otros

lugares de forma segura? (SI se


31

































Partes interesadas







humanos.

32









Trimestral



Los autores

A.8.2 CLASIFICACIÓN DE LA INFORMACIÓN

Tabla 8. Medición para clasificación de la información


Nombre de la estructura de medición Gestión y Clasificación de la Información



medición





con el proceso de Gestión y clasificación de la

información dentro de la entidad. Referencia

(Guía 5 del Modelo de Seguridad).

Objetivo del control / proceso A.8.2 Clasificación de la información

Objetivo: Asegurar que la información recibe

un nivel apropiado de protección, de acuerdo

con su importancia para la organización.

Control(1)/proceso(1) A.8.2.1 Clasificación de la información

Control: La información se debería clasificar en

función de los requisitos legales, valor,

criticidad y susceptibilidad a divulgación o a

modificación no autorizada.

33

Control(2)/proceso(2) A.8.2.2 Etiquetado de la información

Control: Se debería desarrollar e implementar

un conjunto adecuado de procedimientos para el

etiquetado de la información, de acuerdo con el

esquema de clasificación de información

adoptado por la organización.

Control(3)/proceso(3) A.8.2.3 Manejo de activos

Control: Se deberían desarrollar e implementar

procedimientos para el manejo de activos, de

acuerdo con el esquema de clasificación de

información adoptado por la organización.


Objeto de medición Procedimiento de identificación y clasificación

de activos de la entidad








de la entidad la información se clasifica

en función de los requisitos legales,

valor, criticidad y susceptibilidad a

divulgación o a modificación no

autorizada? (SI se evidencia o NO se

evidencia)




llevar a cabo el etiquetado de la

información siguiendo el esquema de

clasificación de la información adoptado

por la entidad? (SI se evidencia o NO se

evidencia)




el manejo de activos, de acuerdo con el

esquema de clasificación de

34

información adoptado por la entidad?


































Partes interesadas




35




humanos.









Trimestral



Los autores

A.8.3 MANEJO DE LOS SOPORTES DE ALMACENAMIENTO

Tabla 9. Medición para manejo de los soportes de almacenamiento


Nombre de la estructura de medición Gestión de medios removibles de

almacenamiento de información



medición





con el proceso de Gestión de medios removibles

de almacenamiento de información de la

entidad. Referencia (Guía 5 del Modelo de

Seguridad).

Objetivo del control / proceso A.8.3 Manejo de los soportes de

almacenamiento.

Control(1)/proceso(1) A.8.3.1 Gestión de medios removibles

Control: Se deberían implementar

procedimientos para la gestión de medios

36

removibles, de acuerdo con el esquema de

clasificación adoptado por la organización.

Control(2)/proceso(2) A.8.3.2 Disposición de los medios

Control: Se debería disponer en forma segura

de los medios cuando ya no se requieran,

utilizando procedimientos formales.

Control(3)/proceso(3) A.8.3.3 Transferencia de medios físicos

Control: Los medios que contienen

información se deberían proteger contra acceso

no autorizado, uso indebido o corrupción

durante el transporte.


Objeto de medición Procedimiento de identificación y clasificación de activos de la entidad






1) Los medios removibles podrían

almacenar información confidencial por

lo que deberían tener el mismo

tratamiento y esquema de clasificación

que cualquier otro activo.

¿Dentro del procedimiento de


de la entidad, se garantiza que los

activos removibles de la entidad tengan

este mismo tratamiento y esquema de

clasificación que tienen los demás

activos de la entidad? (SI se evidencia o

NO se evidencia)

37













Modelo analítico 0 - NO CUMPLE; 1 – CUMPLE












Partes interesadas







humanos.




38






Trimestral



Los autores

39

A.9 CONTROL DE ACCESO

A.9.1 REQUISITOS DEL NEGOCIO PARA CONTROL DE ACCESO

Tabla 10. Medición en requisitos del negocio para control de acceso


Nombre de la estructura de medición Verificación requisitos del negocio para el

control de acceso



medición





con el proceso para el ingreso seguro a los

sistemas de información de la entidad, teniendo

en cuenta los requisitos del negocio y de

seguridad de la información.

Objetivo del control / proceso A.9.1 Requisitos del negocio para control de

acceso

Objetivo: Limitar el acceso a información y a

instalaciones de procesamiento de información.

Control(1)/proceso(1) A.9.1.1 Política de control de acceso

Control: Se debería establecer, documentar y

revisar una política de control de acceso con

base en los requisitos del negocio y de seguridad

de la información.

Control(2)/proceso(2) A.9.1.2 Política sobre el uso de los servicios de

red

Control: Solo se debería permitir acceso de los

usuarios a la red y a los servicios de red para los

que hayan sido autorizados específicamente.


Objeto de medición Procedimiento para el Ingreso Seguro a los

Sistemas de información.


procedimiento para el Ingreso Seguro a los

Sistemas de información de la entidad es el


40


información.

1) ¿Dentro del procedimiento para el

Ingreso Seguro a los Sistemas de

información de la entidad se indica

como es la gestión que se realiza para el

acceso a los sistemas de información?


2) ¿La Gestión realizada en el

procedimiento para el Ingreso Seguro a

los Sistemas de información de la

entidad emplea métodos preventivos

contra ataques de fuerza bruta

realizando la validación completa de los

datos de ingreso a los sistemas? (SI se


3) ¿Dentro de la validación de datos de

ingreso a los sistemas de información de

la entidad se emplean métodos de

cifrado de la información de acceso,

para garantizar la seguridad que se

requiere al acceder a la Red y a sus

respectivos servicios? (SI se evidencia o

NO se evidencia)




















41














Partes interesadas







humanos.









Trimestral



Los autores

42

A.9.2 GESTIÓN DE ACCESO DE USUARIOS

Tabla 11. Medición para gestión de acceso de usuarios


Nombre de la estructura de medición Gestión de Usurarios y control de acceso



medición





con el proceso de Gestión de usuarios y control

de acceso a los sistemas de información de la

entidad.

Objetivo del control / proceso A.9.2 Gestión de acceso de usuarios

Objetivo: Asegurar el acceso de los usuarios

autorizados y evitar el acceso no autorizado a

sistemas y servicios.

Control(1)/proceso(1) A.9.2.1 Registro y cancelación del registro de

usuarios

Control: Se debería implementar un proceso

formal de registro y de cancelación de registro

de usuarios, para posibilitar la asignación de los

derechos de acceso.

Control(2)/proceso(2) A.9.2.2 Suministro de acceso de usuarios

Control: Se debería implementar un proceso de

suministro de acceso formal de usuarios para

asignar o revocar los derechos de acceso a todo

tipo de usuarios para todos los sistemas y

servicios.

Control(3)/proceso(3) A.9.2.3 Gestión de derechos de acceso

privilegiado

Control: Se debería restringir y controlar la

asignación y uso de derechos de acceso

privilegiado.

Control(4)/proceso(4) A.9.2.4 Gestión de información de

autenticación secreta de usuarios

43

Control: La asignación de la información

secreta se debería controlar por medio de un

proceso de gestión formal.

Control(5)/proceso(5) A.9.2.5 Revisión de los derechos de acceso de

usuarios

Control: Los propietarios de los activos

deberían revisar los derechos de acceso de los

usuarios, a intervalos regulares.

Control(6)/proceso(6) A.9.2.6 Retiro o ajuste de los derechos de

acceso

Control: Los derechos de acceso de todos los

empleados y de usuarios externos a la

información y a las instalaciones de

procesamiento de información se deberían

retirar al terminar su empleo, contrato o

acuerdo, o se deberían ajustar cuando se hagan

cambios.


Objeto de medición Procedimiento de Gestión de Usuarios y

Contraseñas.


Procedimiento de Gestión de Usuarios y

Contraseñas de la entidad es el indicado para



1) ¿Dentro del Procedimiento de Gestión

de Usuarios y Contraseñas de la entidad

se indica cómo se realiza la creación de

usuarios y la asignación de contraseñas

de cada uno de ellos? (SI se evidencia o

NO se evidencia)



se indica cómo se realiza el cambio de

rol, eliminación o bloqueo de los

usuarios que cambiaron de cargo o

terminaron su empleo ,contrato o

acuerdo con la entidad? (SI se evidencia

o NO se evidencia)

44



se tienen definidos roles para cada una

de los colaboradores de la entidad con el

fin de restringir y controlar el acceso

privilegiado a los sistemas de

información de la entidad? (SI se


4) ¿Para llevar a cabo el Procedimiento de

Gestión de Usuarios y Contraseñas se

tiene en cuenta la política de contraseñas

seguras definida previamente por la

entidad? (SI se evidencia o NO se

evidencia)

5) ¿La Política de contraseñas seguras

definida por la entidad contempla

factores como, no permitir la

reutilización de contraseñas usadas

previamente por el usuario y exigir el

cambio de contraseñas definiendo un

tiempo prudente para que el cambio se

realice (El tiempo de cambio de

contraseñas es definido por cada

entidad)? (SI se evidencia o NO se

evidencia)



















45























Partes interesadas







humanos.









Trimestral



Los autores

46

A.9.3 RESPONSABILIDADES DE LOS USUARIOS

Tabla 12. Medición para responsabilidades de los usuarios


Nombre de la estructura de medición Plan de Entrenamiento y sensibilización del

personal en la política de contraseñas seguras y

en el buen uso de la información de

autenticación secreta dentro de la entidad.



medición

El indicador permite tener una medida base del

personal que conoce y se encuentra en línea con

la política de contraseñas seguras y con el buen

uso de la información de autenticación secreta

para cada uno de los sistemas de información

dentro de la entidad.

Objetivo del control / proceso A.9.3 Responsabilidades de los usuarios

Objetivo: Hacer que los usuarios rindan cuentas

por la salvaguarda de su información de

autenticación.

Control(1)/proceso(1) A.9.3.1 Uso de la información de autenticación

secreta

Control: Se debería exigir a los usuarios que

cumplan las prácticas de la organización para el

uso de información de autenticación secreta.





entrenamiento y sensibilización en la

política de contraseñas seguras y el buen

uso de la información de autenticación

secreta de la entidad.



cambios en la política de contraseñas

seguras y el buen uso de la información

de autenticación secreta de la entidad.


47


entrenamiento y sensibilización inicial.



entrenamiento y sensibilización

definido.



sensibilización.



entrenamiento y sensibilización.




Sin entrenamiento)


realizó el plan de entrenamiento, pero

aún no ha sido participe en las charlas



plan de entrenamiento y de igual manera

participó en las charlas informativas

más recientes.


plan de entrenamiento y debe ser


cuando se requiera (Cuando existan



información).


recibido el plan de entrenamiento por lo

que no debe ser partícipe de las charlas

informativas aun.




recibido el entrenamiento sobre la

política de contraseñas seguras y el buen

uso de la información de autenticación

secreta de la entidad.

48





hay) en la política de contraseñas

seguras y el buen uso de la información

de autenticación secreta de la entidad.










(Completo).





umbral definido.










100.


analítico.

49






analítico.





Verde





rendimiento pobre



deslice a Rojo








Partes interesadas







Humanos.


humanos, La alta dirección.





50



Trimestral



Los autores

A.9.4 CONTROL DE ACCESO A SISTEMAS Y APLICACIONES

Tabla 13. Medición para control de acceso a sistemas y aplicaciones


Nombre de la estructura de medición Verificación del control de acceso a sistemas y

aplicaciones de la entidad



medición

El indicador busca identificar la existencia de

lineamientos, normas o estándares en cuanto al

control de acceso a sistemas y aplicaciones en la

entidad, permite determinar y hacer




con el proceso para el ingreso seguro a los

sistemas de información y aplicaciones de la entidad, teniendo en cuenta los requisitos del

negocio y de seguridad de la información.

Objetivo del control / proceso A.9.4 Control de acceso a sistemas y

aplicaciones

Objetivo: Evitar el acceso no autorizado a

sistemas y aplicaciones.

Control(1)/proceso(1) A.9.4.1 Restricción de acceso Información

Control: El acceso a la información y a las

funciones de los sistemas de las aplicaciones se

debería restringir de acuerdo con la política de

control de acceso.

Control(2)/proceso(2) A.9.4.2 Procedimiento de ingreso seguro

Control: Cuando lo requiere la política de

control de acceso, el acceso a sistemas y

aplicaciones se debería controlar mediante un

proceso de ingreso seguro.

51

Control(3)/proceso(3) A.9.4.3 Sistema de gestión de contraseñas

Control: Los sistemas de gestión de contraseñas

deberían ser interactivos y deberían asegurar la

calidad de las contraseñas.

Control(4)/proceso(4) A.9.4.4 Uso de programas utilitarios

privilegiados

Control: Se debería restringir y controlar

estrictamente el uso de programas utilitarios que

pudieran tener capacidad de anular el sistema y

los controles de las aplicaciones.

Control(5)/proceso(5) A.9.4.5 Control de acceso a códigos fuente de

programas

Control: Se debería restringir el acceso a los

códigos fuente de los programas.


Objeto de medición Procedimiento para ingreso seguro a los

sistemas de información

Procedimiento de Gestión de Usuarios y

Contraseñas

Atributo Preguntas puntuales para determinar si existen


control de acceso a sistemas de información y

aplicaciones en la entidad.

1) ¿La entidad ha definido lineamientos,

normas y/o estándares para controlar el

acceso de los usuarios a sus servicios de

Gobierno en línea y a sus redes de

comunicaciones? (SI se evidencia o NO

se evidencia)


normas y/o estándares para controlar el

uso y el acceso a los sistemas de

información, las aplicaciones y los

depósitos de información con las que

cuenta la entidad? (SI se evidencia o NO

se evidencia)


normas y/o estándares para controlar las

terminales móviles y accesos remotos a

52

los recursos de la entidad? (SI se


































Partes interesadas






53


humanos.









Trimestral



Los autores

54

A.10 CRIPTOGRAFÍA

A.10.1 CONTROLES CRIPTOGRÁFICOS

Tabla 14. Medición para controles criptográficos


Nombre de la estructura de medición Garantizar la disponibilidad, integridad y

confidencialidad de la información con el buen

uso de la criptografía.



medición

El indicador busca garantizar la disponibilidad,

confidencialidad e integridad de la información

realizando un buen uso de la criptografía, a su

vez permite determinar y hacer seguimiento, al

compromiso de la gerencia de seguridad y la

alta dirección, en cuanto a seguridad de la

información, en lo relacionado con los

procedimientos de controles criptográficos y de

gestión de llaves criptográficas.

Objetivo del control / proceso A.10.1 Controles criptográficos

Objetivo: Asegurar el uso apropiado y eficaz de

la criptografía para proteger la confidencialidad,

la autenticidad y/o la integridad de la

información.

Control(1)/proceso(1) A.10.1.1 Política sobre el uso de controles

criptográficos


una política sobre el uso de controles

criptográficos para la protección de la

información.

Control(2)/proceso(2) A.10.1.2 Gestión de llaves


una política sobre el uso, protección y tiempo de

vida de las llaves criptográficas durante todo su

ciclo de vida.


Objeto de medición Procedimiento de controles criptográficos

Procedimiento de Gestión de llaves

criptográficas

55

Atributo Preguntas puntuales para determinar si los

Procedimientos de controles criptográficos y de

Gestión de llaves criptográficas de la entidad

son los indicados para garantizar el



1) ¿Dentro del Procedimiento de controles

criptográficos de la entidad se indica

cómo se utilizara la criptografía dentro

de los sistemas de información de la

entidad, esto con el fin de garantizar su

disponibilidad, integridad y

confiabilidad? (SI se evidencia o NO se

evidencia)

2) ¿Dentro del Procedimiento de controles

criptográficos de la entidad se especifica

la complejidad de los controles

criptográficos a emplear y se verifica

que sean acordes a la criticidad de la

información que circula a través de la

red o que se encuentre alojada en un

sistema de información de la entidad?



de llaves criptográficas de la entidad (si

aplica) se describe el ciclo de vida de las

llaves criptográficas desde que se crean

hasta que se distribuyen de manera

segura a cada usuario o aplicación? (SI

se evidencia o NO se evidencia)

4) ¿ Dentro del Procedimiento de Gestión

de llaves criptográficas de la entidad (si

aplica) se mencionan aspectos como la

creación de las llaves, la obtención de

certificados, el almacenamiento seguro

de las llaves, la actualización o cambio

de las llaves y la revocación y

recuperación de las llaves? (SI se


56





































57

Partes interesadas







humanos.









Trimestral



Los autores

58

A.11 SEGURIDAD FÍSICA Y DEL ENTORNO

A.11.1 ÁREAS SEGURAS

Tabla 15. Medición para áreas seguras


Nombre de la estructura de medición Verificación del control de acceso físico en la

entidad



medición

El indicador busca identificar la existencia de


control de acceso físico en la entidad, permite

determinar y hacer seguimiento, al compromiso

de la gerencia de seguridad y la alta dirección,

en cuanto a seguridad de la información, en lo

relacionado con el proceso de control de acceso

físico de la entidad, teniendo en cuenta los

requisitos del negocio y de seguridad de la

información.

Objetivo del control / proceso A.11.1 Áreas seguras

Objetivo: Prevenir el acceso físico no

autorizado, el daño y la interferencia a la

información y a las instalaciones de

procesamiento de información de la

organización.

Control(1)/proceso(1) A.11.1.1 Perímetro de seguridad física

Control: Se deberían definir y usar perímetros

de seguridad, y usarlos para proteger áreas que

contengan información sensible o critica, e

instalaciones de manejo de información.

Control(2)/proceso(2) A.11.1.2 Controles físicos de entrada

Control: Las áreas seguras se deberían proteger

mediante controles de entrada apropiados para

asegurar que solamente se permite el acceso a

personal autorizado.

Control(3)/proceso(3) A.11.1.3 Seguridad de oficinas, recintos e

instalaciones

Control: Se debería diseñar y aplicar seguridad

física a oficinas, recintos e instalaciones.

59

Control(4)/proceso(4) A.11.1.4 Protección contra amenazas externas y

ambientales

Control: Se debería diseñar y aplicar protección

física contra desastres naturales, ataques

maliciosos o accidentes.

Control(5)/proceso(5) A.11.1.5 Trabajo en áreas seguras

Control: Se deberían diseñar y aplicar

procedimientos para trabajo en áreas seguras.

Control(6)/proceso(6) A.11.1.6 Áreas de despacho y carga

Control: Se deberían controlar los puntos de

acceso tales como áreas de despacho y de carga,

y otros puntos en donde pueden entrar personas

no autorizadas, y si es posible, aislarlos de las

instalaciones de procesamiento de información

para evitar el acceso no autorizado.


Objeto de medición Procedimiento de control de acceso Físico


Procedimiento de control de acceso Físico de la

entidad es el indicado para garantizar el



1) ¿Dentro del Procedimiento de control de

acceso Físico de la entidad se

especifican los controles que se tienen

para garantizar un acceso seguro a las

instalaciones de la entidad para personal

autorizado? (SI se evidencia o NO se

evidencia)

2) ¿Dentro del Procedimiento de control de

acceso Físico de la entidad se contempla

la solicitud de permisos a áreas

restringidas, especificando quien es el

encargado de otorgar el permiso y el

proceso que se debe seguir para realizar

la solicitud? (SI se evidencia o NO se

evidencia)

60





























Partes interesadas







humanos.




61






Trimestral



Los autores

A.11.2 EQUIPOS

Tabla 16. Medición para equipos


Nombre de la estructura de medición Protección, Mantenimiento y Retiro de Activos



medición





con los procesos de Protección, Mantenimiento

y Retiro de Activos dentro de la entidad.

Objetivo del control / proceso A.11.2 Equipos

Objetivo: Prevenir la perdida, daño, robo o

compromiso de activos, y la interrupción de las

operaciones de la organización.

Control(1)/proceso(1) A.11.2.1 Ubicación y protección de los equipos

Control: Los equipos deberían estar ubicados y

protegidos para reducir los riesgos de amenazas

y peligros del entorno, y las oportunidades para

acceso no autorizado.

Control(2)/proceso(2) A.11.2.2 Servicios de suministro

Control: Los equipos se deberían proteger

contra fallas de energía y otras interrupciones

causadas por fallas en los servicios de

suministro.

Control(3)/proceso(3) A.11.2.3 Seguridad del cableado

Control: El cableado de potencia y de

telecomunicaciones que porta datos o soporta

62

servicios de información debería estar protegido

contra interceptación, interferencia o daño.

Control(4)/proceso(4) A.11.2.4 Mantenimiento de equipos

Control: Los equipos se deberían mantener

correctamente para asegurar su disponibilidad e

integridad continuas.

Control(5)/proceso(5) A.11.2.5 Retiro de activos

Control: Los equipos, información o software

no se deberían retirar de su sitio sin autorización

previa.

Control(6)/proceso(6) A.11.2.6 Seguridad de equipos y activos fuera

de las instalaciones

Control: Se deberían aplicar medidas de

seguridad a los activos que se encuentran fuera

de las instalaciones de la organización, teniendo

en cuenta los diferentes riesgos de trabajar fuera

de dichas instalaciones.

Control(7)/proceso(7) A.11.2.7 Disposición segura o reutilización de

equipos

Control: Se deberían verificar todos los

elementos de equipos que contengan medios de

almacenamiento, para asegurar que cualquier

dato sensible o software con licencia haya sido

retirado o sobrescrito en forma segura antes de

su disposición o reutilización.

Control(8)/proceso(8) A.11.2.8 Equipos de usuario desatendidos

Control: Los usuarios deberían asegurarse de

que a los equipos desatendidos se les de

protección apropiada.

Control(9)/proceso(9) A.11.2.9 Política de escritorio limpio y pantalla

limpia

Control: Se debería adoptar una política de

escritorio limpio para los papeles y medios de

almacenamiento removibles, y una política de

pantalla limpia en las instalaciones de

procesamiento de información.

63


Objeto de medición Procedimiento de Protección de Activos

Procedimiento de Retiro de Activos

Procedimiento de Mantenimiento de Activos

Atributo Preguntas puntuales para determinar si los procedimientos de Protección, Mantenimiento y

Retiro de Activos de la entidad son los

indicados para garantizar el cumplimiento de la


información.

1) ¿Dentro del Procedimiento de

Protección de Activos de la entidad se

evidencian los pasos con los cuales los

activos son protegidos por la entidad,

contemplando su ubicación y los

controles a de seguridad aplicados? (SI



Protección de Activos de la entidad se

contemplan los controles que se aplican

para minimizar los riesgos presentados

por desastres naturales, amenazas

físicas, daños, por polvo, agua,

interferencias, descargas eléctricas,

entre otros? (SI se evidencia o NO se

evidencia)

3) ¿Dentro del Procedimiento de Retiro de

Activos de la entidad se tiene un

lineamiento de autorización previa para

que los activos puedan ser retirados de

las instalaciones? (SI se evidencia o NO

se evidencia)

4) ¿Dentro del Procedimiento de Retiro de

Activos de la entidad se contemplan

controles de seguridad tales como

(controles criptográficos, cifrado de

discos, entre otros), para garantizar la

seguridad de la información mientras el

activo este fuera de las instalaciones?



Mantenimiento de Activos de la entidad

se especifica cómo se ejecutan los

64

mantenimientos preventivos y

correctivos dentro de la entidad,

indicando los intervalos en que estos

deberán realizarse? (SI se evidencia o

NO se evidencia)


Mantenimiento de Activos de la entidad,

se llevan registros en los cuales se

indique el personal que debe ejecutar el

mantenimiento y la fecha en la que se

debe llevar a cabo dicho

mantenimiento? (SI se evidencia o NO

se evidencia)
































65














Partes interesadas







humanos.









Trimestral



Los autores

66

A.12 SEGURIDAD DE LAS OPERACIONES

A.12.1 PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES

Tabla 17. Medición para procedimientos operacionales y responsabilidades


Nombre de la estructura de medición Gestión de Procedimientos operacionales



medición





con los procesos de Gestión de Cambios,

Gestión de Capacidad y Separación de

Ambientes.

Objetivo del control / proceso A.12.1 Procedimientos operacionales y

responsabilidades

Objetivo: Asegurar las operaciones correctas y

seguras de las instalaciones de procesamiento

de información.

Control(1)/proceso(1) A.12.1.1 Procedimientos de operación

documentados

Control: Los procedimientos de operación se

deberían documentar y poner a disposición de

todos los usuarios que los necesiten.

Control(2)/proceso(2) A.12.1.2 Gestión de cambios

Control: Se deberían controlar los cambios en la

organización, en los procesos de negocio, en las

instalaciones y en los sistemas de

procesamiento de información que afectan la


Control(3)/proceso(3) A.12.1.3 Gestión de capacidad

Control: Para asegurar el desempeño requerido

del sistema se debería hacer seguimiento al uso

de los recursos, hacer los ajustes, y hacer

proyecciones de los requisitos sobre la

capacidad futura.

67

Control(4)/proceso(4) A.12.1.4 Separación de los ambientes de

desarrollo, pruebas y operación

Control: Se deberían separar los ambientes de

desarrollo, prueba y operación, para reducir los

riesgos de acceso o cambios no autorizados al

ambiente de operación.


Objeto de medición Procedimiento de Gestión de Cambios

Procedimiento de Gestión de Capacidad

Procedimiento de Separación de Ambientes

Atributo Preguntas puntuales para determinar si los

procedimientos de Gestión de Cambios, Gestión

de Capacidad y Separación de Ambientes de la

entidad son los indicados para garantizar el




de Cambios de la entidad se especifica

cómo se realiza el control de cambios en

los procesos de negocio y los sistemas

de información de manera segura dentro

de la entidad? (SI se evidencia o NO se

evidencia)


de Cambios de la entidad se tienen en

cuenta aspectos como identificación y

registro de cambios significativos,

planificación y pruebas previas de los

cambios a realizar, valoración de

impactos, tiempos de no disponibilidad

del servicio, la comunicación a las áreas

pertinentes, Procedimientos de rollback,

entre otros? (SI se evidencia o NO se

evidencia)


de Capacidad de la entidad se especifica

cómo se realiza una gestión de

capacidad para los sistemas de

información críticos, teniendo en cuenta

si los recursos requeridos son escasos,

demorados en su arribo o costosos? (SI


68


de Capacidad la entidad puede realizar

acciones como la eliminación de datos

obsoletos, cierre de aplicaciones,

ambientes y sistemas en desuso,

restricción de ancho de banda, entre

otros? (SI se evidencia o NO se

evidencia)


Separación de Ambientes de la entidad

se tienen definidos por separado los

ambientes de Pruebas y Producción para

las aplicaciones en desarrollo? (SI se



Separación de Ambientes de la entidad

se estipulan los requerimientos

necesarios para la transición entre

ambientes y la compatibilidad de los

desarrollos con diferentes sistemas? (SI
























69























Partes interesadas







humanos.









Trimestral



Los autores

70

A.12.2 PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS

Tabla 18. Medición para protección contra códigos maliciosos


Nombre de la estructura de medición Gestión de Códigos Maliciosos



medición





con el proceso de Protección contra Códigos

Maliciosos.

Objetivo del control / proceso A.12.2 Protección contra códigos maliciosos

Objetivo: Asegurarse de que la información y

las instalaciones de procesamiento de

información estén protegidas contra códigos

maliciosos.

Control(1)/proceso(1) A.12.2.1 Controles contra códigos maliciosos

Control: Se deberían implementar controles de

detección, de prevención y de recuperación,

combinados con la toma de conciencia

apropiada de los usuarios, para proteger contra

códigos maliciosos.


Objeto de medición Procedimiento de Protección Contra Códigos

Maliciosos.


Procedimiento de Protección Contra Códigos

Maliciosos de la entidad es el indicado para




Protección Contra Códigos Maliciosos

de la entidad se especifica cómo se

realiza la protección contra códigos

maliciosos teniendo en cuenta que

controles se utilizan (hardware o

Software) y como se instalan y se

actualizan las plataformas de detección

71

de códigos maliciosos? (SI se evidencia

o NO se evidencia)


Protección Contra Códigos Maliciosos

de la entidad se tienen definidos

procesos de recolección de información,

reporte y recuperación de ataques contra

software malicioso? (SI se evidencia o

NO se evidencia)





























72

Partes interesadas







humanos.









Trimestral



Los autores

A.12.3 COPIAS DE RESPALDO

Tabla 19. Medición para copias de respaldo


Nombre de la estructura de medición Verificación de copias de respaldo



medición

La estructura de medición le permite a la

Entidad evaluar que se encuentre correctamente

implementada una política de copias d

seguridad de toda la información, teniendo en

cuenta que existen distintos tipos de copias de

seguridad (completa, diferencial, incremental,

espejo).

Objetivo del control / proceso A.12.3 Copias de respaldo

Objetivo: Proteger contra la pérdida de datos.

Control(1)/proceso(1) A.12.3.1 Respaldo de información

Control: Se deberían hacer copias de respaldo

de la información, del software e imágenes de

73

los sistemas, y ponerlas a prueba regularmente

de acuerdo con una política de copias de

respaldo aceptada.


Objeto de medición Totalidad de ítems implementados entorno a la

mejora continua de las copias de respaldo que

se llevan a cabo en la información de la Entidad.

1. Gestión de la disponibilidad de la

información

Indicar la manera correcta en que se

realiza el respaldo de la información, la

ubicación de la misma (soluciones en la

nube, servidores físicos internos y/o

externos), ya que esta es parte

fundamental para el desarrollo de la

Entidad para fines propios o con

terceros.

Atributo Preguntas puntales para realzar la verificación

de a implementación de los procedimientos

necesario en la continuidad de la seguridad de la

información en la Entidad.



información los procedimientos

correctos para llevar a cabo la copia de

respaldo de la información de la

Entidad, teniendo en cuenta los distintos

tipos de respaldos que se puede llevar a

cabo y que son acordes con lo exigido

por la Gerencia de seguridad? (SI se





correctos para realizar un “inventario”

de qué tipo de información, cantidad de

la misma debe tener copia de respaldo en

la Entidad? (SI se evidencia o NO se

evidencia)




74




Función de medición 1) SI se evidencia = CUMPLE; NO se evidencia = NO CUMPLE





















Partes interesadas

Cliente de la medición Gerencia de seguridad, Gerencia de

Tecnologías de la Información, La alta

dirección u otra parte interesada que requiera o

solicite información sobre la efectividad de los

entrenamientos y charlas informativas.

Revisor de la medición Gerente de seguridad y Gerente de Tecnologías

de la Información.


Gerencia de Tecnologías de la Información.


75






Trimestral



Los autores

A.12.4 REGISTRO Y SEGUIMIENTO

Tabla 20. Medición para registro y seguimiento


Nombre de la estructura de medición Registro y seguimientos de eventos,

verificación de evidencia.



medición

La estructura de medición permite verificar si

existe un correcto seguimiento de eventos

relacionados con la seguridad de la información

en la Entidad.

Objetivo del control / proceso A.12.4 Registro y seguimiento

Objetivo: Registrar eventos y generar evidencia.

Control(1)/proceso(1) A.12.4.1 Registro de eventos

Control: Se deberían elaborar, conservar y

revisar regularmente los registros acerca de

actividades del usuario, excepciones, fallas y

eventos de seguridad de la información.

Control(2)/proceso(2) A.12.4.2 Protección de la información de

registro

Control: Las instalaciones y la información de

registro se deberían proteger contra alteración y

acceso no autorizado.

Control(3)/proceso(3) A.12.4.3 Registros del administrador y del

operador

76

Control: Las actividades del administrador y del

operador del sistema se deberían registrar, y los

registros se deberían proteger y revisar con

regularidad.

Control(4)/proceso(4) A.12.4.4 sincronización de relojes

Control: Los relojes de todos los sistemas de

procesamiento de información pertinentes

dentro de una organización o ámbito de

seguridad se deberían sincronizar con una única

fuente de referencia de tiempo.


Objeto de medición Totalidad de ítems implementados entorno al

manejo de registros y eventos en torno a la

seguridad de la información en la Entidad.

1. Gestión de registros de seguridad de la

información y seguimiento de los

mismos.

Es necesario en la organización elaborar

y revisar de manera periódica cada una

de las actividades de los usuarios,

eventos, y fallas en torno a la seguridad

de la información de la Entidad.

Atributo Preguntas puntales para realzar la verificación y

seguimiento de cada uno de los registros e

incidencias que se presentan en la Entidad,

entorno a la seguridad de la información.




correctos para elaborar, conservar y

revisar regularmente los registros acerca

de actividades del usuario entorno a la

seguridad de la información en la

Entidad? (SI se evidencia o NO se

evidencia)




correctos para que la información este

protegida contra alteración y acceso no

autorizado? (SI se evidencia o NO se

evidencia)

77




correctos para verificar que los relojes

de todos los sistemas de información de

la Entidad se sincronicen con única

fuente de referencia de tiempo, llevado a

cabo a través de la red de datos? (SI se





correctos para comprobar que las

actividades del administrador del

sistema de la Entidad se estén

registrando y estos se estén revisando

con regularidad? (SI se evidencia o NO

se evidencia)

























78













Partes interesadas







de la Información.









Trimestral



Los autores

79

A.12.5 CONTROL DE SOFTWARE OPERACIONAL

Tabla 21. Medición para control de software operacional


Nombre de la estructura de medición Control de software



medición

La estructura de medición permite asegurar la

integridad y el correcto funcionamiento de los

sistemas de operacionales de la organización.

Es necesario mantener el control sobre el

software que se encuentra disponible, ya que a

través de este se puede ver vulnerada la

organización.

Objetivo del control / proceso A.12.5 Control de software operacional

Objetivo: Asegurar la integridad de los sistemas

operacionales.

Control(1)/proceso(1) A.12.5.1 Instalación de software en sistemas

operativos


procedimientos para controlar la instalación de

software en sistemas operativos.


Objeto de medición Totalidad de software implementado que

soporta el Core de negocio

1. Software de sistema

Dicho sistema es un conjunto de

programas que administran los recursos

del hardware y proporciona una interfaz

al usuario.

2. Software de programación

Es el conjunto de herramientas que

permiten al programador desarrollar

programas de informática, usando

diferentes alternativas y lenguajes de

programación, de una manera práctica.

3. Software de aplicación

Permite a los usuarios llevar a cabo una

o varias tareas específicas, en cualquier

campo de actividad susceptible de ser

80

automatizado o asistido, con especial

énfasis en los negocios.

Atributo Configuraciones específicas en el software

implementado.

1. Operativas del software: Factores de

funcionalidad

Usabilidad: Factor de

aprendizaje

Integridad: Calidad del software

Fiabilidad

Eficiencia: Forma en que el software utiliza los recursos

disponibles.

Seguridad

2. Transición del software

Interoperabilidad: capacidad para el intercambio de

información con otras

aplicaciones.

Reutilización: Utilizar el código de software con algunas

modificaciones para diferentes

propósitos.

Portabilidad: Capacidad para

llevar a cabo las mismas

funciones en todos los entornos

y plataformas.

3. Revisión del software: Factores de

ingeniería.

Capacidad de mantenimiento: El mantenimiento del software

debe ser fácil.

Flexibilidad: Los cambios en el software debe ser fácil de hacer.

Extensibilidad: Debe ser fácil de aumentar nuevas funciones.

Escalabilidad: Debe ser de fácil

actualización.


Método de medición 1. Definición porcentual de la cantidad de

aplicaciones de software que se

encuentran implementadas.

81

2. Definición porcentual de la cantidad de

plataformas interoperables con las que

cuenta la compañía.


avances en nuevas funcionalidades para

aplicaciones escalables.







1. Contar la cantidad de aplicaciones con:

Atributo: Operativas del software ->

(aplicaciones completamente

implementadas)


Atributo: Transición del software - >

(aplicaciones interoperables)


de aplicaciones con

Atributo: Operativas del software

Multiplicar el resultado por 100


umbral definido.


Atributo: Revisión del software (nuevas

funcionalidades aplicaciones escalables)


de aplicaciones con

Atributo: Operativas del software



umbral definido.

82






analítico.





Verde





rendimiento pobre.



deslice a Rojo








Partes interesadas

Cliente de la medición Gerencia de seguridad, Gerencia de tecnologías

de la información, La alta dirección u otra parte


sobre la efectividad de los proyectos de

desarrollo de software en la Entidad.

Revisor de la medición Gerente de seguridad, Gerente de tecnologías de

la información.

Propietario de la información Gerencia de seguridad, Gerencia de


dirección

Recolector de la información Gerencia de Tecnologías de la Información.



83




Trimestral



Los autores

A.12.6 GESTIÓN DE LA VULNERABILIDAD TÉCNICA

Tabla 22. Medición para gestión de la vulnerabilidad técnica


Nombre de la estructura de medición Vulnerabilidad técnica



medición

La estructura de medición permite prevenir el

aprovechamiento de las distintas

vulnerabilidades técnicas que puedan

presentarse en la Entidad, manteniendo así el

control de las mismas las cuales están presentes

tanto en el Hardware como en el Software.

Objetivo del control / proceso A.12.6 Gestión de la vulnerabilidad técnica

Objetivo: Prevenir el aprovechamiento de las

vulnerabilidades técnicas.

Control(1)/proceso(1) A.12.6.1 Gestión de las vulnerabilidades

técnicas

Control: Se debería obtener oportunamente

información acerca de las vulnerabilidades

técnicas de los sistemas de información que se

usen; evaluar la exposición de la organización a

estas vulnerabilidades, y tomar las medidas

apropiadas para tratar el riesgo asociado.

Control(2)/proceso(2) A.12.6.2 Restricciones sobre la instalación de

software

Control: Se deberían establecer e implementar

las reglas para la instalación de software por

parte de los usuarios.

84


Objeto de medición Totalidad de vulnerabilidades técnicas que se

pueden encontrar en la Entidad.

1. Vulnerabilidad de Diseño

Representan la probabilidad de

encontrar errores en el diseño de

protocolos usados en las redes de datos

y/o políticas de seguridad deficiente.

2. Vulnerabilidad de Implementación

Representa la probabilidad de encontrar

errores de programación o puertas

traseras en los sistemas informáticos.

3. Vulnerabilidad de Uso

Representan la probabilidad de

encontrar configuraciones inadecuadas

en los sistemas informáticos.

Atributo Configuraciones especificas en las

vulnerabilidades existentes.

1. Vulnerabilidades en Redes de Datos

Al tratarse de una serie de equipos

conectados entre sí que comparten

recursos, es posible atacar toda la red.

2. Vulnerabilidades de Software

Representa la probabilidad de un

programa que puede ser usado como

medio para atacar a un sistema más

grande, debido a errores de

programación, o aspectos como

controles de acceso, o controles de

seguridad.

3. Vulnerabilidades en Configuraciones

Representa la probabilidad de encontrar

configuraciones de Software erradas

teniendo en cuenta las amenazas a las

cuales se encuentren expuestos los

Sistemas de Información.

85



vulnerabilidades controladas en la Red

de Datos.


vulnerabilidades controladas en el

Software implementado en la Entidad.


vulnerabilidades controladas en las

distintas Configuraciones en el Software

implementado.






modelo analítico de este indicador de gestión.

1. Contar la cantidad de vulnerabilidades

de red con:

Atributo: Vulnerabilidades en Redes de

Datos -> (inconsistencia controladas en

redes de datos)


de ítems evaluados.



umbral definido.


de software con:

Atributo: Vulnerabilidades de Software

-> (inconsistencias controladas en el

Software implementado)





umbral definido.

86


en configuraciones con:

Atributo: Vulnerabilidades en

configuraciones -> (inconsistencias

controladas en las configuraciones del

Software implementado)





umbral definido.






analítico.





Verde





rendimiento pobre.



deslice a Rojo








87

Partes interesadas







la información.



dirección



Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes.




Trimestral



Los autores

A.12.7 CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE

INFORMACIÓN

Tabla 23. Medición para consideraciones sobre auditorias de sistemas de información


Nombre de la estructura de medición Auditorías de sistemas de información



medición

La estructura de medición tiene como propósito

realizar la evaluación de los distintos criterios

que se deben tener en cuenta para realizar

auditorías sobre los sistemas de información.

Objetivo del control / proceso A.12.7 Consideraciones sobre auditorias de

sistemas de información

Objetivo: Minimizar el impacto de las

actividades de auditoría sobre los sistemas

operacionales.

Control(1)/proceso(1) A.12.7.1 Información controles de auditoría de

sistemas

88

Control: Los requisitos y actividades de

auditoría que involucran la verificación de los

sistemas operativos se deberían planificar y

acordar cuidadosamente para minimizar las

interrupciones en los procesos del negocio.


Objeto de medición Totalidad de ítems evaluados en la revisión de

adquisición y mantenimiento de Sistemas

operativos (S.O.) en la Entidad.

1. Análisis de la relación costo/beneficio

del S.O.

Se revisa el análisis costo/beneficio y las

alternativas y determinar si cada una de

estas fue evaluada adecuadamente.

2. Instalación del S.O.

Se revisa el plan o procedimiento para la

prueba del sistema, determinar si las

pruebas se realizaron de acuerdo a ese

plan y en forma exitosa.

3. Mantenimiento del S.O.

Se revisa la documentación relacionada

con el mantenimiento o upgrade del

software.

4. Seguridad del S.O.

Se revisan los procedimientos para el

acceso al software del sistema y a su

documentación.

Atributo Puntos específicos evaluar en la auditoria de los

Sistemas Operativos implementados.

1. Análisis Costo/Beneficio

Análisis de la capacidad del software

para cumplir con los requisitos técnicos

de la Entidad.

2. Análisis instalación de Sistema

Operativo

Análisis del tipo de configuraciones

realizadas en la instalación de los

Sistemas Operativos implementados

según lo exigido por la Entidad.

89

3. Análisis mantenimiento de Sistema

Operativo

Análisis de los procedimientos de

mantenimiento, con relación a tiempos y

tipo de mantenimiento que se ha llevado

a cabo realizado según lo exigido por la

Entidad.

4. Seguridad en el Sistema Operativo

Análisis de procedimientos y

restricciones para usuarios finales de

realizar cambios sobre el Sistema según

lo exigido por la Entidad.



requisitos técnicos que se cumplen, con

respecto a los exigidos por la Entidad.


configuraciones exigidas por la Entidad

que han sido implementadas.


mantenimientos realizados para el

Sistema Operativo según lo exigido en

la Entidad.


restricciones implementadas en el

sistema según lo exigido por la Entidad.






modelo analítico de este indicador de gestión.

1. Contar la cantidad de requisitos técnicos

que se cumplen con:

Atributo: Análisis Costo/Beneficio ->

(cumplimiento de requisitos técnicos)


de ítems exigidos.



umbral definido.

90

2. Contar la cantidad de configuraciones

implementadas en el Sistema operativo

con:

Atributo: Análisis instalación de

Sistema Operativo -> (cumplimiento de

configuraciones implementadas

exigidas)


de ítems exigidos.



umbral definido.

3. Contar la cantidad de mantenimientos

realizados al Sistema Operativo con:

Atributo: Análisis mantenimiento de

Sistema Operativo -> (cumplimiento de

mantenimientos a Sistemas Operativos)


de mantenimientos exigidos.

Multiplicar el resultado por 100.

4. Contar la cantidad de restricciones

implementadas al Sistema Operativo

con:

Atributo: Seguridad en el Sistema

Operativo

-> (cumplimiento de restricciones

exigidas sobre el Sistema Operativo)


de ítems exigidos.

Multiplicar el resultado por 100.


definido.

91






analítico.





Verde





rendimiento pobre.



deslice a Rojo








Partes interesadas







la información.



dirección



Frecuencia de la recolección de datos Mensualmente, primer día hábil de cada mes.

92




Trimestral



Los autores

93

A.13 SEGURIDAD DE LAS COMUNICACIONES

A.13.1 GESTIÓN DE LA SEGURIDAD DE LAS REDES

Tabla 24. Medición para gestión de la seguridad de las redes


Nombre de la estructura de medición Seguridad de la información contenida en las

redes de la organización



medición

La estructura de medición permite realizar la

respectiva gestión, asegurar la protección de

información en las redes de datos de la Entidad.

Objetivo del control / proceso A.13.1 Gestión de la seguridad de las redes

Objetivo: Asegurar la protección de la

información en las redes, y sus instalaciones de

procesamiento de información de soporte.

Control(1)/proceso(1) A.13.1.1 Controles de redes

Control: Las redes se deberían gestionar y

controlar para proteger la información en

sistemas y aplicaciones.

Control(2)/proceso(2) A.13.1.2 Seguridad de los servicios de red

Control: Se deberían identificar los mecanismos

de seguridad, los niveles de servicio y los

requisitos de gestión de todos los servicios de

red, e incluirlos en los acuerdos de servicios de

red, ya sea que los servicios se presten

internamente o se contraten externamente.

Control(3)/proceso(3) A.13.1.3 Separación en las redes

Control: Los grupos de servicios de

información, usuarios y sistemas de

información se deberían separar en las redes.



seguridad de redes de datos.

1. Aseguramiento de servicios en la red

Explica la manera en que la entidad

protege la información en las redes,

indicando los controles de seguridad que

se aplican para acceder a la red.

94


de la implementación de los procedimientos

necesarios en la correcta implementación y uso

de la seguridad en las comunicaciones en la

Entidad.



información los distintos controles de

seguridad que se aplican al momento de

acceder a la red de datos? (SI se

evidencia implementación o NO se

evidencia implementación)

2) ¿Dentro de la Entidad se hace uso de

registros (logs) que permiten realizar el

seguimiento de acciones sospechosas en

la red de datos?

Se debe profundizar sobre la respuesta de cada

empleado que haya sido escogido dentro del

muestreo.




uso) de controles de seguridad que se

aplican al momento de acceder a la red

de datos que garanticen el buen uso de la

misma dentro de la política general de


información de la Entidad.


Sistemas de Información en los que (SI

se evidencia uso) de registros (logs) que

permiten realizar el seguimiento de

acciones sospechosas en la red de datos

dentro de la política general de







95


implementación) controles de seguridad

que se aplican al momento de acceder a

la red de datos dentro de la política






100.



implementación) registros (logs) que

permiten realizar el seguimiento de

acciones sospechosas en la red de datos

dentro de la política general de






100.


definido.







Modelo analítico 0-90% - NO CUMPLE; 91-100% - CUMPLE







96






Partes interesadas














Mensual



Los autores

A.13.2 TRANSFERENCIA DE INFORMACIÓN

Tabla 25. Medición para transferencia de información


Nombre de la estructura de medición Control de la transferencia de información a

entidades externas.



medición

Vigilar que se mantenga la seguridad de la

información transferida entre usuarios de la

Entidad y la transferencia entre Entidades

externas.

Objetivo del control / proceso A.13.2 Transferencia de información

Objetivo: Mantener la seguridad de la

información transferida dentro de una

organización y con cualquier entidad externa.

97

Control(1)/proceso(1) A.13.2.1 Políticas y procedimientos de

transferencia de información

Control: Se debería contar con políticas,

procedimientos y controles de transferencia

formales para proteger la transferencia de

información mediante el uso de todo tipo de

instalaciones de comunicación.

Control(2)/proceso(2) A.13.2.2 Acuerdos sobre transferencia de

información

Control: Los acuerdos deberían tener en cuenta

la transferencia segura de información del

negocio entre la organización y las partes

externas.

Control(3)/proceso(4) A.13.2.3Mensajería electrónica

Control: Se debería proteger adecuadamente la

información incluida en la mensajería

electrónica.

Control(4)/proceso(5) A.13.2.4 Acuerdos de confidencialidad o de no

divulgación

Control: Se deberían identificar, revisar

regularmente y documentar los requisitos para

los acuerdos de confidencialidad o no

divulgación que reflejen las necesidades de la

organización para la protección de la

información.



seguridad de redes de datos.

1. Transferencia de información

Indica como realiza la transmisión o

transferencia de la información de

manera segura dentro de la entidad o con

entidades externas, donde se apliquen

métodos para proteger la información de

interceptación, copiado, modificación

y/o destrucción.



necesarios en la correcta implementación y uso

de la transferencia de información en la Entidad.

98




correctos para realizar la transferencia

de información de manera segura dentro

de la misma Entidad o Entidades

externas? (SI se evidencia


implementación)

2) ¿Dentro de la Entidad se tienen acuerdos

de confidencialidad y no divulgación

entre las partes que hacen uso de la

información que se ha transferido? (SI

























99






Partes interesadas














Mensual



Los autores

100

A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS

A.14.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

Tabla 26. Medición para requisitos de seguridad de los sistemas de información


Nombre de la estructura de medición Seguridad de los sistemas de información



medición

La estructura de medición permite verificar que

se ha asegurado dentro de la Entidad que la

seguridad de la información es parte integral de

los sistemas de información implementados y es

importante durante todo el ciclo de vida de los

mismos.

Objetivo del control / proceso A.14.1 Requisitos de seguridad de los sistemas

de información

Objetivo: Asegurar que la seguridad de la

información sea una parte integral de los

sistemas de información durante todo el ciclo de

vida. Esto incluye también los requisitos para

sistemas de información que prestan servicios

en redes públicas.

Control(1)/proceso(1) A.14.1.1 Análisis y especificación de requisitos

de seguridad de la información

Control: Los requisitos relacionados con

seguridad de la información se deberían incluir

en los requisitos para nuevos sistemas de

información o para mejoras a los sistemas de

información existentes.

Control(2)/proceso(2) A.14.1.2 Seguridad de servicios de las

aplicaciones en redes publicas

Control: La información involucrada en los

servicios de aplicaciones que pasan sobre redes

públicas se debería proteger de actividades

fraudulentas, disputas contractuales y

divulgación y modificación no autorizadas.

Control(3)/proceso(3) A.14.1.3 Protección de transacciones de los

servicios de las aplicaciones

101

Control: La información involucrada en las

transacciones de los servicios de las

aplicaciones se debería proteger para evitar la

transmisión incompleta, el enrutamiento errado,

la alteración no autorizada de mensajes, la

divulgación no autorizada, y la duplicación o

reproducción de mensajes no autorizada.



seguridad de los sistemas de información.

1. Adquisición, desarrollo y

mantenimiento de software

Describe como se realiza la gestión de la

seguridad de la información en los

sistemas desarrollados internamente

(inhouse) o adquiridos a un tercero,

verificando que cada uno de ellos

preserve la confidencialidad, integridad

y disponibilidad de la información de la

entidad.

Atributo Preguntas puntales para realizar la verificación


necesarios en la verificación de la seguridad de

los sistemas de información en la Entidad.

1) ¿Se ha definido dentro de la política



correctos para la adquisición de

Software que cumpla con los cuatro

principios de la seguridad de la

información (Confidencialidad,

integridad, disponibilidad)? (SI se





correctos para la selección de los

ambientes de desarrollo en aplicaciones

inhouse? (SI se evidencia o NO se

evidencia)

102





























Partes interesadas







de la Información.




103






Trimestral



Los autores

A.14.2 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

Tabla 27. Medición para seguridad en los procesos de desarrollo y soporte


Nombre de la estructura de medición Procesos de desarrollo y soporte



medición

Verificar que se efectúen los controles

respectivos a la seguridad en los procesos de

desarrollo y soporte en la Entidad.

Objetivo del control / proceso A.14.2 Seguridad en los procesos de desarrollo

y soporte

Objetivo: Asegurar de que la seguridad de la

información esté diseñada e implementada

dentro del ciclo de vida de desarrollo de los

sistemas de información.

Control(1)/proceso(1) A.14.2.1 Política de desarrollo seguro

Control: Se deberían establecer y aplicar reglas

para el desarrollo de software y de sistemas, a

los desarrollos que se dan dentro de la

organización.

Control(2)/proceso(2) A.14.2.2 Procedimientos de control de cambios

en sistemas

Control: Los cambios a los sistemas dentro del

ciclo de vida de desarrollo se deberían controlar

mediante el uso de procedimientos formales de

control de cambios.

Control(3)/proceso(3) A.14.2.3 Revisión técnica de las aplicaciones

después de cambios en la plataforma de

operación

104

Control: Cuando se cambian las plataformas de

operación, se deberían revisar las aplicaciones

críticas del negocio, y ponerlas a prueba para

asegurar que no haya impacto adverso en las

operaciones o seguridad de la organización.

Control(4)/proceso(4) A.14.2.4 Restricciones en los cambios a los

paquetes de software

Control: Se deberían desalentar las

modificaciones a los paquetes de software, que

se deben limitar a los cambios necesarios, y

todos los cambios se deberían controlar

estrictamente.

Control(5)/proceso(5) A.14.2.5 Principios de construcción de sistemas

seguros

Control: Se deberían establecer, documentar y

mantener principios para la construcción de

sistemas seguros, y aplicarlos a cualquier

actividad de implementación de sistemas de

información.

Control(6)/proceso(6) A.14.2.6 Ambiente de desarrollo seguro

Control: Las organizaciones deberían establecer

y proteger adecuadamente los ambientes de

desarrollo seguros para las tareas de desarrollo

e integración de sistemas que comprendan todo

el ciclo de vida de desarrollo de sistemas.

Control(7)/proceso(7) A.14.2.7 Desarrollo contratado externamente

Control: La organización debería supervisar y

hacer seguimiento de la actividad de desarrollo

de sistemas contratados externamente.

Control(8)/proceso(8) A.14.2.8 Pruebas de seguridad de sistemas

Control: Durante el desarrollo se deberían llevar

a cabo pruebas de funcionalidad de la seguridad.

Control(9)/proceso(9) A.14.2.9 Prueba de aceptación de sistemas

Control: Para los sistemas de información

nuevos, actualizaciones y nuevas versiones, se

deberían establecer programas de prueba para

105

aceptación y criterios de aceptación

relacionados.



seguridad en los procesos de desarrollo y

soporte.

1. Control de software

Indica como realiza el control de

software, es decir, como limita el uso o

instalación de software no autorizado

dentro de la entidad, quienes están

autorizados para realizar la instalación

de software.



necesarios en la seguridad de los procesos de

desarrollo y soporte en la Entidad.




correctos para restringir el uso de

aplicaciones no autorizadas dentro de la


evidencia)




correctos para gestionar las distintas

solicitudes de Software adicional para

los usuarios dentro de la Entidad? (SI se







106
























Partes interesadas







de la Información.







107



Trimestral



Los autores

A.14.3 DATOS DE PRUEBA

Tabla 28. Medición para datos de prueba


Nombre de la estructura de medición Protección de datos utilizados en las pruebas



medición


mantener la protección de cada uno de los datos

que han sido utilizados al momento de realizar

los diferentes tipos de pruebas en la Entidad.

Objetivo del control / proceso A.14.3 Datos de prueba

Objetivo: Asegurar la protección de los datos

usados para pruebas.

Control(1)/proceso(1) A.14.3.1 Protección de datos de prueba

Control: Los datos de ensayo se deberían

seleccionar, proteger y controlar

cuidadosamente.



protección de los datos usados para realizar

pruebas.

1. Uso de datos personales

Indica cómo se deben manejar cada uno

de los datos personales de acuerdo a la

normatividad vigente en la legislación

Colombiana (Ley 1581 de 2012), por la

cual se dictan disposiciones generales

para la protección de datos personales.



necesarios en el correcto uso de los distintos

datos que son utilizados para realizar pruebas en

la Entidad.

108




correctos para asegurar que se está

realizado la respectiva protección de los

datos que son utilizados para llevar a

cabo pruebas en la Entidad? (SI se





correctos para asegurar que se está

realizado una buena selección de los

datos que se deberían seleccionar para

llevar a cabo las pruebas

correspondientes en la Entidad? (SI se



















109












Partes interesadas






Revisor de la medición Gerente de seguridad, Gerente de Tecnologías

de la Información y Gerente de Recursos

humanos.

Propietario de la información Gerencia de seguridad, La alta dirección,

Gerencia de Tecnologías de la Información y








Trimestral



Los autores

110

A.15 RELACIÓN CON LOS PROVEEDORES

A.15.1 SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS

PROVEEDORES

Tabla 29. Medición para seguridad de la información en las relaciones con los proveedores


Nombre de la estructura de medición Manejo de la información en las relaciones con

proveedores



medición

Asegurar que el manejo de la información con

proveedores, sea seguro, teniendo en cuenta la

política de protección de datos de la Entidad.

Objetivo del control / proceso A.15.1 Seguridad de la información en las

relaciones con los proveedores

Objetivo: Asegurar la protección de los activos

de la organización que sean accesibles a los

proveedores.

Control(1)/proceso(1) A.15.1.1 Política de seguridad de la información

para las relaciones con proveedores

Control: Los requisitos de seguridad de la

información para mitigar los riesgos asociados

con el acceso de proveedores a los activos de la

organización se deberían acordar con estos y se

deberían documentar.

Control(2)/proceso(2) A.15.1.2 Tratamiento de la seguridad dentro de

los acuerdos con proveedores

Control: Se deberían establecer y acordar todos

los requisitos de seguridad de la información

pertinentes con cada proveedor que pueda tener

acceso, procesar, almacenar, comunicar o

suministrar componentes de infraestructura de

TI para la información de la organización.

Control(3)/proceso(3) A.15.1.3 Cadena de suministro de tecnología de

información y comunicación

Control: Los acuerdos con proveedores

deberían incluir requisitos para tratar los riesgos

de seguridad de la información asociados con la

111

cadena de suministro de productos y servicios

de tecnología de información y comunicación.


Objeto de medición Totalidad de ítems implementados entorno al

manejo seguro de información para con los

proveedores.

1. Tratamiento de la seguridad en los

acuerdos con los proveedores

Indicar como la entidad establece,

acuerda, aprueba y divulga los

requerimientos y obligaciones

relacionados con la seguridad de la

información, tanto con los proveedores

como con la cadena de suministros que

estos tengan.



necesarios en uso seguro de la información

manejada con proveedores en la Entidad.




correctos para reducir los riesgos que

implica el acceso de proveedores a

información confidencial? (SI se





correctos para establecer con los

proveedores acuerdos de

confidencialidad, procesamiento,

manejo y almacenamiento de la

información de propiedad de la Entidad?








112























Partes interesadas


Tecnologías de la Información, Gerencia

Administrativa, La alta dirección u otra parte





de la Información y Gerente Administrativo.



Gerencia de Recursos humanos.




113




Trimestral



Los autores

A.15.2 GESTIÓN DE LA PRESTACIÓN DE SERVICIOS CON LOS

PROVEEDORES

Tabla 30. Medición para gestión de la prestación de servicios con los proveedores


Nombre de la estructura de medición Prestación de servicios con los proveedores



medición

Verificar que se está manteniendo el nivel

acordado con respecto a la seguridad de la

información de los datos manejados con los

proveedores.

Objetivo del control / proceso A.15.2 Gestión de la prestación de servicios con

los proveedores

Objetivo: Mantener el nivel acordado de

seguridad de la información y de prestación del

servicio en línea con los acuerdos con los

proveedores.

Control(1)/proceso(1) A.15.2.1 Seguimiento y revisión de los

servicios de los proveedores

Control: Las organizaciones deberían hacer

seguimiento, revisar y auditar con regularidad la

prestación de servicios de los proveedores.

Control(2)/proceso(2) A.15.2.2 Gestión de cambios en los servicios de

proveedores

Control: Se deberían gestionar los cambios en el

suministro de servicios por parte de los

proveedores, incluido el mantenimiento y la

mejora de las políticas, procedimientos y

controles de seguridad de la información

existentes , teniendo en cuenta la criticidad de la

114

información, sistemas y procesos del negocio

involucrados, y la revaloración de los riesgos.


Objeto de medición Totalidad de ítems implementados entrono a la

seguridad manejada con los proveedores.

1. Seguimiento de los servicios prestados

por los proveedores

Indica la manera en que se debe realizar

el seguimiento, la trazabilidad de cada

uno de los servicios que son contratados

con proveedores, de igual manera

conocer cómo se está manejando por

parte del proveedor los datos

suministrados.



necesarios en la verificación de la prestación de

los servicios por parte de proveedores en la

Entidad.




correctos para realizar el seguimiento y

auditar las tareas pactadas con el

proveedor manteniendo el nivel de

seguridad acordado? (SI se evidencia o

NO se evidencia)




correctos para realizar si es necesario

cambios sobre el suministro de servicios

prestados por el proveedor sin afectar la

seguridad de la información de la


evidencia)




115


























Partes interesadas



Administrativa, La alta dirección u otra parte




Revisor de la medición Gerente de seguridad, Gerencia de Tecnologías

dela Información y Gerente Administrativo.



Gerencia Administrativa.


116






Trimestral



Los autores

117

A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

A.16.1 GESTIÓN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA

INFORMACIÓN

Tabla 31. Medición para gestión de incidentes y mejoras en la seguridad de la información


Nombre de la estructura de medición Manejo de incidentes y mejoras en la seguridad

de la información



medición

Permite que la Entidad asegure un enfoque

coherente al momento de manejar incidentes de


Objetivo del control / proceso A.16.1 Gestión de incidentes y mejoras en la

seguridad de la información

Objetivo: Asegurar un enfoque coherente y

eficaz para la gestión de incidentes de seguridad

de la información, incluida la comunicación sobre eventos de seguridad y debilidades.

Control(1)/proceso(1) A.16.1.1 Responsabilidad y procedimientos

Control: Se deberían establecer las

responsabilidades y procedimientos de gestión

para asegurar una respuesta rápida, eficaz y

ordenada a los incidentes de seguridad de la

información.

Control(2)/proceso(2) A.16.1.2 Reporte de eventos de seguridad de la

información

Control: Los eventos de seguridad de la

información se deberían informar a través de los

canales de gestión apropiados, tan pronto como

sea posible.

Control(3)/proceso(3) A.16.1.3 Reporte de debilidades de seguridad de

la información

Control: Se debería exigir a todos los empleados

y contratistas que usan los servicios y sistemas

de información de la organización, que

observen e informen cualquier debilidad de

seguridad de la información observada o

sospechada en los sistemas o servicios.

118

Control(4)/proceso(4) A.16.1.4 Evaluación de eventos de seguridad de

la información y decisiones sobre ellos

Control: Los eventos de seguridad de la

información se deberían evaluar y se debería

decidir si se van a clasificar como incidentes de


Control(5)/proceso(5) A.16.1.5 Respuesta a incidentes de seguridad de

la información

Control: Se debería dar respuesta a los

incidentes de seguridad de la información de

acuerdo con procedimientos documentados.

Control(6)/proceso(6) A.16.1.6 Aprendizaje obtenido de los incidentes

de seguridad de la información

Control: El conocimiento adquirido al analizar

y resolver incidentes de seguridad de la

información se debería usar para reducir la

posibilidad o el impacto de incidentes futuros.

Control(7)/proceso(7) A.16.1.7 Recolección de evidencia

Control: La organización debería definir y

aplicar procedimientos para la identificación,

recolección, adquisición y preservación de

información que pueda servir como evidencia.



gestión de incidentes de seguridad de la

información.

1. Gestión de incidentes de seguridad de la

información

Indica cómo responde la entidad en caso

de presentarse algún incidente que

afecte alguno de los 3 servicios

fundamentales de la información:

Disponibilidad, Integridad o

confidencialidad.



necesarios en la correcta gestión de incidentes

presentados en la seguridad de la información

en la Entidad.

119




correctos para asegurar una respuesta

rápida, eficaz y ordenada ante los

incidentes de seguridad de la

información presentados en la Entidad?





correctos para que empleados y

contratistas que usan los servicios y

sistemas de información de la

organización, que observen e informen

cualquier debilidad de seguridad de la

información observada o sospechada en

la Entidad? (SI se evidencia o NO se

evidencia)


















120












Partes interesadas







de la Información.









Trimestral



Los autores

121

A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE

CONTINUIDAD DE NEGOCIO

A.17.1 CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN

Tabla 32. Medición para continuidad de seguridad de la información


Nombre de la estructura de medición Continuidad de seguridad de la información



medición

Mantener la continuidad de la seguridad de la

información, la cual se debe incluir en los

sistemas de información de la Entidad.

Objetivo del control / proceso A.17.1 Continuidad de seguridad de la

información

Objetivo: La continuidad de seguridad de la

información se debería incluir en los sistemas de

gestión de la continuidad de negocio de la

organización.

Control(1)/proceso(1) A.17.1.1 Planificación de la continuidad de la


Control: La organización debería determinar

sus requisitos para la seguridad de la

información y la continuidad de la gestión de la

seguridad de la información en situaciones

adversas, por ejemplo, durante una crisis o

desastre.

Control(2)/proceso(2) A.17.1.2 Implementación de la continuidad de

la seguridad de la información

Control: La organización debería establecer,

documentar, implementar y mantener procesos,

procedimientos y controles para asegurar el

nivel de continuidad requerido para la seguridad

de la información durante una situación adversa.

Control(3)/proceso(3) A.17.1.3 Verificación, revisión y evaluación de

la continuidad de la seguridad de la información

122

Control: La organización debería verificar a

intervalos regulares los controles de

continuidad de la seguridad de la información

establecidos e implementados, con el fin de

asegurar que son válidos y eficaces durante

situaciones adversas.



mejora continua de la seguridad de la


1. Gestión de la continuidad de negocio

Indicar la manera en que la entidad

garantizará la continuidad para todos sus

procesos, identificando los procesos

críticos que tendrán mayor prioridad en

las fases de recuperación ante algún

desastre o incidente crítico.








correctos para la continuidad de la

gestión de la seguridad de la

información en situaciones adversas,

durante una crisis o desastre? (SI se





correctos en donde se puedan a verificar

a intervalos regulares los controles de

continuidad de la seguridad de la

información establecidos e

implementados, con el fin de asegurar

que son válidos y eficaces durante

situaciones adversas? (SI se evidencia o

NO se evidencia)

123





























Partes interesadas







de la Información.




124






Trimestral



Los autores

A.17.2 REDUNDANCIAS

Tabla 33. Medición para redundancias


Nombre de la estructura de medición Redundancias



medición


asegurar que la Entidad tenga un sistema de

redundancias para la prestación del servicio.

Objetivo del control / proceso A.17.2 Redundancias

Objetivo: Asegurar la disponibilidad de

instalaciones de procesamiento de información.

Control(1)/proceso(1) A.17.2.1 Disponibilidad de instalaciones de

procesamiento de información.

Control: Las instalaciones de procesamiento de

información se deberían implementar con

redundancia suficiente para cumplir los

requisitos de disponibilidad.


Objeto de medición Totalidad de ítems implementados entorno a los

sistemas de redundancia en la mejora continua

de la seguridad de la información en la Entidad.

1. Gestión de implementación de sistemas

redundantes

Indicar la manera en que la Entidad


procesos, a través de la instalación de

sistemas redundantes desde el punto de

vista de infraestructura TI, identificando

125

los procesos críticos al momento de

evidenciar incidencias en la

organización.


de la implementación de sistemas redundantes

para asegurar la continuidad del negocio en la

Entidad.




correctos para la continuidad del

negocio, la manera en que se deben

implementar sistemas redundantes,

teniendo en cuenta los procesos

misionales y procesos críticos en la

Entidad en el momento en que se

presente un incidente? (SI se evidencia

o NO se evidencia)




correctos en donde se puedan a verificar

si se encuentran documentados los

requisitos técnicos que tienen como

objetivo una correcta instalación de

sistemas redundantes a nivel de

infraestructura TI, así como el hecho de

que este sistema sea escalable? (SI se












126



















Partes interesadas







de la Información.









Trimestral



Los autores

127

A.18 CUMPLIMIENTO

A.18.1 CUMPLIMIENTO DE REQUISITOS LEGALES

Tabla 34. Medición para cumplimiento de requisitos legales


Nombre de la estructura de medición Cumplimiento de requisitos legales



medición

El propósito de la estructura de medición es

vigilar que la Entidad este cumpliendo a

cabalidad las obligaciones legales

correspondientes a la seguridad de la

información.

Objetivo del control / proceso A.18.1 Cumplimiento de requisitos legales y

contractuales

Objetivo: Evitar el incumplimiento de las

obligaciones legales, estatutarias, de

reglamentación o contractuales relacionadas

con seguridad de la información, y de cualquier

requisito de seguridad.

Control(1)/proceso(1) A.18.1.1 Identificación de la legislación

aplicable y de los requisitos contractuales

Control: Todos los requisitos estatutarios,

reglamentarios y contractuales pertinentes, y el

enfoque de la organización para cumplirlos, se

deberían identificar y documentar

explícitamente y mantenerlos actualizados para

cada sistema de información y para la

organización.

Control(2)/proceso(2) A.18.1.2 Derechos de propiedad intelectual


procedimientos apropiados para asegurar el

cumplimiento de los requisitos legislativos, de

reglamentación y contractuales relacionados

con los derechos de propiedad intelectual y el

uso de productos de software patentados.

128

Control(3)/proceso(3) A.18.1.3 Protección de registros

Control: Los registros se deberían proteger

contra perdida, destrucción, falsificación,

acceso no autorizado y liberación no autorizada,

de acuerdo con los requisitos legislativos, de

reglamentación, contractuales y de negocio.

Control(4)/proceso(4) A.18.1.4 Privacidad y protección de datos

personales

Control: Cuando sea aplicable, se deberían

asegurar la privacidad y la protección de la

información de datos personales, como se exige

en la legislación y la reglamentación

pertinentes.

Control(5)/proceso(5) A.18.1.5 Reglamentación de controles

criptográficos

Control: Se deberían usar controles

criptográficos, en cumplimiento de todos los

acuerdos, legislación y reglamentación

pertinentes.





1. Cumplimiento de la legislación vigente

entorno a la seguridad de la información.



procesos, efectuando el respectivo

cumplimiento de la legislación nacional

vigente, con el fin de garantizar la



de que se está haciendo uso de la legislación

vigente entorno a la Seguridad de la




información el uso de las políticas

correspondientes a la seguridad de la

129

información, teniendo en cuenta la

legislación colombiana vigente? (SI se





correctos al cumplimiento de los

requisitos legislativos en cuanto al uso

de software patentado (propiedad

intelectual) en la Entidad? (SI se





correctos para el manejo pertinente de

los registros de información en la

Entidad teniendo en cuenta la

legislación vigente? (SI se evidencia o

NO se evidencia)




correctos en cuanto a la publicación de

políticas pertinentes al tratamiento de

datos personales, tales como la ley 1581

de 2012 en donde se reglamenta por

parte del Estado colombiano el

tratamiento de la información? (SI se





correctos para hacer uso de controles

criptográficos en la transferencia de

información tanto manera interna como

en relaciones con terceros a la Entidad?







130




































Partes interesadas



jurídica, La alta dirección u otra parte interesada

que requiera o solicite información sobre la

131

efectividad de los entrenamientos y charlas

informativas.

Revisor de la medición Gerente de seguridad, Gerente jurídico y

Gerente de Tecnologías de la Información.


Gerencia jurídica y Gerencia de Tecnologías de

la Información.







Trimestral



Los autores

A.18.2 REVISIONES DE SEGURIDAD DE LA INFORMACIÓN

Tabla 35. Medición para revisiones de seguridad de la información


Nombre de la estructura de medición Revisiones de seguridad de la información



medición

El propósito de la estructura de medición es

verificar que la seguridad de la información en

la Entidad opere de acuerdo a las políticas y

procedimientos correspondientes.

Objetivo del control / proceso A.18.2 Revisiones de seguridad de la

información

Objetivo: Asegurar que la seguridad de la

información se implemente y opere de acuerdo

con las políticas y procedimientos

organizacionales.

Control(1)/proceso(1) A.18.2.1 Revisión independiente de la


Control: El enfoque de la organización para la

gestión de la seguridad de la información y su

implementación (es decir, los objetivos de

132

control, los controles, las políticas, los procesos

y los procedimientos para seguridad de la

información) se deberían revisar

independientemente a intervalos planificados o

cuando ocurran cambios significativos.

Control(2)/proceso(2) A.18.2.2 Cumplimiento con las políticas y

normas de seguridad

Control: Los directores deberían revisar con

regularidad el cumplimiento del procesamiento

y procedimientos de información dentro de su

área de responsabilidad, con las políticas y

normas de seguridad apropiadas, y cualquier

otro requisito de seguridad.

Control(3)/proceso(3) A.18.2.3 Revisión del cumplimiento técnico

Control: Los sistemas de información se

deberían revisar periódicamente para

determinar el cumplimiento con las políticas y

normas de seguridad de la información.





1. Gestión de cumplimiento de requisitos

legales



procesos, partiendo de los requisitos

legales emitidos en la legislación

vigente, entorno a la seguridad de la

información.

Atributo Preguntas puntales para realzar la verificación

de a implementación de los procedimientos






correctos para realizar la revisión de

133

controles y grupos de controles dentro

de los tiempos establecidos al momento

de realizar la implementación del

Sistema de Gestión de Seguridad de la

Información en la Entidad? (SI se





correctos para verificar si se está

realizando por parte de directores de

área o departamentos, la revisión

pertinente de las políticas de seguridad

propias del área en torno al SGSI

implementado en la Entidad? (SI se





correctos para realizar la revisión de los

sistema de información implementados

en la Entidad, para confirmar que estos

estén dando cumplimiento a las políticas

vigentes en torno al SGSI

implementado? (SI se evidencia o NO se

evidencia)















134



















Partes interesadas



jurídica, La alta dirección u otra parte interesada

que requiera o solicite información sobre la

efectividad de los entrenamientos y charlas

informativas.


de la Información y Gerente jurídico.


Gerencia jurídica y Gerencia de Tecnologías de

la Información.







Trimestral



Los autores

Documents

ANEXO A MODELO DE MEDICIÓN PARA EL …repository.udistrital.edu.co/bitstream/11349/6618/2...definido por Gobierno en Línea, este documento esta enfocado en los objetivos de control