Implementación SGSI

M1.
823 · TFM-Sistemas de Gestión de Seguridad · TFM · 2018 · Programa · Estudis d’Informàtica Multimèdia i Telecomunicació
Elaboración De Un Plan De Implementación

De La ISO/IEC 27001:2013
Danny Alejandro Garzón Aristizabal 1

M1.823 · TFM-Sistemas de Gestión de Seguridad · TFM · 2018 · Programa · Estudis d’Informàtica Multimèdia i Telecomunicació
Máster Interuniversitario En Seguridad De Las TIC (MISTIC)
Trabajo Final De Máster
Elaboración De Un Plan De Implementación De La ISO/IEC 27001:2013
Danny Alejandro Garzón Aristizabal
Universidad Oberta De Catalunya

Bogotá, Colombia junio de 2018

Tabla de Contenido
Tabla de Contenido .................................................................................................................................... 3
1. Introducción ............................................................................................................................................. 4
2. Enfoque y Selección De La Empresa ............................................................................................... 4
3. Orígenes e Historia de la ISO 27001. .............................................................................................. 5
4. Definición De Los Objetivos Del Plan Director De Seguridad ............................................... 6
5. Alcance ....................................................................................................................................................... 7
6. Análisis Diferencial ................................................................................................................................ 9
7. Política de Seguridad ......................................................................................................................... 32
8. Procedimiento de Auditorías Internas ....................................................................................... 37
9. Gestión de Indicadores ..................................................................................................................... 41
10. Procedimiento: Revisión Por La Dirección ............................................................................. 42
11. Gestión de Roles y Responsabilidades ..................................................................................... 44
12. Metodología de Análisis de Riesgos .......................................................................................... 45
13. Declaración de Aplicabilidad ....................................................................................................... 54
14. Inventario de Activos de Información ...................................................................................... 65
15. Análisis de riesgos ............................................................................................................................ 80
16. Propuestas de proyectos ............................................................................................................... 84
17. Auditoria de cumplimiento ........................................................................................................... 93
18. Evaluación de la madurez ............................................................................................................. 94
19. Presentación de Resultados y entrega de Informes ..........................................................103
20. Referencias........................................................................................................................................105

1. Introducción
Debido al avance de las tecnologías de la información y la comunicación en las organizaciones,
estas se han apoyado en los sistemas de información para optimizar y mejorar sus procesos, sin
embargo el uso de estas tecnologías implica la exposición de la información a nuevos riesgos.
En Colombia el estado es consciente de estos nuevos riesgos y entiende la relevancia de la

información que se maneja dentro de las organizaciones como activo crítico y fundamental para
que cada organización cumpla satisfactoriamente con sus objetivos.
Con el fin de mejorar los niveles de la seguridad de la información dentro de las organizaciones
que dependen del estado, y asegurarse de la implementación de las mejores prácticas de
seguridad en ellas, el gobierno a través del ministerio de las tecnologías de la información y la
comunicación “MINTIC” expidió el decreto 2573 de 2014 [1] que reglamenta la ley 1341 de 2009
[2] que establece la obligatoriedad de implantar un sistema de gestión de seguridad de la
información “SGSI” en todas las organizaciones que dependen del gobierno.
Es por este motivo, además de entender la importancia de la información dentro de todos los
procesos del Instituto Colombiano de Evaluación de la Educación en adelante “ICEE”1, que se ha
decidido realizar un proyecto para la elaboración de un plan de implementación de la norma ISO
27001:2013 como estándar en sistemas de gestión de seguridad de la información recomendado
por el MINTIC y reconocido internacionalmente.
2. Enfoque y Selección De La Empresa

El ICEE, es una entidad colombiana especializada en ofrecer servicios de evaluación de la
educación en todos sus niveles en Colombia, y en particular apoya al Ministerio de Educación
Nacional en la realización de los exámenes de estado y en adelantar investigaciones sobre los
factores que inciden en la calidad educativa, para ofrecer información pertinente y oportuna con
el fin de contribuir al mejoramiento de la calidad de la educación.
El Instituto tiene bajo su responsabilidad realizar y evaluar los exámenes de estado de la

educación Media (grado 11°) y Superior (exámenes profesionales). También está al frente de la
evaluación periódica de la educación Básica (exámenes a estudiantes de los grados 3°, 5°y 9°); y
de la participación, a nombre de Colombia, en las evaluaciones internacionales y estudios
comparativos regionales como las pruebas PISA.
El instituto está ubicado en la ciudad Bogotá donde cuenta con una única sede con alrededor de
500 empleados entre personal de planta, estudiantes en práctica y contratistas. La
infraestructura tecnológica de sus instalaciones es propia (computadores de escritorio,
impresoras, routers, switches, etc) y cuenta con un departamento de tecnología, encargado de
desarrollar aplicaciones, tanto para el desarrollo de los exámenes, como para facilitar la
1 El nombre de esta institución ha sido inventado para este proyecto únicamente con fines académicos

publicación y consulta de los resultados. Para ello contrata los servicios de un centro de datos
externo que brinda la infraestructura necesaria para el desarrollo y funcionamiento de las
aplicaciones desarrolladas por el instituto.
Para la creación y almacenamiento de las preguntas que se aplican en los diferentes exámenes se
cuenta con un data center interno ubicado en las propias instalaciones del instituto. Esto como
medida de seguridad para evitar la fuga de información de las preguntas a aplicar.
El área de tecnología está dividida en dos subdirecciones: La subdirección de desarrollo de

aplicaciones y la subdirección de información, el instituto actualmente cuenta con un sistema de
calidad y las medidas de seguridad de la información que se tienen actualmente han sido
implementadas “ad hoc” es decir son controles particulares aplicados a casos específicos sin
seguir un análisis o normativa específica. Sin embargo en el último año (2017) el instituto
contrato 2 personas para trabajar los temas de seguridad de la información, uno con el rol de
oficial de seguridad y el segundo con el rol de analista de seguridad de la información.
3. Orígenes e Historia de la ISO 27001.

La ISO 27001 es la norma ISO que establece los requisitos para implantar, mantener y mejorar un
Sistema de Gestión de Seguridad de la Información, este estándar internacional fue publicado
como tal por la International Organization for Standardization y por la comisión International
Electrotechnical Commission en octubre del año 2005 y actualmente es el único estándar
aceptado a nivel internacional para la gestión de la Seguridad de la Información. La ISO 27001
como la conocemos hoy en día, ha sido resultado de la evolución de otros estándares
relacionados con la seguridad de la información como se menciona a continuación:
• 1901 – Normas “BS”: La British Standards Institution publica normas con el prefijo “BS” con
carácter internacional. Estas son el origen de normas actuale como ISO 9001, ISO 14001 u
OHSAS 18001.
• 1995- BS 7799-1:1995: Mejores prácticas para ayudar a las empresas británicas a administrar
la Seguridad de la Información. Eran recomendaciones que no permitían la certificación ni
establecía la forma de conseguirla.
• 1998 – BS 7799-2:1999: Revisión de la anterior norma. Establecía los requisitos para
implantar un Sistema de Gestión de Seguridad de la Información certificable.
• 1999 – BS 7799-1:1999: Se revisa.
• 2000 – ISO/IEC 17799:2000: La Organización Internacional para la Estandarización (ISO)
tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar
grandes cambios.
• 2002 – BS 7799-2:2002: Se publicó una nueva versión que permitió la acreditación de
empresas por una entidad certificadora en Reino Unido y en otros países.
• 2005 – ISO/IEC 27001:2005 e ISO/IEC17799:2005: Aparece el estándar ISO 27001 como
norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005.
• 2007 – ISO 17799: Se renombra y pasa a ser la ISO 27002:2005
• 2007 – ISO/IEC 27001:2007: Se publica la nueva versión.

• 2009 – Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:

2009.
• 2013 se publica la nueva versión de la ISO 27001 que trae cambios significativos en su
estructura, evaluación y tratamiento de los riesgos [3].
Para facilitar su implementación aparecen adicionalmente varios documentos dentro de la serie

2700, dentro de ellos 2 de los más destacados son la ISO 27002: la cual corresponde a una guía de
implementación para los 114 controles establecidos en el anexo A de la 27001 y la 27003 la cual
brinda orientación sobre los requisitos para cualquier Sistema de Gestión de la Seguridad de la
Información (SGSI) como se especifica en la ISO/IEC 27001 y presenta recomendaciones
(‘debería’), posibilidades (‘puede’) y permisos (‘puede’) en relación con ellos.
En Colombia la 27001 es traducida y adoptada como NTC norma técnica colombiana. Mientras
que la 27002 y la 27003 son GTC guía técnica Colombia.
4. Definición De Los Objetivos Del Plan Director De Seguridad

El instituto ha definido dentro de su plan estratégico una serie de objetivos estratégicos, con el fin
de estar alineados a estos, se definen objetivos del plan director de seguridad de la información
que ayuden a su consecución, dichos objetivos propuestos son:
No Objetivos de seguridad de la información

1 Mejorar los servicios de información
2 Generar confianza a los clientes sobre el tratamiento de la información que proporcionan al instituto
3 Mejorar los niveles de seguridad de las aplicaciones que soportan los procesos misionales
4 Garantizar la disponibilidad de la información requerida en los procesos misionales
5 Atender de manera apropiada los incidentes de seguridad de la información
6 Prevenir la materialización de riesgos que afecten la seguridad de la información
7 Cumplir legalmente con el marco regulatorio colombiano a nivel de seguridad de la información
A continuación se describe como se alinean los objetivos de seguridad de la información con los
objetivos estratégicos establecidos por el instituto:
Objetivos de
Objetivos Estratégicos seguridad de la
información
Incursionar en nuevos mercados y ofrecer servicios de mayor valor agregado al cliente 1,2,3,4,7
Fortalecer el análisis y divulgación de información relevante para grupos de interés 1,2,4
Optimizar los proceso misionales 3,4,5,6,7
Fortalecer y posicionar el proceso de investigación 1,2,4
Generar una cultura de calidad e innovación en todos los niveles de la organización 1,3
Fortalecer el uso de la tecnología 1,3,6

5. Alcance
Teniendo en cuenta que el instituto ya cuenta con un sistema de gestión de calidad donde se han
identificado procesos, subproceso y procedimientos; se ha decidido acotar el alcance de la
implementación del SGSI a los procesos misionales del mapa de proceso de la entidad: Gestión
de diseño, análisis y divulgación; gestión de pruebas y operaciones y gestión de
investigaciones.
Figura 1 Mapa de procesos
A continuación se incluye un organigrama funcional de la organización, y un diagrama de red de

alto nivel con la infraestructura TI de la organización.

Figura 2. Organigrama
INTERNET
bps
INTE
00 M
ICFES
RNE
EDIFICIO ELEMENTO
T–1
DATACENTER PRINCIPAL
T–1
RNE
CALL ZONA FRANCA

CENTER ERP WAN - MPLS
00 M
INTE
HOSTING DEDICADO HOSTING VIRTUAL

bps
VLAN WIFI
LAN ICFES BD
VM
APLICACIONES
VLAN SERVERS FORTINET DATOS – 60 Mbps UTM

WAF
ps
AD DLP
0 Mb
COLOCATION
VLAN TELEFONIA
2
CENTRO DE COMPUTO ICFES DATACENTER ALTERNO

OS –
MEDELLIN
DAT
HOSTING DEDICADO
VLAN ÍTEMS
UTM
CONVENCIONES WAF BD
INFRAESTRUCTURA PRUEBAS ÍTEMS
Conexión WAN Router
Conexión LAN
Switch
Servidor
VM
Conmutador APLICACIONES
Firewall
Servidor Telefonia
HOSTING VIRTUAL
Figura 3. Diagrama de red de la infraestructura de TI

6. Análisis Diferencial
La norma NTC-ISO-IEC 27001 en su versión 2013 proporciona los requerimientos para
establecer, implementar, mantener y mejorar (de manera continua) un SGSI (Sistema de Gestión
de Seguridad de la Información). Este análisis determinó el nivel de cumplimiento de los
requerimientos de la ISO 27001 (apartado 4 al 10) además de cada uno de los 114 controles
pertenecientes a la norma mencionada en el anexo A; con el fin de establecer el estado actual de
cumplimiento del instituto frente a la norma.
Si bien, en el instituto, no se ha implementado un SGSI, existen controles o procesos y

procedimientos administrativos que demuestran avance en el nivel de cumplimiento de lo
establecido en la norma y la elaboración de este análisis diferencial le permitirá a la organización
conocer que tan distante está en lograr el cumplimiento de los requerimientos que la norma
específica para establecer un SGSI.
Para la elaboración del análisis se realizaron entrevistas con el personal del instituto responsable
de los procesos misionales y se revisó la documentación disponible relacionada con el alcance.
Escala de nivel de cumplimiento
De acuerdo a la información recabada de las entrevistas y revisión de documentos, se asignó un

nivel de cumplimiento a cada una de las cláusulas de la norma y cada uno de los controles del
anexo A con la siguiente escala:
% de Justificación
Cumplimiento
0%
El control no ha sido implementado. La Organización no ha reconocido que
0
hay un problema a tratar. No se aplican controles.
Inexistente
20%
1 La organización reconoce que existe un problema que debe ser tratado. No
Control existen procesos estandarizados sino procedimientos particulares aplicados
particular de a casos individuales (ad hoc), es decir que la implementación de un control
algunos depende de cada individuo y es principalmente reactiva.
colaboradores
40% Se desarrollan procesos dependientes de las personas y otras le siguen. No
2 hay una comunicación ni entrenamiento formal y la responsabilidad recae
Control aplicado, sobre los individuos. Excesiva confianza en el conocimiento de los
pero no individuos, por tanto, los errores son comunes. No hay formación ni
documentado comunicación formal sobre los procedimientos y estándares. Hay un alto
grado de confianza en los conocimientos de cada persona, por eso hay
probabilidad de errores.
60% Los procesos se definen, documentan y se comunican a través de
3 entrenamiento formal. Es obligatorio el cumplimiento de los procesos y por

% de Justificación
Cumplimiento
Control tanto la posibilidad de detectar desviaciones es alta. Los procedimientos por
formalizado, si mismos no son sofisticados pero se formalizan las prácticas existentes.
falta medición y
monitoreo
80% Existen mediciones y monitoreo sobre el cumplimiento de los
4 procedimientos y es posible tomar medidas de acción donde los procesos no
Control bajo estén funcionando eficientemente. Los procedimientos están bajo constante
mejora continua mejoramiento y aportan a la calidad y productividad. Normalmente
requiere de herramientas automatizadas para la medición.
100% Los procesos se depuran a nivel de buenas prácticas con base en los
5 resultados del mejoramiento continuo y los modelos de madurez de otras
Cumple con las empresas. Normalmente se cuenta con herramientas automatizadas de work
directrices flow que ayudan a la identificación de los elementos más débiles del
normativas proceso. Se recoge evidencia numérica que se usa para justificar la
aplicación de tecnología en áreas críticas. Se realiza un riguroso análisis de
causas y prevención de defectos
Resultados
El instituto ha venido realizando esfuerzos importantes en cuanto al establecimiento de buenas

prácticas de seguridad de la Información, a la protección de la confidencialidad, integridad y
disponibilidad de la información pero de manera general, y no se han oficializado
procedimientos para la gestión de la seguridad de la información diferentes a la atención de
incidentes y control de políticas de seguridad, por lo cual se encontró que el nivel de
cumplimiento que más prevalece en los requerimientos de la norma (apartado 4 al 10), es el de
inexistente con un 43%
Nivel de cumplimiento Requisitos

0. Inexistente 8,9,10
1. Proceso particular de algunos colaboradores 4,6
2. Proceso aplicado, pero no documentado 5,7
Tabla 1 Nivel de cumplimiento de cada requisito

Cumplimiento de los requerimientos

4. contexto
2
1,5
10. mejora 5. liderazgo
1
0,5
0
9. evaluación 6. planificación
8. operación 7 soporte
Figura 4 Diagrama de Telaraña nivel de cumplimiento de los requerimientos
Requerimientos por nivel de cumplimiento
29%
43%
28%
0. Inexistente
1. Procesos particulares de algunos colaboradores
2. Procesos aplicados, pero no documentados
Figura 5 Nivel de cumplimiento de los requerimientos
Para el caso de los controles del anexo A se encontró que el nivel de cumplimiento que más
prevalece también es el de Inexistente (24%), seguido por controles formalizados pero con falta
de medición y monitoreo (21%) como se puede observar en la siguiente figura.

Controles por nivel de cumplimiento
17% 24%
4%
21% 17%
17%
0. Inexistente
1. Control particular de algunos colaboradores
2. Control aplicado, pero no documentado
3. Control formalizado, falta medición y monitoreo
4. Control bajo mejora continua
5. Cumple con las directrices normativas
Figura 6 Nivel de cumplimiento de los Controles
Nivel de cumplimiento promedio
Los 114 controles del anexo A de la norma se agrupan en 14 dominios u objetivos de control, en
la siguiente ilustración se puede ver el nivel de cumplimiento promedio encontrado en cada uno
de los dominios de la norma:

Porcentaje de cumplimiento
70%
60%
50%
40%
30%
20%
10%
0%
Figura 7 Porcentaje de Cumplimiento de Cada Objetivo de Control
El objetivo de control con un nivel de cumplimiento mayor es el A.12 correspondiente a

Seguridad de las Operaciones, esto gracias a la utilización de un sistema de gestión de calidad con
procedimientos de operación que son modificados de forma controlada en caso de ser necesario
y al área de Infraestructura que ha establecido restricciones, procedimientos y registro de cierto
tipo de operaciones.
Sin embargo, la mayoría de los objetivos de control están ubicados en porcentajes por debajo del
50%, esto se explica por el corto tiempo de vida de la gestión de seguridad del instituto, los
recursos con que cuenta y porque la definición, establecimiento e implantación de un SGSI es una
tarea que hasta ahora se está iniciando.
Estas estadísticas se plasman también en la siguiente figura correspondiente al “diagrama de

telaraña” del análisis de diferencial.

Porcentaje de cumplimiento A.5 POLÍTICAS DE LA

SEGURIDAD DE LA
INFORMACIÓN
70% A.6 ORGANIZACIÓN DE LA
A.18 CUMPLIMIENTO SEGURIDAD DE LA
60% INFORMACIÓN
A.17 ASPECTOS DE 50% A.7 SEGURIDAD DE LOS
SEGURIDAD DE LA
40% RECURSOS HUMANOS
INFORMACIÓN DE LA…
30%
A.16 GESTIÓN DE
20%
INCIDENTES DE SEGURIDAD A.8 GESTIÓN DE ACTIVOS
DE LA INFORMACIÓN 10%
0%
A.15 RELACIONES CON LOS

A.9 CONTROL DE ACCESO
PROVEEDORES
A.14 ADQUISICIÓN,
DESARROLLO Y A.10 CRIPTOGRAFÍA
MANTENIMIENTO DE…
A.13 SEGURIDAD DE LAS A.11 SEGURIDAD FÍSICA Y
COMUNICACIONES DEL ENTORNO
A.12 SEGURIDAD DE LAS
OPERACIONES
Figura 8 Diagrama de Telaraña del Análisis de Brecha
Nivel de cumplimiento por número de controles
A continuación se detallan el número de controles por el nivel de cumplimiento que se

encuentran en el instituto.
Número de
Nivel de cumplimiento
controles
0. Inexistente 27
1. Control particular de algunos colaboradores 19
2. Control aplicado, pero no documentado 19
3. Control formalizado, falta medición y
monitoreo 24
4. Control bajo mejora continua 5
5. Cumple con las directrices normativas 20
Tabla 2 Número de controles por nivel de cumplimiento

Número de controles por estado de

cumplimiento
5. Cumple con las directrices normativas
4. Control bajo mejora continua
3. Control formalizado, falta medición y

monitoreo
2. Control aplicado, pero no documentado
1. Control particular de algunos

colaboradores
0. Inexistente
0 5 10 15 20 25 30
Figura 9 Diagrama de barras número de controles por nivel de cumplimiento
La siguiente tabla detalla el nivel de cumplimiento asignado a cada uno de los requerimientos de
la ISO 27001 (apartado 4 al 10), así como las observaciones que sustentan la calificación asignada
a cada uno de ellos:
Sección Descripción Cumplimiento Observaciones

Clausulas
ISO27001:2013
El Instituto está adelantando un proyecto de
establecimiento e implementación de un SGSI. Dentro de
este proyecto la organización está determinando los
Contexto de la Proceso particular de asuntos externos e internos que son importantes para su
4
Organización algunos colaboradores objetivo y que afectan su capacidad para lograr los
resultados esperados de su SGSI, está estudiando las
necesidades y expectativas de las partes interesadas, ha
definido el alcance del SGSI a 9 subprocesos.
La Alta Dirección ha iniciado el liderazgo con el SGSI por
medio de la asignación de recursos para la
Proceso aplicado, pero no implementación del SGSI. A la fecha se cuenta con una
5 Liderazgo
documentado política de seguridad de la información y se ha asignado
inicialmente la responsabilidad de gestionar la seguridad
de la información a la Dirección de tecnología.
Se identifican riesgos que necesitan ser cubiertos en
Proceso particular de relación a la seguridad de la información de manera
6 Planificación
algunos colaboradores general sin embargo no se consideran todos los
lineamientos referidos en la norma.
El Instituto ha determinado y proporcionado unos
recursos para el inicial establecimiento y definición del
Proceso aplicado, pero no
7 Soporte SGSI, ha realizado campañas de toma de conciencia y
documentado
mantiene información documentada en relación a los
temas de seguridad de la información.

Sección Descripción Cumplimiento Observaciones

Clausulas
ISO27001:2013
Hasta el momento el Instituto no ha iniciado con la
8 Operación Inexistente operación del SGSI dado que este está en etapa de
definición y establecimiento.
Evaluación del
9 Inexistente operación del SGSI dado que este está en etapa de
desempeño
10 Mejora Inexistente operación del SGSI dado que este está en etapa de
Tabla 3 Niveles de cumplimiento para los requerimientos de la norma
Posterior al análisis de los requerimientos se realiza el análisis de los controles y la siguiente

tabla detalla el nivel de cumplimiento asignado a cada uno de ellos así como las observaciones
que sustentan la calificación asignada:
Dominio, objetivos Estado del

Descripción
Sección de control y cumplimiento Observaciones
Dominio
Controles del control
A.5 Políticas de Seguridad
Orientación de la
Dirección para la
A.5.1
gestión de la seguridad
de la información
Actualmente se cuenta con una política general
Control
Políticas para la publicada en la Intranet aprobada por la anterior
Políticas de formalizado,
A.5.1.1 seguridad de la dirección de Tecnología. Sobre esta política se
Seguridad falta medición
información efectuaron hasta 2017 campañas de comunicación
y monitoreo
a funcionarios de la entidad.
La política general de seguridad fue actualizada
Revisión de las Control por última vez en 2017 de acuerdo a lo que indica
Políticas de políticas para la formalizado, el procedimiento H3.P1. Sobre las políticas
A.5.1.2
Seguridad seguridad de la falta medición adicionales de seguridad no se actualizan desde
información y monitoreo 2016 ya que no se ha identificado la necesidad de
hacerlo.
Organización de la
A.6 Seguridad de la
Información
A.6.1 Organización Interna


Descripción
Dominio
No se cuentan con roles definidos a nivel general.
La Dirección de Tecnología y la Subdirección de
Información son las responsables de seguridad de
la información para la entidad, pero no se han
Organización Roles y Control definido roles formalmente, se tienen buenas
de la Seguridad Responsabilidades de particular de practicas, se asignan recursos, se cuenta con los
A.6.1.1
de la Seguridad de la algunos roles del Líder de Seguridad de la Información, y el
Información Información colaboradores Analista de Información quienes coordinan las
actividades de seguridad en el instituto junto con
el apoyo del personal de infraestructura,
arquitectos de datos y de aplicación, DBA y demás
involucrados.
Organización Control De forma informal se tienen roles separados para
de la Seguridad aplicado, pero las áreas de responsabilidad. No se cuenta con
A.6.1.2 Separación de deberes
de la no matriz de segregación sobre los activos de la
Información documentado entidad.
Organización Control Se cuentan con contactos de autoridades
de la Seguridad Contacto con las formalizado, conocidos por parte de la líder de seguridad de la
A.6.1.3
de la autoridades falta medición información. Sin embargo, estos no se encuentran
Información y monitoreo formalizados ni establecidos a nivel de entidad.
Se tienen contactos con los Equipos de Respuesta
de Incidentes Informáticos CSIRT de La Policía
Organización Control Nacional de Colombia, con el CCP (Centro
de la Seguridad Contacto con grupos particular de Cibernético policial) para el reporte de delitos
A.6.1.4
de la de interés especial algunos informáticos, sin embargo se debe establecer
Información colaboradores contacto con grupos de seguridad de la
información que ayuden en la resolución de dudas
o foros de aprendizaje.
Se incluye en los diferentes proyectos cláusulas de
confidencialidad de la información, de
Organización Control cumplimiento de las políticas de seguridad
Seguridad de la
de la Seguridad particular de existentes, se tienen actividades ad hoc de
A.6.1.5 información en la
de la algunos seguridad de la información, sin embargo se debe
gestión de proyectos
Información colaboradores involucrar más a los responsables de seguridad en
los diferentes proyectos de la entidad para apoyar
a nivel de seguridad de la información.
Dispositivos móviles y
A.6.2
teletrabajo
Organización
No se cuenta con política para la utilización de
de la Seguridad Política para
A.6.2.1 Inexistente dispositivos móviles. Se tiene infraestructura
de la dispositivos móviles
tecnológica con buenas prácticas de seguridad.
Información
No se cuenta con política para la protección de la
Organización Control información en teletrabajo. Se cuenta con medidas
de la Seguridad aplicado, pero de seguridad en las bases de datos, en los
A.6.2.2 Teletrabajo
de la no servidores, en el FTP, y en diferentes lugares
Información documentado donde se puede acceder remotamente a la
información de la entidad.
Seguridad de los
A.7
Recursos Humanos


Descripción
Dominio
Antes de asumir el
A.7.1
empleo
Para todo tipo de cargos, se realiza únicamente
verificación documental de antecedentes por
Seguridad de medio de validación de los documentos
A.7.1.1 los Recursos Selección Inexistente entregados. A la fecha no se ha implementado
Humanos procedimientos de seguridad relacionados al
personal de acuerdo al nivel de información que se
maneja.
Control Se firman acuerdos de confidencialidad con
Seguridad de Términos y
particular de contratistas antes de empezar funciones dentro de
A.7.1.2 los Recursos condiciones del
algunos la entidad en el cual se establecen las
Humanos empleo
colaboradores responsabilidades en seguridad de la información.
A.7.2 Durante el empleo
Los empleados y contratistas son enterados del

Control acuerdo de confidencialidad antes de su acceso a la
Seguridad de
Responsabilidades de particular de información a la compañía y se les comunica de
A.7.2.1 los Recursos
la dirección algunos forma anual una campaña de concienciación
Humanos
colaboradores acerca de sus responsabilidades de la seguridad de
la información.
Se presentó hasta 2017 una campaña de
Concienciación sobre concienciación donde se presenta la necesidad de
Control
Seguridad de la seguridad de la cumplir con las políticas de seguridad definidas y
formalizado,
A.7.2.2 los Recursos información, la se provee procedimientos básicos de seguridad.
falta medición
Humanos educación y la Actualmente se tiene gran número de empleados
y monitoreo
formación que no han recibido la campaña por su reciente
ingreso.
Se cuenta con un proceso disciplinario formal que
Control
Seguridad de tiene a modo general sanciones disciplinarias en
formalizado,
A.7.2.3 los Recursos Proceso disciplinario caso de violaciones a la seguridad de la
falta medición
Humanos información, sin embargo debe actualizarse y
y monitoreo
puntualizarse.
Terminación y cambio
A.7.3
de empleo
En el contrato de trabajo se establecen las
Seguridad de Terminación o cambio Cumple con las
responsabilidades de seguridad de la información
A.7.3.1 los Recursos de responsabilidades directrices
que permanecen validas después de su
Humanos de empleo normativas
finalización.
A.8 Gestión de Activos
Responsabilidad de los
A.8.1
activos
Se tiene un inventario de hardware relacionado a
servidores de procesamiento de información y
Control
también el inventario del software, siendo esta
Gestión de formalizado,
A.8.1.1 Inventario de Activo responsabilidad del área de Infraestructura de la
Activos falta medición
entidad, también se cuenta con un inventario
y monitoreo
inicial de información el cual es gestionado por la
oficina de planeación.


Descripción
Dominio
El propietario general de los activos es el instituto,
y este a su vez asigna responsabilidades sobre los
Control
diferentes encargados de los activos físicos,
Gestión de Propietario de los aplicado, pero
A.8.1.2 hardware, software y de información, sin embargo
Activos activos no
para una mejor gestión es importante contar con
documentado
un inventario de activos que los relacione con sus
propietarios.
La entidad cuenta con un documento donde se
Control detalla el uso aceptable de los activos. Sin
Gestión de Uso aceptable de los formalizado, embargo, este solo se viene entregando por parte
A.8.1.3
Activos activos falta medición de los encargados de manejar la infraestructura de
y monitoreo redes del instituto y no se maneja por parte de los
equipos alquilados por el área de abastecimiento.
Cumple con las En la Dirección de Abastecimiento se encuentra la
Gestión de Devolución de los
A.8.1.4 directrices oficina de almacén que genera un paz y salvo de
Activos activos
normativas activos requerido para la finalización del contrato.
Clasificación de la
A.8.2
información
Actualmente se cuenta con una política de
Control clasificación de información que no se utiliza dado
Gestión de Clasificación de la particular de que se está haciendo el levantamiento de
A.8.2.1
Activos información algunos información de acuerdo a directrices de GEL para
colaboradores el cumplimiento de la Ley de transparencia y
acceso a la información pública.
Gestión de Etiquetado de la No se cuenta con un esquema de clasificación o
A.8.2.2 Inexistente
Activos información procedimientos de etiquetado de información.
Se cuenta con una política de clasificación de la
Control información. Adicionalmente para la información
Gestión de aplicado, pero de ítems, personal, estadística e instrumentos se
A.8.2.3 Manejo de activos
Activos no cuenta con una herramienta DLP que permite
documentado establecer restricciones y alertas de transporte a la
información.
A.8.3 Manejo de medios
Gestión de Gestión de medios No se cuenta con procedimientos para la gestión
A.8.3.1 Inexistente
Activos removibles de medios removibles dentro de la entidad.
No se cuenta con procedimientos para la gestión
Gestión de Disposición de los de medios removibles dentro de la entidad. Se
A.8.3.2 Inexistente
Activos medios realiza una disposición de medios para los
utilizados por parte de los diagramadores.
Los medios extraíbles que deben ser
Control bajo
Gestión de Transferencia de transportados tanto de copia de seguridad como
A.8.3.3 mejora
Activos medios físicos de pruebas electrónicas se realiza por medio de
continua
empresa externa con protocolos de seguridad.
A.9 Control de accesos
Requisitos del negocio
A.9.1 para el control de
acceso


Descripción
Dominio
No se cuenta con una política de control de acceso
Control de Política de control de documentada. A la fecha la separación de roles se
A.9.1.1 Inexistente
accesos acceso realiza por conocimiento informal de la entidad
por parte de quien asigna.
No se cuenta con separación formal de accesos a la
red de la entidad para funcionarios y contratistas.
Control bajo A nivel de servicios, se encuentran separados en
Control de Acceso a redes y
A.9.1.2 mejora VLANs independientes los servicios de red de NAS,
accesos servicios en red
continua impresión, administración, servidores y gestión
documental a los que únicamente se puede tener
acceso dentro de la VLAN correspondiente.
Gestión de acceso de
A.9.2
usuarios
Registro y cancelación
Control de No se cuenta con un proceso formal de registro y
A.9.2.1 del registro de Inexistente
accesos cancelación de usuarios.
usuarios
Control de Suministro de acceso No se cuenta con un proceso de registro y

A.9.2.2 Inexistente
accesos de usuarios cancelación de usuarios.
Los accesos privilegiados a nivel de infraestructura

Control
y servidores los maneja el área de Infraestructura
Control de Gestión de derechos de aplicado, pero
A.9.2.3 de la entidad. A nivel de base de datos se
accesos acceso privilegiado no
encuentran únicamente asignados al DBA de la
documentado
entidad.
No se cuenta con un proceso formal de asignación

y entrega de esta información de autenticación
Gestión de secreta de usuarios es decir contraseñas e acceso a
Control de información de aplicativos, red y demás. A la fecha los datos de
A.9.2.4 Inexistente
accesos autenticación secreta autenticación son entregados por medio de texto
de usuarios claro en la respuesta del caso de mesa de ayuda o
de forma personal para los accesos directos a
bases de datos.
Control El área de Infraestructura realiza una revisión
Revisión de los
Control de particular de sobre la utilización de accesos sobre el directorio
A.9.2.5 derechos de acceso de
accesos algunos activo. Sin embargo, no se realiza revisión del
usuarios
colaboradores LDAP de los aplicativos PRISMA.
Para los empleados se retiran los permisos de
Control acceso al directorio activo de forma inmediata
Control de Retiro o ajuste de los aplicado, pero después de la notificación por parte de Talento
A.9.2.6
accesos de derechos de acceso no Humano. En el caso de contratistas al no contarse
documentado con esta información, se retiran después de 90 días
de inactividad en su ingreso.
Responsabilidades de
A.9.3
los usuarios


Descripción
Dominio
Aunque se cuenta con un ítem dentro de la política
de contraseñas y se han comunicado a empleados
Control de Uso de información de
A.9.3.1 Inexistente y contratistas, esta no se exige formalmente a los
accesos autenticación secreta
usuarios y no se ha castigado un uso indebido de la
misma.
Control de acceso al
A.9.4
sistema y aplicaciones
Se cuenta con roles a nivel de aplicación y bases de
Control datos que restringen los accesos a la información y
Restricciones de
Control de formalizado, las funciones de los sistemas que son
A.9.4.1 acceso a la
accesos falta medición administrados por medio de delegación. Sin
información
y monitoreo embargo, a la fecha no se cuenta con la política de
gestión de accesos.
Se maneja usuario/contraseña para las
Control aplicaciones misionales mientras que para las
Control de Procedimiento de formalizado, aplicaciones relacionadas a la construcción de
A.9.4.2
accesos ingreso seguro falta medición ítems se maneja autenticación con LDAP
y monitoreo independiente. Para la totalidad de aplicaciones se
registran los intentos de ingreso al sistema.
La entidad no cuenta con un sistema de gestión de
Control de Sistema de gestión de contraseñas que permita la administración
A.9.4.3 Inexistente
accesos contraseñas centralizada de contraseñas y que asegure la
calidad de las contraseñas utilizadas.
A través de una restricción por medio de GPO, se
tiene control sobre la instalación y ejecutables que
Uso de programas Cumple con las
Control de no sean aprobados por la entidad. De igual forma
A.9.4.4 utilitarios directrices
accesos si se encuentran utilidades no autorizadas en los
privilegiados normativas
casos de soporte, mesa de ayuda procede a
deshabilitarlos.
Se cuenta con un sistema SVN en el cual se
Control de acceso a Cumple con las configuran los accesos de los desarrolladores al
Control de
A.9.4.5 códigos fuente de directrices código fuente de la compañía. Para la modificación
accesos
programas normativas de este repositorio se debe realizar un control de
cambios que es estudiado por la entidad.
A.10 Criptografía
Controles
A.10.1
criptográficos
Política de uso de La entidad no cuenta con una política de uso de

A.10.1.1 Criptografía controles Inexistente controles criptográficos sobre el uso de estos para
criptográficos protección de la información.
La entidad no cuenta con una política de gestión de

A.10.1.2 Criptografía Gestión de llaves Inexistente
llaves criptográficas.
Seguridad física y del
A.11
entorno
A.11.1 Áreas seguras


Descripción
Dominio
Actualmente se cuenta con perímetros definidos
para el centro de cómputo interno, centro de
cómputo externo, banco de ítems y archivo físico.
El centro de cómputo externo cuenta con
Control
características de Tier III que asegura perímetro
Seguridad física Perímetro de particular de
A.11.1.1 seguro para el manejo de información. Sin
y del entorno seguridad física algunos
embargo, los perímetros definidos para el archivo
colaboradores
físico y el área de diagramadores se encuentran
separados por puertas que no ofrecen un nivel de
seguridad acorde al nivel de confidencialidad de la
información.
Aunque se cuentan con control biométrico para
acceso al piso, este se encuentra autorizado para la
totalidad de colaboradores del instituto. De igual
forma el acceso al área de gestores de ítems no
cuenta con protección física dado el
desmantelamiento de la puerta y las áreas de
Control
diagramadores y archivo físico se encuentran
Seguridad física Controles de acceso particular de
A.11.1.2 protegidos por una puerta simple con mecanismo
y del entorno físicos algunos
de apertura biométrico. Finalmente, las cámaras
colaboradores
de seguridad instaladas en el área de diagramación
únicamente cubren 3 de la totalidad de los
diagramadores. Por lo anterior, se puede concluir
que los controles de seguridad física para el área
de construcción de ítems no cumplen las
condiciones de seguridad requeridas.
Control A nivel general las oficinas de la entidad cuentan
Seguridad de oficinas,
Seguridad física aplicado, pero con protección biométrica en cada entrada,
A.11.1.3 recintos e
y del entorno no protección física en la recepción y cámaras de
instalaciones
documentado seguridad vigiladas por la oficina de vigilancia.
El centro de cómputo se encuentra ubicado en el
piso 30 de la entidad para las aplicaciones
Control relacionadas a Ítems. Sin embargo, no se cuenta
Protección contra las
Seguridad física particular de con protección visible contra fuego y no se conoce
A.11.1.4 amenazas externas y
y del entorno algunos si el edificio de la entidad cumple con normas de
ambientales
colaboradores sismo resistencia. Para los demás aplicativos de la
entidad, se cuenta con los equipos dentro del
Datacenter de Level3 categorizado como Tier3.
A la fecha se aplican procedimientos informales de
Control
trabajo seguro, tales como aseguramiento de áreas
Seguridad física Trabajo en áreas particular de
A.11.1.5 vacías, control de acceso interno y verificación de
y del entorno seguras algunos
la no-entrada de equipos de fotografía o de
colaboradores
grabación.
No se cuenta con procedimientos formales o
Seguridad física Áreas de despacho y informales que permitan realizar una separación
A.11.1.6 Inexistente
y del entorno carga de las áreas de despacho y carga de las áreas de
procesamiento de información.
A.11.2 Equipos


Descripción
Dominio
Los equipos relacionados con el procesamiento de
información cuentan con protección por medio de
Cumple con las
Seguridad física Ubicación y protección separaciones de área, siendo estas cubiertas por
A.11.2.1 directrices
y del entorno de equipos protecciones de acceso, controles biométricos,
normativas
agente limpio para control de incendios y cámaras
de vigilancia infrarrojas.
Se cuenta con protección de falla contra suministro
eléctrico por medio de una UPS establecida
Cumple con las
Seguridad física Servicios de únicamente para el centro de cómputo y
y del entorno suministro redundancia de aire acondicionado. En el caso de
normativas
los equipos ubicados en Datacenter este cuenta
con protección de acuerdo al estándar TIER III.
El cableado de datos dentro de las instalaciones es
Cumple con las del tipo CAT 7A protegido contra interferencias e
Seguridad física
A.11.2.3 Seguridad del cableado directrices interceptaciones. En cuanto a corriente eléctrica,
y del entorno
normativas este cableado es del tipo RTIR protegido contra
interferencias.
Se tiene contemplado un mantenimiento anual de
Control los equipos pero este no se realiza hace 2 años.
Seguridad física Mantenimiento de los aplicado, pero Para las utilidades de soporte del centro de
A.11.2.4
y del entorno equipos no equipos, se realiza mantenimiento mensual. Para
documentado los equipos que están sin garantía no existe
contrato de mantenimiento.
Se tiene contemplado que el retiro de equipos de
Control las instalaciones se debe solicitar al área de
Seguridad física aplicado, pero abastecimiento por medio de un caso de mesa de
A.11.2.5 Retiro de activos
y del entorno no ayuda para que sea autorizado por el jefe del
documentado funcionario que retira el activo. Sin embargo, este
proceso no está operando de esta forma a la fecha.
Seguridad de equipos No se aplican medidas de seguridad a los activos
Seguridad física
A.11.2.6 y activos fuera de las INEXISTENTE que se encuentran fuera de las instalaciones o
y del entorno
instalaciones salen temporalmente de las mismas.
En algunos casos, los servidores que se han dado
de baja por daño de disco, se les hizo borrado
seguro de disco mediante destrucción de RAID y
Control formateo a bajo nivel. Para los equipos con
Disposición segura o
Seguridad física aplicado, pero información crítica de ítems, se pasan a
A.11.2.7 reutilización de
y del entorno no destrucción con prensa hidráulica y acido de los
equipos
documentado discos duros acompañados de fotografía y testigos.
Sin embargo cuando los equipos de los
colaboradores son dispuestos para ser reusados
no se tiene en cuenta este tipo de procedimientos.
A nivel de equipos de escritorio se cuenta con una
Control
política de bloqueo sin embargo no funciona para
Seguridad física Equipo de usuario formalizado,
A.11.2.8 todos los equipos. A nivel de aplicaciones, se
y del entorno desatendido falta medición
cuenta con un bloqueo por inactividad cuyo
y monitoreo
tiempo varía según la aplicación.


Descripción
Dominio
Se cuenta con un ítem dentro de la política de
Control
Política de escritorio estaciones de trabajo donde se establece la
Seguridad física formalizado,
A.11.2.9 limpio y pantalla obligatoriedad de mantener información
y del entorno falta medición
limpia confidencial bajo resguardo. Sin embargo, no se
y monitoreo
cuenta con política de pantalla limpia.
Seguridad de las
A.12
operaciones
Procedimientos
A.12.1 operacionales y
responsabilidades
Procedimientos de Cumple con las
Seguridad de Los procedimientos de operación dentro del
A.12.1.1 operación directrices
las operaciones alcance se encuentran documentados y publicados.
documentados normativas
Se cuenta con un proceso que se debe realizar
antes de hacer cambios a los procesos de negocio
Control bajo en operación. Para los sistemas de información se
Seguridad de
A.12.1.2 Gestión de cambios mejora realiza un proceso de control de cambios. Sin
las operaciones
continua embargo, para la aplicación de registro - citación
con saber pro no se cuenta con un proceso de
control de cambios.
Control Se realiza monitoreo de recursos a través de las
Seguridad de Gestión de la formalizado, herramientas de monitoreo de virtualización de
A.12.1.3
las operaciones capacidad falta medición VMWare. Sin embargo el crecimiento de recursos
y monitoreo se da por necesidades de las áreas únicamente.
Para los aplicativos que corren sobre la plataforma
Separación de los Control
Prisma se cuenta con ambientes separados de
Seguridad de ambientes de aplicado, pero
A.12.1.4 desarrollo, pruebas y producción. Sin embargo
las operaciones desarrollo, pruebas y no
para la plataforma Interactivo solo se cuenta con
operación documentado
ambientes de producción y pruebas.
Protección contra
A.12.2
códigos maliciosos
Se cuenta con una suite de antivirus Symantec
Cumple con las EndPoint para todas las máquinas y servidores de
Seguridad de Controles contra
A.12.2.1 directrices la entidad. A su vez, a los usuarios se les hace
las operaciones códigos maliciosos
normativas campañas de concienciación anuales sobre estos
riesgos para generar conciencia.
A.12.3 Copias de respaldo
Se cuenta con un procedimiento de copias de
seguridad documentado, que se ejecuta a través de
Cumple con las
Seguridad de Respaldo de la 2 librerías LTO5 Symantec Backup Excel. La
las operaciones información ejecución de pruebas a las copias de seguridad se
normativas
realizan semestralmente pero no se encuentran
formalizadas.
A.12.4 Registro y seguimiento
Control Se conservan los registros de actividad y errores

Seguridad de particular de de sistemas para su revisión en el momento de una
A.12.4.1 Registro de eventos
las operaciones algunos falla. Sin embargo, no existe un sistema de
colaboradores correlación de eventos.


Descripción
Dominio
Para las aplicaciones relacionadas a ítems, se
guarda registro de acceso, modificación y
Control
Protección de la eliminación de archivos por medio de auditoría al
Seguridad de aplicado, pero
A.12.4.2 información de sistema operativo. Estos registros se almacenan en
las operaciones no
registro un servidor de archivos donde solo tiene acceso
documentado
infraestructura. Se cuenta con la plataforma DLP
para la prevención de fuga de información.
Por carácter contractual, las actividades de los
Control operadores y administradores del Datacenter
Registros del
Seguridad de aplicado, pero externo se encuentran registradas, protegidas y
A.12.4.3 administrador y del
las operaciones no revisadas de forma mensual. Para el Datacenter
operador
documentado interno, no se cuenta con un proceso de registro de
actividades ejecutadas por los administradores.
Cumple con las La entidad cuenta con un servidor de tiempo
Seguridad de Sincronización de
A.12.4.4 directrices (NTP) interno al cual las máquinas y servidores se
las operaciones relojes
normativas sincronizan.
Control de software
A.12.5
operacional
Se cuenta con una política de seguridad que
restringe la instalación de software. Así mismo se
Instalación de Cumple con las impide la ejecución de software diferente al
Seguridad de
A.12.5.1 software en sistemas directrices aprobado en máquinas. En cuanto a equipos de
las operaciones
operativos normativas procesamiento de información la instalación de
software se restringe por la capacidad de acceso al
mismo.
Gestión de la
A.12.6
vulnerabilidad técnica
Se cuenta con un procedimiento que exige
Control pruebas de hacking ético que se ejecuta
Gestión de las
Seguridad de aplicado, pero anualmente con un proceso de mitigación de
A.12.6.1 vulnerabilidades
las operaciones no riesgo de acuerdo al informe, siendo esta
técnicas
documentado mitigación responsabilidad de los dueños de cada
aplicación o activo.
Se cuenta con una política de seguridad que
restringe la instalación de software. Así mismo se
Restricciones sobre la Cumple con las impide la ejecución de software diferente al
Seguridad de
A.12.6.2 instalación de directrices aprobado en máquinas. En cuanto a equipos de
las operaciones
software normativas procesamiento de información la instalación de
software se restringe por la capacidad de acceso al
mismo.
Consideraciones sobre
A.12.7 auditorías de sistemas
de información
La entidad realiza auditoria de TI a los
Control
Controles de auditoría procedimientos establecidos en el SGC, esta
Seguridad de particular de
A.12.7.1 de sistemas de auditoría la realiza la oficina de Control Interno,
las operaciones algunos
información adicionalmente cuenta con un consultor de TI que
colaboradores
verifica las políticas de los sistemas y aplicativos.


Descripción
Dominio
Seguridad en las
A.13
comunicaciones
Gestión de la
A.13.1
seguridad de las redes
El equipamiento de red, se gestiona por medio de
usuarios y contraseñas que posee el área de
Seguridad en Control bajo infraestructura y controlado su acceso por medio
A.13.1.1 las Controles de redes mejora de VLAN independiente a los switches y firewalls.
comunicaciones continua Sin embargo, a nivel de equipos de red no se
controlan los equipos conectados a la red interna
de la entidad.
Existen acuerdos internos que son los establecidos
Control
Seguridad en por la mesa de ayuda para los servicios de red,
Seguridad de los formalizado,
A.13.1.2 las para los servicios externos son los acuerdos que se
servicios de red falta medición
comunicaciones firman en el contrato con la empresa que tenga el
y monitoreo
canal de internet, el canal de datos y el datacenter.
A la fecha se encuentran creadas VLAN para
Seguridad en Cumple con las
Separación en las usuarios, gestión de switches, servidores, servicios
A.13.1.3 las directrices
redes internos, administración, Datacenter, externos,
comunicaciones normativas
telefonía y circuito cerrado de televisión.
Transferencia de
A.13.2
información
Se tiene dentro de los contratos de empleados,
Políticas y Control contratistas y proveedores, acuerdos de
Seguridad en
procedimientos de aplicado, pero confidencialidad firmados para la transferencia de
A.13.2.1 las
transferencia de no información. A nivel técnico, se cuenta con la
comunicaciones
información documentado herramienta PGP para cifrar la información crítica
de la entidad.
Control Existen diferentes tipos de acuerdos de
Seguridad en Acuerdos sobre
particular de transferencia de información con otras entidades,
A.13.2.2 las transferencia de
algunos sin embargo estos no han sido formalizados y
comunicaciones información
colaboradores estandarizados.
Control A la fecha se maneja encriptado de información
Seguridad en
formalizado, por medio de PGP a la información estadística de la
A.13.2.3 las Mensajería electrónica
falta medición entidad y DLP para bloquear la divulgación no
comunicaciones
y monitoreo autorizada de ítems.
Control Las diferentes áreas determinan las necesidades
Seguridad en Acuerdos de
formalizado, de confidencialidad de la información y las plasma
A.13.2.4 las confidencialidad o de
falta medición regularmente en las plantillas de acuerdos de
comunicaciones no divulgación
y monitoreo confidencialidad que son actualizadas.
Adquisición, desarrollo
A.14 y mantenimiento de
sistemas
Requisitos de
seguridad de los
A.14.1
sistemas de
información


Descripción
Dominio
Análisis y
Adquisición,
especificación de A la fecha la adquisición de sistemas no cuenta con
desarrollo y
A.14.1.1 requisitos de Inexistente requisitos de seguridad dentro de los términos de
mantenimiento
seguridad de la referencia.
de sistemas
información
La información involucrada en los servicios de las
aplicaciones que pasan a través de redes públicas,
Adquisición, Control para algunas aplicaciones utilizan un protocolo
Seguridad de servicios
desarrollo y particular de https. Sin embargo la transmisión de una gran
A.14.1.2 de las aplicaciones en
mantenimiento algunos parte de información a terceros se realiza por
redes públicas
de sistemas colaboradores medio de servicios básicos de internet que no
cuentan con protección de integridad o
confidencialidad.
La información manejada dentro de la entidad y
que debe ser transportada a su Datacenter por
Adquisición, Protección de las
Cumple con las transacciones de aplicaciones se encuentra cifrada
desarrollo y transacciones de los
A.14.1.3 directrices por medio de una VPN establecida entre los FWs
mantenimiento servicios de las
normativas perimetrales y protegida por medio de
de sistemas aplicaciones
enrutamiento directo por parte del proveedor de
comunicaciones.
Seguridad en los
A.14.2 procesos de desarrollo
y de soporte
Para las aplicaciones de la plataforma Prisma, se
Adquisición, Control
cuenta con un procedimiento formal a nivel del
desarrollo y Política de desarrollo formalizado,
A.14.2.1 equipo de desarrollo, de control de cambios. A la
mantenimiento seguro falta medición
fecha se está construyendo este procedimiento
de sistemas y monitoreo
para la plataforma Interactivo.
Adquisición, Control Para las aplicaciones de la plataforma Prisma, se
Procedimientos de
desarrollo y formalizado, cuenta con un procedimiento formal de control de
A.14.2.2 control de cambios en
mantenimiento falta medición cambios. A la fecha se está construyendo este
sistemas
de sistemas y monitoreo procedimiento para la plataforma Interactivo.
Revisión técnica de las Al momento de hacer cambios en las plataformas
aplicaciones después de operación, se realizan pruebas de operación
desarrollo y formalizado,
A.14.2.3 de cambios en la sobre las aplicaciones que funcionan sobre esta.
mantenimiento falta medición
plataforma de Sin embargo, no se realizan pruebas de seguridad
de sistemas y monitoreo
operación que identifiquen posibles vulnerabilidades.
Adquisición,
Restricciones en los No se cuentan con restricciones a cambios
desarrollo y
A.14.2.4 cambios a los paquetes Inexistente sugeridos de aplicaciones o plataformas ya
mantenimiento
de software existentes.
de sistemas
A la fecha únicamente el desarrollo de la
Adquisición, Control plataforma Prisma se realiza siguiendo una lista de
Principios de
desarrollo y formalizado, verificación establecida con principios de
A.14.2.5 construcción de los
mantenimiento falta medición desarrollo seguro que deben cumplir los
sistemas seguros
de sistemas y monitoreo desarrolladores mientras modifican el código de la
aplicación.
Adquisición,
La información de los ambientes productivos se
desarrollo y Ambiente de
A.14.2.6 Inexistente copia a los ambientes de pruebas sin ningún tipo
mantenimiento desarrollo seguro
de limpieza o depuración.
de sistemas


Descripción
Dominio
La entidad exige que los sistemas contratados
desarrollo y Desarrollo contratado aplicado, pero
A.14.2.7 externamente cumplan con criterios de seguridad,
mantenimiento externamente no
que son establecidos en los anexos técnicos.
de sistemas documentado
Adquisición,
Se realizan pruebas de funcionalidades de
desarrollo y Pruebas de seguridad
A.14.2.8 Inexistente seguridad periódicamente, pero únicamente para
mantenimiento de sistemas
algunas aplicaciones.
de sistemas
De acuerdo a los requerimientos que dieron pie al
desarrollo, se procede al finalizar a registrar en un
acta la aceptación de los requerimientos, así
Adquisición, Control mismo los casos de uso son el resultado de la
desarrollo y Pruebas de aceptación formalizado, formalidad o aceptación del desarrollo y cambios.
A.14.2.9
mantenimiento de sistemas falta medición Sin embargo hace falta establecer programas de
de sistemas y monitoreo pruebas específicas de seguridad para la
aceptación y criterios de aceptación de sistemas de
información nuevos actualizaciones y nuevas
versiones.
A.14.3 Datos de prueba
Se ha implementado un formato para la
transferencia de datos de producción a pruebas
que debe ser autorizado por el jefe inmediato,
donde es revisado por el subdirector de
desarrollo y Protección de los datos aplicado, pero
A.14.3.1 información y por el DBA de la entidad estos datos
mantenimiento de prueba no
son seleccionados y modificados para que no
de sistemas documentado
correspondan con los datos reales. A nivel de
registro se cuenta con los registros de los export e
import sin embargo estos no son revisados.
Relaciones con los
A.15
proveedores
Seguridad de la
información en las
A.15.1
relaciones con
proveedores
De forma contractual, se obliga a los proveedores a
cumplir la política de seguridad de la información
Política de seguridad Control
de la entidad que incluye los controles de la
Relaciones con de la información para formalizado,
A.15.1.1 entidad sobre los activos de la organización. Sin
los proveedores las relaciones con falta medición
embargo, no se incluyen manejo de incidentes de
proveedores y monitoreo
seguridad, programas de concienciación o manejo
de información en las instalaciones del proveedor.
Se tiene unos controles asociados al tipo de
Tratamiento de la
Control bajo proveedor y de acuerdo a la definición del analista
Relaciones con seguridad dentro de
A.15.1.2 mejora de infraestructura y al tipo de contrato
los proveedores los acuerdos con
continua formalizados a través del acuerdo de
proveedores
confidencialidad integrado al contrato.
Cadena de suministro No se cuenta con acuerdos de proveedores
Relaciones con de tecnología de relacionados a requisitos de seguridad
los proveedores información y relacionados a proveedores de comunicaciones y
comunicación servicios de tecnología de información.


Descripción
Dominio
Gestión de la
A.15.2 prestación de servicios
de proveedores
La entidad delega a los supervisores de contratos,
Seguimiento y revisión la responsabilidad de hacer seguimiento, revisión
Relaciones con
A.15.2.1 de los servicios de los Inexistente y auditoría de los contratos de prestación de
los proveedores
proveedores servicios sin que esta actividad se realice de forma
constante.
A la fecha no se gestionan los cambios en el
Gestión de cambios en
Relaciones con suministro de servicios de proveedores ni se les
A.15.2.2 los servicios de los Inexistente
los proveedores informa de cambios en políticas, procedimientos y
proveedores
controles de seguridad de la información.
Gestión de incidentes
A.16 de seguridad de la
información
Gestión de incidentes y
mejoras en la
A.16.1
seguridad de la
información
Se cuenta con un procedimiento de gestión de
incidentes de seguridad de información que detalla
Gestión de Control
la detección e investigación del incidente más no la
incidentes de Responsabilidades y formalizado,
A.16.1.1 respuesta y mitigación, bajo responsabilidad de la
seguridad de la procedimientos falta medición
Sub Dirección de Información. Este procedimiento
información y monitoreo
cuenta con una persona asignada para la gestión
de incidentes de seguridad.
Los usuarios tienen conciencia de que se considera
Gestión de Control un incidente de seguridad para la entidad Y
Reporte de eventos de
incidentes de formalizado, realizan los reportes por los medios asignados que
A.16.1.2 seguridad de la
seguridad de la falta medición son la mesa de ayuda, el correo electrónico o
información
información y monitoreo directamente al personal de seguridad del
información o Dirección de tecnología.
En las campañas de concienciación se ha explicado
Gestión de Control el tema de reportar debilidades encontradas pero
Reporte de debilidades
incidentes de particular de no se obliga a los funcionarios a realizar el reporte.
A.16.1.3 de seguridad de la
seguridad de la algunos Actualmente los funcionarios no están conscientes
información
información colaboradores de la imposibilidad de explotar las
vulnerabilidades que tengan conocimiento.
Gestión de Evaluación de eventos
A la fecha todo evento de seguridad es tramitado
incidentes de de seguridad de la
A.16.1.4 Inexistente como incidente de seguridad sin realizarle un
seguridad de la información y
proceso de clasificación previa.
información decisiones sobre ellos
Gestión de Control Se cuenta con un procedimiento de gestión de
Respuesta a incidentes
incidentes de aplicado, pero incidentes de seguridad de información que detalla
A.16.1.5 de seguridad de la
seguridad de la no la detección e investigación del incidente y el plan
información
información documentado de acción a seguir para la mitigación del mismo.


Descripción
Dominio
Semestralmente, se realiza por parte de la Gestora
Gestión de Aprendizaje obtenido de Seguridad de la Información un proceso de
Cumple con las
incidentes de de los incidentes de análisis de los incidentes presentados en los
seguridad de la seguridad de la últimos 6 meses que permiten tener un
normativas
información información aprendizaje de los incidentes ocurridos y una
propuesta para evitarlos a futuro.
Actualmente no se cuenta con un proceso definido
Gestión de Control de levantamiento e identificación de información
incidentes de Recopilación de aplicado, pero que pueda ser usado como evidencia en procesos.
A.16.1.7
seguridad de la evidencia no En caso de ser necesario, se cuenta con el apoyo
información documentado del CSIRT de la Policía Nacional para
levantamiento de información forense.
Aspectos de la
seguridad de la
A.17 información de la
gestión de continuidad
de negocio
Continuidad de
A.17.1 seguridad de la
información
Aspectos de la
seguridad de la Planificación de la
A la fecha la entidad no ha determinado sus
información de continuidad de la
A.17.1.1 Inexistente requisitos y controles de seguridad de la
la gestión de seguridad de la
información en caso de situaciones adversas.
continuidad de información
negocio
Aspectos de la
seguridad de la Implantación de la La entidad no cuenta con procesos,
información de continuidad de la procedimientos y controles que mantenga el nivel
la gestión de seguridad de la de seguridad requerido durante una situación
continuidad de información adversa.
negocio
Desde 2016 se cuenta en la entidad con una matriz
Aspectos de la
Verificación, revisión y de controles de seguridad de la información que
seguridad de la Control
evaluación de la han sido establecidos o que están en proceso de
información de particular de
A.17.1.3 continuidad de la ser implementados junto con su responsable. Sin
la gestión de algunos
seguridad de la embargo, una vez se implementa el control, no se
continuidad de colaboradores
información realiza seguimiento para asegurar que son válidos
negocio
y eficaces durante situaciones adversas.
A.17.2 Redundancias
Aspectos de la Las bases de datos de aplicaciones misionales se
seguridad de la Disponibilidad de encuentran replicadas a nivel de Datacenter de
Cumple con las
información de instalaciones de proveedores. Para las aplicaciones relacionadas a
la gestión de procesamiento de ítems, se cuenta con un proceso de copias de
normativas
continuidad de información seguridad que les permite cumplir los
negocio requerimientos de disponibilidad requeridos.
A.18 Cumplimiento
Cumplimiento de
A.18.1 requisitos legales y
contractuales


Descripción
Dominio
Identificación de la A la fecha la entidad no cuenta con la
legislación aplicable y documentación de estatutos, reglamentos y
A.18.1.1 Cumplimiento Inexistente
de los requisitos contratos para los sistemas de información de la
contractuales entidad.
De forma contractual, se obliga a los funcionarios y
contratistas entregar los derechos de propiedad
intelectual a la entidad para mantener el control
Derechos de Cumple con las
de la información creada por terceros. A nivel de
A.18.1.2 Cumplimiento propiedad intelectual directrices
productos de software se cuenta con una
(DPI) normativas
herramienta técnica que permite realizar
inventario de los equipos e identificación de los
productos instalados para el control de licencias.
A la fecha no se cuenta con un inventario de
información que permita identificar los requisitos
Control legislativos, de reglamentación, contractuales y de
particular de negocio que le aplican. Sin embargo existen
A.18.1.3 Cumplimiento Protección de registros
algunos controles de seguridad que son aplicados para dar
colaboradores cumplimiento a las obligaciones legales que cada
área conoce que debe cumplir producto de la
experiencia del personal.
La entidad cuenta un proceso definido para
Privacidad y Control realizar las aprobaciones del tratamiento de la
protección de formalizado, información personal por parte de las personas
A.18.1.4 Cumplimiento
información de datos falta medición que se inscriben para usar los servicios que ofrece
personales y monitoreo el instituto a través de la aprobación indirecta por
parte de la entidad educativa que las inscribe.
Reglamentación de
La entidad no utiliza controles criptográficos en su
A.18.1.5 Cumplimiento controles Inexistente
operación.
criptográficos
Revisiones de
A.18.2 seguridad de la
información
Actualmente la auditoría de calidad de la entidad
Revisión Control revisa de forma trimestral el diseño de los
independiente de la aplicado, pero
procedimientos de seguridad y su implementación
A.18.2.1 Cumplimiento
seguridad de la no real dentro de la entidad sin realizar revisiones
información documentado sobre la gestión de seguridad de la información y
su implementación.
Se hacen revisiones con regularidad del
Control
Cumplimiento con las cumplimiento de los controles implementados en
particular de
A.18.2.2 Cumplimiento políticas y normas de la entidad hasta el momento por el área de
algunos
seguridad tecnología, Sin embargo algunos aspectos de las
colaboradores
políticas no son revisados.
Anualmente se realiza un hacking ético que valida
Cumple con las
Revisión del el cumplimiento de políticas y normas de
A.18.2.3 Cumplimiento directrices
cumplimiento técnico seguridad de la información de forma técnica e
normativas
identifica diferencias contra lo diseñado.
Tabla 4 Niveles de cumplimiento para los controles de la norma

7. Política de Seguridad
La dirección general establece una política de seguridad que es la declaración general que
representa su compromiso de cumplir con los requisitos aplicables al instituto relacionados con
la seguridad de la información y de mejora continua del sistema de gestión de seguridad de la
información, asegurando la protección de los activos de información (el personal, la información,
los procesos, las tecnologías de información incluido el hardware y el software), que soportan los
procesos de la Entidad y apoyan la implementación del Sistema de Gestión de Seguridad de la
Información.
El objetivo de La política de seguridad del Instituto es:
“Gestionar y cumplir las políticas de seguridad y los procedimientos establecidos para
proteger los activos de información, minimizar los riesgos, así como desarrollar,
implementar, mantener, y mejorar continuamente el sistema de gestión de seguridad de la
información el cual debe estar orientado a preservar los 3 pilares fundamentales de la
seguridad:
Confidencialidad: la información es accesible solamente a quienes están autorizados para
ello.
Integridad: la información y métodos de procesamiento deben ser completos y exactos.
Disponibilidad: la información y los recursos asociados deben estar disponibles cuando se
requieren.”
• Revisión y divulgación de la política y los objetivos de seguridad de la
información:
La política y los objetivos de seguridad de la información son revisados y actualizados por
el Comité Directivo en coordinación con la Dirección de Tecnología e Información. Es
responsabilidad del cuerpo directivo conjuntamente con el líder de seguridad, la
divulgación de las políticas y objetivos de seguridad de la información, los mecanismos de
seguimiento y evaluación de los elementos que componen el SGSI.
6.1 Principios de la Seguridad de la Información
Los principios de la Seguridad de la Información son la Confidencialidad, Integridad y

Disponibilidad que se cumplen con la implementación de los controles definidos en el SGSI con
base en la gestión de riesgos para los activos de los procesos dentro del alcance del Sistema.
Para poder cumplir con estos principios son necesarias condiciones como las que se describen a
continuación:
• No Repudio: Los controles que establecen las pruebas de integridad y el origen de los datos,
de tal manera que se pueda responsabilizar al personal, proveedores y/o clientes de una
Entidad con los incumplimientos de la Política de seguridad de la Información.
• Autenticación: Los mecanismos que permiten verificar la identidad de un usuario en un
sistema de información o aplicación.

• Control de acceso: Mecanismos que permiten restringir el uso de la información con base en
las Políticas de seguridad de la información establecidas.
6.2 Adopción Del Sistema De Seguridad De La Información y Compromiso De La Alta
Dirección
El Sistema de Gestión de Seguridad de la Información se adopta mediante la Resolución 01

basado en la Norma Técnica NTC-ISO-IEC 27001 versión 2013. El Sistema de Gestión de
Seguridad de la Información se define como el conjunto de políticas, procedimientos y controles
para proteger la confidencialidad, integridad y disponibilidad de la información del Instituto,
mitigando los riesgos al nivel aceptado por la Dirección General.
La Junta Directiva, la Dirección General, así como todos los Directores, Subdirectores y Jefes de
Oficina del Instituto manifiestan su compromiso con el Sistema de Gestión de Seguridad de la
Información como un apoyo fundamental para el cumplimiento de sus objetivos y metas.
6.3 Estructura De Documentos
La estructura jerárquica de documentos que compone el SGSI es la siguiente:
1. Manuales
2. Políticas
3. Procedimiento
4. Guías
5. Formatos
6.4 Cumplimiento de los requisitos
Se establece que el instituto debe cumplir con los requisitos de la norma ISO 27001 de la
siguiente forma:
Contexto
El análisis del contexto de la organización se debe alinear con el análisis realizado en el sistema
de gestión de calidad del instituto.
Liderazgo
• LIDERAZGO Y COMPROMISO: La Dirección General del Instituto asume el Liderazgo y

Compromiso desde la emisión de la resolución que formaliza el SGSI; que como acto
administrativo exige el cumplimiento de nuevas responsabilidades para todos los funcionarios de
la Entidad. La Dirección General debe verificar que el SGSI está alineado con la misión y objetivos
del Instituto y realizar la gestión necesaria para que se suministren los recursos necesarios
señalados en las Políticas, Procedimientos y Controles.

• POLÍTICA: La dirección general establece una política de seguridad de la información la cual

contiene políticas y procedimientos específicos adecuados a los objetivos del instituto.
• ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN: Se define que la
gestión del SGSI estará dentro de la SUBDIRECCIÓN DE INFORMACIÓN y se oficializa el rol de
Líder de Seguridad quien será el responsable por este sistema. Los roles y responsabilidades se
encuentran definidos en cada una de las políticas, procedimientos, manuales y guías que
soportan el sistema, así como en las actividades conducentes a la implementación de controles
establecidas en el plan de tratamiento de riesgos.
Adicionalmente, y en general, todos los funcionarios, contratistas y proveedores del instituto se
encuentran en la obligación de reportar cualquier tipo de anomalía detectada que pueda
considerarse como candidato para un incidente de seguridad de la información tal como lo
explican las diferentes políticas, procedimientos y controles que hacen parte del SGSI.
PLANIFICACIÓN
• ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES: Fue definido un proceso de gestión

de riesgos de seguridad documentado dentro del SGSI que define la valoración y tratamiento de
los riesgos de seguridad de la información. La implementación de este proceso se encuentra
registrado en los documentos de la metodología de análisis de riesgos de seguridad de la
información y el plan de tratamiento de riesgos.
• OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN: Se encuentran definidos en el punto 3
del documento.
SOPORTE
• RECURSOS: El Instituto debe proveer los recursos necesarios para cumplir con las políticas,
procedimientos y la implementación de los controles definidos en el SGSI.
• COMPETENCIA: Considerando que la implementación del SGSI establece nuevas
responsabilidades se hacen necesarias las competencias señaladas en el control de Selección de
Personal en el SGSI.
• TOMA DE CONCIENCIA: Todos los funcionarios deben asumir las nuevas responsabilidades
que trae el SGSI y conocer las implicaciones del incumplimiento de las mismas.
• COMUNICACIÓN: El Líder de Seguridad debe mantener una comunicación fluida con todo el
personal del Instituto respecto al surgimiento de nuevas amenazas, identificación de
vulnerabilidades, cambios en la legislación y en general lo que aplique sobre políticas,
procedimientos y controles del SGSI.
• INFORMACIÓN DOCUMENTADA: El SGSI del Instituto se encuentra respaldado por la
documentación exigida por la Norma ISO 27001:2013 tal como se describe en la sección 7 del
presente documento.
OPERACIÓN

• PLANIFICACIÓN Y CONTROL OPERACIONAL: Se debe dar prioridad a la implementación de

los controles con base en el nivel de los riesgos para los cuales fueron definidos, es decir en su
orden Riesgos Extremos y Altos.
• VALORACIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN: Semestralmente se
debe llevar a cabo la ejecución del proceso de valoración de riesgos de seguridad de la
información basándose en la Metodología de Análisis de Riesgos del SGSI. Este proceso que debe
ser liderado por el Líder de Seguridad, puede ejecutarse cuando se presenten también grandes
cambios que puedan afectar la seguridad de la información como son: migraciones, cambios en la
legislación o incidentes graves de seguridad de la información.
• TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN: Debe ejecutarse de
acuerdo al análisis de riesgos, definiendo un Plan de Tratamiento de Riesgos, donde los controles
deben implementarse cuando los riesgos identificados estén por encima del NRA (Nivel de Riesgo
Aceptable).
EVALUACIÓN DEL DESEMPEÑO
• SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN: El Líder de Seguridad es el responsable

por esta tarea y para esto debe hacer uso de los indicadores definidos en el SGSI y la verificación
de los objetivos de la seguridad. Los indicadores a su vez son diligenciados por los responsables
de cada procedimiento tal como está estipulado en la documentación.
• AUDITORÍA INTERNA: Se deberá llevar a cabo una auditoría interna al menos una vez al año
para evaluar el grado de implementación y madurez del SGSI en los procesos y procedimientos
definidos en el alcance.
• REVISIÓN POR LA DIRECCIÓN: La Dirección General debe realizar revisiones al SGSI teniendo
en cuenta: la retroalimentación de las partes interesadas, los resultados de la auditoría interna
ejecutada anualmente, los informes de los indicadores del sistema.
MEJORA
• NO CONFORMIDADES Y ACCIONES CORRECTIVAS: La detección de las no conformidades

puede presentarse con las auditorías internas y con la acción de revisión y chequeo permanente
de los resultados de la gestión de seguridad de la información por parte del Líder de Seguridad y
los Líderes de los Procesos.
• MEJORA CONTINUA: Las políticas, procedimientos y controles deben ser revisados

permanentemente sobre la base de los resultados de su ejecución para identificar puntos de
mejora en los que se busque la eficacia y eficiencia de los recursos utilizados.
INFORMACIÓN DOCUMENTADA:
A. Políticas y Procedimientos

A continuación se presenta la lista de Políticas y Procedimientos que componen el SGSI del

Instituto, en cada nombre de la Política o Procedimiento, entre paréntesis se menciona la
referencia dentro del Anexo A de la Norma ISO 27001:2013, que establece los objetivos de
control y controles de referencia.
1. Política General (A.5.1.1)
a. Procedimiento disciplinario formal para violaciones de la seguridad de la
información (A.7.2.3)
b. Procedimientos de operación (A.12.1.1)
c. Procedimientos de gestión de incidentes de seguridad de la información
(A.16.1.1)
d. Procesos y procedimientos para asegurar la continuidad de la S.I. en situaciones
adversas (A.17.1.2)
2. Política para dispositivos móviles (A.6.2.1)
3. Política Teletrabajo (A.6.2.2)
4. política de control de acceso (A.9.1.)
a. Procedimiento de acceso seguro a sistemas y aplicaciones (A.9.4.2)
b. Procedimientos para trabajo en áreas seguras (A.11.1.5)
5. Política para el uso de activos (A.8.1.3)
a. Procedimiento para la clasificación de activos de información (A.8.2.1)
i. Guía para la clasificación de activos de información
ii. Matriz de Inventario activos de información
b. Procedimientos para el etiquetado de información (A.8.2.2)
c. Procedimientos para el manejo de activos (A.8.2.3)
d. Procedimientos para la gestión de medios removibles (A.8.3.1)
6. política del uso de controles criptográficos (A.10.1.1)
7. política de gestión de llaves criptográficas (A.10.1.2)
8. Política de escritorio limpio y Política de pantalla limpia (A.11.2.9)
9. Política de copias de respaldo (A.12.3.1)
a. Procedimientos formales para la disposición de medios en desuso (A.8.3.2)
10. Política de transferencia de información (A.13.2.1)
11. Política de desarrollo seguro (A.14.2.1)
a. procedimiento para instalación de software (A.12.5.1)
b. Procedimientos para el cumplimiento de requisitos legales de D.P.I y uso de
Software patentado (A.18.1.2)
12. Política para la relación con proveedores (A.15.1.1)
B. PROCESOS
A continuación se presenta la lista de procesos que componen el SGSI del Instituto, en cada
nombre del proceso, entre paréntesis se menciona la referencia dentro del capítulo o Anexo A de
la Norma ISO 27001:2013, que establece los objetivos de control y controles de referencia, luego
se mencionan los documentos que hacen referencia a su cumplimiento.
1. Proceso de valoración de riesgos de seguridad de la información (6.1.2)
a. Metodología para el análisis de riesgos de seguridad de la información
b. Mapa de riesgos de seguridad de la información

2. Proceso de tratamiento de riesgos de la seguridad de la información (6.1.3)

3. Procesos necesarios para para cumplir los requisitos de SI
4. Proceso de registro y cancelación de usuarios (A.9.2.1)
a. política de control de acceso
5. Proceso de suministro de acceso a usuarios a sistemas y servicios (A.9.2.2)
6. Proceso para la asignación de información de autenticación secreta (A.9.2.4)
C. Otra información documentada
A continuación se presenta una lista de documentos adicionales que componen el SGSI.

1. Inventario de activos
2. Evidencia de la competencia del personal
3. Resultados de las valoraciones de los riesgos de SI
4. Resultados del tratamiento de los riesgos de SI
5. Resultados de monitoreo y medición del desempeño de la SI
6. Evidencia de la implementación del programa de auditoria y de los resultados de esta
7. Evidencia de los resultados de las revisiones por la dirección
8. Evidencia de naturaleza de no conformidades y acciones posteriores tomadas
9. Evidencia de resultados de acciones correctivas
8. Procedimiento de Auditorías Internas

Este procedimiento define las auditorias de seguridad de la información que se llevaran a cabo
durante cada año para el periodo comprendido entre el 1 de enero y el 31 de diciembre de cada
año, los requisitos y objetivos de estas. Esta planeación se realiza para los próximos 3 años
(vigencia de la certificación) y se tendrá en cuenta que para realizar la auditoria de los 114
controles del anexo A de la norma se realizara de la siguiente forma:
• Primer año: controles de los siguientes dominios:
A.5 Políticas De La Seguridad De La Información

A.6 Organización De La Seguridad De La Información
A.7 Seguridad De Los Recursos Humanos
A.8 Gestión De Activos
A.9 Control De Acceso
• Segundo año: controles de los siguientes dominios:
A.10 Criptografía
A.11 Seguridad Física Y Del Entorno
A.12 Seguridad De Las Operaciones
A.13 Seguridad De Las Comunicaciones
A.14 Adquisición, Desarrollo Y Mantenimiento De Sistemas

• Tercer año: controles de los siguientes dominios:
A.15 Relaciones Con Los Proveedores

A.16 Gestión De Incidentes De Seguridad De La Información
A.17 Aspectos De Seguridad De La Información De La Gestión De La Continuidad Del Negocio
A.18 Cumplimiento

Tipo de fecha Equipo

No Proceso Áreas Objetivo Alcance fecha final criterio recursos
auditoria inicial auditor
1 Auditor
Dirección general
líder
Auditar la gestión del SGSI en
todas las actividades
relacionadas con los procesos
Dirección de misionales: Gestión de diseño, Norma ISO 1 Auditor
Procesos evaluación análisis y divulgación; gestión 27001, 3
Auditoria de Realizar una auditoria interna
1 contemplados en el de pruebas y operaciones y 01/03/2018 5/03/2018 Esquema computadores
primera parte al SGSI del instituto
alcance del SGSI gestión de investigaciones, de documental portátiles
Dirección de acuerdo con lo establecido en del sistema
producción y la norma ISO 27001:2013, la
operaciones documentación del sistema y la 2
declaración de aplicabilidad expertos
Dirección de
tecnología e
información
1 Auditor
Dirección general Realizar una auditoría técnica líder
de los controles de seguridad
Dirección de Realizar una auditoría técnica de la información establecidos
evaluación a los controles de seguridad para el primer año en los
Procesos Dirección de de la información procesos misionales: Gestión Anexo A de 3
Auditoria de
2 contemplados en el producción y implementados en la de diseño, análisis y 01/09/2018 08/09/2018 la Norma ISO computadores
primera parte 2
alcance del SGSI operaciones organización. de acuerdo con divulgación; gestión de pruebas 27001 portátiles
Auditores
la declaración de y operaciones y gestión de
Dirección de aplicabilidad investigaciones, de acuerdo
tecnología e con la declaración de
información aplicabilidad
1 Auditor
Dirección general Realizar una auditoría técnica líder
para establecer el nivel de
Realizar una auditoría técnica seguridad de la información de
Anexo A de
Dirección de a la infraestructura la infraestructura tecnológica,
Auditoría la Norma ISO
evaluación tecnológica, sistemas, sistemas, aplicaciones y 3
técnica de Procesos 27001,
3 aplicaciones y comunicaciones que sustentan 23/11/2018 24/11/2018 computadores
seguridad de la operativos Dirección de ISO/IEC/IEEE
comunicaciones que los procesos: Gestión de portátiles
información producción y 29119,
sustentan los procesos diseño, análisis y divulgación; 2
operaciones OWASP
misionales del instituto gestión de pruebas y expertos
operaciones y gestión de
Dirección de investigaciones
tecnología e
información
Tabla 5 Auditorías internas

Estructura de personas que conformarían el equipo auditor:
Teniendo en cuenta que el instituto, desea conformar un equipo para realizar auditorías internas
al SGSI implantado y operativo, con el personal que labora en la empresa. Se define al equipo
auditor así:
1. Auditor líder:
Formación: Ingeniero certificado como auditor líder de sistemas de gestión y certificado en ISO
27001:2013, quien deberá haber participado como miembro de equipo auditor en al menos 5
auditorías a sistemas de gestión de seguridad de la información y haber sido auditor líder en al
menos 3 auditorías a SGSI.
Responsabilidades: Debe ser el responsable último del resultado de la auditoría frente a la alta
dirección. Debe establecer y hacer cumplir los objetivos, el alcance, criterios y duración. Definir el
equipo auditor designando las características, roles y responsabilidades que debe tener cada
miembro. Liderar las reuniones de inicio y cierre. Se encarga de la categorización de las
evidencias como hallazgos, no conformidades, etc.
Habilidades: Liderazgo, solución de conflictos, capacidades de comunicación, previsión y
planificación.
2. Auditores:
Formación: Ingeniero certificado como auditor de sistemas de gestión y certificado en ISO

27001:2013, quien deberá haber participado como miembro de equipo auditor en al menos 3
auditorías a sistemas de gestión de seguridad de la información.
Responsabilidades: los auditores designados en el equipo auditor deben llevar a cabo las
siguientes funciones: Revisión documental del SGSI, revisión del análisis de riesgos, desarrollo de
informes y llevar a cabo las entrevistas pertinentes con el personal del instituto.
Habilidades: conocimiento en legislación aplicable al ámbito de la empresa y la seguridad de la
información, capacidades para identificar el contexto de las diferentes organizaciones,
capacidades de comunicación y observación, imparcialidad, honestidad, versátil, independiente y
estar abierto a otras opiniones y puntos de vista.
Experto:
Formación: Ingeniero de desarrollo de software, certificado como ceh v9: certified ethical hacker
versión 9 y certificaciones de desarrollo web con experiencia en la realización de ethical haking,
pruebas de penetración e identificación de vulnerabilidades a aplicaciones web y arquitecturas
tecnológicas que soporten aplicaciones web.
Responsabilidades: Llevar a cabo el análisis técnico de seguridad de la arquitectura de la

infraestructura tecnológica y los sistemas del instituto, evaluar el nivel de seguridad y la
pertinencia de los controles de seguridad implementados para cumplir con los requerimientos
del SGSI. Realizar los informes técnicos con los hallazgos y comunicarlos con el auditor líder y el
resto de integrantes del equipo de auditoria.

Habilidades: manejo de herramientas de seguridad, análisis técnico de infraestructuras que

soportan aplicaciones web y de desarrollo de aplicaciones web. Capacidad de identificar
vulnerabilidades y riesgos de seguridad de la información en sistemas tecnológicos y aplicaciones
web.
Planificación de las auditorias
Se establece un programa de auditoria anual donde se deben llevar a cabo 3 auditorías, Una
enfocada a la auditoría técnica de la seguridad de la información en busca de vulnerabilidades de
la infraestructura tecnológica, los sistemas de información y comunicación y las aplicaciones que
soportan los procesos del alcance; y otras 2 (semestrales) enfocada al SGSI de la organización.
La primera enfocada a auditar todo el sistema de acuerdo al alcance establecido para este
(revisión documental, revisión del cumplimiento de políticas, normas, procedimientos,
implementación de controles, etc.) y la segunda específica para los controles de seguridad de la
información implementados en la organización y su coherencia con la declaración de
aplicabilidad.
9. Gestión de Indicadores
A continuación se detallan los indicadores que servirán para medir la eficacia, eficacia y
efectividad del SGSI.
Nombre
FUENTE DE
del OBJETIVO DEL INDICADOR TIPO FÓRMULA VARIABLES
DATOS
indicador
Incidentes Cantidad de 1. Tiempo de respuesta del
Medir la Cantidad de Incidentes TRI incidente
de Eficacia incidentes (Σ TRI/NI)
de Seguridad de la Información
Seguridad reportados 2. NI Número de incidentes
Medir el nivel de concientización
del personal del instituto sobre 1. Cantidad promedio de
Encuesta de RC respuestas correctas
los temas de seguridad de la
toma de
Toma de información que se difundieron
Efectividad conciencia en (RC/PT)*100
Conciencia durante el periodo de acuerdo al
seguridad de 2. Cantidad de preguntas
cumplimiento del plan de
la información PT totales en la encuesta
concientización establecido para
el año.
Cantidad de 1. Cantidad de cuentas de
cuentas de CUT usuario totales
Gestionar las cuentas de usuario
usuario Cantidad de cuentas de
creadas versus el personal
creadas usuario genéricas (por
Gestión de actualmente vinculado al 2.
Cantidad (CUT- ejemplo
Cuentas de instituto con el fin de verificar Efectividad CUG
actual de CUG)/PV [email protected]
Usuario que no existan cuentas activas
personal m o [email protected])
para personal que se ha
vinculado
desvinculado de la Entidad. 3.
(planta y Personal vinculado
PV
contratistas)

Nombre
FUENTE DE
del OBJETIVO DEL INDICADOR TIPO FÓRMULA VARIABLES
DATOS
indicador
Medir la gestión de la capacidad
1. Alertas de capacidad
en los sistemas de información
Gestión de Alertas de AA atendidas
con base en la respuesta Eficiencia (AA/AG)*100
Capacidad capacidad
temprana sobre las alertas
2. Alertas de capacidad
generadas.
AG generadas
Tabla 6 Indicadores
10. Procedimiento: Revisión Por La Dirección

1. OBJETIVO
Establecer un procedimiento para la planificación, ejecución y toma de acciones en la Revisión
por la Dirección del Sistema de Gestión de Seguridad de la Información del instituto.
2. ALCANCE
Este procedimiento aplica a todas las revisiones por la dirección ejecutadas para el SGSI y sus
controles. Su uso es obligatorio para todo el personal, en las actividades que se encuentren
directamente relacionadas con la revisión por la dirección del SGSI.
3. RESPONSABILIDADES
Oficial de seguridad
• Liderar la revisión del SGSI, y debe convocarla al menos una vez al año.
• Apoyar los resultados de los acuerdos que se tomen en la Revisión por la Dirección, para la
mejora del Sistema de Gestión de Seguridad de la Información.
• Obtener la información para la revisión del comite y de registrar el resultado de la revisión
del SGSI en el mismo sistema.
• Solicitar revisiones extraordinarias a la dirección en los siguientes casos:
i. Cuando la revisión ordinaria del SGSI requiera de otra revisión adicional debido a la
complejidad o volumen de información a revisar.
ii. Debido a la criticidad de algún evento de seguridad, o cambios significativos que puedan
afectar la efectividad o continuidad del SGSI.
iii. Cuando la Dirección lo considere necesario para la toma de decisiones respecto al SGSI.
Comité de Seguridad de la Información
• Analizar y evaluar cada uno de los temas a tratar en las Reuniones de Revisión, con el apoyo
del Oficial de seguridad y los demás involucrados, para el sustento de cada uno de los puntos.
• Determinar acuerdos y acciones a tomar para la mejora del SGSI en base al análisis realizado.
• Solicitar reuniones extraordinarias de Revisión por la Dirección, de ser el caso.
4. DESARROLLO DEL PROCEDIMIENTO
Preparación de la Revisión

Para las revisiones del SGSI por la Dirección, el oficial de Seguridad de la Información deberá
contar con información de la operación del SGSI, que facilite la correcta toma de decisiones; dicha
información deberá incluir:
• El estatus de las acciones de las anteriores revisiones por la Dirección
• Cambios en los asuntos externos e internos que puedan afectar el SGSI.
• Retroalimentación sobre el desempeño de la Seguridad de Información:
o Incidentes y vulnerabilidades relevantes para el instituto.
o No conformidades y las acciones correctivas.
o Resultados del monitoreo y medición.
o Resultados de las auditorías.
o Cumplimiento de los objetivos de seguridad de la información.
• Retroalimentación de las partes interesadas.
• Resultados de la evaluación de los riesgos y estado actual del plan de tratamiento de los
riesgos.
• Oportunidades de Mejora Continua.
El Oficial de seguridad deberá asegurarse que la información de la operación del SGSI, requerida
para la revisión por la dirección, sea producida y almacenada de manera oportuna.
Planificación para la Revisión del SGSI por la Dirección

El oficial de seguridad debe coordinar la disponibilidad de todos los miembros del comité de
seguridad para la revisión del SGSI, a fin de definir el lugar, fecha, hora y asistentes: miembros del
comité y otros participantes convocados cuya participación sea pertinente para la reunión de
revisión. Una vez concluidas las coordinaciones, deberá registrar los datos de la reunión para la
revisión del SGSI y generar el reporte.
Realización de la Revisión del SGSI por la Dirección

El Oficial de seguridad da inicio a la reunión de revisión del SGSI y se procede a presentar el
Informe para la Revisión por la Dirección; para luego analizar y evaluarlo. Finalmente se
determinan acuerdos y acciones a tomar para la mejora del SGSI con base en el análisis realizado.
Elaboración de los Resultados de Revisión del SGSI por la Dirección

El Oficial de seguridad, durante el desarrollo de la reunión de revisión del SGSI, registra las
disposiciones de la dirección a tomar como resultado de la revisión.
Preparación del Acta

Finalmente, el Oficial de seguridad genera el Reporte de Resultados, que es impreso y donde los
participantes de la reunión firman el documento, como evidencia de la realización de la reunión.
Cierre del Acta

Una vez que el acta es aprobada, se da por concluida la revisión.

11. Gestión de Roles y Responsabilidades

En la implementación del SGSI se crea la oficina de seguridad de la información que estará dentro
de la subdirección de información, además del comité de seguridad, a continuación se detallan las
responsabilidades:
Alta dirección: El director general del instituto y los directores de cada área tiene la
responsabilidad de liderar y demostrar compromiso respecto al SGSI así:
• Asegurar que se establezcan las políticas y los objetivos de seguridad de la información y
que sean compatibles con la dirección estratégica del instituto.
• Asegurar la integración de los requisitos del SGSI en los procesos del instituto.
• Asegurar la disponibilidad de los recursos necesarios para el SGSI.
• Comunicar la importancia del sistema.
• Asegurar que se logren los resultados previstos del sistema.
Comité de Seguridad:
Está conformado por los directores, subdirectores y jefes de oficina del instituto. Además del
oficial de seguridad de la información, este comité debe controlar y gestionar las acciones
pertinentes para la implantación y gestión del SGSI, el responsable de cada área o departamento
debe apoyar el correcto levantamiento de activos de su área e identificación de riesgos de
seguridad asociados a su área, proceso de negocio y activos de información que los soportan.
Oficina de seguridad de la información:
Oficial de seguridad: Conocido popularmente como “CISO” por sus siglas en inglés chief
information security officer: “oficial principal de seguridad de la información”: Es el encargado de
reportar a la alta dirección los resultados del desempeño de la gestión del riesgo, el cumplimiento
y el gobierno de la seguridad de la información. El CISO debe conformar y dirigir el comité
corporativo de seguridad de la información, que debe ser integrado por personal de gerencia
media y alta de las diferentes áreas de la organización.
El CISO es el responsable del mantenimiento del Sistema de Gestión de Seguridad de la
Información de la organización, recibirá reporte de las actividades e iniciativas adelantadas por el
analista de Riesgos de TI, el analista de Seguridad de la Información, el analista de gestión de
incidentes y continuidad de negocios, así como el analista de cumplimiento y auditoria.
El CISO debe realizar las funciones de aseguramiento de calidad de los servicios prestados por los
analistas del área.
Analista de riesgos de seguridad de la información: Es el encargado de gestionar la

administración del riesgo de TI por medio de la planeación y coordinación de actividades como:
mantenimiento del inventario de activos, análisis y valoración de riesgos, concienciación en
aspectos de gestión del riesgo al interior de la organización, definición de los modelos de riesgo
aplicables a la organización, mantener las comunicaciones relativas a la gestión del riesgo con las
partes interesadas.

Analista de seguridad de la información: debe apoyar al CISO en la elaboración y

mantenimiento del modelo de gestión de seguridad de la información (Política General, Políticas
Específicas, Procedimientos y Guías). Se encarga de gestionar la medición del desempeño del
SGSI. Este analista debe asistir a los comités de gestión de cambios dando su concepto con
respecto a los aspectos de seguridad informática que cada cambio representa para la
organización y debe hacer cumplir las políticas de seguridad de la información.
Analista de gestión de incidentes y continuidad del negocio: Este analista está encargado de
apoyar al CISO en el establecimiento, implantación, prueba y mantenimiento del Plan de
Continuidad de Negocio de la organización, coordina el grupo de respuesta a incidentes de la
organización, dirige las reuniones de lecciones aprendidas y se encarga de actualizar las medidas
de desempeño del proceso de gestión de incidentes de la organización.
Analista de cumplimiento y auditorías: Este analista apoya al CISO en la asesoría y revisión del
cumplimiento de las normas y leyes aplicables a la organización respecto a aspectos de la
seguridad de la información.
Apoya al grupo de control interno (como auditor experto en Seguridad de la Información) en la
ejecución de auditorías internas relacionadas con los aspectos de Seguridad de la Información,
hará seguimiento de las acciones correctivas que se desprendan de hallazgos de auditorías
relacionadas con la Seguridad de la Información.
Resto del personal: tiene la responsabilidad de reportar cualquier incidente de seguridad de la

información y adicionalmente adquirir la formación y concienciación en materia de seguridad de
la información que requiera para el desarrollo de sus labores.
12. Metodología de Análisis de Riesgos

Los riesgos de seguridad de la información requieren ser gestionados para apoyar al Instituto con
su misión y objetivos institucionales. Este numeral presenta la Metodología para implementar el
ciclo continuo de identificación de riesgos de seguridad de la información, para los procesos y
subprocesos del instituto y así permitir la identificación de amenazas o fuentes de riesgo, causas,
vulnerabilidades y las posibles consecuencias con sus efectos o nivel de impacto para la entidad;
una vez identificados los riesgos se presentan las opciones para el Plan de Tratamiento con base
en los estándares y mejores prácticas de seguridad de la información como son ISO 27001, ISO
27005 e ISO 31000. El propósito es que esta Gestión de Riesgos sea alcanzada con la
implementación de un sistema de Gestión de Seguridad de la Información SGSI, el cual acopla de
manera sistemática los controles requeridos para el tratamiento de los riesgos identificados en el
ciclo continuo y acorde con la visión estratégica de la entidad.
1. OBJETIVO
Establecer una metodología documentada para la identificación, evaluación y gestión de los
riesgos de la seguridad de la información acorde con la Gestión de riesgo de la entidad y basada
en los estándares y mejores prácticas como son: ISO 31000, ISO 27001 e ISO 27005.

2. ALCANCE
El alcance de la Metodología aplica a todos los procesos además para que sea aplicado por los
líderes responsables de la Gestión de riesgos de seguridad de la información, las partes
interesadas y los gestores de calidad involucrados en procesos de esta índole.
3. METODOLOGÍA
La metodología de gestión de identificación, evaluación y gestión de riesgos de seguridad de la
información del Instituto está basada en la NTC-ISO 31000, NTC-ISO 27005 y NTC-ISO 27001, su
propósito es la identificación, estimación y evaluación de los riesgos de seguridad de la
información para definir un plan de tratamiento que se ajuste a la Estrategia de Gestión de
riesgos de Instituto.
La Gestión de riesgos de seguridad de la información es aplicada sobre los procesos del instituto,
donde los Líderes de cada proceso hacen la gestión para el cumplimiento de los objetivos
establecidos y de la misma forma deben tener la visión estratégica de los objetivos misionales del
Instituto para determinar el tratamiento del riesgo aceptable sobre los activos de información
involucrados en sus procesos. El tratamiento de los riesgos debe ser acorde a la realidad de la
entidad y para esto es necesario el mayor grado de precisión en la identificación y valoración de
dichos riesgos ya que una subvaloración expondrá al Instituto a riesgos no aceptables y una
sobrevaloración tendrá como consecuencia controles excesivos e inversiones no justificadas en
seguridad de la información.
3.1 IDENTIFICACIÓN DE RIESGOS

Es el primer paso del ciclo de Gestión de riesgos de seguridad de la información y su objetivo es
conocer el nivel de exposición de los activos de información o el nivel de incertidumbre para el
cumplimiento de los objetivos de Instituto frente a las amenazas aplicables al entorno del
funcionamiento de los procesos, es decir conocer los riesgos de seguridad de la información a los
cuales se encuentra expuesto. La identificación de riesgos es el proceso para encontrar,
reconocer y describir el riesgo de seguridad de la información.
La identificación del riesgo se realiza considerando el riesgo inherente es decir el que por su
naturaleza no se puede separar de la situación donde se presenta, es propio de las actividades
que conlleva el proceso relacionado.
El proceso de identificación de riesgos es el siguiente:
Identificación de los Activos de información

La primera medida en el proceso de identificación de los riesgos de seguridad de la información,
es realizar un inventario de los activos de información involucrados en el alcance definido para el
SGSI, para ello se debe seguir la guía del numeral 14, donde se describe el proceso a seguir para el

levantamiento de ese inventario y la valoración de los mismos, una vez realizada la valoración se
deben identificar los riesgos sobre aquellos activos calificados con importancia alta. De acuerdo
al enfoque mencionado en el numeral 15 Análisis de riesgos. Este enfoque está basado en eventos
que considera las fuentes de riesgo de una forma genérica. Los eventos considerados pueden
haber ocurrido en el pasado o se pueden prever para el futuro. En el primer caso, pueden
involucrar datos históricos, en el segundo caso se pueden basar en el análisis teórico y en
opiniones de expertos.
Identificación de las Causas

a) Identificación de amenazas o Fuentes de riesgo
Para reconocer los riesgos de seguridad de la información se debe identificar de ser posible el
proceso a los que afecta el riesgo además de sus causas, que podrían ser vulnerabilidades o
posibles amenazas de los activos que lo soportan, o activos que soportan el cumplimiento de los
objetivos del Instituto. La identificación de un riesgo puede tener una o más causas.
TIPOS DE AMENAZAS
Tomando como base las amenazas propuestas por ISO 27005, se presentan a continuación los
tipos de amenazas que podrían originar riesgos de seguridad de la información. Las amenazas
podrían ser de uno o varios tipos:
• [D.] – Deliberadas: Corresponde a las acciones ejecutadas por personas que bajo diferentes
motivaciones como pueden ser económicas, políticas, de reconocimiento, terrorismo o
sabotaje, pretendan afectar la confidencialidad, integridad y/o disponibilidad de los activos de
información del Instituto. Algunos ejemplos de amenazas deliberadas son: Uso no autorizado
del equipo, saturación del sistema de información, espionaje remoto, etc.
• [A.] – Accidentales: Acciones ejecutadas involuntariamente debido a desconocimiento,
descuido, cansancio o hechos fortuitos que puedan afectar la confidencialidad, integridad y/o
disponibilidad de los activos de información del Instituto. Algunos ejemplos de amenazas
accidentales son: daño físico del equipo, pérdida de suministro de energía, saturación del
sistema de información.
• [E.] – Entorno: eventos cuyo origen se encuentra en los equipos, infraestructura,
instalaciones, medio ambiente y que pueden llegar a afectar la confidencialidad, integridad
y/o disponibilidad de los activos de información del Instituto. Algunos ejemplos del entorno
son: daño físico del equipo por agua, impulsos electromagnéticos, radiación electromagnética.
Identificación de vulnerabilidades
Otras causas que podrían originar riesgos son la explotación de alguna vulnerabilidad que
presenten los activos de información, es decir una debilidad de cualquier tipo que compromete la
seguridad del instituto.

A continuación se presenta algunos ejemplos de vulnerabilidades tomadas del anexo D de la de la

norma ISO 27005. Dicho anexo presenta una lista más detallada que puede ser consultada para la
identificación de las vulnerabilidades que podrían originar riesgos:
Tipo de Ejemplos de vulnerabilidades

activo
Hardware Mantenimiento insuficiente/instalación
fallida de los medios de almacenamiento
Susceptibilidad a la humedad, el polvo y la
suciedad
falta de cuidado en la disposición final
Software Defectos bien conocidos en el software
habilitación de servicios innecesarios
descargas y uso no controlado de
software
Red Líneas de comunicación sin protección
Trafico sensible sin protección
Transferencia de contraseñas en claro
Personal Ausencia del personal
Procedimientos inadecuados de
contratación
Falta de conciencia acerca de la seguridad
Estructura Uso inadecuado o descuido del control de
física (lugar) acceso físico a las edificaciones y recintos
Ubicación en una área susceptible de
inundación
Ausencia de protección física de la
edificación, puertas y ventanas
Organización Ausencia de procedimiento formal para el
registro y retiro de usuarios
Ausencia de procedimiento formal para la
revisión(supervisión) de los derechos de
acceso
Ausencia de procedimientos para el
manejo de información clasificada
Tabla 7 Ejemplos de vulnerabilidades

3.2 ANALISIS DEL RIESGO

Valoración de Posibles Efectos /Consecuencias
Los posibles efectos son las consecuencias de la ocurrencia del riesgo sobre los activos de
información del instituto, con incidencias importantes que impediría que el Instituto cumpla su
misión de manera exitosa, tales como daños físicos, sanciones, pérdidas económicas, de
información, de bienes, de imagen, de credibilidad, de confianza e interrupción del servicio entre
otros.
Se tienen en cuenta dos variables importantes para la valoración del riesgo y son la probabilidad
y el impacto, las cuales tienen las siguientes escalas:
a) Probabilidad
Para cada riesgo identificado, se debe identificar el número de veces que este podría ocurrir en
un lapso determinado. Se toma como guía la siguiente tabla, sobre la base del conocimiento y
experiencia del funcionario responsable:
Valor
Valor Valor cuantitativo Probabilidad
cualitativo
Se espera que el evento ocurra en la mayoría de las
Casi seguro 5
circunstancias. Más de 1 vez en 6 meses.
El evento probablemente ocurrirá en la mayoría de las
Probable 4
circunstancias. Al menos una vez en los últimos 6 meses.
El evento podría ocurrir en algún momento. Al menos de 1 vez
Posible 3
en 1 año.
El evento puede ocurrir en algún momento. Al menos de 1 vez
Improbable 2
en 2 años.
El evento puede ocurrir solo en circunstancias excepcionales.
Raro 1
No se podría producir en 2 años.
Tabla 8 Probabilidad
b) Impacto
Para cada fuente de riesgo que llegue a aprovechar la vulnerabilidad o causa identificada,
considerando el contexto de la entidad, con el juicio del experto del proceso que se está
analizando se determina el efecto que tiene esta situación hipotética para el Instituto; para lo cual
se ha definido la siguiente tabla:
Valor Valor Criterio

cualitativo cuantitativo

Valor Valor Criterio

cualitativo cuantitativo
Si el hecho llegara a presentarse, tendría
Catastrófico 5 desastrosas consecuencias o efectos sobre la
entidad.
Si el hecho llegara a presentarse, tendría altas
Mayor 4
consecuencias o efectos sobre la entidad
Moderado 3 medianas consecuencias o efectos sobre la
entidad.
Si el hecho llegara a presentarse, tendría bajo
Menor 2
impacto o efecto sobre la entidad
Insignificante 1 consecuencias o efectos mínimos sobre la
entidad.
Tabla 9 Impacto o Efecto
3.3 EVALUACIÓN DEL RIESGO

Es la calificación del riesgo se realiza considerando la valoración para la Probabilidad y el
Impacto, es decir la estimación del riesgo se realiza con base en el resultado de estos dos
parámetros. Para esto se construye una tabla donde se cruzan estas variables, que por medio del
producto cartesiano se establezca el nivel del Riesgo, tal como se muestra a continuación:
IMPACTO
PROBABILIDAD
INSIGNIFICANTE MENOR MODERADO MAYOR CATASTRÓFICO
RARO BAJO BAJO MODERADO -oALTO ALTO
IMPROBABLE BAJO BAJO MODERADO ALTO EXTREMO
POSIBLE BAJO MODERADO ALTO EXTREMO EXTREMO
PROBABLE MODERADO ALTO ALTO EXTREMO EXTREMO
CASI SEGURO ALTO ALTO EXTREMO EXTREMO EXTREMO
Tabla 10 Matriz de calificación.
La tabla se aplica teniendo en cuenta los resultados de la actividad descrita en el punto 3.2 a)
Probabilidad donde se determina la Probabilidad de ocurrencia de la Consecuencia, es decir se
identifica si este será Raro, improbable, Posible, Probable o Casi Seguro, de esta manera se ubica
en la fila correspondiente al valor encontrado en esa identificación. Una vez se determina el valor
de la probabilidad, es decir la fila del producto cartesiano, se procede a encontrar el valor para la
columna, que corresponde al impacto que la consecuencia puede causar para la entidad tal como
también fue descrito en el punto 3.2 b) Impacto y que lo ubicará en uno de los valores:

Insignificante, Menor, Moderado, Mayor o Catastrófico. Una vez teniendo claro estos valores, se
tiene la fila y la columna que da como resultado el producto cartesiano que será la evaluación del
riesgo que lo llevará a uno de los niveles definidos de acuerdo con la tabla matriz de calificación:
Extremo, Alto, Moderado y Bajo.
La valoración depende del activo que se considera será afectado por la amenaza, vulnerabilidad o
fuente de riesgo identificada, esto visualizado con la valoración realizada en los aspectos de
Confidencialidad, Integridad y Disponibilidad.
Evaluación del riesgo residual

La evaluación del riesgo residual es el producto de confrontar los resultados de la evaluación del
riesgo con los controles identificados, es decir el resultante después de los controles existentes,
valorando si el tratamiento es acorde al criterio de aceptación de los responsables del riesgo
(gestión y seguimiento), en caso contrario estos controles deben ser mejorados o cambiados
según sea el caso. El análisis de un control existente consiste en verificar si su aplicación modifica
el riesgo acorde con el tratamiento esperado, esto ya que los controles son implementados en un
momento determinado y con el paso del tiempo el cambio de las amenazas, el valor de los activos
y el descubrimiento de vulnerabilidades, puede cambiar la eficacia de un control.
Para el cálculo de la probabilidad del riesgo residual se hará analizando los controles existentes,
de tal manera que se considerará si cada control está cumpliendo con la función asignada para
reducir la probabilidad de materialización al nivel que el riesgo resultante se encuentre dentro
del NRA. Es importante considerar que los controles trabajan en conjunto para reducir la
probabilidad de ocurrencia.
Selección de las opciones para el tratamiento del riesgo

Implica equilibrar los costos y los esfuerzos de la implementación frente a los beneficios
derivados con respecto a los requisitos legales reglamentarios y otros, es decir realizar la
evaluación frente a Niveles de Riesgo Aceptables (NRA) que una vez identificado el nivel del
riesgo, se lleva a cabo la evaluación del mismo para definir su tratamiento y para esto es
necesario aplicar el criterio de Aceptación de Riesgo que refleja la posición del Instituto para el
manejo que se debe dar ante cada riesgo identificado.
El Instituto debe establecer para los niveles de riesgo definidos es decir: bajo, moderado, alto y
extremo, los criterios de aceptación del riesgo para conocer cuáles son aceptados por Instituto
con base en la estrategia de riesgo Corporativa y la aprobación de la dirección general. De esta
forma para los niveles de riesgo que no sean aceptados se debe definir un Tratamiento de
Riesgos.
3.4 TRATAMIENTO DE RIESGOS

El tratamiento del riesgo consiste en seleccionar y aplicar las medidas más adecuadas, con el fin
de poder modificar el riesgo, para evitar de este modo los daños intrínsecos al factor de riesgo, o
bien aprovechar las ventajas que pueda reportarnos.
Para aquellos riesgos no aceptables por el Instituto y los que considere pertinentes, se debe
establecer un plan de mitigación que incluya la definición de controles a implementar, plazos,
responsabilidades (gestión y seguimiento), descripción de las tareas a realizar, fecha de inicio,
fecha de finalización, meta y plan de contingencia. Los escenarios de riesgos se visualizarán una
vez se aplique la metodología.
Según ISO 31000 las opciones de tratamiento de los riesgos no son necesariamente de mutua
exclusión o apropiados en todas las circunstancias. Las opciones se describen a continuación:
• Remover la fuente del riesgo: Implementar mecanismos que permitan eliminar el origen de
los riesgos identificados.
• Cambiar la Probabilidad: implementar mecanismos que dificulten la materialización de una
amenaza que por ende trae consigo la reducción de la probabilidad de ocurrencia. Esto se
logra con la implementación de sistemas de control de acceso, controles criptográficos y
trazabilidad entre otros que están contenidos dentro del plan de acción.
• Cambiar las consecuencias: Implementar mecanismos que ante la materialización de una
amenaza los resultados no causen daño para la Organización. Por ejemplo ante la amenaza de
un ataque de negación de servicio, lo cual es inherente al uso de Internet, se implementa un
sistema de detección y prevención de intrusiones para que estos intentos de ataque no causen
interrupción del servicio para los servidores protegidos.
• Evitar el riesgo: Esto corresponde a la decisión de no empezar o no continuar la actividad
que da origen al riesgo, por ejemplo si se determina que los riesgos de la tercerización de un
servicio genera riesgos inaceptables, se debe terminar ese esquema y pasar a prestar ese
servicio al interior de la Organización.
• Asumir o Aceptar el riesgo: Esto significa que ante la ocurrencia de una situación, que el
proceso decide convivir con los riesgos inherentes.
• Cambiar la Probabilidad: implementar mecanismos que dificulten la materialización de una
amenaza que por ende trae consigo la reducción de la probabilidad de ocurrencia. Esto se
logra con la implementación de sistemas de control de acceso, controles criptográficos y
trazabilidad entre otros que están contenidos dentro del plan de acción.
• Compartir el riesgo con terceras partes: Implementar mecanismos para transferir los
riesgos con terceros, esto normalmente equivale a la suscripción de pólizas de seguro,
acuerdos con proveedores y/o fabricantes, acuerdos con empresas del mismo sector para
hacer uso de centros de instalaciones en caso de emergencias.

Plan de tratamiento de riesgo

Aplica para aquellos riesgos que no se encuentran dentro de los niveles de aceptación del riesgo
(NRA) y para los que considere pertinentes, dicho plan requiere una definición clara de las
actividades a desarrollar y en cada una debe contar con el registro de los siguientes ítems:
• Tareas: Lista de las acciones referente al sistema de seguridad de la información que deben
ser ejecutadas con el fin de dar cumplimiento al Plan de Tratamiento del riesgo, en
concordancia con los controles recomendados en el anexo A de la norma ISO 27001:2013.
• Responsables: Nombre del funcionario quien gestionara la ejecución de la actividad descrita
y en el plazo asignado y Nombre del funcionario quien hará el seguimiento para el
cumplimiento de la ejecución de la actividad.
• Plazo de ejecución: Fechas de inicio y finalización de la actividad a realizar.
• Recursos: Todos los elementos requeridos para el cumplimiento de las actividades definidas,
entre otros se encuentran: Recursos humanos, Elementos de hardware y software, Licencias,
Entrenamiento, Aprobaciones y contrataciones.
3.5 COMUNICACIÓN Y CONSULTA

Cuando se identifica un riesgo, se establece este proceso para que la entidad suministre,
comparta y/o obtenga información estableciendo un diálogo con las partes involucradas con
respecto a la gestión del riesgo. La información está relacionada con la existencia, la naturaleza, la
forma, la probabilidad, el significado, la evaluación, la aceptabilidad y el tratamiento de la Gestión
de riesgo. La consulta es un proceso de doble vía de la comunicación informada entre una
organización y sus partes involucradas, acerca de algún tema, antes de tomar una decisión o
determinar una dirección para dicho tema. La consulta es un proceso que tiene impacto en la
decisión a través de la influencia más que del poder y una entrada para la toma de decisiones, no
para la toma conjunta de decisiones.
3.6 SEGUIMIENTO Y REVISIÓN

Los riesgos identificados traerán consigo controles que incluyen el monitoreo de las amenazas
correspondientes, invirtiendo los recursos con base en la criticidad del riesgo asociado. Las
amenazas asociadas con riesgos cuya calificación se encuentre por fuera del nivel de riesgo
aceptable (NRA) del Instituto, deben ser monitoreadas invirtiendo recursos necesarios para
lograr registrar con el nivel de detalle requerido, los puntos donde pueda evidenciarse la
amenaza correspondiente. Las responsabilidades del monitoreo y la revisión deben estar
claramente definidas.
Los procesos de monitoreo y revisión de la Organización deberían comprender todos los
aspectos del proceso para la gestión del riesgo con el fin de:
• Garantizar que los controles son eficaces y eficientes tanto en el diseño como en la operación.
• Obtener información adicional para mejorar la valoración del riesgo.

• Analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi accidentes) los
cambios, las tendencias, los éxitos y los fracasos.
• Detectar cambios en el contexto externo e interno, incluyendo los cambios en los criterios de
riesgo y en el riesgo mismo que puedan exigir revisión de los tratamientos del riesgo y las
prioridades.
• Identificar los riesgos emergentes, es decir aquellos que surgen a raíz de la implementación
de los controles.
13. Declaración de Aplicabilidad

El Instituto ha decidido establecer e implementar un Sistema de Gestión de Seguridad de la
Información (SGSI) basándose en la norma NTC-ISO-IEC 27001 en su versión 2013 que
proporciona los requerimientos para: “establecer, implementar, mantener y mejorar (de manera
continua) un SGSI”.
Una de las actividades necesarias para el establecimiento e implementación de un SGSI es la

realización de una Declaración de Aplicabilidad que contenga los controles necesarios y la
justificación de las inclusiones y exclusiones de los controles del Anexo A de la norma ISO
27001:2013. Adicionalmente se establece el origen de cada control de acuerdo a las siguientes
convenciones:
L: Requerimiento Legal
C: Obligación contractual
N: Requerimiento del negocio
R: Análisis de riesgos
En la presente declaración se estableció que todos los controles son aplicables de acuerdo al
alcance establecido para el sistema. La siguiente tabla muestra el detalle y constituye la
declaración de aplicabilidad para el SGSI del instituto:
Sección Dominio, objetivos de Aplicabi Justificación Origen

control y Controles lidad
A.5 DOMINIO: POLÍTICAS DE
SEGURIDAD DE LA
INFORMACIÓN
A.5.1 Objetivo de Control:
Orientación de la Dirección
para la gestión de la
seguridad de la información
A.5.1.1 Políticas para la seguridad Aplica Se deben establecer formalmente las directrices que se deben seguir en L,N
de la información. el instituto para lograr los objetivos de seguridad de la información. En
este sentido es necesario dar a conocer la política de seguridad de la
información para informar y concientizar a todos los colaboradores y
partes interesadas sobre los requisitos y criterios de protección
establecidos para el “SGSI”.
A.5.1.2 Revisión de las políticas para Aplica Es necesario realizar una revisión periódica de las políticas de L,N
la seguridad de la seguridad para garantizar la mejora continua; implementando las
información acciones y puntos de mejora para que las políticas se ajusten a los


cambios del instituto.
A.6 DOMINIO: ORGANIZACIÓN
DE LA SEGURIDAD DE LA
INFORMACIÓN
A.6.1 Objetivo de control:
Organización Interna
A.6.1.1 Roles y Responsabilidades Aplica Es necesario que los colaboradores del instituto conozcan sus roles y N
de Seguridad de la responsabilidades relacionadas con la seguridad de la información para
Información la correcta operación del SGSI, por tanto es importante que los
miembros de la Dirección respalden activamente las iniciativas de
seguridad demostrando su claro apoyo y compromiso, asignando y
aprobando explícitamente las responsabilidades en seguridad de la
información dentro de la Organización.
A.6.1.2 Separación de deberes Aplica Se deben separar claramente los deberes para los roles establecidos, N
con el fin de que no se presenten conflictos de responsabilidades entre
las áreas del instituto que tienen acceso a los activos de información
para que realicen un uso debido de los mismos
A.6.1.3 Contacto con las autoridades Aplica Es necesario que el instituto este en contacto con las autoridades C
relacionadas con temas de seguridad de la información para
mantenerse al día con las medidas de que debe implementar, contar con
apoyo experto además de realizar una gestión oportuna a los incidentes
de seguridad de la información en caso de presentarse
A.6.1.4 Contacto con grupos de Aplica Es necesario establecer contacto con grupos de interés especial en N,R
interés especial seguridad de la información como: foros o asociaciones profesionales
para la atención de problemas que se puedan presentar en el instituto
como fraudes, alertas, amenazas, vulnerabilidades, fallas de sistemas,
problemas en productos de comunicación y desarrollo entre muchas
otras falencias.
,A.6.1.5 Seguridad de la información Aplica Dada la importancia y sensibilidad de la información utilizada en los L,C,N
en la gestión de proyectos proyectos que se desarrollan dentro de las diferentes áreas dentro del
instituto, es necesaria la implementación de controles para ello.
Dispositivos móviles y
teletrabajo
A.6.2.1 Política para dispositivos Aplica Los funcionarios mantienen información de la entidad en dispositivos N,R
móviles móviles que debe ser manejada de acuerdo a los lineamientos del SGSI.
A.6.2.2 Teletrabajo Aplica Los funcionarios del instituto pueden tener acceso remoto a los L,N,R
sistemas de información del instituto para cumplir con sus labores.
Además existe una normativa. La Ley 1221 de 2008 “por la cual se
establecen normas para promover y regular el teletrabajo y se dictan
otras disposiciones”. Donde se establece que el TELETRABAJO es una
forma de organización laboral, que consiste en el desempeño de
actividades remuneradas o prestación de servicios a terceros utilizando
como soporte las tecnologías de la información y la comunicación – TIC
para el contacto entre el trabajador y la empresa, sin requerirse la
presencia física del trabajador en un sitio específico de trabajo.
A.7 DOMINIO: SEGURIDAD DE
LOS RECURSOS HUMANOS
A.7.1 Objetivo de control: Antes de
asumir el empleo
A.7.1.1 Selección Aplica Debe hacerse una revisión de antecedentes y de aspectos de seguridad L,N,R
previo a la contratación del personal con el fin de mantener el riesgo
operativo dentro de niveles aceptables.


Para el desarrollo de las actividades de Consultoría, pruebas u otros
contratos, la organización requiere contratar personal, los cuales tienen
acceso a la información de la organización, por tanto es importante
implementar controles basándose en los reglamentos, la ética y las leyes
pertinentes, que aseguren un proceso de verificación de antecedentes,
asignación de roles y responsabilidades, términos de contratación y
condiciones laborales previo acceso a la información.
A.7.1.2 Términos y condiciones del Aplica Es necesario que en los contratos de funcionarios y contratistas se L,C,N
empleo establezcan claramente las responsabilidades en cuanto a la seguridad
de la información.
A.7.2 Objetivo de control: Durante
la ejecución del empleo
A.7.2.1 Responsabilidades de la Aplica Es necesario que la dirección general del instituto lidere y se L,CN
dirección comprometa con la implementación del SGSI y así asegurar el
establecimiento de las políticas y los objetivos de seguridad de la
información; para que estos estén alineados con la dirección estratégica
de la organización
A.7.2.2 Toma de conciencia, Aplica Se debe sensibilizar al personal del instituto para que tomen conciencia L,R
educación y formación en la respecto a los riesgos de seguridad.
A.7.2.3 Proceso disciplinario Aplica Se debe establecer un proceso disciplinario formal para las posibles L,C
faltas que puedan cometer las personas vinculadas o que hayan estado
vinculadas con el instituto respecto a la seguridad de la información
para saber cómo proceder en dichos casos.
Terminación y cambio de
empleo
A.7.3.1 Terminación o cambio de Aplica Los colaboradores del instituto deben conocer sus deberes y L,C
responsabilidades de responsabilidades relacionados con la seguridad de la información,
empleo durante su vinculación y cuando esta haya finalizado. Además cada vez
que se le asignen nuevas responsabilidades o surja un cambio en ellas
debe conocer los deberes relacionados con ellas.
A.8 DOMINIO: GESTIÓN DE
ACTIVOS
Responsabilidad de los
activos
A.8.1.1 Inventario de Activos Aplica Es necesario establecer los activos de información y los activos N.R
relacionados con la información que están involucrados en los procesos
de tratamiento de información de la entidad, con el fin de definir las
responsabilidades de protección adecuadas.
A.8.1.2 Propietario de los activos Aplica Es necesario establecer los responsables para cada activo y N.R
responsabilizarlos de: gestionar los riesgos de la información asociados
a los activos a su cargo, cumplir los controles establecidos sobre el
activo y establecer los custodios sobre estos activos.
A.8.1.3 Uso aceptable de los activos Aplica Se deben establecer las reglas de utilización para los activos de N.R
información.
Los empleados, contratistas, aprendices, practicantes y los usuarios
externos en general que usan o que tengan acceso a los activos de la
organización deben tomar conciencia del uso aceptable de los recursos,
de los requisitos de seguridad de la información establecidos en las
políticas, y tener claro que cada quien es responsables de cualquier uso
del activo bajo su responsabilidad.


A.8.1.4 Devolución de los activos Aplica Se debe establecer un procedimiento que permita asegurar la L,CN,R
devolución de los equipos y activos de información al momento de
finalizar la relación laborar con funcionarios o contratistas.
Clasificación de la
información
A.8.2.1 Clasificación de la Aplica De acuerdo a la importancia de la información manejada en los procesos C,N,R
información misionales del instituto Es necesario clasificar la información de la
entidad basados en requisitos legales, valor, criticidad y susceptibilidad
a divulgación modificación o acceso no autorizado.
A.8.2.2 Etiquetado de la información Aplica Para asegurar que los activos de información del instituto reciben el C,N,R
nivel de protección adecuado, estos se deben clasificar teniendo en
cuenta la necesidad, las prioridades y el grado de protección esperado
en el manejo de los mismos.
A.8.2.3 Manejo de activos Aplica Se deben implementar procedimientos que salvaguarden los C,N,R
requerimientos de clasificación y etiquetado definidos para los activos
de información en la entidad.
A.8.3 Objetivos de Control: Manejo
de medios
A.8.3.1 Gestión de medios Aplica La entidad maneja información de carácter confidencial en medios C,N,R
removibles removibles que deben ser gestionados adecuadamente con el fin de
asegurar que reciben el nivel de protección adecuado de acuerdo a las
necesidades del instituto.
A.8.3.2 Disposición de los medios Aplica Existe información sensible dentro de la prestación del servicio C,N,R
misional, que debe ser dispuesta de manera segura en caso de darla de
baja de medios tecnológicos, del reúso de equipos o del cambio de área
de funcionarios.
A.8.3.3 Transferencia de medios Aplica Los funcionarios y contratistas de la entidad utilizan medios físicos en C,N,R
físicos tránsito que contienen información de la entidad por esta razón debe
dárseles los niveles de seguridad adecuados para protegerlos contra
accesos no autorizados, uso inadecuado o corrupción durante el
transporte.
A.9 DOMINIO: CONTROL DE
ACCESOS
Requisitos del negocio para
el control de acceso
A.9.1.1 Política de control de acceso Aplica La organización cuenta con activos de información que son manejados C,N
por los colaboradores, en tal sentido es importante establecer controles
de seguridad que permitan asegurar que los propietarios de activos de
información controlan el acceso a la información y a las instalaciones
done esta es procesada, para esto se debe establecer, documentar y
revisar una política de control de acceso basados en los requisitos de
negocio y de seguridad de la información.
A.9.1.2 Acceso a redes y servicios en Aplica Este control es indispensable para mantener los riesgos derivados por C,N
red acceso no autorizado, manipulación de la información o difusión de
malware, dentro de los niveles aceptables.
La organización para su operación cuenta con una red LAN la cual
soporta las actividades de los diferentes usuarios, por lo tanto es
necesario establecer controles de seguridad para asegurar que los
usuarios solo tienen acceso a los servicios para los cuales están
autorizados.
A.9.2 Objetivo de control: Gestión


de acceso de usuarios
A.9.2.1 Registro y cancelación del Aplica El personal de la entidad maneja diferentes tipos de información de C,N
registro de usuarios acuerdo al área en la cual trabaja, por esta razón es muy importante
tener un procedimiento que permita gestionar de forma adecuada el
acceso de los usuarios a los sistemas y servicios del instituto.
A.9.2.2 Suministro de acceso de Aplica Debe existir un procedimiento formal de asignación de acceso de C,N
usuarios usuario que permita identificar el registro y cancelación de los usuarios
o revocación de accesos para los diferentes sistemas y servicios de la
entidad.
A.9.2.3 Gestión de derechos de Aplica La asignación y uso de derechos de acceso con privilegios especiales C,N,R
acceso privilegiado debe ser restringido y controlado.
A.9.2.4 Gestión de información de Aplica Debe existir un proceso de gestión formal para controlar la asignación C,N,R
autenticación secreta de de información de autenticación secreta de usuarios.
usuarios
A.9.2.5 Revisión de los derechos de Aplica Para asegurar que los usuarios cuentan con los derechos de acceso N,R
acceso de usuarios apropiados, los propietarios de los activos deben revisar estos derechos
de acceso a intervalos regulares.
A.9.2.6 Retiro o ajuste de los de Aplica Se debe implementar un procedimiento para retirar los derechos de N,R
derechos de acceso acceso a la información y a las instalaciones de procesamiento de la
información de la institución, para todos los empleados y usuarios
externos, al término de su relación laboral, contrato, o acuerdo, o bien
cuando se realice un cambio en las labores que deben desarrollar.
Responsabilidades de los
usuarios
A.9.3.1 Uso de información de Aplica La información de autenticación a los diferentes sistemas debe L,C,N,R
autenticación secreta mantenerse en secreto, por ello se debe exigir a los colaboradores el
cumplimiento de las prácticas de la organización en el uso de la
información de autenticación secreta.
A.9.4 Objetivo de Control: Control
de acceso al sistema y
aplicaciones
A.9.4.1 Restricciones de acceso a la Aplica Para evitar el acceso no autorizado a los sistemas y aplicaciones del L,C,N,R
información instituto se debe restringir dicho acceso de acuerdo a la política de
control de acceso del instituto.
A.9.4.2 Procedimiento de ingreso Aplica El acceso a los sistemas y aplicaciones del instituto, debe ser controlado N,R
seguro mediante un procedimiento de inicio de sesión seguro.
A.9.4.3 Sistema de gestión de Aplica Debe implementarse un sistema para la gestión de contraseñas que sea
contraseñas interactivo y asegure que las contraseñas cumplan con los criterios de
contraseñas fuertes establecidas en la entidad.
A.9.4.4 Uso de programas utilitarios Aplica Para evitar la anulación de los sistemas o controles de las aplicaciones N,R
privilegiados del instituto, se debe restringir y controlar el uso de los programas
utilitarios que tengan la capacidad de sobrepasar los controles del
sistema y de la aplicación.
A.9.4.5 Control de acceso a códigos Aplica El acceso al código fuente del programa e ítems asociados (como N,R
fuente de programas diseños, especificaciones, casos de uso y los planes de validación) deben
ser estrictamente controlados, con el fin de evitar la introducción de
funcionalidades no autorizadas y para evitar cambios no intencionales,
así como para mantener la confidencialidad de propiedad intelectual
valiosa.
A.10 DOMINIO: CRIPTOGRAFÍA
Controles criptográficos


A.10.1.1 Política de uso de controles Aplica Se debe desarrollar una política en el instituto, donde se establezca el N,R
criptográficos uso de controles criptográficos, como cifrado de contraseñas y uso de
llaves criptográficas ya que es indispensable para proteger la
confidencialidad, la autenticidad y la integridad de la información.
A.10.1.2 Gestión de llaves Aplica El instituto debe manejar mecanismos criptográficos para ciertos N,R
activos de información lo cual hace necesario la gestión de su gestión de
llaves por medio de una política.
A.11 DOMINIO: SEGURIDAD
FÍSICA Y DEL ENTORNO
A.11.1 Objetivo de Control: Áreas
seguras
A.11.1.1 Perímetro de seguridad Aplica Para prevenir el acceso no autorizado a áreas que contengan N,R
física información confidencial o critica o a instalaciones de manejo de
información se deben establecer perímetros de seguridad dentro de las
instalaciones del instituto.
A.11.1.2 Controles de acceso físicos Aplica Se deben establecer controles de seguridad física para asegurar el N,R
acceso únicamente del personal autorizado a las áreas para las cuales se
estableció un perímetro de seguridad.
A.11.1.3 Seguridad de oficinas, Aplica Deben establecerse los controles de seguridad necesarios para evitar el N,R
recintos e instalaciones acceso físico no autorizado y el daño a las oficinas e instalaciones del
instituto.
A.11.1.4 Protección contra las Aplica La institución debe contar con protección contra daños causados por C,N,R
amenazas externas y desastre natural (inundación, terremoto, tsunami, tormenta eléctrica,
ambientales etc.), daños causados por ataque malicioso (explosión, revuelta civil,
etc.), accidentes u otras formas de desastres por causa humana.
A.11.1.5 Trabajo en áreas seguras Aplica El instituto debe diseñar y aplicar procedimientos para trabajar en C,N,R
áreas seguras.
A.11.1.6 Áreas de despacho y carga Aplica Deben implementarse controles para el área de despacho y carga, que L,C,N,R
por su criticidad y contando que el edificio tiene solo una entrada para
este ingreso y salida, deben adecuarse los protocolos para garantizar la
seguridad de la información en este caso los cuadernillos que van a la
lectora.
A.11.2 Objetivo de Control: Equipos
A.11.2.1 Ubicación y protección de Aplica La organización utiliza equipos tales como servidores, computadores de N,R
equipos escritorio, portátiles, impresoras, fotocopiadoras, faxes, escáneres, entre
otros, en estos equipos se procesa la información de los diferentes
proyectos y de los procesos misionales del instituto por tal razón es
necesario establecer controles que permitan evitar la ocurrencia de
eventos como pérdida, daño, robo, interrupción de los equipos o
compromiso de los activos de información.
A.11.2.2 Servicios de suministro Aplica El equipamiento institucional debe estar protegido contra fallas en el N,R
suministro de energía y otras interrupciones causadas por fallas en los
elementos de soporte para prevenir la interrupción de las operaciones
de la organización.
A.11.2.3 Seguridad del cableado Aplica Es necesario impartir instrucciones para proteger contra N,R
interceptación, interferencia o daños el cableado usado para energía y
telecomunicaciones del instituto.
A.11.2.4 Mantenimiento de los Aplica Es necesario impartir instrucciones para asegurar que se haga el C,N,R
equipos correcto mantenimiento de los equipos de cómputo del instituto.
A.11.2.5 Retiro de activos Aplica Se debe implementar un procedimiento que establezca que se debe L,C,N,R
contar con una autorización formal previa al retiro de los equipos de
cómputo, software o cualquier activo de información relevante para el
instituto.


A.11.2.6 Seguridad de equipos y Aplica Es necesario aplicar medidas de seguridad a los equipos y activos fuera N,R
activos fuera de las de las instalaciones de la organización para protegerlos.
instalaciones
A.11.2.7 Disposición segura o Aplica Se deben verificar todos los equipos del instituto para revisar si N,R
reutilización de equipos contiene o no medios de almacenamiento antes de su eliminación o
reutilización. Los medios de almacenamiento que contienen
información sensible o con derecho de autor se deberían destruir
físicamente o bien, la información se debería destruir, eliminar o
sobrescribir mediante técnicas para hacer que la información original
no se pueda recuperar en vez de utilizar la función de eliminación o
formateo normal.
A.11.2.8 Equipo de usuario Aplica Es necesario generar conciencia en los usuarios acerca de los requisitos N,R
desatendido de seguridad y los procedimientos para proteger los equipos
desatendidos, como por ejemplo la buena práctica de bloquear la sesión
para mantener segura la información almacenada en estos equipos.
A.11.2.9 Política de escritorio limpio Aplica Para mejorar la seguridad de los activos es necesario implementar una N,R
y pantalla limpia política de escritorio limpio para papeles y medios de almacenaje
removibles; y otra política de "pantalla limpia" para las instalaciones
donde se procese información en el instituto.
A.12 DOMINIO: SEGURIDAD DE
LAS OPERACIONES
A.12.1 Procedimientos
operacionales y
responsabilidades
A.12.1.1 Procedimientos de Aplica Se deben preparar procedimientos documentados para las actividades N,R
operación documentados operacionales asociadas con las instalaciones de procesamiento y
comunicación de información, como procedimientos de inicio y cierre
de sesión de computadores, respaldo, mantenimiento de equipos,
manejo de medios, salas de computación y administración y seguridad
de manejo de correo.
Dichos procedimientos deben estar vigentes y puestos a disposición de
todos los usuarios que los necesiten.
A.12.1.2 Gestión de cambios Aplica Es necesario controlar los cambios que se lleven a cabo en el instituto N,R
en cuanto a procesos de negocio, instalaciones de procesamiento de la
información y los sistemas que afecten la seguridad de la información.
A.12.1.3 Gestión de la capacidad Aplica Es necesario supervisar y adaptar el uso de los recursos del instituto y N,R
realizar proyecciones de los futuros requisitos de capacidad para
asegurar el correcto desempeño de las operaciones.
A.12.1.4 Separación de los ambientes Aplica Se requiere para garantizar que los cambios no incorporen nuevos N,R
de desarrollo, pruebas y riesgos en los ambientes productivos, y si estos son inevitables que se
operación identifiquen y se realice su oportuno tratamiento.
Protección contra códigos
maliciosos
A.12.2.1 Controles contra códigos Aplica Para el desarrollo de las actividades del instituto se utilizan servicios R
maliciosos como Internet, medios extraíbles, los cuales pueden afectar el correcto
funcionamiento de activos de información como equipos, software entre
otros, por lo tanto es importante establecer controles de seguridad que
permitan detección y prevención de la acción de códigos maliciosos así
como también procedimientos de concientización de los usuarios.
A.12.3 Objetivo de Control: Copias
de respaldo
A.12.3.1 Respaldo de la información Aplica Se deben manejar esquemas de respaldo de información con el fin de L,N,R


proteger la pérdida de datos y cumplir los requerimientos de
disponibilidad para ciertos activos de la entidad.
A.12.4 Objetivo de Control: Registro
y seguimiento
A.12.4.1 Registro de eventos Aplica Es necesario configurar auditorias que permitan hacer trazabilidad de L,N,R
actividad, usuario, hora, y máquina con el fin de registrar eventos y
generar evidencia.
A.12.4.2 Protección de la información Aplica Es necesario proteger la información de registro para mantener la L,N,R
de registro integridad de los registros en caso de requerirse una investigación para
solucionar un incidente de seguridad o un fallo en los sistemas.
A.12.4.3 Registros del administrador Aplica Es necesario controlar las actividades de los administradores y L,N,R
y del operador operadores de los diferentes sistemas del instituto, mediante revisiones
regulares a los registros y estos deben protegerse adecuadamente.
A.12.4.4 Sincronización del relojes Aplica De acuerdo con lo establecido en el numeral 14 del artículo 6 del R
Decreto número 4175 de 2011, el Instituto Nacional de Metrología
mantiene, coordina y difunde la hora legal de la República de Colombia.
Normativamente todos los equipos de cómputo de las entidades
públicas deben estar sincronizados con la hora legal Colombiana.
A.12.5 Objetivo de Control: Control
de software operacional
A.12.5.1 Instalación de software en Aplica Es necesario controlar la instalación de software en los equipos del N,R
sistemas operativos instituto para asegurar la integridad de los sistemas operacionales
de la vulnerabilidad técnica
A.12.6.1 Gestión de las Aplica El instituto tiene activos de información tecnológicos los cuales están R
vulnerabilidades técnicas expuestos a vulnerabilidades de tipo técnico, por lo tanto es necesario
establecer controles que permitan obtener información acerca de estas
vulnerabilidades para ser evaluadas y garantizar la reducción de los
riesgos derivados de estas vulnerabilidades técnicas.
A.12.6.2 Restricciones sobre la Aplica Es necesario establecer reglas para la instalación de software por parte L,N,R
instalación de software de los usuarios para asegurar la integridad de los sistemas operativos
Consideraciones sobre
auditorías de sistemas de
información
A.12.7.1 Controles de auditoría de Aplica Para minimizar el impacto de las actividades de verificación de los N,R
sistemas de información sistemas operativos de los equipos del instituto es necesario planificar
y acordar cuidadosamente el desarrollo de estas actividades.
A.13 DOMINIO: SEGURIDAD EN
LAS COMUNICACIONES
de la seguridad de las redes
A.13.1.1 Controles de redes Aplica Para proteger la información en las redes de comunicaciones del N,R
instituto, se deben controlar los riesgos asociadas a ellas, segregándolas
y limitando los servicios entre ellas.
A.13.1.2 Seguridad de los servicios de Aplica En todo acuerdo de servicios de redes (interno o externo), se deben N,R
red incluir los mecanismo de seguridad, los niveles de servicio y los
requisitos de gestión.
A.13.1.3 Separación en las redes Aplica Es necesario separar las redes para la protección de su información, N,R
especialmente para aislar la red de ítems por su criticidad.
Transferencia de
información


A.13.2.1 Políticas y procedimientos Aplica Dentro del desarrollo normal de las actividades del instituto se L,C,N,R
de transferencia de presentan actividades de intercambio de información entre
información colaboradores, áreas, otras instituciones, entre otros como parte del
desarrollo de las actividades, por lo cual es importante establecer
políticas y procedimientos que regulen dichas transferencias
manteniendo segura la información transferida.
A.13.2.2 Acuerdos sobre Aplica Se deben establecer acuerdos para la transferencia de información L,C,N,R
transferencia de información entre el instituto y terceros. Para garantizar que no se presente uso
inadecuado o corrupción cuando la información sale fuera de las
instalaciones de la organización.
A.13.2.3 Mensajería electrónica Aplica Se debe proteger la transferencia de información por mensajería C,N
electrónica ya que este es un sistema utilizado por la entidad.
A.13.2.4 Acuerdos de Aplica Debido a la importancia de la información que gestiona el instituto es L,C,N,R
confidencialidad o de no necesario documentar los requisitos específicos para los acuerdos de
divulgación confidencialidad o no divulgación para proteger dicha información.
Estos acuerdos deben ser revisados y actualizados regularmente para
que cumplan con las necesidades de la organización.
A.14 DOMINIO: ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS
Requisitos de seguridad de
los sistemas de información
A.14.1.1 Análisis y especificación de Aplica El instituto dentro del desarrollo de sus actividades utiliza herramientas N,R
requisitos de seguridad de la ofimáticas, tecnológicas y realiza desarrollos de sistemas de
información información internamente, en tal sentido es necesario establecer
controles de seguridad de la información para garantizar que se protege
adecuadamente la información en los nuevos sistemas y/o al surgir
cambios en la tecnología de la empresa.
A.14.1.2 Seguridad de servicios de las Aplica Es necesario implementar controles de seguridad que ayuden a N,R
aplicaciones en redes proteger la información del instituto de las aplicaciones que pasan
públicas sobre redes públicas.
A.14.1.3 Protección de transacciones Aplica Se deben implementar controles para proteger la información N,R
de los servicios de las involucrada en las transacciones de las aplicaciones desarrolladas y
aplicaciones utilizadas por el instituto.
Seguridad en los procesos de
desarrollo y de soporte
A.14.2.1 Política de desarrollo seguro Aplica La organización para el desarrollo de actividades de los proyectos N,R
desarrolla sistemas de información, por lo cual es necesario establecer
controles de seguridad para su desarrollo seguro, que permitan
garantizar que cumplen con las características técnicas y de seguridad
que se requiere.
A.14.2.2 Procedimientos de control Aplica Se requiere implementar procedimientos de control de cambios para N,R
de cambios en sistemas garantizar que los cambios no incorporen nuevos riesgos en los
ambientes productivos, y si estos son inevitables que se identifiquen y
se realice su oportuno tratamiento.
A.14.2.3 Revisión técnica de las Aplica Debido al constante cambio en las plataformas de operación se deben N,R
aplicaciones después de realizar pruebas y revisiones a las aplicaciones críticas del instituto con
cambios en la plataforma de el fin de asegurar que no haya impactos adversos en la seguridad o en
operación las operaciones.
A.14.2.4 Restricciones en los cambios Aplica Se hace necesario establecer controles de seguridad que garanticen que N,R


a los paquetes de software todos los cambios realizados a los paquetes de software se controlan,
revisan y someten a pruebas para no comprometer la seguridad del
sistema ni el entorno operativo y también evitar así la fuga de
información.
A.14.2.5 Principios de construcción Aplica Debido a que el instituto implementa constantemente diferentes N,R
de los sistemas seguros sistemas de información, se deben establecer lineamientos para la
construcción de sistemas seguros y exigir que sean cumplidos.
A.14.2.6 Ambiente de desarrollo Aplica Debido a que el instituto desarrolla sistemas de información se deben C,R
seguro establecer ambientes de desarrollo adecuados para brindar los niveles
de seguridad adecuados.
A.14.2.7 Desarrollo contratado Aplica El instituto requiere para algunas de las actividades el desarrollo de C,N
externamente software contratado externamente, por lo tanto se deben establecer
controles de seguridad para proteger el acceso al código fuente de los
sistemas de información, para evitar su alteración o uso
malintencionado.
A.14.2.8 Pruebas de seguridad de Aplica Para asegurar que los sistemas desarrollados cumplan con las C,N,R
sistemas funcionalidades de seguridad establecidas es necesario realizar pruebas
específicas de seguridad.
A.14.2.9 Pruebas de aceptación de Aplica Cuando se implementen sistemas de información nuevos u ocurran C,R
sistemas actualizaciones y nuevas versiones, se requiere establecer criterios de
aceptación y establecer programas de pruebas para estos sistemas.
A.14.3 Objetivo de Control: Datos
de prueba
A.14.3.1 Protección de los datos de Aplica El instituto utiliza algunos datos para realizar pruebas por ello se debe L,C,N
prueba asegurar la protección de estos datos.
A.15 DOMINIO: RELACIONES
CON LOS PROVEEDORES
A.15.1 Seguridad de la información
en las relaciones con
proveedores
A.15.1.1 Política de seguridad de la Aplica Debido a que los proveedores del instituto tienen acceso a diversos L,C,N
información para las activos, es necesario implementar una política que establezca los
relaciones con proveedores lineamientos para mitigar los riesgos asociados al acceso a dichos
activos.
A.15.1.2 Tratamiento de la seguridad Aplica Se deben establecer acuerdos de servicio con los proveedores del L,C,N
dentro de los acuerdos con instituto que incluyan requisitos de seguridad de la información.
proveedores
A.15.1.3 Cadena de suministro de Aplica Dentro de los acuerdos de servicio que se establezcan con los L,C,N
tecnología de información y proveedores del instituto es necesario incluir requisitos de seguridad de
comunicación la información asociados con la cadena de suministros.
de la prestación de servicios
de proveedores
A.15.2.1 Seguimiento y revisión de Aplica Para garantizar el cumplimiento de los requisitos de seguridad exigidos C,N
los servicios de los por el instituto por parte de los proveedores, es necesario realizar el
proveedores monitoreo y revisión de los servicios prestados a la entidad
A.15.2.2 Gestión de cambios en los Aplica Cuando surjan cambios en el suministro de servicios por parte de los C,N
servicios de los proveedores proveedores, estos cambios deben ser gestionados de acuerdo a la
criticidad de la información sistemas y procesos de negocio
involucrados.
A.16 DOMINIO: GESTIÓN DE
INCIDENTES DE
SEGURIDAD DE LA


INFORMACIÓN
de incidentes y mejoras en la
A.16.1.1 Responsabilidades y Aplica Para dar una respuesta eficaz a los incidentes de seguridad de la C,N
procedimientos información que se puedan presentar en el instituto, es necesario
establecer las responsabilidades y forma de trabajo ante estos.
A.16.1.2 Reporte de eventos de Aplica Es necesario establecer los canales adecuados para que los eventos de N,R
seguridad de la información seguridad del instituto puedan ser reportados tan pronto como sea
posible.
A.16.1.3 Reporte de debilidades de Aplica Los colaboradores del instituto deben estar obligados a reportar N,R
seguridad de la información cualquier debilidad de seguridad de la información observada o
sospechada en los sistemas de información para su gestión.
A.16.1.4 Evaluación de eventos de Aplica Para garantizar la correcta gestión de los eventos de seguridad del N,R
seguridad de la información instituto estos deben ser evaluados por el personal de seguridad de la
y decisiones sobre ellos información.
A.16.1.5 Respuesta a incidentes de Aplica Es necesario manejar un esquema de respuesta y corrección a los N,R
seguridad de la información incidentes de seguridad de acuerdo a los procedimientos documentados
en el instituto.
A.16.1.6 Aprendizaje obtenido de los Aplica Se debe reducir la posibilidad o impacto de incidentes de seguridad de N,R
incidentes de seguridad de la la información en el instituto usando el conocimiento adquirido de la
información gestión de incidentes pasados.
A.16.1.7 Recolección de evidencia Aplica Es necesario construir protocolos de recopilación de evidencia en caso L,R,
que un incidente de seguridad lo requiera para tratamiento forense.
A.17 DOMINIO: ASPECTOS DE
LA SEGURIDAD DE LA
INFORMACIÓN DE LA
GESTIÓN DE
CONTINUIDAD DE
NEGOCIO
Continuidad de seguridad de
la información
A.17.1.1 Planificación de la Aplica El instituto debe garantizar la continuidad de la gestión de la seguridad N,R
continuidad de la seguridad de la información aun en situaciones adversas.
de la información
A.17.1.2 Implementación de la Aplica Para darle continuidad adecuada a la gestión de la seguridad de la N,R
continuidad de la seguridad información en situaciones adversas, es necesario establecer,
de la información documentar, implementar y mantener procesos, procedimientos y
controles de la seguridad de la información.
A.17.1.3 Verificación, revisión y Aplica Para verificar que los controles de continuidad de seguridad de la N,R
evaluación de la continuidad información implementados en el instituto son válidos se deben realizar
de la seguridad de la revisiones a intervalos de tiempo regulares.
información
Redundancias
A.17.2.1 Disponibilidad de Aplica Para asegurar la disponibilidad de las instalaciones de procesamiento N,R
instalaciones de de información del instituto estas deben contar con redundancia.
procesamiento de
información
A.18 DOMINIO: CUMPLIMIENTO
A.18.1 Cumplimiento de requisitos
legales y contractuales


A.18.1.1 Identificación de la Aplica Es un requerimiento normativo que el instituto cuente con un L,N
legislación aplicable y de los normograma actualizado que incluya las leyes que debe cumplir.
requisitos contractuales
A.18.1.2 Derechos de propiedad Aplica Para evitar el incumplimiento normativo relacionado con derechos de L,C,N,R
intelectual (DPI) autor deben implementarse procedimientos apropiados de propiedad
intelectual y uso de software patentado.
A.18.1.3 Protección de registros Aplica Este control debe implementarse porque hace parte de lo que solicita el
Modelo Estándar de Control Interno para el Estado Colombiano 2014
(MECI)
A.18.1.4 Privacidad y protección de Aplica Este control aplica ya que la entidad está obligada a cumplir con la Ley L,C,N,R
información de datos de Protección de Datos Personales.
personales
A.18.1.5 Reglamentación de controles Aplica El uso de control criptográfico como cifrado de contraseñas o cifrado de L,N,R
criptográficos información sensible en bases de datos o activos de información
confidenciales es indispensable para mantener el riesgo operacional
dentro de los niveles aceptables.
A.18.2 Revisiones de seguridad de
la información
A.18.2.1 Revisión independiente de la Aplica Para asegurar que la seguridad de la información se implementa y opera N,R
seguridad de la información adecuadamente en el instituto, se deben realizar revisiones al SGSI a
intervalos planificados o cuando surjan cabios significativos.
A.18.2.2 Cumplimiento con las Aplica Los directores deben revisar el cumplimiento de los lineamientos de C,N,R
políticas y normas de seguridad de sus áreas, para asegurar que la información se opera de
seguridad acuerdo a estos lineamientos.
A.18.2.3 Revisión del cumplimiento Aplica Se debe revisar el cumplimiento de los lineamientos de seguridad de los C,R
técnico sistemas de información del instituto, para asegurar que la información
se opera de acuerdo a estos lineamientos.
Tabla 11 Declaración de Aplicabilidad.
14. Inventario de Activos de Información

La protección de la información como activo crítico y de alto valor para las organizaciones, es una
actividad fundamental que se debe realizar con absoluta responsabilidad y conciencia, para ello
es necesario definir un conjunto de medidas con base en los lineamientos definidos por la
Dirección General y las leyes colombianas, a través de la aplicación de la política para el uso de
activos de información.
A continuación se presenta una guía para la elaboración y mantenimiento del inventario de

activos y la clasificación de los mismos en el marco del Sistema de Gestión de Seguridad de la
Información (SGSI); realizando la identificación, clasificación y valoración de la información así
como los activos asociados a ella. Se describe el paso a paso para la identificación, clasificación,
valoración de los activos de información y los activos asociados a esta, para conocer el nivel de
protección que debe ser aplicado frente a las propiedades de disponibilidad, confidencialidad e
integridad, alineados a las directrices y políticas nacionales y del instituto.
a) IDENTIFICACIÓN DEL ACTIVO DE INFORMACIÓN
Se debe realiza una revisión preliminar del mapa de procesos, caracterización de los subprocesos
objetivo, alcance, procedimientos que tienen entradas, actividades y salidas e identifican a partir

de estas entradas y salidas los activos de información. Se debe designar a un responsable de cada
área experto en los subprocesos para registrar los activos de información en el formato de
Inventario de activos de información.
La información de los activos que será registrada en el inventario incluye:
1. Nombre del proceso: indica el nombre del proceso al que pertenece el activo.
2. Tipo de Activo de Información: Se debe hacer la identificación del tipo de activo de

información de acuerdo con los criterios descritos en la norma ISO 27005, en la cual se
diferencian dos clases de activos:
Activos primarios: Son los procesos y la información centrales de la actividad del instituto
TIPO DE ACTIVO DESCRIPCIÓN

Forma especificada de llevar a cabo una o varias
Actividades y procesos del actividades mutuamente relacionadas, que interactúan
negocio y que transforman elementos de entrada y los
convierten en elementos de salida.
Todos los datos que sean de interés para la organización
Información y que son indispensables para el cumplimiento de su
misión y objetivos.
Tabla 12 Tipos de activos de información.
Activos de soporte: Son los activos de los cuales dependen los elementos primarios descritos
anteriormente y pueden ser de los siguientes tipos:
TIPO DE ACTIVO DESCRIPCIÓN
Representación de las funciones ejecutadas por
Estructura organizacional
personas a nivel de organización.
Infraestructura física que soporta el funcionamiento de
Estructura física
la entidad, por ejemplo, edificios, oficinas, muebles
Elementos y equipos electrónicos que soportan el
Hardware
procesamiento de la información
Son todos los programas que contribuyen al
procesamiento de la información, por ejemplo, sistemas
Software
operativos, herramientas de ofimática, aplicaciones del
negocio, entre otras.
Comprende todos los equipos de telecomunicaciones
Redes usados para interconectar elementos y computadores
físicamente separados en un sistema de información.
Consiste en todos los grupos de personas involucrados
con el sistema de información, por ejemplo, los
Personas
“decision makers”, usuarios, desarrolladores, entre
otros.
Consiste en todos los servicios que se han contratado y
que intervienen con el uso de información (proveedor de
Servicios internet, servicio de hosting, servicio de seguridad física,
servicio de mantenimiento de infraestructura tecnológica,
entre otros.)
Tabla 13 Tipos de activos asociados con la información

Nota 1: Los tipos de activos correspondientes a estructura física y redes, serán diligenciados
por el personal designado por la subdirección de abastecimiento y la dirección de tecnología
respectivamente.
Nota 2: Para los tipos de activos Hardware y Personas se puede registrar un solo activo para
varias unidades del mismo tipo y especificar la cantidad en la casilla designada para ello. Ejemplo
Computador de escritorio subdirector de talento humano: 1, Computador secretaria de talento
humano: 1, computadores de escritorio colaboradores de la subdirección de talento humano: 12.
3. Categoría de Información: Término con que se da a conocer el nombre o asunto de la

información. Ejemplo: Auditoria, Sistema integrado de gestión, base de datos inscripción,
etc.
4. Nombre del activo de información: nombre exacto del activo de información. Ejemplo:
ficha técnica diligenciada de construcción. Identificación formal del activo de
información o asociado a la información asignado por el instituto, este nombre puede o
no corresponder al nombre establecido en el Sistema de gestión de Calidad. Ejemplo:
Servidor de base de datos prisma.
5. Descripción: breve definición de qué se trata el activo de información.
6. Cantidad: Número de unidades existentes del activo registrado Ejemplo: Computadores

de escritorio subdirectores: 5, Computadores colaboradores subdirección de desarrollo
de aplicaciones 15.
7. Medio de Conservación y/o soporte: medio en el que se encuentra Físico/Electrónico:
• Los activos de tipo: Actividades y procesos del negocio o información

podrían encontrarse en medio físico (Hojas de papel) o Electrónico (PC
dirección de tecnología)
• Estructura Organizacional: podrían encontrarse en medio físico (Hojas de

papel, Conocimiento del subdirector de información) o Electrónico (PC
dirección de tecnología)
• Personas: Se encuentra en medio físico Ejemplo: Conocimiento del DBA
8. Formato: la forma, tamaño o modo en la que se presenta la información: hoja de cálculo,

imagen, audio, video, documento de texto.
9. Fecha de generación de la información: Identifica el momento de la creación de la

información.

10. Frecuencia de actualización: periodicidad o el segmento de tiempo en el que se debe

actualizar la información
11. Lugar de consulta: Indicar el lugar donde se encuentra publicado o puede ser
consultado el documento, tales como lugar en el sitio web y otro medio en donde se
puede descargar y/o acceder a la información.
12. Área propietaria (propietario): nombre del área, dependencia o unidad interna, o al
nombre de la entidad externa que creó la información. Es el responsable del activo, quien
debe velar por el cumplimiento de los requerimientos establecidos frente a las
propiedades de disponibilidad, confidencialidad e integridad. Ejemplos
• Hardware: Subdirección de abastecimiento
• Software: Subdirección de tecnología
• Personas: talento humano o subdirección de abastecimiento
13. Área custodia (custodio): nombre del área, dependencia o unidad encargada de la
custodia, tratamiento y/o control de la información para efectos de permitir su acceso.
Es el responsable de administrar y hacer efectivos los controles que el propietario del
activo defina con base al análisis de riesgos.
• Hardware: Subdirección financiera y contable
• Software: Subdirección de estadística
• Personas: Subdirección de análisis y divulgación
VALORACIÓN DEL ACTIVO DE INFORMACIÓN
Se presenta el proceso para la identificación, clasificación y valoración de los activos de

información y la definición de las propiedades de la seguridad de la información:
CRITERIO DE DESCRIPCIÓN
SEGURIDAD
Con base en el marco legal y regulatorio que aplique para los
procesos donde se encuentre involucrado el activo de información,
se establece para que roles o funcionarios o grupos está permitido su
CONFIDENCIALIDAD acceso y que impacto tendría el incumplimiento de esta condición.
Es decir que es una característica que indica que el activo sólo sea
accedido por el personal, procesos o entidades que se encuentran
autorizadas.
Establecer cuál es el efecto de la modificación no autorizada de los
datos del activo de información, que impacto tendría en los procesos
INTEGRIDAD
donde se encuentra involucrado y a su vez que consecuencias tendría
para la entidad.

CRITERIO DE DESCRIPCIÓN
SEGURIDAD
Es decir que es una condición de seguridad que garantiza que la
información es modificada, incluyendo su creación y borrado, solo
por el personal autorizado para ello.
Cuál es el efecto que se genera para la entidad cuando el activo de
información no puede estar cuando se requiere; esto se determina
por el tiempo que se puede esperar para que dicho activo de
DISPONIBILIDAD información pueda ser utilizado.
Es decir que es una característica que indica que el activo sea
oportuno, que pueda ser consultado y usado por la persona, entidad
o proceso cuando lo requiera.
Tabla 14. Propiedades de seguridad de la información
14. Confidencialidad: Valoración de esta propiedad para el activo.
CONFIDENCIALIDAD
Valor Valoración
DESCRIPCIÓN
cuantitativo cualitativa
Es toda información que el instituto genere, obtenga, adquiera, o
controle; corresponde a datos que son de acceso público y que por lo
1 Pública tanto no tienen requerimientos frente a la Confidencialidad. Está en
esta clasificación la información denominada como “Pública” en la
Ley 1712 de 2014 y como “dato público” en el decreto 1377 de 2013.
Es aquella información que estando en poder o custodia del instituto,
pertenece al ámbito propio, particular y privado o semiprivado de
una persona natural o jurídica por lo que su acceso podrá ser negado
o exceptuado, siempre que se trate de las circunstancias legítimas y
necesarias y los derechos particulares o privados. Esta corresponde a
toda aquella información cuyo acceso podrá ser rechazado o
denegado de manera motivada y por escrito, siempre que el acceso
pudiere causar un daño a los siguientes derechos:
a) El derecho de toda persona a la intimidad, bajo las limitaciones
propias que impone la condición de servidor público, en
2 Clasificada
concordancia con lo estipulado.
b) El derecho de toda persona a la vida, la salud o la seguridad.
c) Los secretos comerciales, industriales y profesionales.
También corresponden a esta categoría los datos que son
catalogados como “dato semiprivado o privado” de acuerdo al
decreto 1377 de 2013; además de los datos de uso interno de la
entidad y que no deben ser conocidos por el público en general.
Están en esta clasificación todos los documentos manejados en la
operación diaria pero que no tengan el carácter de reservado con
base en la ley 1712 de 2014.
Es aquella información que estando en poder o custodia del instituto
es exceptuada de acceso a la ciudadanía por daño a intereses
públicos. Esta corresponde a aquella información cuyo acceso podrá
ser rechazado o denegado de manera motivada y por escrito en las
siguientes circunstancias, siempre que dicho acceso estuviere
3 Reservada
expresamente prohibido por una norma legal o constitucional:
a) La defensa y seguridad nacional;
b) La seguridad pública;
c) Las relaciones internacionales;
d) La prevención, investigación y persecución de los delitos y las

CONFIDENCIALIDAD
Valor Valoración
DESCRIPCIÓN
cuantitativo cualitativa
faltas disciplinarias, mientras que no se haga efectiva la medida de
aseguramiento o se formule pliego de cargos, según el caso;
e) El debido proceso y la igualdad de las partes en los procesos
judiciales;
f) La administración efectiva de la justicia;
g) Los derechos de la infancia y la adolescencia;
h) La estabilidad macroeconómica y financiera del país;
i) La salud pública.
También corresponde a información de carácter reservado los datos
catalogados como sensibles por el decreto 1377 de 2013
Tabla 15. Clasificación frente a confidencialidad
15. Disponibilidad: Valoración de esta propiedad para el activo.
DISPONIBILIDAD
Valor cuantitativo Valoración DESCRIPCIÓN
cualitativa
Información cuya imposibilidad de acceso no afecta
en forma significativa la operación de la entidad y
1 Bajo
puede no estar disponible más de una semana.
Indisponibilidad: + de una semana
Información cuya imposibilidad de acceso por un
periodo entre 1 y 7 días puede ocasionar pérdidas
2 Medio significativas o sanciones la entidad o los organismos
de la función pública.
Indisponibilidad: Entre 1 y 7 días
Información cuya imposibilidad de acceso por menos
de 1 día ocasiona pérdidas significativas o sanciones
3 Alto
a la entidad o los organismos de la función pública.
Indisponibilidad: menos de 1 día
Tabla 16. Clasificación frente a disponibilidad
16. Integridad: Valoración de esta propiedad para el activo.
INTEGRIDAD
Valoración
Valor cuantitativo DESCRIPCIÓN
cualitativa
Información cuya modificación no autorizada puede
1 Bajo repararse. Se afecta solo una parte del proceso y no
hay pérdida económica.
Información cuya modificación no autorizada podría
2 Alto no repararse, se afectan varios procesos misionales y
los daños implican pérdidas económicas.
Información cuya modificación afecta toda la
3 Crítico
organización y los daños son casi irreparables
Tabla 17. Clasificación frente a Integridad

17. IMPORTANCIA: clasificación cualitativa del activo de acuerdo al siguiente criterio: la

importancia de un activo estará dada por la más alta valoración del activo en cualquiera
de sus dimensiones de seguridad: Ejemplo si un activo está valorado como: Integridad 3,
disponibilidad 2, confidencialidad 2. Entonces su importancia será 3 lo que significa alta.
Una vez realizado el inventario de activos y su respectiva valoración, se toman los activos
valorados con importancia alta para proceder a realizar el análisis de amenazas. A continuación
se presenta la tabla resumen con la identificación de los activos de información con importancia
alta.

4. Nombre del activo de
9. Fecha de generación
14. Confidencialidad
15. Disponibilidad
de la información
10. Frecuencia de
Conservación y/o
17. Importancia
3. Categoría de
16. Integridad
actualización
Información
información
7. Medio de
6. Cantidad
2. Tipo de
soporte
1. Nombre 8. 12. AREA 13. AREA
activo de 5. Descripción 11. Lugar de consulta
proceso Formato PROPIETARIA CUSTODIA
información
Documento que Subdirección de

Gestión de Base de datos clasifica de manera Producción de Subdirección Subdirección
Hoja de Cada vez
diseño, Bases de descripción de las detallada y concisa la N/ Instrumentos / de Producción de Producción
Información Electrónico cálculo que se 2 3 3 Alto
análisis y datos características de descripción de las A Subdirección de de de
Excel requiera
divulgación los ítems características de los Abastecimiento y Instrumentos Instrumentos
ítems Servicios Generales
N/ Subdirección de
Documento que
Gestión de A Producción de Subdirección Subdirección
describe las Document Cada vez
diseño, Gestión de Control de Revisión Instrumentos / de Producción de Producción
Información correcciones que se Físico o de texto que se 2 3 3 Alto
análisis y calidad de diagramación Subdirección de de de
deben hacer a las Word requiera
divulgación Abastecimiento y Instrumentos Instrumentos
pruebas
Servicios Generales
N/ Subdirección de
Control de préstamos
Control de de las pruebas o Hoja de Cada vez
diseño, Gestión de Instrumentos / de Producción de Producción
Información Solicitud de carpetas solicitada por Físico cálculo que se 2 3 3 Alto
análisis y calidad Subdirección de de de
documentos encargados de Excel requiera
pruebas
Servicios Generales
N/ Subdirección de
Cada vez
diseño, Cuadernill Conjunto de ítems que Electrónico/fí Instrumentos / de Producción de Producción
Información Cuadernillos PDF que se 2 3 3 Alto
análisis y os se aplican sico Subdirección de de de
requiera
Servicios Generales
N/ Subdirección de
Gestión de Bases de datos de A Otro tipo Producción de Subdirección Subdirección
Codificaciones a las Cada vez
diseño, Bases de codificaciones a las de Instrumentos / de Producción de Producción
Información respuestas de Electrónico que se 2 3 3 Alto
análisis y datos respuestas de document Subdirección de de de
preguntas abiertas requiera
divulgación preguntas abiertas o de texto Abastecimiento y Instrumentos Instrumentos
Servicios Generales
Equipos electrónicos
que soportan el
procesamiento de la
Gestión de Equipos de Subdirección Subdirección
información de la
diseño, Primario y cómputo de la de Producción de Producción
Hardware Subdirección. (34 34 No aplica No aplica No aplica N/A 2 3 3 Alto
análisis y soporte Subdirección (De de de
equipos de cómputo,
divulgación mesa y portátiles) Instrumentos Instrumentos
que comprende, 5
portátiles, 8 all in one,
21 de mesa)

15. Disponibilidad
de la información
10. Frecuencia de
Conservación y/o
17. Importancia
3. Categoría de
16. Integridad
actualización
Información
información
7. Medio de
6. Cantidad
2. Tipo de
soporte
información
En sus ambientes
Gestión de demo y producción, Subdirección Subdirección
Otro tipo Cada vez
diseño, contiene la de Producción de Producción
Software Plataforma PRISMA 1 Electrónico de que se PRISMA 2 3 3 Alto
análisis y información de de de
formato. requiera
divulgación creación de Instrumentos Instrumentos
instrumentos PRISMA
Contiene la
información del
Gestión de procedimiento de Subdirección Subdirección
Otro tipo Cada vez
diseño, codificación de Plataforma Pregunta de Producción de Producción
Software Plataforma Pregunta abierta 1 Electrónico de que se 2 3 3 Alto
análisis y pregunta abierta, así abierta de de
formato. requiera
divulgación como el soporte Instrumentos Instrumentos
técnico de la pregunta
abierta en general.
Es un documento que
contiene información
Gestión de Cambio de de los evaluados que Document
Cada vez
diseño, cuadernillo, requieren un cambio N/ Electrónico/fí o de 01/01/20 Base de datos de Subdirección Subdirección
Información Reportes que se 2 3 3 Alto
análisis y informe de cuadernillo el cual A sico texto/Exce 15 Tecnología de Información de Información
requiera
divulgación administrativo se encuentra en el l
informe
administrativo.
Personal contratado
para la administración
Gestión de
de infraestructura y
diseño, Administrador de Dirección de Dirección de
Personas Personas redes (OG) en la 1 N/A N/A N/A N/A N/A 3 2 3 Alto
análisis y plataforma Tecnología Tecnología
dirección de
divulgación
tecnología de
información
Personal contratado
Gestión de de las bases de datos,
Subdirección Subdirección
diseño, Administrador de infraestructura y
Personas Personas 7 N/A N/A N/A N/A N/A de desarrollo de desarrollo 3 2 3 Alto
análisis y plataforma redes (HD, AM, LB..)
de aplicaciones de aplicaciones
divulgación en la subdirección de
desarrollo de
aplicaciones

15. Disponibilidad
de la información
10. Frecuencia de
Conservación y/o
17. Importancia
3. Categoría de
16. Integridad
actualización
Información
información
7. Medio de
6. Cantidad
2. Tipo de
soporte
información
Personal contratado
Gestión de
diseño, Administrador de Subdirección Subdirección
Personas Personas de las bases de datos 3 N/A N/A N/A N/A N/A 3 2 3 Alto
análisis y plataforma de Información de Información
en la subdirección de
divulgación
información
Equipos de cómputo
Gestión de Subdirección
propios del instituto Subdirección
diseño, de
Hardware Hardware Equipos propios asignados a la 11 N/A N/A N/A N/A N/A de desarrollo 2 3 3 Alto
análisis y abastecimient
subdirección de de aplicaciones
divulgación o
información
Equipos de cómputo
Gestión de Subdirección
alquilados por el Subdirección
diseño, de
Hardware Hardware Equipos alquilados instituto asignados a 13 N/A N/A N/A N/A N/A de desarrollo 2 3 3 Alto
análisis y abastecimient
la subdirección de de aplicaciones
divulgación o
información
Esta base de datos
contiene la
Gestión de Document Subdirección Subdirección
Base de datos de información Cada vez
diseño, Informació N/ o de 07/07/20 Subdirección de de producción de Desarrollo
Información construcción de relacionada para la Electrónico que se 2 3 3 Alto
análisis y n A texto/Exce 15 Estadística de de
ítems construcción de los requiera
divulgación l Instrumentos Aplicaciones
ítems en todas sus
etapas
Gestión de Lenguaje Subdirección Subdirección
Cada vez Subdirección de
diseño, Informació Fuente Plataforma Código fuente de la N/ de 01/01/20 de Desarrollo de Desarrollo
Información Electrónico que se Desarrollo de 2 3 3 Alto
análisis y n Prisma plataforma A programac 12 de de
requiera Aplicaciones
divulgación ión Aplicaciones Aplicaciones
Gestión de Subdirector (a)
Servidores para la Subdirección
diseño, Infraestructura N/ de Desarrollo
Hardware Hardware plataforma PRISMA N/A N/A N/A N/A N/A de desarrollo 2 3 3 Alto
análisis y PRISMA A de
(BD y Aplicación) de aplicaciones
divulgación Aplicaciones
Gestión de Servidores de
diseño, Servidores de aplicación(glassfish) Subdirección
N/
análisis y Software Software aplicación glassfish para el N/A N/A N/A N/A N/A N/A de desarrollo 2 3 3 Alto
A
divulgación PRISMA funcionamiento de la de aplicaciones
plataforma PRISMA
Gestión de Memorias USB Es el dispositivo que Subdirección
N/
diseño, Hardware Hardware para presentación contiene el software N/A N/A N/A N/A N/A N/A de desarrollo 3 3 3 Alto
A
análisis y de prueba que permite a un de aplicaciones

15. Disponibilidad
de la información
10. Frecuencia de
Conservación y/o
17. Importancia
3. Categoría de
16. Integridad
actualización
Información
información
7. Medio de
6. Cantidad
2. Tipo de
soporte
información
divulgación electrónica estudiante presentar

una prueba sin
necesidad de
conexión a internet
Es el dispositivo que
contiene el software
que permite a varios
Gestión de Subdirección Subdirección
Servidores estudiantes de un N/
pruebas y Hardware Hardware N/A N/A N/A N/A N/A de desarrollo de desarrollo 3 3 3 Alto
portátiles TEILEN salón presentar una A
operaciones de aplicaciones de aplicaciones
prueba electrónica y
sin necesidad de
conexión a internet
Gestión de Base de datos que
pruebas y contiene los usuarios,
operaciones ítems, respuestas y Cada vez Subdirección de
Informació Motor de base de N/ Base de 01/01/20 de Desarrollo de Desarrollo
Información demás información de Electrónico que se Desarrollo de 2 3 3 Alto
n datos PostgreSQL A datos 15 de de
una prueba requiera Aplicaciones
Aplicaciones Aplicaciones
electrónica en
modalidad Online
pruebas y contiene los usuarios,
operaciones ítems, respuestas y Cada vez Subdirección de
Informació Motor de base de N/ Base de 01/01/20 de Desarrollo de Desarrollo
Información demás información de Electrónico que se Desarrollo de 2 3 3 Alto
n datos MySQL A datos 15 de de
una prueba requiera Aplicaciones
Aplicaciones Aplicaciones
electrónica en
modalidad Offline
pruebas y contiene la
operaciones información que
permite realizar la Subdirección Subdirección
Cada vez Subdirección de
Informació Motor de base de gestión de la prueba N/ Base de 01/01/20 de Desarrollo de Desarrollo
Información Electrónico que se Desarrollo de 2 3 3 Alto
n datos ORACLE electrónica (ej. A datos 15 de de
requiera Aplicaciones
Inventario de equipos, Aplicaciones Aplicaciones
lista de actividades,
procesamiento de
respuestas)
Gestión de Servidor de Servidor de Subdirección
N/
pruebas y Software Software aplicaciones aplicaciones en el cual N/A N/A N/A N/A N/A N/A de desarrollo 2 3 3 Alto
A
operaciones Apache se despliega la de aplicaciones

15. Disponibilidad
de la información
10. Frecuencia de
Conservación y/o
17. Importancia
3. Categoría de
16. Integridad
actualización
Información
información
7. Medio de
6. Cantidad
2. Tipo de
soporte
información
aplicación TAO en sus

diferentes
modalidades
Gestión de Servidor de
Servidor de
pruebas y aplicaciones en el cual Subdirección Subdirección
aplicaciones N/
operaciones Software Software se despliegan los N/A N/A N/A N/A N/A de desarrollo de desarrollo 2 3 3 Alto
Glassfish PRUEBA A
módulos de gestión de de aplicaciones de aplicaciones
ELECTRONICA
la prueba electrónica.
Gestión de Plataforma que
pruebas y permite crear y
operaciones almacenar ítems para N/
Software Software Plataforma TAO N/A N/A N/A N/A N/A de desarrollo de desarrollo 2 3 3 Alto
posteriormente A
de aplicaciones de aplicaciones
usarlos en una prueba
por computador
Gestión de Módulo de gestión
pruebas y que permite
operaciones administrar y Subdirección Subdirección
Gestor único de N/
Software Software consolidar los N/A N/A N/A N/A N/A de desarrollo de desarrollo 2 3 3 Alto
resultados - GRU A
resultados de una de aplicaciones de aplicaciones
aplicación de prueba
electrónica
pruebas y que permite
operaciones administrar el
inventario y presentar Subdirección Subdirección
Módulo Operativo N/
Software Software a las instituciones la N/A N/A N/A N/A N/A de desarrollo de desarrollo 2 3 3 Alto
de tareas - MOT A
lista de actividades a de aplicaciones de aplicaciones
realizar para presentar
con éxito una prueba
electrónica
pruebas y que permite hacer
operaciones seguimiento a las Subdirección Subdirección
Mapa de N/
Software Software instituciones en N/A N/A N/A N/A N/A de desarrollo de desarrollo 2 3 3 Alto
colaboración A
cuanto al de aplicaciones de aplicaciones
levantamiento de
inventario

15. Disponibilidad
de la información
10. Frecuencia de
Conservación y/o
17. Importancia
3. Categoría de
16. Integridad
actualización
Información
información
7. Medio de
6. Cantidad
2. Tipo de
soporte
información
Herramientas
utilitarias que
permiten realizar
actividades en los
computadores de
Gestión de manera Subdirección Subdirección
Herramientas N/
investigacion Software Software personalizada: N/A N/A N/A N/A N/A de desarrollo de desarrollo 2 3 3 Alto
utilitarias A
es de aplicaciones de aplicaciones
- Verificador
- MatchSerial
- Inventario
Tecnológico
Gestión de Se refiere a los ítems
investigacion que son creados por el
es área de Construcción
de ítems,
directamente en la
Actividade plataforma TAO para
Actividades sy Creación de ítems ser usados en las Subdirección Subdirección
N/
y procesos procesos para prueba pruebas que se N/A N/A N/A N/A N/A de desarrollo de desarrollo 2 3 3 Alto
A
del negocio del electrónica aplican por de aplicaciones de aplicaciones
negocio computador. Incluye
archivos multimedia
asociadas a cada ítem.
Aplica para
modalidades online y
offline
Gestión de Se refiere a los
investigacion procesos logísticos
es Actividade que se tienen que
Aplicación de
Actividades sy llevar a cabo para Subdirección Subdirección
prueba electrónica N/
y procesos procesos aplicar una prueba N/A N/A N/A N/A N/A de desarrollo de desarrollo 2 3 3 Alto
en modalidad A
del negocio del electrónica en de aplicaciones de aplicaciones
offline
negocio modalidad offline
usando dispositivos
USB y servidores

15. Disponibilidad
de la información
10. Frecuencia de
Conservación y/o
17. Importancia
3. Categoría de
16. Integridad
actualización
Información
información
7. Medio de
6. Cantidad
2. Tipo de
soporte
información
portátiles
Gestión de Se refiere al
investigacion procedimiento que se
es realiza para realizar la
extracción de
Actividade Almacenamiento y
resultados de los
Actividades sy tratamiento de Subdirección Subdirección
dispositivos USB y N/
y procesos procesos respuestas a los N/A N/A N/A N/A N/A de desarrollo de desarrollo 2 3 3 Alto
servidores portátiles A
del negocio del exámenes en de aplicaciones de aplicaciones
TEILEN para su
negocio modalidad offline
posterior
consolidación,
formateo y entrega al
área para calificación
Gestión de Es el sistema que se
investigacion requiere como
es plataforma para
soportar la Cada vez
Informació Motor Base de N/ Base de 01/01/20 Subdirección de Subdirección Subdirección
Información información de la BD Electrónico que se 2 3 3 Alto
n datos Oracle 11G A datos 15 Información de Información de Información
de todos los usuarios requiera
y demás temas
misionales del
instituto
Gestión de Son los servidores que
Subdirección
investigacion albergan la Cada vez
Informació Servidores Banco N/ Base de 01/01/20 Subdirección de de producción Subdirección
es Información información crítica del Electrónico que se 3 2 3 Alto
n de Ítems - Virtual A datos 15 Información de de Información
core del negocio del requiera
Instrumentos
instituto
Gestión de Corresponde al área
investigacion donde se encuentran
Unidad de
es los equipos de Dirección de
Diagramación, N/ Dirección
Ubicación N/A cómputo y el personal N/A N/A N/A N/A N/A Producción y 3 3 3 Alto
Edición y Archivo A General
de la Unidad de operaciones
de pruebas
Diagramación, Edición
y Archivo de pruebas

15. Disponibilidad
de la información
10. Frecuencia de
Conservación y/o
17. Importancia
3. Categoría de
16. Integridad
actualización
Información
información
7. Medio de
6. Cantidad
2. Tipo de
soporte
información
Gestión de Corresponde al área

investigacion donde se encuentran
Centro de computo Dirección de
es los servidores que N/ Dirección
Ubicación N/A interno del N/A N/A N/A N/A N/A Tecnología e 3 3 3 Alto
almacenan la A General
instituto Información
información de los
ítems y las pruebas
Gestión de Corresponde a la red
investigacion física que conecta los
es Red de la unidad equipos de cómputo a Subdirección
de Diagramación, la red interna de la Dirección de Desarrollo
Redes N/A 1 N/A N/A N/A N/A N/A 3 3 3 Alto
armado, archivo y unidad de General de
edición de Ítems diagramación, Aplicaciones
armado, archivo y
edición de Ítems
Gestión de Corresponde a la base N/A N/A N/A
investigacion de datos que
es almacena la
Base de datos información de los N/ Base de dirección de subdirección
Información electrónico 3 3 3 Alto
misional (Prisma) ciudadanos que han A datos tecnología de información
presentado cualquiera
de las pruebas del
instituto
Gestión de Corresponde a la base N/A N/A N/A
investigacion de datos que
es almacena la
Base de datos
información de los N/ Base de dirección de subdirección
Información institutodb electrónico 3 3 3 Alto
ciudadanos que han A datos tecnología de información
(Interactivo)
presentado cualquiera
de las pruebas del
instituto
Tabla 18. Inventario de activos de información

15. Análisis de riesgos

Como se menciona en la norma ISO 27003 en la Guía sobre la identificación de los riesgos
de seguridad de la información, por lo general se usan dos enfoques para la identificación
de los riesgos de seguridad de la información: el primero es el enfoque basado en eventos
que considera las fuentes de riesgo de una forma genérica. Los eventos considerados
pueden haber ocurrido en el pasado o se pueden prever para el futuro. En el primer caso,
pueden involucrar datos históricos, en el segundo caso se pueden basar en el análisis
teórico y en opiniones de expertos; y el segundo enfoque es el basado en la identificación
de activos, amenazas y vulnerabilidades [4]. Para este caso usaremos el primer enfoque y
seguiremos los lineamientos descritos en la sección 12. Metodología de Análisis de Riesgos.
Y se tendrá en cuenta la siguiente lista de eventos:
1. Acceso no autorizado
2. Fuga de información
3. Falla o Daño
4. Terrorismo o Asonada
5. Incendio
6. Perdida
7. Robo
8. Ingeniería Social
9. Indisponibilidad
10. Publicación de Información Sensible
11. Incumplimiento en Tiempos de Entrega
12. Deterioro o Desgaste
13. Ataque Informático
14. Modificación o Alteración no Autorizada
15. Incumplimiento de Requisitos Normativos
16. Inconsistencias en la Información
17. Divulgación Inoportuna
18. Desinformación
19. Personal Insatisfecho
20. Interrupción del Proceso
Adicionalmente estos eventos pueden ser de 3 tipos: Del entorno, Deliberado o accidental.
También se establecerá el tipo de riesgo en una de las siguientes categorías:
1. De Imagen
2. Operativo
3. Corrupción
4. De Cumplimiento
5. Tecnológico

Nivel aceptable del riesgo: Para establecer el nivel aceptable de riesgo descrito en la
sección 12. Metodología de Análisis de Riesgos. Se realiza una reunión de la alta gerencia en
donde por medio de una resolución se establece que el nivel de riesgo aceptable será para
aquellos riesgos que tras su evaluación se encuentren en las secciones de bajo y moderado
como lo muestra el siguiente mapa de calor.
IMPACTO
PROBABILIDAD
INSIGNIFICANTE MENOR MODERADO MAYOR CATASTRÓFICO
RARO BAJO BAJO MODERADO ALTO ALTO
IMPROBABLE BAJO BAJO MODERADO ALTO EXTREMO
POSIBLE BAJO MODERADO ALTO EXTREMO EXTREMO
PROBABLE MODERADO ALTO ALTO EXTREMO EXTREMO
CASI SEGURO ALTO ALTO EXTREMO EXTREMO EXTREMO
Tabla 19. Nivel de riesgo aceptable
Para aquellos riesgos que como resultado de su valoración den alto o extremo deberán ser
gestionados hasta que su evaluación se encuentre dentro de los niveles aceptables de riesgos.
En la siguiente tabla se muestran los resultados del primer análisis e identificación de riesgos
de seguridad informática realizado teniendo en cuenta el enfoque mencionado y los activos de
información identificados como de importancia alta para el instituto.

ANALISIS
IDENTIFICACIÓN DEL RIESGO ANALISIS DEL RIESGO RESIDUAL
DEL RIESGO
Valor Probabilidad.
FACTOR DE RIESGO
Evaluación riesgo
Interno/Externo
Evaluación del
Valor Impacto
Probabilidad
residual
Impacto
riesgo
TIPO DE CLASE DE POSIBLES EFECTOS / CONTROLES
No EVENTO DESCRIPCIÓN DEL RIESGO Causa
EVENTO RIESGO CONSECUENCIAS EXISTENTES
Uso de back up.
moderado
Fallos en el acceso a la
posible
Menor
Menor
Por dificultades de acceso Interno Retraso en la información Apoyo por la Dirección
Raro
bajo
1 Falla o Daño Accidental información disponible en Tecnológico
al sistema de información. Externo para posterior calificación. de Tecnología e
banco de Ítems.
Información.
Fuga de información de los
Extremo
extremo
documentos sensibles de la
Posible
Posible
Mayor
Mayor
Interrupción del Ausencia de controles de Pérdida de credibilidad en
2 Deliberado unidad de Diagramación, Interno De Imagen No hay control
Proceso cifrado en los documentos. la Entidad.
armado, archivo y edición de
Ítems
Se cuenta con
Extremo
Extremo
Fuga de información, mecanismos de
Posible
Posible
Mayor
Mayor
Acceso no Acceso no autorizado a los
3 Deliberado Uso de contraseñas débiles Interno Tecnológico documentos o autenticación con el
autorizado sistemas de información
modificación. uso de contraseñas
débiles
Perdida de Se cuenta con un
Menor
mayor
ausencia de controles de
Raro
Raro
bajo
Alto
4 Perdida Accidental información de las bases de Interno Operativo Reproceso de información control manual de
respaldo de información
datos copias de respaldo
Se tienen ANS con el
Improbable
Improbable
proveedor con un
Menor
Indisponibilidad de los ausencia de mecanismos
bajo
bajo
bajo
5 Indisponibilidad Accidental Interno Operativo Retrasos en la operación nivel de disponibilidad
servidores de contingencia
superior al 90% en el
año
Improbable
Improbable
mayor
Mayor
Indisponibilidad de la ausencia de mecanismos Interrupción en la
alto
alto
6 Indisponibilidad Accidental Interno Operativo No hay control
Infraestructura PRISMA de contingencia operación

ANALISIS
DEL RIESGO
Valor Probabilidad.
FACTOR DE RIESGO
Evaluación riesgo
Interno/Externo
Evaluación del
Valor Impacto
Probabilidad
residual
Impacto
riesgo
El personal que tiene acceso a El personal de la Unidad Interno corrupción Perdida de información. Se cuenta con
Improbable
Improbable
los datos sensibles del proceso de diagramación no aplica Procesos judiciales y cláusulas de
Moderado
Moderado
Moderado
Moderado
Fuga de puede incumplir el acuerdo de políticas y controles que disciplinarios confidencialidad para
7 Deliberado
información confidencialidad y hacer un garantizan la seguridad en funcionarios,
inadecuado uso de la la información. proveedores y
información contratistas
Catastrófico
Catastrófico
Extremo
Extremo
Modificación o Pérdida de imagen. Existe una sola
Posible
Posible
Modificación o alteración no No se aplican proceso de
8 Alteración no Deliberado Interno Operativo Perdidas económicas persona encargada del
autorizada de los cuadernillos supervisión y auditoria
Autorizada significativas, reprocesos monitoreo
Se explica la
importancia y alcance
Inequidad en la población del compromiso de
Fuga de información que
que presenta la prueba y, confidencialidad en el
ocasiona perdida de ítems
alteración en las taller de inducción
durante el subproceso de Uso inadecuado de los
estadísticas de para la construcción;
construcción. Protocolos de seguridad o Interno
mayor
Mayor
Fuga de comportamiento del ítem además, se utiliza los
Raro
raro
alto
alto
9 Deliberado desactualización del /extern Corrupción
información aplicado; Pérdida de formatos
Sustracción de información mismo para el subproceso o
credibilidad sobre la normalizados tales
confidencial durante el de construcción.
capacidad institucional de como el "Acta de
subproceso de construcción de
controlar información compromiso de
ítems.
confidencial confidencialidad" y el
"Acta de destrucción
del material".
Afectación del principio de
Insuficiencia o
La información confidencial equidad en las condiciones
desactualización de los
acorde al contenido de un de evaluación para los
Protocolos de seguridad
instrumento es filtrada de la usuarios; perdida de
Menor
Menor
Fuga de para el manejo de la
raro
raro
Alto
Alto
10 Deliberado Unidad de Diagramación, Interno Corrupción información confidencial No hay control.
información información en la Unidad
Edición y Archivo de Pruebas, del Instituto y, pérdida de
de Diagramación, Edición
antes de la aplicación de una credibilidad de la prueba
y Archivo de Pruebas
prueba. aplicada ante el público de
durante el subproceso.
interés.

ANALISIS
DEL RIESGO
Valor Probabilidad.
FACTOR DE RIESGO
Evaluación riesgo
Interno/Externo
Evaluación del
Valor Impacto
Probabilidad
residual
Impacto
riesgo
Probable
Probable
Extremo
Extremo
Fallos en el acceso a la Por fallas en el Interno
Mayor
Mayor
Retraso en la información
11 Falla o Daño Accidental información disponible en almacenamiento de la /extern Tecnológico no hay control
para posterior calificación.
banco de Ítems. información. o
Modificación o Accidental Modificación de la información Porque el procedimiento Interno Estratégico Retraso en la información
Alteración no de los ítems a revisar. de análisis de ítem se para posterior calificación.
Probable
Probable
Extremo
Extremo
Mayor
Mayor
Autorizada maneja de forma manual.
12 no hay control
Interrupción del Deliberado Interrupción del Por inconsistencia en la Interno Interrupció Deliberado
Improbable
Casi Seguro
Proceso procedimiento de análisis de información que se está n del
Extremo
extremo
Mayor
Mayor
ítem. manejando. Proceso
13 no hay control
Tabla 20. Matriz de riesgos de seguridad de la información
16. Propuestas de proyectos

Los proyectos presentados a continuación surgen al agrupar una serie de recomendaciones para mitigar los riesgos de seguridad identificados y
para lograr la implementación de los controles de seguridad identificados que aplican al instituto de acuerdo a la declaración de aplicabilidad.
Los proyectos propuestos se han dividido en 3 tipos de acuerdo al tiempo de ejecución estimado así:
1. PROYECTOS A CORTO PLAZO (3 A 6 MESES, fecha máxima de ejecución primer semestre de 2019)
1.1. C1. Implementación de un software de cifrado
a) Responsable del proyecto: Líder de Seguridad de la información.

b) Propósito y Visión del Proyecto
Contratar una herramienta de cifrado multifuncional para asegurar que la información clasificada y
reservada se almacene y transmita cifrada.
c) Objetivos del proyecto
• Recibir la aprobación por parte de la dirección general para la compra o contratación de una
herramienta de cifrado.
• Contratar o comprar una herramienta para el cifrado de la información digital clasificada y reservada del
instituto.
• Implementar y poner en funcionamiento la herramienta para el cifrado de información.
• Capacitar el personal del instituto en el uso de la herramienta.
d) Descripción del proyecto
Se requiere adquirir o contratar una herramienta de cifrado, que permita cifrar la información digital del
instituto que ha sido catalogada como clasificada y reservada, tanto en su almacenamiento (servidores,
computadores de escritorio, etc.) como también cuando esta sea transmitida a través de la red o de internet
o cualquier otro medio.
e) Presupuesto Estimado:
A continuación se describe el presupuesto estimado para la realización del proyecto durante el primer año,
estimado en pesos colombianos, se debe tener en cuenta que el presupuesto para los siguientes años se debe
calcular teniendo en cuenta el costo de la renovación de licencias y los mantenimientos necesarios.
Tipo de
descripción costo anual
recurso
Software Adquisición o contratación de la herramienta para el cifrado de la

información $ 160.000.000,00
Humano Capacitación del personal en el uso y manejo de la herramienta de cifrado $ 5.000.000,00
Costo total del proyecto para el primer año $ 165.000.000,00
Tabla 21. Presupuesto proyecto C1
1.2. C2. Contratación de un servicio de copias de respaldo
a) Responsable del proyecto: Director de tecnología e información.
a) Propósito y Visión del Proyecto
Contratar el servicio de transporte y almacenamiento de copias de respaldo de seguridad de la información

del instituto.
b) Objetivos del proyecto

• Recibir la aprobación por parte de la dirección general para la contratación del servicio de transporte y
almacenamiento de copias de respaldo de seguridad de la información del instituto.
• Almacenar las copias de respaldo de la información en una ubicación diferente a las instalaciones del
instituto.
c) Descripción del proyecto
Contratar el servicio de transporte y almacenamiento de copias de respaldo, con el fin de mantener las
copias de respaldo de seguridad en un lugar diferente a las instalaciones del instituto con el fin de que estas
no se vean afectadas por las mismas amenazas naturales y del entorno que afectan a los activos de
información del instituto.
d) Presupuesto Estimado:
estimado en pesos colombianos.
Tipo de
descripción costo mensual costo anual
recurso
Contratación del servicio de transporte y almacenamiento de
Servicio $ 800.000,00 $ 9.600.000,00
copias de respaldo
Tabla 22. Presupuesto proyecto C2
2. PROYECTOS A MEDIANO PLAZO (6 MESES A 1 AÑO. Fecha máxima de ejecución segundo semestre
de 2019)
2.1. M1 Campaña de concientización
a) Responsable del proyecto: Líder de seguridad de la información.
a) Propósito y Visión del Proyecto
Realizar una campaña de concientización y divulgación en el instituto de seguridad de la información.
b) Objetivos del proyecto
• Recibir la aprobación por parte de la dirección general para la realización de la campaña de

concientización.
• Dar a conocer y divulgar las políticas de seguridad de la información entre el personal del instituto.
• Concientizar al personal del instituto en la importancia del cumplimiento de las políticas y demás
lineamientos de seguridad.
• Dar cumplimiento al numeral 7.3 Toma de Conciencia de la norma ISO 27001:2013 y a sus apartados a)
dar a conocer la política de seguridad de la información; b) la contribución de las políticas para la gestión
del SGSI; C) las implicaciones de la no conformidad con los requisitos del SGSI.

• Desarrollar cultura de seguridad de la información en el instituto, de modo que los usuarios de la

información identifiquen los riesgos y amenazas que afectan la confidencialidad, integridad y
disponibilidad de la información, así como las medidas de seguridad existentes en el instituto para
protegerla teniendo en cuenta que todo está bajo el Sistema de Gestión de Seguridad de la Información.
• Generar conocimiento de seguridad de la información enfocada en los componentes del Sistema de
Gestión de Seguridad de la Información.
• Apoyar la generación de conocimiento realizando cursos de seguridad específicos para que el personal
del instituto desarrolle habilidades que le permitan identificar escenarios en los que pueda aplicar el
conocimiento adquirido.
• Medir el grado de concientización de seguridad de la información teniendo en cuenta el desarrollo de los
objetivos propuestos.
c) Descripción del proyecto
Para realizar la campaña de concientización se debe segmentar el personal el instituto por áreas y nivel
jerárquico, de esta forma se pueden enfocar los temas de seguridad en aquellos aspectos más importantes
para cada uno de los grupos identificados. Se deben realizar charlas para cada uno de los grupos además de
piezas informativas enviadas a los correos de todo el personal y una capacitación general indicando las
implicaciones de la implementación de un SGSI y las consecuencias del incumplimiento de alguno de los
lineamientos en el estipulados.
d) Presupuesto Estimado:
Tipo de recurso descripción costo anual

Servicio Contratación campaña de seguridad de la información $ 12.000.000,00
Tabla 23. Presupuesto proyecto M1
2.2. M2. Contratación de un servicio de data center de contingencia para el data center interno
a) Responsable del proyecto: Director de tecnología e información.
Contratar el servicio de un data center alterno para prevenir que las operaciones del instituto no se
detengan en caso de alguna falla de este.
• Recibir la aprobación por parte de la dirección general para la contratación de un data center alterno,
para el data center interno.
• Replicar las configuraciones y la información del data center interno en el data center de contingencia.
• Mantener la continuidad en la operación de los proceso misionales del instituto en caso de que el data
center interno presente alguna falla.

Contratar el servicio de un data center alterno para la contingencia del data center interno, asegurando que
este cuente con las mismas configuraciones, información y controles de seguridad que el data center del
instituto adicionalmente realizar pruebas periódicas para comprobar el correcto funcionamiento de este en
caso de que sea necesario.
Tipo de recurso descripción costo mensual costo anual

Servicio Contratación servicio de data center alterno $ 12.000.000,00 $ 144.000.000,00
2.3. M3. Contratación de personal especializado en seguridad de sistemas de información
a) Responsable del proyecto: Líder de seguridad de la información.
Contratar personal especializado en la seguridad de sistemas de información para asegurar que en dichos
sistemas la seguridad de la información sea una parte integral durante el ciclo de vida (adquisición
desarrollo y mantenimiento).
• Asegurar la inclusión de requisitos de seguridad adecuados en la adquisición desarrollo y mantenimiento

de cualquier sistema de información del instituto.
• Establecer los requerimientos de seguridad necesarios con los que debe cumplir un sistema de
información durante su fase de diseño.
• Realizar las pruebas de seguridad adecuadas a los sistemas de información antes de que estos sean
puestos en los entornos productivos.
• Restringir el acceso de manera adecuada a los paquetes de software y a los datos tanto de los entornos
productivos como de los de prueba y desarrollo.
Contratar personal especializado en seguridad de sistemas de información, para asegurar que todo el
software y los sistemas de información que sean desarrollados o adquiridos por el instituto tengan en
cuenta los requisitos de seguridad adecuados durante su diseño, desarrollo, realización de pruebas y puesta
en producción, además que el mantenimiento de los mismos se ajusten a los requisitos de seguridad de la
información que gestionan.

Tipo de
recurso
Mobiliario Muebles de escritorio, sillas de oficina y adecuación del espacio para N/A
la oficina de seguridad de la información $ 25.000.000,00
computadores de escritorio, conexiones de red y conexión a
infraestructura
internet para los equipos de la oficina de seguridad de la N/A
tecnológica
información $ 25.000.000,00
Software Adquisición del software necesario para que el equipo de seguridad N/A
de la información desarrolle sus labores $ 50.000.000,00
Humano sueldo Arquitecto de seguridad $ 8.000.000,00 $ 96.000.000,00
Humano sueldo ethical hacker $ 6.000.000,00 $ 72.000.000,00
Humano sueldo ethical hacker $ 6.000.000,00 $ 72.000.000,00
Humano sueldo Analista de seguridad de sistemas de aplicación aplicaciones $ 6.000.000,00 $ 72.000.000,00
3. Proyectos a largo plazo (1 a 3 años, fecha máxima de ejecución segundo semestre de 2020)
3.1. L1. Creación de la Oficina de seguridad de la información dentro del instituto que dependa
directamente de la dirección general y cuente con los siguientes cargos:
a) Responsable del proyecto: Director general del instituto.
Crear en el instituto la oficina de seguridad de la información la cual dependa directamente de la dirección

general, para que se encargue de la implantación y gestión del SGSI en la organización.
• Recibir la aprobación por parte de la dirección general de la creación de una oficina de seguridad de la
información.
• Incluir la oficina de seguridad de la información dentro del organigrama de la organización.
• Formalizar la oficina de seguridad de la información del instituto.
• Contratar el personal idóneo para los roles definidos dentro de la oficina de seguridad de la información.
• Establecer la responsabilidad de la gestión del SGSI a la oficina de seguridad de la información.

Se debe iniciar con la elaboración de la propuesta de la creación de la oficina de seguridad de la información

a la alta dirección, donde se describa la necesidad y la justificación de dicha oficina para que sea analizada
por la dirección general, se proponen 5 roles o cargos para esta oficina descritos a continuación:
Oficial de seguridad: Conocido popularmente como “CISO” por sus siglas en inglés chief information
security officer: “oficial principal de seguridad de la información”: Es el encargado de reportar a la alta
dirección los resultados del desempeño de la gestión del riesgo, el cumplimiento y el gobierno de la
seguridad de la información. El CISO debe conformar y dirigir el comité corporativo de seguridad de la
información, que debe ser integrado por personal de gerencia media y alta de las diferentes áreas de la
organización.
El CISO es el responsable del mantenimiento del Sistema de Gestión de Seguridad de la Información de la
organización, recibirá reporte de las actividades e iniciativas adelantadas por el analista de Riesgos de TI, el
analista de Seguridad de la Información, el analista de gestión de incidentes y continuidad de negocios, así
como el analista de cumplimiento y auditoria.
El CISO debe realizar las funciones de aseguramiento de calidad de los servicios prestados por los analistas
del área.
Analista de riesgos de seguridad de la información: Es el encargado de gestionar la administración del

riesgo de TI por medio de la planeación y coordinación de actividades como: mantenimiento del inventario
de activos, análisis y valoración de riesgos, concienciación en aspectos de gestión del riesgo al interior de la
organización, definición de los modelos de riesgo aplicables a la organización, mantener las comunicaciones
relativas a la gestión del riesgo con las partes interesadas.
Analista de seguridad de la información: debe apoyar al CISO en la elaboración y mantenimiento del

modelo de gestión de seguridad de la información (Política General, Políticas Específicas, Procedimientos y
Guías). Se encarga de gestionar la medición del desempeño del SGSI. Este analista debe asistir a los comités
de gestión de cambios dando su concepto con respecto a los aspectos de seguridad informática que cada
cambio representa para la organización y debe hacer cumplir las políticas de seguridad de la información.
Analista de gestión de incidentes y continuidad del negocio: Este analista está encargado de apoyar al
CISO en el establecimiento, implantación, prueba y mantenimiento del Plan de Continuidad de Negocio de la
organización, coordina el grupo de respuesta a incidentes de la organización, dirige las reuniones de
lecciones aprendidas y se encarga de actualizar las medidas de desempeño del proceso de gestión de
incidentes de la organización.
Analista de cumplimiento y auditorías: Este analista apoya al CISO en la asesoría y revisión del
cumplimiento de las normas y leyes aplicables a la organización respecto a aspectos de la seguridad de la
información.
Apoya al grupo de control interno (como auditor experto en Seguridad de la Información) en la ejecución de
auditorías internas relacionadas con los aspectos de Seguridad de la Información, hará seguimiento de las
acciones correctivas que se desprendan de hallazgos de auditorías relacionadas con la Seguridad de la
Información.

estimado en pesos colombianos, se debe tener en cuenta que el presupuesto para los siguientes años se debe
calcular teniendo en cuenta el costo de la renovación de licencias y los mantenimientos necesarios.
Tipo de
recurso
Mobiliario Muebles de escritorio, sillas de oficina y adecuación del espacio para N/A
la oficina de seguridad de la información $ 25.000.000,00
computadores de escritorio, conexiones de red y conexión a
infraestructura
internet para los equipos de la oficina de seguridad de la N/A
tecnológica
información $ 25.000.000,00
Software Adquisición del software necesario para que el equipo de seguridad N/A
de la información desarrolle sus labores $ 10.000.000,00
Humano sueldo Oficial de seguridad $ 8.000.000,00 $ 96.000.000,00
Humano sueldo Analista de riesgos de seguridad de la información $ 6.000.000,00 $ 72.000.000,00
Humano sueldo Analista de seguridad de la información $ 6.000.000,00 $ 72.000.000,00
Humano sueldo Analista de gestión de incidentes y continuidad del negocio $ 6.000.000,00 $ 72.000.000,00
Humano Sueldo Analista de cumplimiento y auditorías $ 6.000.000,00 $ 72.000.000,00
Tabla 26. Presupuesto proyecto L1
Los proyectos definidos anteriormente son propuestos con el fin de cumplir los controles definidos en la
declaración de aplicabilidad descrita en el numeral 13 del presente documento, por ello se muestra su
relación con los controles en la siguiente tabla:
Dominios Controles Proyectos

A.5 Políticas de Seguridad A.5.1.1, A.5.1.2 M1,L1
A.6 Organización de la Seguridad de la A.6.1.1, A.6.1.2, A.6.1.3, A.6.1.4, A.6.1.5, A.6.2.1, A.6.2.2
Información L1
A.7 Seguridad de los Recursos Humanos A.7.1.1, A.7.1.2, A.7.2.1, A.7.2.2, A.7.2.3, A.7.3.1 M1
A.8 Gestión de Activos A.8.1.1, A.8.1.2, A.8.1.3, A.8.1.4, A.8.2.1, A.8.2.2, A.8.2.3, A.8.3.1,
A.8.3.2, A.8.3.3 M2
A.9 Control de accesos A.9.1.1, A.9.1.2, A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.5, A.9.2.6,
A.9.3.1, A.9.4.1, A.9.4.2, A.9.4.3, A.9.4.4, A.9.4.5 M1,L1
A.10 Criptografía A.10.1.1, A.10.1.2 C1,M3
A.11 Seguridad física y del entorno A.11.1.1, A.11.1.2, A.11.1.3, A.11.1.4, A.11.1.5, A.11.1.6, A.11.2.1,
A.11.2.2, A.11.2.3, A.11.2.4, A.11.2.5, A.11.2.6, A.11.2.7, A.11.2.8,
A.11.2.9 M2
A.12 Seguridad de las operaciones A.12.1.1, A.12.1.2, A.12.1.3, A.12.1.4, A.12.2.1, A.12.3.1, A.12.4.1,
A.12.4.2, A.12.4.3, A.12.4.4, A.12.5.1, A.12.6.1, A.12.6.2, A.12.7.1 C2, M2
A.13 Seguridad en las comunicaciones A.13.1.1, A.13.1.2, A.13.1.3, A.13.2.1, A.13.2.2, A.13.2.3, A.13.2.4 C2
A.14 Adquisición, desarrollo y A.14.1.1, A.14.1.2, A.14.1.3, A.14.2.1, A.14.2.2, A.14.2.3, A.14.2.4,
mantenimiento de sistemas A.14.2.5, A.14.2.6, A.14.2.7, A.14.2.8, A.14.2.9, , A.14.3.1 M3

Dominios Controles Proyectos

A.15 Relaciones con los proveedores A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2 M1
A.16 Gestión de incidentes de seguridad de A.16.1.1, A.16.1.2, A.16.1.3, A.16.1.4, A.16.1.5, A.16.1.6, A.16.1.7
la información L1,C2
A.17 Aspectos de la seguridad de la A.17.1.1, A.17.1.2, A.17.1.3, A.17.2.1
información de la gestión de continuidad de
negocio M1
A.18 Cumplimiento A.18.1.1, A.18.1.2, A.18.1.3, A.18.1.4, A.18.1.5, A.18.2.1, A.18.2.2,
A.18.2.3 M1
Tabla 27. Controles cubiertos por cada proyecto
A continuación se incluye una propuesta de cronograma de ejecución de los proyectos planteados
Duración
Proyecto Fecha inicio Fecha terminación
(días)
C1. Implementación de un software de cifrado 01/06/2018 120 29/09/2018
C2. Contratación de un servicio de copias de respaldo 01/08/2018 60 30/09/2018
M1 Campaña de concientización 01/09/2018 360 27/08/2019
M2. Contratación de un servicio de data center de contingencia 01/09/2018 270 29/05/2019
M3. Contratación de personal especializado en seguridad 01/01/2019 360 27/12/2019
L1. Creación de la Oficina de seguridad de la información 01/01/2019 540 24/06/2020
Tabla 28. Cronograma ejecución de proyectos
1/06/2018 9/09/2018 18/12/2018 28/03/2019 6/07/2019 14/10/2019 22/01/2020 1/05/2020
C1
C2
M1
M2
M3
L1
Duración
Tabla 29. Diagrama de Grannt ejecución de proyectos

17. Auditoria de cumplimiento

Para comprobar si el SGSI implementado en el instituto cumple con los requerimientos de la norma ISO
27001, se realiza una verificación de los apartados 4 al 10 de la norma, en una auditoria de cumplimiento
donde se establece su objetivo y alcance así:
Objetivo: Comprobar el cumplimiento del SGSI del instituto de acuerdo a los requerimientos de la norma
ISO 27001
Alcance: El alcance de esta auditoria será el mismo que el del SGSI implementado los procesos misionales:
Gestión de diseño, análisis y divulgación; gestión de pruebas y operaciones; y gestión de investigaciones
Documentos auditados: Políticas de seguridad de la información, Declaración de aplicabilidad, Matriz de

riesgos de seguridad de información, Identificación de activos, Contexto organizacional, Evaluación de
controles, procesos y procedimientos de seguridad de la información
Entrevistados: Director de evaluación, subdirector de diseño de instrumentos, subdirector de estadística,

subdirector de análisis y divulgación, director de producción de operaciones, subdirector de producción de
instrumentos, subdirector de aplicación de instrumentos, director de tecnología e información, subdirector
de desarrollo de aplicaciones, subdirector de información y oficial de seguridad de la información.
Hallazgos:
a) No conformidades mayores: Ninguna
b) No conformidades menores:
1. No se evidencia la identificación de los dueños de los riesgos, en la matriz de riesgos de seguridad de

la información. Se incumple el apartado 6.1.2 c) 2.
2. No se evidencia que los indicadores definidos para realizar seguimiento al SGSI se ejecuten, puesto
que no se observó la medición de los indicadores durante el año 2018. Se incumple el apartado 9.1.c).
3. Se evidencia el incumplimiento de las políticas de uso de controles criptográficos, en cuanto al

ciframiento de información confidencial enviada por cualquier medio, debido a que se observaron
correos electrónicos con información confidencial sin cifrar. Se incumple el control A.5.1.1
c) Observaciones:
1. Asegurar que las verificaciones de antecedentes incluyan todas las instituciones públicas pertinentes
para evitar riesgos en la selección de personal.A.7.1.1
2. Garantizar que todos los equipos que soportan la infraestructura tecnológica se mantengan
periódicamente y de forma planeada. A.11.2.4.
3. Relacionar los riesgos identificados con los planes de tratamiento apropiados. Apartado 6.1.3 a)

4. Fortalecer la concientización de los incidentes de seguridad de información en todo el personal para

evitar la materialización de riesgos personales y corporativos, tales como penales y de reputación.
d) Oportunidades de mejora: Realizar la correspondencia de los objetivos y los indicadores utilizados

para su evaluación y seguimiento. Apartado 9.1.
18. Evaluación de la madurez

Con el fin de analizar y evaluar hasta qué punto el instituto cumple con las buenas prácticas en seguridad de
la información se mide el nivel de madurez de este contra los controles o salvaguardas expuesto en la
ISO/IEC 27002:2013. Para ello se mide el nivel de madurez de cada uno de los 114 controles y de esta forma
se saca el promedio de madurez de los 35 objetivos de control y posteriormente de los 14 dominios. Esta
estimación se realiza de acuerdo en los criterios de la siguiente tabla basa en el Modelo de Madurez de la
Capacidad (CMM):
EFECTIVIDAD CMM SIGNIFICADO DESCRIPCIÓN

Carencia completa de cualquier proceso reconocible.
0% L0 No se ha reconocido siquiera que existe un problema a
Inexistente resolver.
Estado inicial donde el éxito de las actividades de los
procesos se basa la mayoría de las veces en el esfuerzo
personal.
1-10% L1 Los procedimientos son inexistentes o localizados en
Inicial / Ad-hoc
áreas concretas.
No existen plantillas definidas a nivel corporativo.
Los procesos similares se llevan en forma similar por
diferentes personas con la misma tarea.
11-50% Reproducible, Se normalizan las buenas prácticas en base a la experiencia
L2 y al método.
pero intuitivo No hay comunicación o entrenamiento formal, las
responsabilidades quedan a cargo de cada individuo.
Se depende del grado de conocimiento de cada
individuo.
La organización entera participa en el proceso.
51-90% Proceso definido
L3 Los procesos están implantados, documentados y
comunicados mediante entrenamiento.
Se puede seguir con indicadores numéricos y estadísticos la
Gestionado y evolución de los procesos.
91-95% L4 medible Se dispone de tecnología para automatizar el flujo de
trabajo, se tienen herramientas para mejorar la calidad y la
eficiencia.

Los procesos están bajo constante mejora.

100% En base a criterios cuantitativos se determinan las
L5 Optimizado desviaciones más comunes y se optimizan los procesos.
Tabla 30. Criterios de evaluación nivel de madurez
Teniendo en cuenta las anteriores descripciones se obtienen los siguientes resultados de los controles,
objetivos de control y dominios:
Nivel de
Sección Descripción Dominio Dominio, objetivos de control y Controles
madurez
A.5 Políticas de Seguridad 60
Orientación de la Dirección para la gestión
A.5.1
de la seguridad de la información
60
A.5.1.1 Políticas de Seguridad Políticas para la seguridad de la información 60
Revisión de las políticas para la seguridad de
A.5.1.2 Políticas de Seguridad 60
la información
Organización de la Seguridad de la
A.6
Información
25
A.6.1 Organización Interna 30
Organización de la Seguridad Roles y Responsabilidades de Seguridad de
A.6.1.1 20
de la Información la Información
Organización de la Seguridad
A.6.1.2 Separación de deberes 40
de la Información
A.6.1.3 Contacto con las autoridades 60
de la Información
A.6.1.4 Contacto con grupos de interés especial 10
de la Información
Organización de la Seguridad Seguridad de la información en la gestión de
A.6.1.5 20
de la Información proyectos
A.6.2 Dispositivos móviles y teletrabajo 20
A.6.2.1 Política para dispositivos móviles 0
de la Información
A.6.2.2 Teletrabajo 40
de la Información
A.7 Seguridad de los Recursos Humanos 24,4444444
A.7.1 Antes de asumir el empleo 10
Seguridad de los Recursos
A.7.1.1 Selección 0
Humanos
A.7.1.2 Términos y condiciones del empleo 20
Humanos
A.7.2 Durante el empleo 43,3333333
A.7.2.1 Responsabilidades de la dirección 10
Humanos
Seguridad de los Recursos Concienciación sobre la seguridad de la
A.7.2.2 60
Humanos información, la educación y la formación

Nivel de
madurez
A.7.2.3 Proceso disciplinario 60
Humanos
A.7.3 Terminación y cambio de empleo 20
Seguridad de los Recursos Terminación o cambio de responsabilidades
A.7.3.1 20
Humanos de empleo
A.8 Gestión de Activos 30,5555556
A.8.1 Responsabilidad de los activos 45
A.8.1.1 Gestión de Activos Inventario de Activo 60
A.8.1.2 Gestión de Activos Propietario de los activos 40
A.8.1.3 Gestión de Activos Uso aceptable de los activos 60
A.8.1.4 Gestión de Activos Devolución de los activos 20
A.8.2 Clasificación de la información 20
A.8.2.1 Gestión de Activos Clasificación de la información 20
A.8.2.2 Gestión de Activos Etiquetado de la información 0
A.8.2.3 Gestión de Activos Manejo de activos 40
A.8.3 Manejo de medios 26,6666667
A.8.3.1 Gestión de Activos Gestión de medios removibles 0
A.8.3.2 Gestión de Activos Disposición de los medios 0
A.8.3.3 Gestión de Activos Transferencia de medios físicos 80
A.9 Control de accesos 22,1666667
Requisitos del negocio para el control de
A.9.1
acceso
40
A.9.1.1 Control de accesos Política de control de acceso 0
A.9.1.2 Control de accesos Acceso a redes y servicios en red 80
A.9.2 Gestión de acceso de usuarios 16,6666667
Registro y cancelación del registro de
A.9.2.1 Control de accesos 0
usuarios
A.9.2.2 Control de accesos Suministro de acceso de usuarios 0
A.9.2.3 Control de accesos Gestión de derechos de acceso privilegiado 40
Gestión de información de autenticación
secreta de usuarios
Revisión de los derechos de acceso de
usuarios
A.9.2.6 Control de accesos Retiro o ajuste de los de derechos de acceso 40
A.9.3 Responsabilidades de los usuarios 0
A.9.3.1 Control de accesos Uso de información de autenticación secreta 0
A.9.4 Control de acceso al sistema y aplicaciones 32
A.9.4.1 Control de accesos Restricciones de acceso a la información 60
A.9.4.2 Control de accesos Procedimiento de ingreso seguro 60

Nivel de
madurez
A.9.4.3 Control de accesos Sistema de gestión de contraseñas 0
A.9.4.4 Control de accesos Uso de programas utilitarios privilegiados 20
Control de acceso a códigos fuente de
programas
A.10 Criptografía 0
A.10.1 Controles criptográficos 0
A.10.1.1 Criptografía Política de uso de controles criptográficos 0
A.10.1.2 Criptografía Gestión de llaves 0
A.11 Seguridad física y del entorno 24,4444444
A.11.1 Áreas seguras 16,6666667
A.11.1.1 Seguridad física y del entorno Perímetro de seguridad física 20
A.11.1.2 Seguridad física y del entorno Controles de acceso físicos 10
Seguridad de oficinas, recintos e
A.11.1.3 Seguridad física y del entorno 40
instalaciones
Protección contra las amenazas externas y
ambientales
A.11.1.5 Seguridad física y del entorno Trabajo en áreas seguras 10
A.11.1.6 Seguridad física y del entorno Áreas de despacho y carga 0
A.11.2 Equipos 32,2222222
A.11.2.1 Seguridad física y del entorno Ubicación y protección de equipos 20
A.11.2.2 Seguridad física y del entorno Servicios de suministro 20
A.11.2.3 Seguridad física y del entorno Seguridad del cableado 10
A.11.2.4 Seguridad física y del entorno Mantenimiento de los equipos 40
A.11.2.5 Seguridad física y del entorno Retiro de activos 40
Seguridad de equipos y activos fuera de las
instalaciones
Disposición segura o reutilización de
equipos
A.11.2.8 Seguridad física y del entorno Equipo de usuario desatendido 60
A.11.2.9 Seguridad física y del entorno Política de escritorio limpio y pantalla limpia 60
A.12 Seguridad de las operaciones 25,3571429
Procedimientos operacionales y
A.12.1
responsabilidades
50
A.12.1.1 Seguridad de las operaciones Procedimientos de operación documentados 20
A.12.1.2 Seguridad de las operaciones Gestión de cambios 80
A.12.1.3 Seguridad de las operaciones Gestión de la capacidad 60
Separación de los ambientes de desarrollo,
A.12.1.4 Seguridad de las operaciones 40
pruebas y operación
A.12.2 Protección contra códigos maliciosos 20

Nivel de
madurez
A.12.2.1 Seguridad de las operaciones Controles contra códigos maliciosos 20
A.12.3 Copias de respaldo 20
A.12.3.1 Seguridad de las operaciones Respaldo de la información 20
A.12.4 Registro y seguimiento 27,5
A.12.4.1 Seguridad de las operaciones Registro de eventos 10
A.12.4.2 Seguridad de las operaciones Protección de la información de registro 40
A.12.4.3 Seguridad de las operaciones Registros del administrador y del operador 40
A.12.4.4 Seguridad de las operaciones Sincronización de relojes 20
A.12.5 Control de software operacional 10
Instalación de software en sistemas
operativos
A.12.6 Gestión de la vulnerabilidad técnica 30
A.12.6.1 Seguridad de las operaciones Gestión de las vulnerabilidades técnicas 40
Restricciones sobre la instalación de
software
Consideraciones sobre auditorías de
A.12.7
sistemas de información
20
Controles de auditoría de sistemas de
información
A.13 Seguridad en las comunicaciones 47,5
A.13.1 Gestión de la seguridad de las redes 50
Seguridad en las
A.13.1.1 Controles de redes 80
comunicaciones
Seguridad en las
A.13.1.2 Seguridad de los servicios de red 60
comunicaciones
Seguridad en las
A.13.1.3 Separación en las redes 10
comunicaciones
A.13.2 Transferencia de información 45
Seguridad en las Políticas y procedimientos de transferencia
A.13.2.1 40
comunicaciones de información
Seguridad en las Acuerdos sobre transferencia de
A.13.2.2 20
comunicaciones información
Seguridad en las
A.13.2.3 Mensajería electrónica 60
comunicaciones
Seguridad en las Acuerdos de confidencialidad o de no
A.13.2.4 60
comunicaciones divulgación
Adquisición, desarrollo y mantenimiento de
A.14
sistemas
30,3703704
Requisitos de seguridad de los sistemas de
A.14.1
información
13,3333333
Adquisición, desarrollo y Análisis y especificación de requisitos de
A.14.1.1 0
mantenimiento de sistemas seguridad de la información

Nivel de
madurez
Adquisición, desarrollo y Seguridad de servicios de las aplicaciones en
A.14.1.2 20
mantenimiento de sistemas redes públicas
Adquisición, desarrollo y Protección de las transacciones de los
A.14.1.3 20
mantenimiento de sistemas servicios de las aplicaciones
Seguridad en los procesos de desarrollo y de
A.14.2
soporte
37,7777778
Adquisición, desarrollo y
A.14.2.1 Política de desarrollo seguro 60
Adquisición, desarrollo y Procedimientos de control de cambios en
A.14.2.2 60
mantenimiento de sistemas sistemas
Adquisición, desarrollo y Revisión técnica de las aplicaciones después
A.14.2.3 60
mantenimiento de sistemas de cambios en la plataforma de operación
Adquisición, desarrollo y Restricciones en los cambios a los paquetes
A.14.2.4 0
mantenimiento de sistemas de software
Adquisición, desarrollo y Principios de construcción de los sistemas
A.14.2.5 60
mantenimiento de sistemas seguros
A.14.2.6 Ambiente de desarrollo seguro 0
A.14.2.7 Desarrollo contratado externamente 40
A.14.2.8 Pruebas de seguridad de sistemas 0
A.14.2.9 Pruebas de aceptación de sistemas 60
A.14.3 Datos de prueba 40
A.14.3.1 Protección de los datos de prueba 40
A.15 Relaciones con los proveedores 23,3333333
Seguridad de la información en las
A.15.1
relaciones con proveedores
46,6666667
Relaciones con los Política de seguridad de la información para
A.15.1.1 60
proveedores las relaciones con proveedores
Relaciones con los Tratamiento de la seguridad dentro de los
A.15.1.2 80
proveedores acuerdos con proveedores
Relaciones con los Cadena de suministro de tecnología de
A.15.1.3 0
proveedores información y comunicación
Gestión de la prestación de servicios de
A.15.2
proveedores
0
Relaciones con los Seguimiento y revisión de los servicios de los
A.15.2.1 0
proveedores proveedores
Relaciones con los Gestión de cambios en los servicios de los
A.15.2.2 0
proveedores proveedores
Gestión de incidentes de seguridad de la
A.16
información
32,8571429

Nivel de
madurez
Gestión de incidentes y mejoras en la
A.16.1
32,8571429
Gestión de incidentes de
A.16.1.1 Responsabilidades y procedimientos 60
Gestión de incidentes de Reporte de eventos de seguridad de la
A.16.1.2 60
seguridad de la información información
Gestión de incidentes de Reporte de debilidades de seguridad de la
A.16.1.3 20
Gestión de incidentes de Evaluación de eventos de seguridad de la
A.16.1.4 0
seguridad de la información información y decisiones sobre ellos
Gestión de incidentes de Respuesta a incidentes de seguridad de la
A.16.1.5 40
Gestión de incidentes de Aprendizaje obtenido de los incidentes de
A.16.1.6 10
seguridad de la información seguridad de la información
Gestión de incidentes de
A.16.1.7 Recopilación de evidencia 40
Aspectos de la seguridad de la información
A.17
de la gestión de continuidad de negocio
13,3333333
A.17.1 Continuidad de seguridad de la información 6,66666667
Aspectos de la seguridad de la
Planificación de la continuidad de la
A.17.1.1 información de la gestión de 0
continuidad de negocio
Implantación de la continuidad de la
Aspectos de la seguridad de la Verificación, revisión y evaluación de la
A.17.1.3 información de la gestión de continuidad de la seguridad de la 20
continuidad de negocio información
A.17.2 Redundancias 20
Disponibilidad de instalaciones de
procesamiento de información
A.18 Cumplimiento 20,6666667
Cumplimiento de requisitos legales y
A.18.1
contractuales
18
Identificación de la legislación aplicable y de
A.18.1.1 Cumplimiento 0
los requisitos contractuales
A.18.1.2 Cumplimiento Derechos de propiedad intelectual (DPI) 20
A.18.1.3 Cumplimiento Protección de registros 10
Privacidad y protección de información de
datos personales
A.18.1.5 Cumplimiento Reglamentación de controles criptográficos 0
A.18.2 Revisiones de seguridad de la información 23,3333333

Nivel de
madurez
Revisión independiente de la seguridad de la
información
Cumplimiento con las políticas y normas de
seguridad
A.18.2.3 Cumplimiento Revisión del cumplimiento técnico 20
Tabla 31. Nivel de madurez por control, objetivo y dominio
Para resumir los resultados del nivel de madurez del instituto, a continuación se presenta una tabla y un
gráfico con el número de controles por cada nivel definido.
Número de
Nivel de madurez
controles
Inexistente 27
Inicial / Ad-hoc 11
Reproducible 47
Definido 29
Gestionado 0
Optimizado 0
Total 114
Tabla 32. Número de controles por nivel de madurez
Madurez CMM de los controles

ISO
25% 24%
10%
41%
Inexistente Inicial / Ad-hoc Reproducible Definido
Una vez realizada la estimación del nivel de madurez de los diferentes dominios, estos se presentan a modo
de resumen en la siguiente tabla:

Nivel actual
Dominio
de madurez
A.5 Políticas de Seguridad 60,00
A.6 Organización de la Seguridad de la Información 25,00
A.7 Seguridad de los Recursos Humanos 24,44
A.8 Gestión de Activos 30,56
A.9 Control de accesos 22,17
A.10 Criptografía 0,00
A.11 Seguridad física y del entorno 24,44
A.12 Seguridad de las operaciones 25,36
A.13 Seguridad en las comunicaciones 47,50
A.14 Adquisición, desarrollo y mantenimiento de 30,37
sistemas
A.15 Relaciones con los proveedores 23,33
A.16 Gestión de incidentes de seguridad de la 32,86
información
A.17 Aspectos de la seguridad de la información de 13,33
la gestión de continuidad de negocio
A.18 Cumplimiento 20,67
Tabla 33. Nivel de madurez por dominio
De esta forma se obtiene una visión más detallada; y se presenta en el siguiente diagrama de radar el nivel
de cumplimiento actual por cada dominio y se compara con el estado objetivo.

Nivel de madurez respecto a los controles de la ISO 27002 actual

vs objetivo
Nivel actual Nivel objetivo
A.5 Políticas de Seguridad

100,00 A.6 Organización de la
A.18 Cumplimiento 90,00 Seguridad de la Información
80,00
A.17 Aspectos de la seguridad 70,00 A.7 Seguridad de los Recursos
de la información de la… 60,00 Humanos
50,00
40,00
A.16 Gestión de incidentes de 30,00
20,00 A.8 Gestión de Activos
10,00
0,00
A.15 Relaciones con los

A.9 Control de accesos
proveedores
A.14 Adquisición, desarrollo y

A.10 Criptografía
A.13 Seguridad en las A.11 Seguridad física y del

comunicaciones entorno
A.12 Seguridad de las
operaciones
19. Presentación de Resultados y entrega de Informes

1. Resumen ejecutivo
El instituto colombiano para la evaluación de la educación “ICEE”, realiza y evalúa los exámenes de estado de
los estudiantes del país en los diferentes niveles de escolaridad (básica media y superior); y es responsable
de aplicar las pruebas comparativas internacionales como las pruebas “PISA” por sus siglas en inglés
Programme for International Student Assessment.
El gobierno colombiano ha decidió implementar acciones para mejorar la seguridad de la información en

todas las instituciones del país, por ello ha sacado una normativa para exigir que todas las instituciones que
dependan del gobierno implementen un Sistema de Gestión de Seguridad de la Información “SGSI“, bajo el
estándar internacional ISO 27001. Por este motivo el ICEE inició durante el 2018 un proyecto para la
implementación de dicho sistema bajo el estándar internacional ISO 27001 declarando la conformidad con
esta norma específicamente los requisitos especificados en los numerales 4 a 10.
El alcance establecido por la dirección para el desarrollo del proyecto fueron procesos misionales del mapa
de procesos del instituto: Gestión de diseño, análisis y divulgación; gestión de pruebas y operaciones y
gestión de investigaciones. Durante el desarrollo del proyecto se lograron evidenciar fortalezas en la

implementación de medidas de seguridad particulares para ciertos procesos; además de debilidades

importantes en la documentación y organización de la seguridad de la información.
Para realizar el análisis de riesgos se implementó una metodología que permitiera identificar los activos de
información más relevantes para la organización y con base en estos identificar los riesgos asociados y
determinar acciones adecuadas para tratarlos. Este análisis de riesgos permitió el establecimiento de 6
proyectos para el tratamiento de estos.
Al realizar la auditoria de cumplimiento se hallaron 3 no conformidades menores las cuales deben ser
tratadas, además de las 4 observaciones y la oportunidad de mejora que deben ser tenidas en cuenta.
Una vez ejecutados los proyectos planteados, subsanadas las no conformidades y aplicadas las
observaciones y oportunidades de mejora planteadas, el instituto cumplirá con el estándar, además de
asegurar la gestión del sistema y su mejora continua.
2. Memoria descriptiva
Descripción de la empresa en estudio: El ICEE, es una entidad colombiana especializada en ofrecer

servicios de evaluación de la educación en todos sus niveles en Colombia, y en particular apoya al Ministerio
de Educación Nacional en la realización de los exámenes de estado y en adelantar investigaciones sobre los
factores que inciden en la calidad educativa, para ofrecer información pertinente y oportuna con el fin de
contribuir al mejoramiento de la calidad de la educación.
El Instituto tiene bajo su responsabilidad realizar y evaluar los exámenes de estado de la educación Media
(grado 11°) y Superior (exámenes profesionales). También está al frente de la evaluación periódica de la
educación Básica (exámenes a estudiantes de los grados 3°, 5°y 9°); y de la participación, a nombre de
Colombia, en las evaluaciones internacionales y estudios comparativos regionales como las pruebas PISA.
El instituto está ubicado en la ciudad Bogotá donde cuenta con una única sede con alrededor de 500
empleados entre personal de planta, estudiantes en práctica y contratistas. La infraestructura tecnológica de
sus instalaciones es propia (computadores de escritorio, impresoras, routers, switches, etc) y cuenta con un
departamento de tecnología, encargado de desarrollar aplicaciones, tanto para el desarrollo de los
exámenes, como para facilitar la publicación y consulta de los resultados. Para ello contrata los servicios de
un centro de datos externo que brinda la infraestructura necesaria para el desarrollo y funcionamiento de
las aplicaciones desarrolladas por el instituto.
Para la creación y almacenamiento de las preguntas que se aplican en los diferentes exámenes se cuenta con
un data center interno ubicado en las propias instalaciones del instituto. Esto como medida de seguridad
para evitar la fuga de información de las preguntas a aplicar.
El área de tecnología está dividida en dos subdirecciones: La subdirección de desarrollo de aplicaciones y la

subdirección de información, el instituto actualmente cuenta con un sistema de calidad y las medidas de
seguridad de la información que se tienen actualmente han sido implementadas “ad hoc” es decir son
controles particulares aplicados a casos específicos sin seguir un análisis o normativa específica. Sin
embargo en el último año (2017) el instituto contrato 2 personas para trabajar los temas de seguridad de la

información, uno con el rol de oficial de seguridad y el segundo con el rol de analista de seguridad de la
información.
Análisis de riesgos realizado: Para llevar a cabo el proceso de análisis de riesgos de seguridad de la
información del ICEE se definió una metodología (especificada en la sección 12 del presente documento), en
la cual se establece que dicha identificación se debe realizar teniendo en cuenta los activos de información
más relevantes determinados por medio del proceso descrito en el numeral 14. Una vez aplicado este
proceso se obtuvieron 13 riesgos de seguridad de la información como se muestran en la Tabla 20. Matriz de
riesgos de seguridad de la información del numeral 15. Para tratar estos riesgos se determinaron 6
proyectos para los cuales su ejecución supondría un cumplimiento del 100% del estándar ISO 2700. El
siguiente grafico muestra el nivel de cumplimiento actual de las cláusulas del estándar secciones 4 a 10,
contra el estado deseado, una vez ejecutados los proyectos y atendidos los hallazgos de la auditoria.
4. Contexto de la Organización
100%
90%
80%
70%
10. Mejora 5. Liderazgo
60%
50%
40%
30%
20%
10%
0%
9. Evaluación del desempeño 6. Planificación
8. Operación 7. Soporte
20. Referencias
[1] Decreto 2573 de 2014. http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=60596 [en
línea] consultado el 1 de marzo de 2018.
[2] Ley 1341 de 2009 http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=36913 en línea]

consultado el 1 de marzo de 2018.
[3] ICONTEC, Instituto colombiano de normas técnicas y certificación (2013). Tecnología de la información.
Técnicas de seguridad. Norma técnica colombiana NTC-ISO-IEC 27001. Sistemas de gestión de la seguridad
de la información. Requisitos. Bogotá: ICONTEC.

[4] ICONTEC, Instituto colombiano de normas técnicas y certificación (2013). Tecnología de la información.
Técnicas de seguridad. Guía para la aplicación de sistemas de gestión de la seguridad. Guía técnica
colombiana GTC-ISO-IEC 27003. Bogotá: ICONTEC.

Implementación SGSI

Cargado por

Copyright:

Formatos disponibles

Implementación SGSI

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Implementación SGSI

Cargado por

Copyright:

Formatos disponibles

M1.

Elaboración De Un Plan De Implementación

Danny Alejandro Garzón Aristizabal 1

Máster Interuniversitario En Seguridad De Las TIC (MISTIC)

Trabajo Final De Máster

Elaboración De Un Plan De Implementación De La ISO/IEC 27001:2013

Danny Alejandro Garzón Aristizabal

Universidad Oberta De Catalunya

Danny Alejandro Garzón Aristizabal 2

Danny Alejandro Garzón Aristizabal 3

En Colombia el estado es consciente de estos nuevos riesgos y entiende la relevancia de la

2. Enfoque y Selección De La Empresa

El Instituto tiene bajo su responsabilidad realizar y evaluar los exámenes de estado de la

Danny Alejandro Garzón Aristizabal 4

El área de tecnología está dividida en dos subdirecciones: La subdirección de desarrollo de

3. Orígenes e Historia de la ISO 27001.

Danny Alejandro Garzón Aristizabal 5

• 2009 – Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:

Para facilitar su implementación aparecen adicionalmente varios documentos dentro de la serie

4. Definición De Los Objetivos Del Plan Director De Seguridad

No Objetivos de seguridad de la información

Danny Alejandro Garzón Aristizabal 6

Figura 1 Mapa de procesos

A continuación se incluye un organigrama funcional de la organización, y un diagrama de red de

Danny Alejandro Garzón Aristizabal 7

CALL ZONA FRANCA

HOSTING DEDICADO HOSTING VIRTUAL

VLAN SERVERS FORTINET DATOS – 60 Mbps UTM

CENTRO DE COMPUTO ICFES DATACENTER ALTERNO

Conexión WAN Router

Figura 3. Diagrama de red de la infraestructura de TI

Danny Alejandro Garzón Aristizabal 8

Si bien, en el instituto, no se ha implementado un SGSI, existen controles o procesos y

Escala de nivel de cumplimiento

De acuerdo a la información recabada de las entrevistas y revisión de documentos, se asignó un

Danny Alejandro Garzón Aristizabal 9

El instituto ha venido realizando esfuerzos importantes en cuanto al establecimiento de buenas

Nivel de cumplimiento Requisitos

Danny Alejandro Garzón Aristizabal 10

Cumplimiento de los requerimientos

Figura 4 Diagrama de Telaraña nivel de cumplimiento de los requerimientos

Requerimientos por nivel de cumplimiento

Figura 5 Nivel de cumplimiento de los requerimientos

Danny Alejandro Garzón Aristizabal 11

Controles por nivel de cumplimiento

1. Control particular de algunos colaboradores

2. Control aplicado, pero no documentado

3. Control formalizado, falta medición y monitoreo

4. Control bajo mejora continua

5. Cumple con las directrices normativas

Figura 6 Nivel de cumplimiento de los Controles

Nivel de cumplimiento promedio

Danny Alejandro Garzón Aristizabal 12

Figura 7 Porcentaje de Cumplimiento de Cada Objetivo de Control

El objetivo de control con un nivel de cumplimiento mayor es el A.12 correspondiente a

Estas estadísticas se plasman también en la siguiente figura correspondiente al “diagrama de

Danny Alejandro Garzón Aristizabal 13

Porcentaje de cumplimiento A.5 POLÍTICAS DE LA

A.15 RELACIONES CON LOS