DIAGNÓSTICO DEL SGSI SEGÚN LOS REQUISITOS DE

EMPRESA: TECHNISUPPORT
ELABORADO
Liliana Corrales Rhenals
POR:

REQUISITO DETALLE

A.5. A.5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

A.5.1. A.5.1. Orientación de la dirección para la gestión de la seguridad de la información
Objetivo: Brindar orientación y soporte, por pate de la dirección, para la seguridad de la in
reglamentos pertinentes.

A.5.1.1. Políticas para la seguridad de la información

Revisión de las políticas para la seguridad de la

A.5.1.2.
información
A.6. A.6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A.6.1. A.6.1. Organización Interna
Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la impleme
organización.

Roles y responsabilidades para la seguridad de la

A.6.1.1.
información

A.6.1.2. Separación de deberes

A.6.1.3. Contacto con autoridades

A.6.1.4 Contacto con grupos de interés especial

Seguridad de la información en la gestión de

A.6.1.5.
proyectos

A.6.2. A.6.2. Dispositivos Móviles y Teletrabajo

Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles

A.6.2.1. Políticas para dispositivos móviles

A.6.2.2. Teletrabajo

A.7. A.7. SEGURIDAD DE LOS RECURSOS HUMANOS

A.7.1. A.7.1. Antes de asumir el empleo
Objetivo: Asegurar que los empleados y contratistas comprenden sus responsabilidades

A.7.1.1. Selección
A.7.1.2. Términos y condiciones del empleo

A.7.2. A.7.2. Durante la ejecución del empleo.

Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de sus respo

A.7.2.1. Responsabilidad de la dirección

A.7.2.2. Toma de conciencia, educación y formación de la SI

A.7.2.3. Proceso Disciplinario

A.7.3. A.7.3. Terminación y Cambio de empleo

Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o te

Terminación o cambio de responsabilidades de

A.7.3.1.
empleo

A.8. A.8. GESTIÓN DE ACTIVOS

A.8.1. A.8.1. Responsabilidad por los activos
Objetivo: Identificar los activos organizacionales y definir las responsabilidades de protec
A.8.1.1. Inventario de Activos

A.8.1.2. Propiedad de los Activos

A.8.1.3. Uso aceptable de los Activos

A.8.1.4. Devolución de Activos

A.8.2. A.8.2. Clasificación de la Información.

Objetivo: Asegura que la información recibe un nivel apropiado de protección, de acuerdo

A.8.2.1. Clasificación de la información.

A.8.2.2. Etiquetado de la información

A.8.2.3. Manejo de activos

A.8.3. A.8.3. Manejo de Medios

Objetivo: Evitar la divulgación, la modificación, el retiro o la destrucción no autorizados de

A.8.3.1. Gestión de medios removibles

A.8.3.2. Disposición de los medios

A.8.3.3. Transferencia de medios físicos

A.9. A.9. CONTROL DE ACCESO

A.9.1. A.9.1. Requisitos del negocio para control de acceso.
Objetivo: Limitar el acceso a información y a instalaciones de procesamiento de informaci
A.9.1.1. Política de control de acceso

A.9.1.2. Acceso a redes y a servicios en red.

A.9.2. A.9.2. Gestión de acceso de usuarios

Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado

A.9.2.1. Registro y cancelación del registro de usuarios.

A.9.2.2 Suministro de acceso de usuarios

A.9.2.3 Gestión de derechos de acceso privilegiado

 Gestión de información de autenticación secreta de
A.9.2.4
usuarios.

A.9.2.5 Revisión de los derechos de acceso de usuarios

A.9.2.6 Retiro o ajuste de los derechos de acceso

A.9.3. A.9.3. Responsabilidad de los Usuarios

Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de

A.9.3.1 Uso de información de autenticación secreta

A.9.4. A.9.4. Control de acceso a sistemas y aplicaciones

Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.

A.9.4.1. Restricción de acceso a la información

A.9.4.2. Procedimiento de ingreso seguro

A.9.4.3. Sistema de gestión de contraseñas

A.9.4.4. Uso de programas utilitarios privilegiados

A.9.4.5. Control de acceso a códigos fuente de programas

A.10 A.10. CRIPTOGRAFÍA

A.10.1. A.10.1. Controles criptográficos
Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidenci

A.10.1.1. Política sobre el uso de controles criptográficos

A.10.1.2. Gestión de Llaves

A.11. A.11. SEGURIDAD FÍSICA Y DEL ENTORNO

A.11.1. A.11.1. Áreas Seguras
Objetivo: Prevenir el acceso físico no autorizado, el daño y la interferencia a la informació

A.11.1.1. Perímetros de seguridad física

A.11.1.2. Controles de acceso físico

A.11.1.3. Seguridad de oficinas, recintos e instalaciones

A.11.1.4. Protección contra amenazas externas y ambientales

A.11.1.5. Trabajo en áreas seguras

A.11.1.6. Áreas de despacho y carga

A.11.2. A.11.2. Equipos

Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos y la interrupción de las

A.11.2.1. Ubicación y protección de los equipos

A.11.2.2. Servicios de suministro

A.11.2.3. Seguridad del cableado

A.11.2.4. Mantenimiento de equipos

A.11.2.5. Retiro de activos

Seguridad de equipos y activos fuera de las

A.11.2.6.
instalaciones

A.11.2.7. Disposición segura o reutilización de equipos

A.11.2.8. Equipos de usuario desatendido

A.11.2.9. Política de escritorio limpio y pantalla limpia

A.12. A.12. SEGURIDAD DE LAS OPERACIONES

A.12.1. A.12.1. Procedimientos operacionales y responsabilidades
Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesam

A.12.1.1. Procedimientos de operación documentados

A.12.1.2. Gestión de cambios

A.12.1.3 Gestión de capacidad

Separación de los ambientes de desarrollo, pruebas y

A.12.1.4
operación

A.12.2 A.12.2. Protección contra códigos maliciosos

Objetivo: Asegurarse de que la información y las instalaciones de procesamiento de infor
A.12.2.1 Controles contra códigos maliciosos

A.12.3 A.12.3. Copias de Respaldo

Objetivo: Proteger contra pérdida de datos.

A.12.3.1. Respaldo de la información

A.12.4 A.12.4. Registro y Seguimiento.

Objetivo: Registrar eventos y generar evidencia.

A.12.4.1 Registro de eventos

A.12.4.2 Protección de la información de registro

A.12.4.3 Registros del administrador y del operador

A.12.4.4 Sincronización de relojes

A.12.5 A.12.5. Control de software operacional

Objetivo: Asegurarse de la integridad de los sistemas operacionales
A.12.5.1 Instalación de software en sistemas operativos

A.12.6 A.12.6. Gestión de la vulnerabilidad técnica

Objetivo: Prevenir el aprovechamiento de las vulnerabilidades técnicas

A.12.6.1 Gestión de las vulnerabilidades técnicas

A.12.6.2 Restricciones sobre la instalación de software

A.12.7 A.12.7. Consideraciones sobre auditorías de sistemas de información.

Objetivo: Minimizar el impacto de las actividades de auditoría sobre los sistemas operativ

A.12.7.1 Controles de auditorías de sistemas de información

A.13 A.13. SEGURIDAD DE LAS COMUNICACIONES

A.13.1 A.13.1. Gestión de la Seguridad de las Redes.
Objetivo: Asegurar la protección de la información en las redes y sus instalaciones de pro

A.13.1.1 Controles de redes

A.13.1.2 Seguridad de los servicios de red

A.13.1.3 Separación en las redes

A.13.2. A.13.2. Transferencia de información.

Objetivo: Mantener la seguridad de la información transferida dentro de una organización

Políticas y procedimientos de transferencia de

A.13.2.1.
información

A.13.2.2 Acuerdos sobre transferencia de información

A.13.2.2 Mensajería electrónica

A.13.2.4 Acuerdos de confidencialidad o de no divulgación

A.14 A.14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

A.14.1 A.14.1. Requisitos de seguridad de los sistemas de información.
Objetivo: Asegurar que la seguridad de la información sea una parte integral de los sistem
requisitos para sistemas de información que prestan servicios sobre redes públicas.
 Análisis y especificación de requisitos de seguridad
A.14.1.1
de la información.

Seguridad de servicios de las aplicaciones en redes

A.14.1.2
públicas

Protección de transacciones de los servicios de las

A.14.1.3
aplicaciones

A.14.2 A.14.2. Seguridad en los procesos de desarrollo y de soporte

Objetivo: Asegurar que la seguridad de la información esté diseñada e implementada den

A.14.2.1 Política de desarrollo seguro

A.14.2.2. Procedimientos de control de cambios en sistemas

Revisión técnica de las aplicaciones después de

A.14.2.3
cambios en la plataforma de operación
 Restricciones en los cambios a los paquetes de
A.14.2.4
software

A.14.2.6 Principios de construcción de los sistemas seguros

A.14.2.6 Ambiente de desarrollo seguro

A.14.2.7 Desarrollo contratado externamente

A.14.2.8 Pruebas de seguridad de sistemas

A.14.2.9 Prueba de aceptación de sistemas

A.14.3 A.14.3. Datos de prueba

Objetivo: Asegurar la protección de los datos usados para pruebas

A.14.3.1 Protección de datos de prueba

 A.15 A.15. RELACIONES CON LOS PROVEEDORES
A.15.1 A.15.1. Seguridad de la información en las relaciones con proveedores.
Objetivo: Asegurar la protección de los activos de la organización que sean accesibles a

Política de seguridad de la información para las

A.15.1.1
relaciones con proveedores

Tratamiento de la seguridad dentro de los acuerdos

A.15.1.2
con proveedores

Cadena de suministro de tecnología de información y

A.15.1.3
comunicación

A.15.2 A.15.2. Gestión de la prestación de servicios de proveedores

Objetivo: Mantener el nivel acordado de SI y de prestación del servicio en línea con los ac

Seguimiento y revisión de los servicios de los

A.15.2.1
proveedores
 Gestión de cambios en los servicios de los
A.15.2.2
proveedores

A.16 A.16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

A.16.1 A.16.1. Gestión de incidentes y mejoras en la seguridad de la información
Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes de segurid
y debilidades

A.16.1.1 Responsabilidades y procedimientos

A.16.1.2 Reporte de eventos de seguridad de la información

Reporte de debilidades de seguridad de la

A.16.1.3
información

Evaluación de eventos de seguridad de la información

A.16.1.4
y decisiones sobre ellos
 Respuesta a incidentes de seguridad de la
A.16.1.5
información

Aprendizaje obtenido de las incidentes de seguridad

A.16.1.6
de la información

A.16.1.7 Recolección de evidencia

A.17 A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE CONT

A.17.1 A.17.1. Continuidad de la Seguridad de la Información
Objetivo: La continuidad de seguridad de la información se debe incluir en los sistemas d

Planificación de la continuidad de la seguridad de la

A.17.1.1
información

Implementación de la continuidad de la seguridad de

A.17.1.2
la información

Verificación, revisión y evaluación de la continuidad

A.17.1.3
de la seguridad de la información.
 A.17.2 A.17.2. Redundancia
Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de información.

Disponibilidad de instalaciones de procesamiento de

A.17.2.1
información

A.18 A.18. CUMPLIMIENTO

A.18.1 A.18.1. Cumplimiento de requisitos legales y contractuales
Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias de reglamenta
cualquier requisito de seguridad

Identificación de la legislación aplicable y de los

A.18.1.1
requisitos contractuales.

A.18.1.2 Derechos de propiedad intelectual

A.18.1.3. Protección de registros

Privacidad y protección de información de datos

A.18.1.4
personales

A.18.1.5 Reglamentación de controles criptográficos

A.18.2 A.18.2. Revisiones de Seguridad de la Información

Objetivo: Asegurar que la seguridad de la información se implemente y opere de acuerdo
 Revisión independiente de la seguridad de la
A.18.2.1
información

A.18.2.2 Cumplimiento con las políticas y normas de seguridad

A.18.2.3 Revisión del cumplimiento técnico

CO DEL SGSI SEGÚN LOS REQUISITOS DE ISO 27001:2013 - ANEXO A
FECHA:
ENTREVISTADO

SITUACIÓN ACTUAL

FORMACIÓN
gestión de la seguridad de la información
pate de la dirección, para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y

La organización no cuenta con política para la

seguridad de la información, dispone de misión,
visión, valores

La organización no cuenta con política establecida

DE LA INFORMACIÓN

de gestión para iniciar y controlar la implementación y la operación de la seguridad de la información dentro de la

La organización no cuenta con manual de

responsabilidades, se dispone de contratos con
cada uno de los empleado y se define el objetivo.
Disponen de Organigrama

La organización cuenta con roles definidos por

cargos para los equipos de proyectos, detallados
en el Key resources y en rol de cada cargo.
Las instalaciones cuentan con oficinas abiertas y
comparten varias empresas
 A Nivel tributario con la DIAN
Superintendencia de Sociedades
SIC- Registro de marca y Registro de Derechos de
autor
Licenciamiento de software a través del
representante Legal

La organización es Partners de Fomplus, Infintum,

De Nubila, SKRUMBLE, Extreme tecnologías sa
DIGI, CaribeTic

Todas la actividades de la organización las

manejan como proyectos, no se tiene incluido un
ítem de seguridad de la información

bajo y el uso de dispositivos móviles

No se cuenta con política definida para
dispositivos móviles
La organización maneja computadores portátiles,
propios y de los empleados, así como
celulares propios y asignados. Disponen de red de
WhatsApp en los dispositivos móviles
PC control de acceso, usuario y contraseña

La organización si aplica teletrabajo, a través de

SAGICC en la nube y se tiene acceso por usuario
y contraseña puntual, únicamente desde el equipo
de trabajo asignado , mediante conexión internet

MANOS

tratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran.

Realizan la verificación de los antecedentes,

contraloría, policía, procuraduría del posible
candidato. Se adjunta las Certificaciones laborales
 La organización celebra contrato de trabajo con
cada empleado a termino fijo o indefinido.
Disponen de Acuerdo de confidencialidad anexo a
los contratos del personal de nomina y de
prestación de servicios

y contratistas tomen conciencia de sus responsabilidades de seguridad de la información y las cumplan

La organización no dispone de las

responsabilidad de la alta dirección definidas.
Disponen de una Manual de funciones en borrador
donde se definen esa responsabilidad

La organización entregan las funciones del rol para

cada cargo dentro de proyecto, así como las
contraseñas, usuarios y accesos, y los equipos
celulares si aplica y PC

No se evidencia reglamento interno de trabajo

publicado, se conocen lo deberes pero no esta
documentados ni formalizados

zación como parte del proceso de cambio o terminación de empleo.

no se dispone de la pasos a seguir cuando se da

terminación del contrato .
Actualmente cambia todas la claves asignadas y el
acceso del personal que se retira de la empresa,
esta identificada la política pero no esta
documentada . Además, redirección temporales
correos por 2 meses y después los eliminan, así
como los usuarios

ales y definir las responsabilidades de protección apropiadas

 La organización, cuenta con inventario de
portátiles propios de la empresa, rack de computo,
infraestructura, área de fabrica de software y área
de SAGICC (comercial, implementación-soporte y
desarrollo I+D+i)

son de propiedad de la empresa y de los

empleados
Según el tipo de contrato la empresa asigna el
computador o esta posibilidad de utilizar su
computador personal
en el inventario se define el responsable de
equipos asignado

La organización no tiene documentadas las reglas

para el uso aceptable de los activos computadores
e instalaciones

La organización entrega los activos inventariados,

una vez terminado el contrato se hace la
devolución por retiro del personal, realizan Acta de
entrega de cargo y los activos asociados

un nivel apropiado de protección, de acuerdo con su importancia para la organización.

La organización no tiene clasificada la información,

los usuarios y contraseñas de los servidores en la
nube los manejan por política solo los
desarrolladores
Se cuenta con estratificación y clasificación de los
roles y el acceso al tipo de información

La organización no cuenta con procedimiento para

el etiquetado de la información
 La organización no cuenta con procedimiento para
el manejo de activos según de la información
Se tiene los roles definidos para el acceso a la
información en los servidores virtuales pero no
esta documentado, con permisos definidos
claves de nube para el acceso al aplicativo,
creación y modificación del aplicativo :
desarrolladores
consultas y parametrización de instancia,
monitoreo, creación de canales: ingeniero de
implementación

n, el retiro o la destrucción no autorizados de información almacenada en los medios.

La organización no dispone de procedimiento

No disponen de medios removibles USB o DD
portátiles
solo manejan los DD de los portátiles y la
información de la nube, además de celulares

La organización no dispone de procedimiento

formal
Daño de PC , se tiene las pautas para copiar la
información en el nuevo dispositivo y se borra del
anterior, en algunos casos se extrae el DD y se
instala en el nuevo equipos

Se comparte información por correos electrónicos

(actas, requerimientos, novedades en cuanto al
servicio) y por internet se localiza en la nube
(aplicativos, bases de datos, ejecutables)
Servidor virtual en la nube para los códigos, con
controles de acceso, usuario y contraseña a través
de una llave privada (personal de cada empleado)

l de acceso.
instalaciones de procesamiento de información.
 La organización no cuenta con política de acceso
cada empleados tiene su usuario y contraseña
para acceso a los computadores físicos y virtuales
El acceso físico se aplica según los controles del
edificio y a través de acceso biométrico a las
instalaciones

La organización tiene los roles definidos para el

acceso a la información en los servidores virtuales,
con permisos definidos, claves para el acceso al
aplicativo, creación y modificación del aplicativo,
desarrolladores
consultas y parametrización de instancia,
monitoreo, creación de canales: ingeniero de
implementación
Contraseña única, no se exige su cambio
periódico. disponen controles para el diseño de la
contraseña, sistema SSH (alfanumérica,
caracteres especiales, mayúscula y minúscula)

autorizados y evitar el acceso no autorizado a sistemas y servicios

Creación de las claves para acceso, usuario

autorizado: COO y arquitecto de sw, para el
registro del personal
A nivel de cliente los implementadores durante el
proyecto, y después de entregado el proyecto, lo
realiza el área de soporte y el rol del admón. del
cliente, bajo previa revisión de la empresa
Cancelación de los usuarios, cuando la persona
se retira de la empresa,
Se deja log de acceso a la información privilegiada

Realizan notificación de creación de usuario y

contraseña y solicitud de cambio inicial, mediante
correo electrónico

La organización dispone de perfiles por roles de

cargos, según el cargo a desempeñar
 La organización asignan contraseña única, no se
exige su cambio periódico, mediante el sistema
para el diseño de la contraseña, sistema SSH
(alfanumérica, caracteres especiales, mayúscula y
minúscula)
Disponen de medidas de bloqueo de pantalla
inmediata y portabilidad de los equipos, cuentan
con sistema de logs, el cual no es monitoreado,
logs de la instancia SAGICC
La organización elimina los correos del personal
retirado, inicialmente se re direccionan
temporalmente (2 meses) y después se eliminan,
además los usuarios se eliminan

ntas por la salvaguarda de su información de autenticación

En la organización no se comparte las contraseñas

y usuarios con acceso privilegiados,
no esta documentado la política

icaciones
stemas y aplicaciones.
La organización tiene los roles definidos para el
acceso a la información en los servidores virtuales
y a las funciones de los sistemas de las
aplicaciones, con permisos definidos, según la
instancia

La organización dispone de control de acceso

mediante usuario y contraseña, para los equipos y
para los servicios de la red cada persona tiene su
usuario y password.
La organización asegura la calidad de la
contraseña, pero nos son interactivos, no solicita
cambios, se cuenta con la opción de olvido de
contraseña o cambio de contraseña, no valida
actualización de la misma
 La organización no tiene control para restringir el
uso de programas utilitarios, no se restringe a los
computadores de la empresa o equipos
personales
La instalación de open source por parte de cada
desarrollador según sus necesidades, no tiene
restricción

La organización dispone de Servidor virtual en la

nube para los códigos fuente, con
controles de acceso, usuario y contraseña a través
de una llave privada (personal de cada empleado)

de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la información

La organización dispone para diseño de la

contraseña sistema SSH (alfanumérica, caracteres
especiales, mayúscula y minúscula)
Acceso a las base de datos mediante las
contraseñas y el dominio puntual de cada base de
datos, doble validación.
no se tiene Política sobre el uso de controles
criptográficos
Disponen de una llave privada, para el acceso a
los servidores, código cifrado RCA de 2048 bits

La organización no dispone de política sobre el

uso, protección y tiempo de vida de las llaves
criptografías, el sistema graba la contraseña (no
se solicita siempre), solo solicita el cambio
obligatoria la primera vez que se asigna
NO

ado, el daño y la interferencia a la información y a las instalaciones de procesamiento de información de la organiza

La organización dispone de acceso biométrico a

las instalaciones, al interior no cuenta con
divisiones de las áreas o restricción a estas
 La organización dispone de acceso biométrico a
las instalaciones para el personal.
Para los visitantes son controlados el acceso en la
portería del edifico, previo autorización de la
empresa para ingresar

La organización dispone acceso biométrico a las

instalaciones del personal, oficina únicas, control
de acceso al edificio, control de acceso a la
oficinas, CCTV con grabación en un servidor cloud
en la empresa y del edificio en los pasillos,.

La oficinas de la organización están ubicadas en

el edificio Green tower, con controles para
atención de riesgos y desastres,
Simulacro de incendio del edificio

La organización no cuenta con procedimiento para

trabajo en áreas seguras , tiene las mismas
condiciones para todas las áreas, no están
estructuradas ni documentadas

no aplica

ompromiso de activos y la interrupción de las operaciones de la organización.

Los equipos tiene activado bloqueo de pantalla en
un tiempo establecido por el usuario
los PC son de la empresa y propios del empleado,
pueden ser retirados de la empresa, para
teletrabajo o visita a clientes
no tiene guayas y los equipos personales no se
tiene restricción

los equipos son portátiles y los servidores son

virtuales con proveedor Amazon
Disponen de corriente regulada y UPS para el
servidor de prueba local en las oficina.
Disponen de Planta eléctrica del edificio
 Poseen cableado estructurado categoría UTP
certificado para el RACK, modem de internet,
conexión al servidor, acceso a internet, los demás
servicios con Wifi, cables certificados

La organización no tiene programa de

mantenimiento preventivo para los equipos de la
empresa, cada responsable es asignado realizar
el mantenimiento al software, el hardware solo se
realiza mantenimientos correctivos

Autorización para retiro de los computadores por

teletrabajo o visita de los clientes por parte del
personal de la empresa
Si son propios del empleado se pueden retirar

La organización no tiene ningún control cuando

salen de la oficina, la copia de seguridad es
responsabilidad del funcionario
la información sensible esta en la nube, a la cual
se realiza copia de seguridad

Cuando se presenta un daño de PC , se tiene las

pautas para copiar la información en el nuevo
dispositivo y se borra del anterior, en algunos
casos se extrae el DD y se instala en el nuevo
equipo

La organización no tiene política o lineamientos

para dar de baja de los equipos

La organización no maneja papeles, todo el

digital, no disponen de política de escritorio limpio
de papeles y medios de almacenamiento
removibles, Puertos USB habilitados
La pantalla para las instalaciones de
procesamiento de información es a criterios del
empleado

S
esponsabilidades
s y seguras de las instalaciones de procesamiento de información

La organización dispone de acta de inicio, acta de

reuniones, acta de entrega de clientes, acta de
entrega final al área de soporte (en desarrollo)
No tienen procedimientos de estandarización del
trabajo, existe método de trabajo pero no esta
documentado ni estandarizado

La organización no tiene definida la gestión del

cambio

Los servidores en la nube actualmente disponen

de la capacidad requerida
Son escalables según los requerimientos de la
empresa y la información almacenan.
Disponen de un mecanismo para hacer
seguimiento a la capacidad por parte del área de
soporte (saturación del servidor) e informan al área
de desarrollo
No se tiene previsto la capacidad futura

El ambiente de prueba esta dispuesto en la nube,

y disponen de un servidor local de copias que no
se maneja
El Ambiente de operación es cloud y esta asociado
a cada cliente, a través de servidores virtuales,
asignados por la empresa o según lo establecido
contractualmente .
El Ambiente de desarrollo manejado por los
desarrolladores, repositorios de códigos en la
nube en otro servidor virtual
sos
y las instalaciones de procesamiento de información estén protegidas contra códigos maliciosos
 A nivel de los equipos personales, cada
responsables o dueño maneja los aplicativos para
antivirus y protección de la información,
A nivel de la empresa, todo el desarrollo
empresarial es sobre Linux,
Disponen de FIREWALL en cada equipo y
contratado con Amazon
Antivirus para LINUX no se requiere.
La organización no tiene antivirus en
computadores, se tiene control de acceso de
paginas y uso del antivirus del office

La organización no dispone de política de copias

de respaldo acordadas
A nivel de los equipos personales cada empleado
es responsable de la información contenida y de la
copia de seguridad
El Código fuente se almacena en un repositorio
BITBUCKET , quienes garantizas la copia de
respaldo, proveedor ATLASSIAN
Para las base de datos, la Información y el
respaldo es manejado con AMAZON AWS

cia.

la organización no tiene información sobre el

registro de estos eventos, verificar con
operaciones
Los casos del día se registran por parte del
ingeniero de soporte para gestión , tales como
fallas menores de aplicativo o proveedor del
cliente, de tipo reporte
Se maneja Log de eventos, log de acceso.
En algunos casos realizan investigaciones de tipo
forense, no esta documentado
 En la acta de entrega final del proyecto, dejan las
pautas de operación y capacitación al personal,
entregan usuario y contraseñas para la
administración y soporte respectivos. Así como los
usuarios y contraseñas de los clientes para la
utilización,
Requerimientos mínimos del ambiente para el
aplicativo y de los equipos, se entrega al inicio del
proyecto y al final, entrega el check list de
funcionamiento de cada puestos de trabajo.
El aplicativo da la opción para que el cliente
establezca su políticas de cambio de contraseña.
No se tiene políticas para cambio de contraseñas
internos, se tiene la del administrador de AWS,
cada 3 meses, se puede hacer extensivo para la
demás aplicaciones

se entregan usuario y contraseñas para la

administración del soporte respectivos.
Junto con el alcance del proyecto, mediante de
acta de entrega final
Estándar de las contraseñas, tipificas pero no
documentadas
El área de desarrollo - Usuario de administración-
alta dirección y desarrolladores con acceso total.
Usuario rol implementador - área de soporte ,
definido para el alcance del rol
Usuario de supervisor- mando medios según la
instancia.
verificar el registro, el cual se protege el acceso
pero no se revisa con regularidad

Los servidores trabajan con un servicios de NTP,

para sincronizar los relojes de los servidores, en
los sistemas operativos y los servidores virtuales,
instalación y configuración

sistemas operacionales
 En los computadores del personal el responsable
puede instalar el software requerido
En los computadores de la empresa según la
necesidad, no se cuentan con procedimiento
documentado para el control de la instalación de
software en sistema operativos

ca
s vulnerabilidades técnicas
La organización dispone del Servicio fail2ban,
identifica los intentos de afectación , los bloquea,
proporcionado por un servicio antes de la
instalación en AWS -
LARAVEL FORGE servicio contratado con un
tercero

En los computadores del personal el responsable

puede instalar el software requerido
En los computadores de la empresa según la
necesidad
no se cuentan con los reglas documentadas para
la instalación de software

de sistemas de información.
ades de auditoría sobre los sistemas operativos
La organización dispone de servicio de auditoria
inmerso en el producto, de cara al cliente,
desarrollo propio en las instancias del cliente,
Log de auditoria automático desde el aplicativo.
Se dispone de acuerdo de nivel de servicios con
Amazon, monitoreo de los servicios con las
mismas herramientas proporcionadas por el
proveedor
ONES
des.
ación en las redes y sus instalaciones de procesamiento de información de soporte.
La organización no dispone de controles a la red,
abierta completamente, para acceso y navegación,
al disponer de computadores personales
 red de internet
red de la empresa,
control de los servidores cloud - Administradores
no se tiene documentado los mecanismo de
seguridad de los servicios de red
servicios contratados externamente: servidores
cloud AWS, proveedor de WhatsApp negocio,
mensajes de texto, servicios de internet, proveedor
de celulares

La organización no tiene grupo de usuarios

ación transferida dentro de una organización y con cualquier entidad externa.

La organización no tiene Política para la

transferencia de información, y los procedimientos
no están documentados

El cliente tiene acceso a la plataforma o instancia

SAGICC, según lo contratado, según los perfiles
de agente, supervisor y administrador, dan
capacitación,
Servidores exclusivos para cada cliente y manejo
del dominio por usuarios y contraseñas, Acceso
personal e intransferible

La organización dispone de correos electrónicos,

dominio Yahoo!!. Technisupport.com,
WhatsApp personal y
WhatsApp budines con el cliente

Algunos contratos con el personal tiene incluido la

clausula de confidencialidad o por separado y
otros no la tienen

NTENIMIENTO DE SISTEMAS
stemas de información.
ormación sea una parte integral de los sistemas de información durante todo el ciclo de vida. Esto incluye también lo
prestan servicios sobre redes públicas.
 La organización cuenta con Acuerdo de nivel de
servicios con AMAZON
La transmisión de la información se hace de
manera cifrada certificado de transmisión cifrada
SSL

arrollo y de soporte
ormación esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información

La organización no tiene política de desarrollo

seguro

La organización trabaja en la modalidad de

FRAMEwork de programación, revisiones de
seguridad sobre código malicioso, ataques, etc.
Documentado en la información de la arquitectura
del software SAGICC

Los cambios en los códigos fuentes, están

documentado los pasos para hacer los ajustes
Documentación detallada en el Manual de usuario
de la plataforma software CONFLUENCE de
Atlannecs
 El control de cambio GIT software Pullrequest,
reportado al administrador del código fuente y se
hace validación de cumplimientos de calidad y
funcionalidad, autorización BITBUCKET,
repositorio de las copias de seguridad, se da la
autorización y se actualiza con el resto del código
fuente.

La organización trabaja en la modalidad de

FRAMEwork de programación
Documentado en los lineamientos de auditoria

La organización dispone de ambiente desarrollo,

de prueba y de operación, en servidores web
diferentes, manejan independencias

no aplica

La organización aplica dos tipo de prueba:

Pruebas automáticas - generadas por el software
al hacer la compilación, código fuente actualizado.
Pruebas manuales de funcionamiento, revisan la
funcionalidad del cambio y la integración del
software, de lo contrario se devuelve el cambio
funcional de la seguridad en el PULLrequiest, se
valida y se devuelve por parte del administrador

La organización aplica PULLrequiest , realizada

por los administradores, los criterios de
aceptación, de forma y de fondo, análisis y
criterios de evaluación. Documento incluido en el
código fuente.

s usados para pruebas

los datos de prueba son generados
aleatoriamente, no son reales, poseen la misma
protección de ingreso y de backup, para todas las
instancias de todos los servidores, instalaciones
de prueba (demo-completo) igual a las de
operaciones
ORES
s relaciones con proveedores.
os de la organización que sean accesibles a los proveedores.

La organización no dispone de Política de

seguridad de la información para las relaciones
con proveedores
servicios contratados externamente: servidores
cloud AWS, proveedor de WhatsApp negocio,
mensajes de texto, servicios de internet, proveedor
de celulares , proveedores servicios y aplicativos
de control

Se disponen de acuerdo de nivel de servicios

virtuales, términos y condiciones para cada uno de
los servicios con sus proveedores

Se disponen de acuerdo de nivel de servicios

virtuales, términos y condiciones para cada uno de
los servicios con sus proveedores

ios de proveedores
de prestación del servicio en línea con los acuerdos con los proveedores

Los desarrolladores hacen seguimiento y reportes

de la funcionalidad del servicios, servidores web y
WhatsApp-.
Área de soporte de PQR de las fallar de internet
de la empresa (claro)
LAVARgle monitoreo de los servicios de aws.
Herramientas para hacer el monitorio y los realiza
el gerente de tecnología y operaciones, revisión
diarias , a través de CLOUDWATCH
proporcionado por Amazon
 Los proveedores informan los cambios a realizar o
realizados, son comunicados y debe ser
aceptados, al administrador de los aplicativos
Gerente de tecnología (ingeniero de
infraestructura)

URIDAD DE LA INFORMACIÓN
n la seguridad de la información
eficaz para la gestión de incidentes de seguridad de la información, incluida la comunicación sobre eventos de segur

Se tiene las pautas para dar respuesta a los

requerimientos del cliente por fallas o incidentes,
las responsabilidades las tienen definidas según el
perfil del cargo, pero no están documentadas, esta
en construcción el Manual SAGICC Play Book,

Son reportados por el cliente a través del área de

soporte
desde el punto de vista de seguridad, detección de
intrusos
el área de soporte monitorea permanente la red
del cliente, y si detecta algo anomalía se comunica
con el cliente, o un reporte del cliente por fallas,
definidos la responsabilidad, no esta
documentado,
Realizan investigación forense, no documentada

La organización no lo tiene definido y no se aplica

La organización no tiene clasificados los incidentes

de seguridad y no se evalúan
 La organización no dispone de procedimientos
documentados para dar respuesta a los incidentes
de seguridad de la información , no los identifica,
no los evalúan y no se responden

La organización no realiza este análisis o

aprendizaje como resultado de los incidente,
lesiones aprendidas.

La organización no cuenta con evidencias de los

incidentes presentados
Según lo manifestado no se les ha presentado

INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Información
nformación se debe incluir en los sistemas de gestión de la continuidad de negocio de la organización.

La organización cuenta con Acuerdo con el

proveedor de servidores web AWS , para el
respaldo de servidores virtuales, copia de
seguridad diaria de la información en Amazon,
ejecución del restablecimiento del backup, y
control de horas
Disponen de acuerdo de nivel de servicio con los
clientes, establecidos en los contratos

La organización conoce los mecanismo para

garantizar la continuidad de la seguridad de la
información, no esta documentado .

La organización no lo ha realizado con datos

reales, solo con datos de prueba, ejecutado hace
dos años, no se tiene frecuencia establecida
aciones de procesamiento de información.

La organización cuenta con acuerdo con al

proveedor de servidores web AWS, a través del
respaldo de servidores virtuales
Disponen de base de datos con redundancia
geográfica en Canadá y Oregón-USA

s y contractuales
gaciones legales, estatutarias de reglamentación o contractuales relacionadas con seguridad de la información y de

La organización tiene definidos algunos requisitos

legales, no están documentados, como por
ejemplo Ley de protección de datos personales

La organización esta en tan en proceso de registro

Derechos de autor, actualmente los derechos de
propiedad intelectual esta como marca

La protección de registros aplica mientras esta

activa la información, disponen de acceso cifrado
de la información, servicios adicionales que solicita
el cliente, nivel de acuerdo de servicios con
Amazon

La organización esta en proceso de

implementación de la Ley de protección de datos
personales, política por definir

por defecto de base de datos esta cifrada en el

servidor de Amazon, según el nivel de acuerdo de
servicios entre Amazon y contractualmente con el
cliente
ormación
ormación se implemente y opere de acuerdo con las políticas y procedimientos organizacionales.
La organización están en proceso de
implementación la ISO 27001, no se esta
aplicando este control

La organización están en proceso de

implementación la ISO 27001, no se esta
aplicando este control

La organización están en proceso de

implementación la ISO 27001, no se esta
aplicando este control
7001:2013 - ANEXO A
15-nov-2019, 22-nov-2019 y 4-dic-2019
Juan Carlos Calderon - 3006562669
Luis Nieto Porto / Carlos Andraus
ESTADO

NO
AP PARCIA
RECOMENDACIONES COMPLETO
LIC L
A

0%
0 0

ción de acuerdo con los requisitos del negocio y con las leyes y

Diseñar la Políticas para la seguridad de la información,

aprobada por la dirección, publicada y comunicadas a las
partes interesadas pertinentes
Establecer frecuencia de revisión, para seguridad de su
conveniencia, adecuación y eficacia continua

15%
0 3
n y la operación de la seguridad de la información dentro de la

Revisar los contratos y los acuerdos y políticas firmadas

con los empleados
Definir el Manual de Responsabilidades de todos los X
cargos de la organización para definir y asignas las
responsabilidades de la SI.

Las áreas de responsabilidad en conflicto se deben

separar para reducir las posibilidades de modificación no
autorizada o no intencional o el uso indebido de los
activos de la organización.
 Verificar los contactos con los entes de control pertinentes X

Verificar los contactos con los grupos de interés especial y

X
asociaciones profesionales especializadas en seguridad

Incluir el ítem de seguridad de la información en el

desarrollo de los proyectos en el PlayBook

0 0

Diseñar la Políticas para dispositivos móviles y unas

medidas de seguridad de soporte, para gestionar los
riesgos introducidos por el uso de dispositivos móviles

Diseñar la política para la seguridad del teletrabajo y

medidas de seguridad de soporte para proteger la
información a la que se tiene acceso, que es procesada o
almacenada en los lugares en los que se realiza
teletrabajo.
8%
0 1
dóneos en los roles para los que se consideran.

Estructurar el procedimiento para la selección del

personal, incluir las verificaciones de certificaciones
laborales
 Revisar los contratos de prestación de servicios y
completar la responsabilidad en cuanto a la seguridad de
la información y establecer sus responsabilidades y las de X
la organización

0 0

dades de seguridad de la información y las cumplan

Definir el Manual de Responsabilidades de todos los

cargos de la organización, empleados y contratistas, e
incluir la aplicación de la seguridad de la información de
acuerdo con las políticas y procedimientos establecidos de
la organización

Formalizar las capacitaciones e inducciones, revisar las

temáticas incluidas en estas, especialmente sobre la toma
de conciencia apropiada, y actualizaciones regulares
sobre las políticas y procedimientos pertinentes para su
cargo..

Incluir los procesos disciplinario relacionados con las

responsabilidades de seguridad de la información en el
reglamento interno de trabajo y publicarlo.
definir un proceso formal para emprender acciones contra
empleados que hayan cometido una violación a la
seguridad de la información y comunicarlo
0 0
ción de empleo.

Definir un procedimiento que incluya los pasos y pautas de

seguridad cuando se retira del personal o cambia de
responsabilidad, incluya correos electrónicos, claves y
cuentas de usuario de acceso, comunicarlo y hacerlo
cumplir

14%
0 2

ropiadas
 Revisar todos los equipos incluidos en el inventario.

Mantener un inventario de estos activos, identificar los X

activos asociados con información e instalaciones de
procesamiento de información

Los activos mantenidos en el inventario deben ser propios.

Revisar la directriz de utilizar equipos personales de cada X

empleados y los controles asociados a estos., así como su
responsable

Identificar, documentar e implementar los procedimientos

con las reglas para el uso aceptable de la información y
los activos asociados, tales como computadores e
instalaciones de procesamiento de información

Definir las reglas para los computadora personales,

cuando la persona se retira, como se garantiza la
devolución de la información que posee en el equipos

0 0

u importancia para la organización.

Clasificar la información que se maneja en la organización

en función de los requisitos legales, valor, criticidad y
susceptibilidad de divulgación o modificación no
autorizada

Definir procedimiento para el etiquetado de la información

de acuerdo al esquema de clasificación de la información
adoptado por la organización.
 Definir procedimientos para el manejo de los activos de
acuerdo al esquema de clasificación de la información
adoptado por la organización.

0 1

ación almacenada en los medios.

Definir procedimientos para la gestión de los medios de

comunicación removibles de acuerdo al esquema de
clasificación adoptado por la organización.
Procedimiento para control de USB

Definir procedimientos para la disposición final de los

medios de almacenamiento y los mecanismos para darlos
de baja

verificar los controles para proteger contra acceso no

autorizado, uso indebido o corrupción durante el X
transporte de los medios de soporte físicos

7%
0 0
 Diseñar política de control de acceso con base en los
requisitos del negocio y de seguridad de la información,
servidores virtuales e instalaciones físicas y limitar los
espacios de procesamiento de la información.

Establecer un mecanismo para cambio y actualización de

las contraseñas para un periodo de tiempo, con el fin de
garantizar el acceso a la red y a los servicios de red para
los usuarios autorizados específicamente

0 1
mas y servicios

Definir y documentar un proceso formal de registro y de

cancelación del registro para posibilitar la asignación de
los derechos de acceso

Formalizar el proceso de suministro de acceso de usuarios

para asignar o cancelar los derechos de acceso a todo
tipo de usuarios para todos los sistemas y servicios.

Verificar las restricciones y los controles en la asignación y

X
uso de derechos de acceso privilegiado
 Definir procedimiento de gestión formal para la asignación
de información de autenticación secreta

Establecer frecuencia de monitoreo, para revisar los

derechos de acceso de los usuarios a intervalos regulares

Verificar los mecanismos actuales de retiro y eliminacion

de los acceso a la información e instalaciones de
X
procesamiento de información, al terminar el empleo,
contrato o acuerdo, o cuando se hagan cambios.
0 0
cación
Establecer algún compromisos de los usuarios para el
cumplimiento de las prácticas para el uso de información
de autenticación secreta, incluir una clausula en el
contrato
0 2

Verificar las restricciones y alinearlas con la política de

X
control de acceso a definir

Incluir en la política de control de acceso a definir, el

acceso a sistemas y aplicaciones mediante un proceso de
conexión segura.

Establecer política de cambio periódico de la contraseña y

actualización de la misma, interactivos y asegurar
contraseñas de calidad y distintas.
 Establecer controles para restringir y controlar el uso de
programas utilitarios que podrían tener capacidad de
anular el sistema y los controles de las aplicaciones

Verificar las restricciones de acceso a los códigos fuente

X
de programas.

0%
0 0
la autenticidad y/o la integridad de la información

Diseñar la Política sobre el uso de controles criptográficos

para protección de información.

Diseñar la política sobre el uso, protección y tiempo de

vida de claves criptográficas, durante todo su ciclo de vida.

14%
0 2
as instalaciones de procesamiento de información de la organización.

Definir perímetros de seguridad para proteger áreas que

contengan información confidencial o crítica, e
instalaciones de manejo de información y definir controles
de acceso a estas áreas especificas.
 Delimitar las áreas seguras, a proteger mediante controles
de entrada apropiados para asegurar que solamente se
permite el acceso a personal autorizado

verificar los controles aplicados a la seguridad física de

X
oficinas, salones e instalaciones

verificar los controles aplicados a la protección física

contra desastres naturales, ataques maliciosos o X
accidentes del edificio

Definir procedimiento para trabajo en áreas seguras

Determinar la justificación de no aplicabilidad X X

0 2
ciones de la organización.

Estandarizar el tiempo para el bloqueador de la pantalla y

políticas para los equipos personales de los empleados,
deben estar protegidos para reducir los riesgos de
amenazas y peligros ambientales y las posibilidad de
acceso no autorizado

Verificar las protecciones contra fallas de potencia y otras

interrupciones causadas por fallas en los servicios X
públicos de soporte.
Verificar la certificación del cableado estructurado y la
potencia del cableado y la telecomunicaciones que porta
datos o brinda soporte a los servicios de información, X
estén protegidos contra interceptaciones, interferencia o
daño

Definir el plan de mantenimiento preventivo a los equipos

de la empresa y de terceros, para asegurar su
disponibilidad e integridad continua

Definir el control y buscar el mecanismo de autorización

para el retiro del sitio definido por la empresa, con
autorización previa, de los equipos, información o
software

Definir medidas de seguridad a los activos que se

encuentran fuera de las instalaciones de la organización,
teniendo en cuenta los diferentes riesgos de trabajar fuera
de las instalaciones

verificar las medidas establecidas para todos los

elementos de equipos que contengan medios de
almacenamiento, asegurando que cualquier dato
X
confidencial o software con licencia haya sido retirado o
sobre escrito en forma segura antes de su disposición final
o rehúso.

Establecer los mecanismos para que los equipos sin

supervisión tenga la protección apropiada

Diseñar política de escritorio limpio para los papeles y

medios de almacenamiento removibles
Diseñar política de pantalla limpia para las instalaciones
de procesamiento de información

20%
 0 2
e información

Definir y documentar los procedimientos operativos y

estar a disposición de todos los usuarios que los
necesitan, estandarizar las actas

Implementar controles para los cambios que se presenten

en la organización, en los procesos de negocio, en las
instalaciones y en los sistemas de procesamiento de
información que afecten la seguridad de la información.

Verificar el seguimiento realizado al uso de recursos,

como se realizan los ajustes, y las proyecciones de los
X
requisitos de capacidad futura, para asegurar el
desempeño requerido del sistema.

Verificar los diferentes ambientes, desarrollo,

ensayo(prueba) y operativos (operación de cada cliente),
X
con el objetivo de reducir los riesgos de acceso o cambios
no autorizados al ambiente operacional.

0 0
estén protegidas contra códigos maliciosos
Implementar controles de detección, de prevención y de
recuperación y fortalecer la toma de conciencia apropiada
de los usuarios, para proteger contra códigos maliciosos.

0 0

Diseñar política de copias de respaldo acordadas, copias

de respaldo de la información, software e imágenes de los
sistemas y ponerlas a prueba regularmente.
Verificar los controles actuales contratados con los
terceros

0 3

Dejar los registros de eventos acerca de actividades del

usuario, excepcionales, fallas y eventos de seguridad de la
información, elaborar, conservar y revisar regularmente
Revisar las actas inicio y acta de entrega final, para
verificar lo registrado con relación a la instalaciones y la
X
información de registro, las cuales se deben proteger
contra alteración y acceso no autorizado.

Verificar los registros de las actividades del administrador

y del operador del sistema, establecer frecuencia para X
revisarlos con regularidad y mantener los registros.

Verificar las sincronización de los relojes de todos los

sistemas de procesamiento de información con una única X
fuente de referencia de tiempo.

0 0
 Definir el procedimiento para controlar la instalación de
software en sistemas operativos.

0 1

Verificar los mecanismos implementados para detectar

oportunamente las vulnerabilidades técnicas de los
sistemas de información que se usen;
X
evaluar la exposición a estas vulnerabilidades
Tomar las medidas apropiadas para tratar el riesgo
asociado.

Definir reglamento de instalación de software por parte de

los usuarios

0 1

verificar las actividades de auditoría planificadas y

ejecutadas, que involucra la verificación de los sistemas
X
operativos, para minimizar las interrupciones en los
procesos del negocio.

27%
0 1
iento de información de soporte.

Definir los controles para gestionar y proteger la

información en sistemas y aplicaciones.
 Verificar los controles y mecanismos de seguridad y los
niveles de servicio y los requisitos de gestión de los
servicios de red X
Constatar los acuerdos de servicios de red contratados
externamente.

separar los usuarios según la responsabilidad:

desarrollador, implementadores, soporte y administrativo,
con el fin de separar en las redes los grupos de servicios
de información, usuarios y sistemas de información
0 3
cualquier entidad externa.
Diseñar políticas y definir procedimientos y controles para
la transferencia con el fin de proteger la transferencia de
información, mediante el uso de todo tipo de instalaciones
de comunicaciones.

Verificar los contratos firmado con el clientes, derecho y

uso del aplicativo y los acuerdos sobre la transferencia
X
segura de información del negocio con las partes
externas.

verificar el nivel de protección de la información incluida

X
en los mensajes electrónicos.

verificar que todo el personal disponga de los requisitos

para los acuerdos de confidencialidad o no divulgación
X
que reflejen las necesidades de la organización para la
protección de la información, documentado y firmado
48%
0 3
información durante todo el ciclo de vida. Esto incluye también los
 verificar que los requisitos relacionados con seguridad de
la información están incluidos en los requisitos para
X
nuevos sistemas de información o para mejoras a los
sistemas de información existentes

verificar que la información involucrada en servicios de

aplicaciones que pasan sobre redes públicas están
X
protegidas de actividades fraudulentas, disputas
contractuales y divulgación y modificación no autorizadas.

verificar que la información involucrada en las

transacciones de servicios de aplicaciones están
protegidas para prevenir la transmisión incompleta, el
X
enrutamiento errado, la alteración no autorizada de
mensajes. La divulgación no autorizada y la duplicación o
reproducción de mensajes no autorizados.

0 8
ciclo de vida de desarrollo de los sistemas de información

Diseñar política para el desarrollo de software y de

sistemas seguros dentro de los desarrollos de la
organización.

Verificar los procedimiento de control de cambios en los

sistemas dentro del ciclo de vida de desarrollo de software X
y de sistemas, desarrollados dentro de la organización.

Verificar los cambios en las plataformas de operación y

constatar la revisión de las aplicaciones críticas del
negocio, constatar las prueba que aseguren que no hay X
impacto adverso en las operaciones o seguridad
organizacionales.
verificar los controles aplicados para desalentar las
modificaciones a los paquetes de software, limitados a los X
cambios necesarios y controlados estrictamente

Verificar los principios para la organización de sistemas

seguros, y aplicarlos a cualquier trabajo de X
implementación de sistemas de información.

Verificar las condiciones de los ambientes de desarrollo

seguros para las tareas de desarrollo e integración de
X
sistemas que comprendan todo el ciclo de vida de
desarrollo de sistemas.

Determinar la justificación de no aplicabilidad x X

Verificar las Pruebas de seguridad de sistemas y el

X
desarrollo de los ensayos de funcionalidad de la seguridad

Verificar los programas de ensayo y criterios relacionado,

para los sistemas de información nuevos, actualizaciones X
y nuevas versiones

0 1

Verificar los datos de los ensayos seleccionados,

X
protegidos y controlados
 42%
0 2
veedores.

Diseñar Política de seguridad de la información para las

relaciones con proveedores, que detalle los requisitos de
seguridad de la información para mitigar los riesgos
asociados con el acceso de proveedores a los activos de
la organización

Verificar en los acuerdos los requisitos de seguridad de la

información pertinentes con cada proveedor que puedan
tener acceso, procesar, almacenar, comunicar o X
suministrar componentes de infraestructura de TI para la
información de la organización.

Verificar en los acuerdos los requisitos para tratar los

riesgos de seguridad de la información asociados con la
X
cadena de suministro de productos y servicios de
tecnología de información y comunicación.

0 2
s con los proveedores

Verificar los seguimientos, revisiones y auditarías

realizadas a la prestación de los servicios de los X
proveedores, realizados con regularidad
 Verificar la gestión de los cambios en el suministro de
servicios por parte de los proveedores, incluido el
mantenimiento y la mejora de las políticas, procedimientos
y controles de seguridad de la información existentes, X
teniendo en cuenta la criticidad de la información,
sistemas y procesos del negocio involucrados y la
reevaluación de los riesgos.

14%
0 2
la información, incluida la comunicación sobre eventos de seguridad

completar el Manual SAGICC Play Book y documentar las

responsabilidades y procedimientos de gestión para
X
asegurar una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información.

completar el Manual de usuario, actualizado de cara al

cliente de primer nivel
documentar a nivel interno las acciones a tomar si se
presenta algún evento X
Verificar los eventos de seguridad de la información
reportados y los canales de gestión apropiados tan pronto
como sea posible.

Establecer mecanismos para informar de cualquier

debilidad de seguridad de la información observada o
sospechada en los sistemas o servicios, por parte de los
empleados y contratistas que usan los servicios y
sistemas de información de la organización

Establecer mecanismos para evaluar los eventos de

seguridad de la información , con el fin de decidir si se
clasifican como incidentes de seguridad de la información.
 Definir procedimientos documentados para dar respuesta
a los incidentes de seguridad de la información

Implementar mecanismos para analizar y resolver los

incidentes de seguridad de la información y usar este
conocimiento adquirido para reducir la posibilidad o el
impacto de incidentes futuros.

Definir procedimientos para la identificación, recolección,

adquisición y preservación de información que pueda
servir como evidencia de los incidentes presentados

AD DEL NEGOCIO 33%

0 1
ón de la continuidad de negocio de la organización.

Determinar los requisitos para la seguridad de la

información y la continuidad de la gestión de seguridad de
la información en situaciones adversas, por ejemplo,
durante una crisis o desastres.

establecer, documentar, implementar y mantener

procesos, procedimientos y controles para asegurar el
nivel de continuidad requerido para la seguridad de la
información durante una situación adversa.

Verificar a intervalos regulares los controles de

continuidad de la seguridad de la información
X
implementados con el fin de asegurar que los válidos y
eficaces durante situaciones adversas.
 0 1

Verificar si las instalaciones de procesamiento de

información se implementan con redundancia suficiente X
para cumplir los requisitos de disponibilidad.

10%
0 2

contractuales relacionadas con seguridad de la información y de

identificar, documentar y mantener actualizados todos los

requisitos legislativos estatutarios, de reglamentación y
contractuales pertinentes, y el enfoque de la organización
para cada sistema de información y para la organización.

Definir procedimientos para asegurar el cumplimiento de

los requisitos legales, reglamentarios y contractuales
relacionados con los derechos de propiedad intelectual y
el uso de productos de software licenciados.

Establecer controles para proteger contra pérdida,

destrucción, falsificación, acceso no autorizado y
liberación no autorizada los registros, de acuerdo con los
requisitos legales, reglamentarios y contractuales y de
negocio

Finalizar el proceso de implementación de la Ley de

protección de datos personales y definir y socializar la
X
política, para asegurar la privacidad y la protección de la
información identificable personalmente,

Verificar los controles criptográficos aplicados, en

X
cumplimiento de todos los acuerdos

0 0
s políticas y procedimientos organizacionales.
Definir los objetivos de control, los controles, la políticas,
los procesos y los procedimientos para seguridad de la
información, revisar independientemente a intervalos
planificados o cuando ocurran cambios significativos.

revisar con regularidad el cumplimiento del procesamiento

y procedimientos de información con las políticas y
normas de seguridad apropiadas y cualquier otro requisito
de seguridad.

revisar con regularidad para determinar el cumplimiento

con las políticas y normas de seguridad de la información.
STADO

NINGUNO

0% 0%
2

X
15% 15%
2

X
 X

8% 8%
1

X
 3

14% 14%
2
X

X
 X

7% 7%
2
X

X
X

X
 X

0% 0%
2

14% 14%
3

X
X

X
 X

20% 20%
2

1
X

X
1
 X

27% 27%
2

X
 X

48% 48%
0
1

X
0
42% 42%
1

0
14% 14%
5

X
 X

33% 33%
2

X
 0

10% 10%
3

3
X

X
 INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION

No. NOMBRE DEL ACTIVO DESCRIPCION

Carpetas donde se relaciona toda la información personal

HOJA DE VIDA DE EMPLEADOS del empleado, incluyendo los soportes que certifican lo
descrito

EQUIPOS DE COMPUTO
 RESPONSABLE DEL USO ACEPTABLE DEL
ID O SERIAL CLASIFICACION TIPO DE ACTIVO
ACTIVO ACTIVO
disposisitivo de la
NA Archivo de hardware cargos del organigrama Consulta del activo
red
Equipo de computo Diligenciamiento y
XY2030 Archivo de software
empresa Consulta del Activo

Equipo de computo Cumplimiento de

Recurso Humano
de tercero funciones

informacion
Infraestructura funcionamiento del activo
confidencial
Instalacion en equipos
Datos / Información
para proteccion
Aplicaciones instalaciones fisicas
comunicaciones licencimiento
servicios terceros Llamadas telefonicas
soporte Programacion
Scaneo de documentos
Uso en la red
empresarial
Servicios de
comunicaciones

Servicios de aplicaciones
y base de datos
 GRADO DE GRADO DE INFORMACION
SENSIBILIDAD CRITICIDAD PUBLICABLE

secreto alto si

confidencial medio no

público bajo

restringido

otros