Escala de cumplimiento

Items Dominio del control

1 Politica de Seguridad Medio
2 Estructura organizativa para la seguridad Medio
3 Clasificación y control de activos Medio
4 Seguridad fisica y del entorno Bajo
5 Gestión de comunicaciones y operaciones Medio
6 Control de acceso Bajo
7 Desarrollo y mantenimiento de sistemas Medio
8 Gestión de incidentes de la seguridad de la informacMedio
9 Gestión de la continuidad del negocio Medio
10 Cumplimiento Bajo
Control Aplicable
POLÍTICAS DE LA SEGURIDAD
Orientación de la dirección para la
gestión de la seguridad de la
información

Políticas para la seguridad de la

información
SI

Revisión de las políticas para la seguridad

de la información
SI
ESTRUCTURA ORGANIZATIVA
PARA LA SEGURIDAD
Organización Interna
Roles y responsabilidades para la
seguridad de la información
SI

Separación de deberes SI
Contacto con las autoridades
SI

Contacto con grupos de interés especial

SI

Seguridad de la información en la gestión

de proyectos
SI
CONTROL DE ACTIVOS
Resposabilidad por los activos

Inventario de Activos SI

Propiedad de los activos SI

Uso aceptable de los activos SI

Devolucion de activos SI
CLASIFICACION DE ACTIVOS
Clasificación de la
información
SI

Etiquedado de l informacion SI

Manejo de activos SI
SEGURIDAD EN EL PERSONAL
Antes de Asumir el empleo

Selección SI
Términos y condiciones del
empleo
SI
Durante la ejecucion del empleo
Responsabilidades de la dirección
SI
Toma de conciencia,
educación y formación en la
seguridad de la información
SI

Proceso disciplinario SI
Termiminacion y cambio de empleo
Terminación o cambio de
responsabilidades de empleo
SI
SEGURIDAD FISICA Y DEL
ENTRONO
Areas Segura
Perimetro de seguridad fisica SI

Control de acceso fisico SI

Seguridad de oficina y recintos e instalaciones NO

Proteccion contra amenazas externas y
ambientales SI
Trabajo en areas seguras NO

Area de despacho y carga SI

Equipos

Ubicación y proteccion de los equipos SI

Servicios de suministro SI

Seguridad de cableado SI

Mantenimiento de equipos SI

Retiro de activo SI
Seguridad de equipos y activos fuera de las
organización NO

Disposicion segura o reutilizacion de equipos SI

Equipos de usuario desatendido SI

Politicas de escritorio limpio y pantalla limpia SI

GESTION DE OPERACIONES
Procedimientos operacionales y
ressponsabilidades

Procedimeinto de operación documentados SI

Gestion de cambios SI

Gestion de capacidad SI

Sparacion de los ambientes de desarrollo,

prueba y operación SI
Proteccion contra codios malisiosos
Controles contra codigos maliciosos SI

Respaldo de la informacion SI

Registro de eventos SI

Proteccion de la informacion de registros SI

Registro del adminitrador y del operador SI

Sincronizacion de relojes SI
Instalación de software en los sistemas
operativos
SI
Instalación de software en los sistemas
operativos
SI
Restricciones sobre la
instalación de software
SI

Controles de auditorías de sistemas de

información
SI

GESTION DE COMUNICACIONES
Gestion de la seguridad de las redes

Controles de redes SI

Seguridad de los servicios de red SI

Separacion de las rees SI

Políticas y procedimientos de transferencia de

información
SI

Acuerdos sobre transferencia de información

SI

Mensajeria electronica SI
Acuerdos de confidencialidad o de no
divulgación
SI
CONTROL DE ACCESO
Requisitos del negocio
para control de acceso

Política de control de
acceso
SI

Acceso a redes y a
servicios en red
SI
Gestión de acceso de usuarios

Registro y cancelación de registro de

suarios
NO
Suministro de acceso de usario NO

Gestión de derechos de
acceso privilegiado
SI
Gestión de información de
autenticación secreta de
usuarios
SI
Revisión de los derechos
de acceso de usuarios
SI
Retiro o ajuste de los
derechos de acceso
SI
Responsabilidades de los usuarios

Uso de información de autenticación

secreta
SI
Control de acceso a sistemas y
aplicaciones

Restricción de acceso a la información

SI

Procedimiento de ingreso seguro

SI

Sistema de gestión de contraseñas

SI

Uso de programas utilitarios priveligiados SI

Control de acceso a códigos fuente de
programas
SI

DESARROLLO Y MANTENIMIENTO
DE SISTEMAS
Requisitos de seguridad de los sistemas de
informacion
Análisis y especificación de
requisitos de seguridad de
la información
SI
Seguridad de servicios de las aplicaciones en
redes públicas
SI

Protección de las transacciones de los

servicios de las aplicaciones SI
GESTION DE INCIDENTES DE LA
SEGURIDAD DE LA
INFORMACION
Gestion de incidencia y mejoras de las
seguridad de la informacion

Responsabilidades y procedimientos SI

Reporte de eventos de seguridad de la

información
SI

Reporte de debilidades de seguridad de la

información
SI

Evaluación de eventos de seguridad de la

información y decisiones sobre ellos SI

Respuesta a incidentes de
seguridad de la
información
SI

Aprendizaje obtenido de los incidentes de

seguridad de la información SI

Recolección de evidencia SI

GESTION DE LA CONTINUIDAD
DEL NEGOCIO
Continuidad de seguridad de la informacion

Planificacion de la continuidad de las seguridad

de la inforamcion SI

Implementación de la
continuidad de la seguridad
de la información
SI

Verificación, revisión y evaluación de la

continuidad de la seguridad
de la información SI
Redundancia
Disponibilidad de instalaciones de
procesamiento de información SI
Cumpilmineto
CUMPLIMIENTO

Identificación de la legislación aplicable a los

requisitos contractuales
SI
Derechos de propiedad intelectual
NO

Protección de registros SI
Privacidad y protección de
información de datos
personales
SI

Reglamentación de controles criptográficos

SI

Revisiones de seguridad de la informacion

Revisión independiente de
la seguridad de la
información
SI
Cumplimiento con las políticas y normas de
seguridad
SI
Revisión del cumplimiento técnico
SI
Descripcion

Se redactan y documentan las políticas de seguridad de la

información acordes a los objetivos de seguridad acordados y
niveles de riesgo tolerables. Este documento se pone a
disposición de los empleados y público en general.
Las políticas de seguridad de la información se revisan y evalúan
periódicamente y/o cuando sea necesario. La revisión es llevada a cabo por
el Líder del Proceso de Desarrollo Tecnológico, el jefe de sistemas de la
Información y la Dirección Estratégica. Se documentan los cambios y las
justificaciones de los mismos.

Los roles y responsabilidades de la seguridad de la información están

definidas.
El personal está separado por áreas y se les otorga acceso sólo a los
activos y/o información estrictamente necesaria para la realización de su
trabajo.
El Líder del Proceso de Desarrollo Tecnológico y el jefe de sistemas
mantiene los contactos actualizados para incidentes de seguridad.
El Líder del Proceso de Desarrollo Tecnológico y el jefe de sistemas
mantienen contactos con autoridades nacionales para los incidentes de
seguridad para informes en tiempo real y soluciones a implementar.

El jefe de sistemas es el encargado de velar por la aplicación de una

metodología de análisis y evaluación de riesgos en los proyectos de TI.

El Líder del Proceso de Desarrollo Tecnológico y el jefe de sistemas junto a

los funcionarios, realizan el inventario de
activos y se documentan con su clasificación y responsable.

Los activos inventariados tienen asignados los funcionarios responsables.

Los funcionarios se comprometen a utilizar los activos de forma aceptable
teniendo en cuenta las políticas de seguridad de
información generales.
Se mantienen registros de la devolución de los activos entregados a los
empleados. Necesarios para firmar paz y salvo con la organización.

Cada uno de los activos inventariados contiene la clasificación de la

información asociada de acuerdo a los niveles de seguridad establecidos
Cada uno de los activos inventariados están etiquetados con la clasificación
de la información asociada.
El Líder del Proceso de Desarrollo Tecnológico y el jefe de sistemas junto a
los funcionarios realizan y documentan los procedimientos para el manejo
de los activos de cuerdo a la clasificación de cada uno.

El personal es seleccionado cuidadosamente en base a su perfil y la

idoneidad del trabajo a realizar.

Los acuerdos contractuales actualmente incluyen las responsabilidades

asignadas relativas a la seguridad de la información.

La dirección comprende la importancia de la seguridad de la información y

soporta el diseño del SGSI.

El Líder del Proceso de Desarrollo Tecnológico y el jefe de sistemas

realizan campañas y talleres de formación y educación en la seguridad de
la información de forma periódica al personal administrativo.
Los funcionarios son sometidos a procesos disciplinarios en caso de
incumplimiento con las políticas de seguridad de la información de forma
deliberada.

El Jefe de recursos humanos vela que el funcionario que termine contrato o

cambie de responsabilidades, se le sean reasignados los permisos y
condiciones de seguridad de la información.

El perimetro fisico contorlado por tarjetas de acceso

El acceso fisico a la infreestructura que contiene el hardware de las
operaciones criticas esta controlado por medio de tarjetas inteligentes que
permiten el acceso a solo el personal autorizado y registran la fecha y hora
de acceso

Existe un plan de contingencia del negocio y de recuperacion de desastres

que es puesto a prueba a intevalos regulares
Existe un area diseñada y estructurada para recibir el descague de los
equipo que impiden el acceso al interior de la oficina e infraestructura que
contiene el hardware de la operaciones criticas

Los equipos estan protegidos fisicamente contra amenazas ambientales

tales como fuego, incendios, agua, humo y existen politicas de seguridad de
la informacion documentada para su uso
Los servicio de suminitro con energia, agua, ventilacion y gas estan acordes
a la manufacturacion de los equipos
El cableado electrico esta separado del cableado de datos previniendo asi
interferencia y estan protegidos fisicamente
Los equipos son mantenidos soo por el personal autorizado bajo las
conficiones especificas y a intervalos programados
El jefe de mantenimiento en concordacion con el lider de proceso de
desarrollo tecnologico documentan el retiro de los activos

El jefe de mantenimientos realizan un procedimiento seguro y docuemntado

para la disposicion o reutilizacion de equipos
Existe un plan de capacitacion y campaña de concientizacion a los
empleados sobre la seguridad de la informacion y los riesgos a lo que estan
expuestos los activos
El jefe de recursos humanos garantiza que la informacion confidencial fisica
es almacenada en gabientes de forma segura impidiendo su acceso fisico a
personas no autorizadas

El lider del proceso de desarrollo tecnoligico, el jefe de recursos humanos y

los empleados documentan los procedimientos de las operaciones ralativas
a la seguridad de la informacion de cada uno de los activos
El jefe de sistemas verifica que los cambios en los equipos que afectne las
seguridad de la informacion son controlados y debidamente planeados y
probados
El lider de proceso de desarrollo tecnologicos y los empleados realizan un
monitoreo continuo a los recurdos y a la adquisicion de los nuevos y se
proyectan acuerdo a las necesidades criticas de la organización
El jefe de recursos asegura que los ambientes de desarrollo, prueba y
operacioines esten debidamente separados y no poner en riesgo la
informacion
Existe un plan de capacitación y campaña de concientización a los
funcionarios sobre la seguridad de la información y los riesgos a los que
están expuestos los activos, especialmente sobre el software de código
malicioso. El Jefe de sistemas y los funcionarios verifican que el software
está protegido con antivirus y existe una política documentada de
actualización de todo el software utilizado, antivirus y sistema operativo.
El jefe de sistemas y funcionarios pertinentes realizan las copias de
seguridad de toda la información a intervalos programados y de acuerdo a
las políticas de seguridad. El procedimiento es documentado y se realizan
pruebas de recuperación a intervalos programados.
El jefe de sistemas y funcionarios pertinentes revisan periódicamente los
registros de los usuarios y las actividades relativas a la seguridad de la
información. El proceso es auditado y documentado.
Se implementan controles de seguridad que garanticen la protección de la
información de los registros.
Las acciones y registros de los administradores también son almacenados y
protegidos de cualquier modificación.
El Líder del Proceso de Desarrollo Tecnológico asegura que todos los
sistemas están acordes y ajustados en una referencia de tiempo única y
sincronizada.
Existe una documentación sobre el procedimiento de instalación de los
sistemas operativos y software, que cumpla con las políticas de seguridad
de la información.

Existe una metodología de análisis y evaluación de riesgos sistemática y

documentada.
La instalación de software es realizada sólo por el personal autorizado y
con software probado y licenciado, además de otorgar el principio del
menor privilegio. El procedimiento de instalación es documentado.

El Líder del Proceso de Desarrollo Tecnológico, el jefe de sistemas y los

funcionarios pertinentes acuerdan sobre las fechas de auditorías internas
para los sistemas de información. El procedimiento es documentado.

El jefe de sistemas y el Administrador de Redes implementan una

Infraestructura de Llave Pública (PKI) mediante algoritmos fuertes de
cifrado que garanticen la
confidencialidad e integridad de la información que se transmite a través de
las redes.
El acceso a la red de los proveedores de servicio de red es monitoreado y
controlado.
Las redes están segmentadas en VLAN y el acceso a ella está protegido a
personas no autorizadas. Los estudiantes, docentes y administrativos
contienen una VLAN separada y que permite el acceso a ella sólo a
aquellos que son debidamente autenticados.
Las políticas y procedimientos para la transferencia de la información están
debidamente documentados y se aplican los mecanismos de seguridad
necesarios para garantizar la confidencialidad e integridad de la
información.
Existen documentos y acuerdos sobre los algoritmos de cifrado a utilizar
para la transferencia de información que garanticen su confidencialidad e
integridad.
El jefe de sistemas y el Administrador de Redes implementan una
Infraestructura de Llave Pública (PKI) mediante algoritmos fuertes de
cifrado que garanticen la
confidencialidad e integridad de la información que se transmite a través de
las redes.

En los documentos y acuerdos contractuales de los empleados se estipula

el compromiso con la confidencialidad de la información.

La política de control de acceso está documentada en las Políticas de la

Seguridad de Información.
Las redes están segmentadas en VLAN y el acceso a ella está protegido a
personas no autorizadas. Los estudiantes, docentes y administrativos
contienen una VLAN separada y que permite el acceso a ella sólo a
aquellos que son debidamente autenticados.

A los funcionarios se les otorgan los privilegios a los sistemas de acuerdo a

las necesidades mínimas de trabajo.
Estos privilegios son documentados y los funcionarios son
agrupados bajo Perfiles de Usuario.

La entrega de claves de acceso de los sistemas se realiza de forma

personal y se fuerza a que sea cambiada inmediatamente en su primer
acceso.
El jefe de sistemas junto a los funcionarios encargados verifican que los
permisos y derechos de acceso de los usuarios son los que en realidad
tienen asignados. Esta rificación se realiza de forma periódica y cualquier
anormalidad es debidamente documentada.

El Líder del Proceso de Desarrollo Tecnológico y el jefe de sistemas

verifican y eliminan los permisos asignados al personal que sea retirado.

La información de autenticación del empleado en los sistemas y acceso a

información es confidencial.

Los derechos de acceso a los sistemas e información son controlados de

acuerdo a rol y responsabilidad del empleado en la organización.

Los sistemas están protegidos mediante un mecanismo de inicio de sesión

seguro. Se emplean mecanismos seguros de cifrado de información.

Se implementan mecanismos de recuperación de contraseñas de forma

automática y se garantiza que la nueva contraseña del funcionario cumpla
con los requisitos de eguridad expuestos en la Política de Seguridad de
contraseñas.

El Líder del Proceso de Desarrollo Tecnológico verifica que los sistemas y

activos críticos sólo se les instalan los programas estrictamente necesarios
y licenciados. Se realiza una verificación de forma aleatoria.

El jefe de sistemas verifica que los códigos fuentes de los programas

permanecen de forma confidencial.

Existe una política documentada que establece los requisitos relativos a la

seguridad de la información para la adquisición de los nuevos equipos.
El jefe de sistemas y el Administrador de Redes implementan una
Infraestructura de Llave Pública (PKI) mediante algoritmos fuertes de
cifrado que garanticen la confidencialidad e integridad de la información que
se transmite a través de las redes.
El jefe de sistemas y el Administrador de Redes implementan una
Infraestructura de Llave Pública (PKI) mediante algoritmos fuertes de
cifrado que garanticen la confidencialidad e integridad de la información que
se transmite a través de las redes.

El Líder del Proceso de Desarrollo Tecnológico, el jefe de sistemas y los

funcionarios pertinentes tienen documentado los procesos y procedimientos
para los incidentes de la seguridad de la información. Se tiene
documentado el Plan de Continuidad del Negocio donde están identificados
claramente los responsables de su ejecución.
Los funcionarios están alertados de los eventos e incidentes
correspondientes relativos a la seguridad de la información. Los incidentes
son reportados, evaluados y documentados. Se establecen los
procedimientos a seguir.

Existen los formatos documentados disponibles para que los funcionarios

reporten las debilidades de la seguridad de la información. Estas
notificaciones son evaluadas de forma inmediata por el jefe de sistemas.

Existen los formatos documentados disponibles para que los funcionarios

reporten las debilidades de la seguridad de la información. Estas
notificaciones son evaluadas de forma inmediata por el jefe de sistemas.
El Líder del Proceso de Desarrollo Tecnológico, el jefe de sistemas y los
funcionarios pertinentes tienen documentado los procesos y procedimientos
para los incidentes de la seguridad de la información. Se tiene
documentado el Plan de Continuidad del Negocio donde están identificados
claramente los responsables de su ejecución.
Los incidentes de la seguridad de la información son documentados
especificando las vulnerabilidades, amenazas, riesgos y los posibles
controles de seguridad a
implementar constituyendo así una base de conocimiento.
Existen formatos y documentos para recolectar la evidencia y emitirlos a las
autoridades competentes.
El Líder del Proceso de Desarrollo Tecnológico, el jefe de sistemas y los
funcionarios pertinentes tienen documentado los procesos y procedimientos
para los incidentes de la seguridad de la información. Se tiene
documentado el Plan de Continuidad del Negocio donde están
identificados claramente los responsables de su ejecución.
El Líder del Proceso de Desarrollo Tecnológico, el jefe de sistemas y los
funcionarios pertinentes tienen documentado los procesos y procedimientos
para los incidentes de la seguridad de la información. Se tiene
documentado el Plan de Continuidad del Negocio donde están identificados
claramente los responsables de su ejecución.
El Líder del Proceso de Desarrollo Tecnológico, el jefe de sistemas y los
funcionarios pertinentes tienen documentado los procesos y procedimientos
para los incidentes de la seguridad de la información. Se tiene
documentado el Plan de Continuidad del Negocio donde están identificados
claramente los responsables de su ejecución.

En el Plan de Continuidad del Negocio se establece la instalación e

infraestructura disponible para el procesamiento de información.

Los requisitos contractuales están identificados y se cumplen con los

requerimientos exigidos por la ley.

Los registros están protegidos físicamente contra alteración, modificación,

pérdida y acceso de usuarios no autorizados.

Los datos personales son almacenados y protegidos de acuerdo a las

conformidades de la ley y regulaciones.
El jefe de sistemas y el Administrador de Redes implementan una
Infraestructura de Llave Pública (PKI) mediante algoritmos fuertes de
cifrado que garanticen la
confidencialidad e integridad de la información que se transmite a través de
las redes.

Existe la documentación para la realización de la auditoría interna del

Sistema de Gestión de la Seguridad de la Información.
Existe la documentación para la realización de la auditoría interna del
Sistema de Gestión de la Seguridad de la Información con el fin de verificar
el nivel de umplimiento, controles y políticas de seguridad de la
información.
Exista la documentación para la realización periódica de los test de
penetración y verificación de resultados e informes.