SOA Declaracion Aplicabilidad-Tratamiento

Caso de estudio –Clínica dental “SUPER MUELA”
Una franquicia de clínica estética dental se dirige a una empresa de servicios informáticos solicitando u
sus equipos e instalaciones para determinar el grado de seguridad informática y los ajustes que se con
necesarios.
Un trabajador de la empresa informática se dirige a la clínica para realizar una revisión y tiene una entr
titular de la misma, quien le informa de los siguientes aspectos:
El personal de la clínica de la oficina “centro” está formado por:
Como contratados:
• el titular, médico especializado en odontología.
• El administrador general de la clínica “centro” y “sur”
• 2 odontólogos
• dos auxiliares de clínica y
• un auxiliar administrativo, que también ejerce como recepcionista,
• una persona para la limpieza
• y una persona de seguridad
La clínica “centro” cuenta con tres consultorios, cada una de ellas con un especialista en odontología. E
consultorio hay un ordenador desde el que pueden consultar la base de datos de pacientes tanto el esp
el auxiliar de clínica que trabaja en ese consultorio.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
el cual esta implementado un pequeño sistema de vigilancia con 2 cámaras IP una interna en recepció
fuera del local.
En un despacho aparte están los archivos en soporte papel de toda la franquicia y donde se encuentra
principal y el equipo de conexión con el proveedor de telefónica e internet, y un switch para la conexión
oficina, equipo ubicado sobre el escritorio del titular junto al servidor.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor principal que es Linux, la
los pacientes se encuentra en una base de datos mysql.
El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos d
El auxiliar administrativo se encarga de gestionar las citas de ambas oficinas
El personal de la clínica de la oficina “sur” está formado por:

Como contratados:
• Asistente administrativo que también ejerce como recepcionista,
• 2 odontólogos
• un auxiliar administrativo
La clínica cuenta con dos consultorios, cada una de ellas con un especialista en odontología. En cada
un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como
clínica que trabaja en esa consulta.
En la oficina del asistente administrativo en una esquina están los archivos en soporte papel y también
conexión remota.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.
El objetivo de la clínica es proteger la información, de los médicos y los pacientes.
el cual esta implementado un pequeño sistema de vigilancia con 2 cámaras IP una interna en recepció
fuera del local.
En un despacho aparte están los archivos en soporte papel de toda la franquicia y donde se encuentra
principal y el equipo de conexión con el proveedor de telefónica e internet, y un switch para la conexión
oficina, equipo ubicado sobre el escritorio del titular junto al servidor.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor principal que es Linux, la
los pacientes se encuentra en una base de datos mysql.
El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos d
El auxiliar administrativo se encarga de gestionar las citas de ambas oficinas
El personal de la clínica de la oficina “sur” está formado por:

Como contratados:
• Asistente administrativo que también ejerce como recepcionista,
• 2 odontólogos
• un auxiliar administrativo
La clínica cuenta con dos consultorios, cada una de ellas con un especialista en odontología. En cada
un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como
clínica que trabaja en esa consulta.
En la oficina del asistente administrativo en una esquina están los archivos en soporte papel y también
conexión remota.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.
El objetivo de la clínica es proteger la información, de los médicos y los pacientes.
Relación de Procesos
NRO PROCESO / SUBPROCESO AREA
1
6
DESCRIPCIÓN
LISTA DE CONTROLES ISO 27001
5 Política de Seguridad
5.1 Política de seguridad de la información
6 Organización de la Seguridad de la Información

6.1 Organización interna
6.2 Grupos o personas externas
7 Gestión de Activos
7.1 Responsabilidad por los activos
7.2 Clasificación de la información
8 Seguridad de Recursos Humanos

8.1 Antes del empleo
8.2 Durante el empleo
9 Seguridad Física y Ambiental

9.1 Áreas seguras
9.2 Equipo de seguridad
10 Gestión de las comunicaciones y operaciones

10.1 Procedimientos y responsabilidades operacionales
10.2 Gestión de la entrega del servicio de terceros
10.3 Planeación y aceptación del sistema
10.4 Protección contra el código malicioso y móvil
10.5 Respaldo o Back-Up

10.6 Gestión de seguridad de la red
10.7 Gestión de medios
10.8 Intercambio de información
10. 9 Servicios de comercio electrónico
10.10 Monitoreo
11 Control del acceso
11.1 Requerimiento del negocio para el control del acceso
11.2 Gestión de acceso del usuario
11.3 Responsabilidades del usuario
11.4 Control de acceso a la red
11.5 Control del acceso al sistema operativo
11.6 Control de acceso a la aplicación y la información
11.7 Computación y tele-trabajo móvil
12 Adquisición, desarrollo y mantenimiento de los sistemas de información

12.1 Requerimientos de seguridad de los sistemas de información
12.2 Procesamiento correcto en las aplicaciones
12.3 Controles criptográficos

12.4 Seguridad de los archivos del sistema
12.5 Seguridad en los procesos de desarrollo y soporte
12.6 Gestión de la Vulnerabilidad Técnica
13 Gestión de un incidente en la seguridad de la información

13.1 Reporte de los eventos y debilidades de la seguridad de la
información
13.2 Gestión de los incidentes y mejoras en la seguridad de la

información
14 Gestión de la continuidad del negocio

14.1 Aspectos de la seguridad de la información de la gestión de la
continuidad del negocio
15 Cumplimiento
15.1 Cumplimiento de los requerimientos legales
15.2 Cumplimiento de las políticas y estándares de seguridad, y

cumplimiento técnico
15.3 Consideraciones de auditoria de los sistemas de información
APLICA
A DE CONTROLES ISO 27001 (SI/NO)
5.1.1 Documento de la política de seguridad de la información

5.1.2 Revisión de la política de seguridad de la información
6.1.1 Compromiso de la gerencia con la seguridad de la información

6.1.2 Coordinación de la seguridad de la información
6.1.3 Asignación de las responsabilidades de la seguridad de la información
6.1.4 Autorización de proceso para facilidades procesadoras de información
6.1.6 Contacto con las autoridades
6.1.7 Contacto con grupos de interés especial
6.1.8 Revisión independiente de la seguridad de la información
6.2.1 Identificación de los riesgos relacionados con los grupos externos

6.2.2 Tratamiento de la seguridad cuando se lidia con clientes
6.2.3 Tratamiento de la seguridad en acuerdos con terceros
7.1.1 Inventario de los activos

7.1.2 Propiedad de los activos
7.1.3 Uso aceptable de los activos
7.2.1 Lineamientos de clasificación

7.2.2 Etiquetado y manejo de la información
8.1.1 Roles y responsabilidades

8.1.2 Investigación de antecedentes
8.1.3 Términos y condiciones del empleo
8.2.1 Responsabilidades de la gerencia

8.2.2 Conocimiento, educación y capacitación en seguridad de la información
8.2.3 Proceso disciplinario

8.3 Terminación o cambio de empleo
8.3.1 Responsabilidades de terminación
8.3.2 Devolución de los activos
8.3.3 Retiro de los derechos de acceso
9.1.1 Perímetro de seguridad física

9.1.2 Controles de ingreso físico
9.1.3 Asegurar las oficinas, habitaciones y medios
9.1.4 Protección contra amenazas externas e internas
9.1.5 Trabajo en áreas aseguradas
9.1.6 Áreas de acceso público, entrega y carga
9.2.1 Ubicación y protección del equipo

9.2.2 Servicios públicos de soporte
9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de equipo
9.2.5 Seguridad del equipo fuera del local
9.2.6 Seguridad de la eliminación o re-uso del equipo
9.2.7 Retiro de propiedad
10.1.1 Procedimientos de operación documentados

10.1.2 Gestión del cambio
10.1.3 Segregación de los deberes
10.1.4 Separación de los medios de desarrollo, prueba y operación
10.2.1 Entrega del servicio

10.2.2 Monitoreo y revisión de los servicios de terceros
10.2.3 Manejo de cambios en los servicios de terceros
10.3.1 Gestión de la capacidad

10.3.2 Aceptación del sistema
10.4.1 Controles contra códigos maliciosos

10.4.2 Controles contra códigos móviles
10.6.1 Controles de redes

10.6.2 Seguridad de los servicios de la red
10.7.1 Gestión de medios removibles

10.7.3 Procedimientos para el manejo de información
10.7.4 Seguridad de la documentación del sistema
10.8.1 Políticas y procedimientos de intercambio de información

10.8.2 Acuerdos de intercambio
10.8.3 Medios físicos en tránsito
10.8.4 Mensajes electrónicos
10.8.5 Sistemas de información comercial
10.9.1 Comercio electrónico

10.9.2 Transacciones en-línea
10.9.3 Información públicamente disponible
10.10.1 Registro de auditoría

10.10.2 Uso del sistema de monitoreo
10.10.3 Protección del registro de información
10.10 4 Registros del administrador y operador
10.10.5 Registro de fallas
10.10.6 Sincronización de relojes
11.1.1 Política de control del acceso
11.2.1 Registro del usuario

11.2.2 Gestión de privilegios
11.2.3 Gestión de las claves secretas de los usuarios
11.2.4 Revisión de los derechos de acceso del usuario
11.3.1 Uso de claves secretas

11.3.2 Equipo del usuario desatendido
11.3.3 Política de escritorio y pantalla limpios
11.4.1 Política sobre el uso de los servicios de la red

11.4.2 Autenticación del usuario para las conexiones externas
11.4.3 Identificación del equipo en las redes
11.4.4 Protección del puerto de diagnóstico y configuración remoto
11.4.5 Segregación en redes
11.4.6 Control de conexión a la red
11.4.7 Control de routing de la red
11.5.1 Procedimientos para un registro seguro

11.5.2 Identificación y autenticación del usuario
11.5.3 Sistema de gestión de claves secretas
11.5.4 Uso de las utilidades del sistema
11.5.5Cierre de una sesión por inactividad
11.5.6 Limitación del tiempo de conexión
11.6.1 Restricción del acceso a la información

11.6.2 Aislar el sistema confidencial
11.7.1 Computación y comunicaciones móviles

11.7.2 Tele-trabajo
12.1.1 Análisis y especificación de los requerimientos de seguridad
12.2.1 Validación de la input data

12.2.2 Control del procesamiento interno
12.2.3 Integridad del mensaje
12.2.4 Validación de la output data
12.3.1 Política sobre el uso de controles criptográficos

12.3.2 Gestión de claves
12.4.1 Control del software operacional

12.4.2 Protección de la data del sistema
12.4 3 Control de acceso al código fuente del programa
12.5.1 Procedimientos del control del cambio

12.5.2 Revisión técnica de la aplicación después de cambios en el sistema
12.5.3 Restricciones sobre los cambios en los paquetes de software
12.5.4 Filtración de información
12.5.5 Desarrollo de software abastecido externamente
12.6.1 Control de las vulnerabilidades técnicas
13.1.1 Reporte de eventos en la seguridad de la información

13.1.2 Reporte de las debilidades en la seguridad
13.2.1 Responsabilidades y procedimientos

13.2.2 Aprender de los incidentes en la seguridad de la información
13.2.3 Recolección de evidencia
14.1.1 Incluir la seguridad de la información en el proceso de gestión de continuidad

del negocio
14.1.2 Continuidad del negocio y evaluación del riesgo
14.1.3 Desarrollar e implementar los planes de continuidad incluyendo la seguridad
de la información
14.1.4 Marco Referencial de la planeación de la continuidad del negocio
14.1.5 Prueba, mantenimiento y re-evaluación de los planes de continuidad del
negocio
15.1.1 Identificación de la legislación aplicable

15.1.2 Derechos de propiedad intelectual (IPR)
15.1.3 Protección de registros organizacionales
15.1.4 Protección de la data y privacidad de la información personal
15.1.5 Prevención del mal uso de los medios de procesamiento de la información
15.1.6 Regulación de controles criptográficos
15.2.1 Cumplimiento con las políticas y estándares de seguridad

15.2.2 Chequeo del cumplimiento técnico
15.3.1 Controles de auditoría de los sistemas de información
15.3.2 Protección de las herramientas de auditoría de los sistemas de información
OBSERVACIONES (OBLIGATORIO CUANDO NO APLICA)
CONTROL PRIORIDAD ACTIVIDAD
8.2.2 Conocimiento, educación y 1

capacitación en seguridad de la
información Actividad 1
Actividad 2
Actividad 3
Actividad 4
FECHA FECHA
COSTO
RESPONSABLE PREVISTA PREVISTA
INICIO FIN ECONÓMICO
Jefe de TIC MM/YYYY MM/YYYY MONTO APROXIMADO

(NO OBLIGATORIO = 0)
Mar-2018 Oct-2018 0
Mar-2018 Oct-2018 0
Mar-2018 Oct-2018 0
Mar-2018 Oct-2018 0
ACTIVO
RELACIONADO
EQUIPOS/ESPECIALISTAS/SERVICIOS/ETC
Auditorio/20 PC
Software Bizagi para proceso
Determinar el plan
Ninguno solo para los
Ninguno controles aplicados
a los riesgos criticos
identificcados en el
analisis (>=4)
¿Qué es una Declaración de Aplicabilidad?
SoA se trata de un documento que enlista los controles de seguridad establecidos en el A
de 114 controles agrupados en 35 objetivos de control, en la versión de 2013 de esta nor
El Anexo A suele ser utilizado como una referencia para la implementación de medidas d
comprobar que no se están dejando de lado medidas de seguridad necesarias que no ha
organización.
Los propósitos que se desean alcanzar a través de la implementación de controles (es de

de manera implícita en los controles seleccionados. Sin embargo, es importante mencion
encuentran listados en el anexo, por lo cual pueden ser utilizados otros controles y objeti
¿En qué fase del proceso de gestión se sitúa el SoA?

La Declaración de Aplicabilidad se desarrolla luego del tratamiento de riesgos, que a su vez es la actividad posterior a una
Existen varias opciones de tratamiento, aunque de manera general se pueden agrupar en
Mitigar. Consiste en implementar algún control que reduzca el riesgo.
Transferir. Ocurre cuando se delega la acción de mitigación a un tercero.
Aceptar. Se presenta cuando el impacto generado por un riesgo es suficientemente bajo para que la
mitigación o cuando el costo de la aplicación de un control supera el valor del activo.
Una vez que se han definido las opciones de tratamiento para los riesgos, la organización
decidir de qué manera serán mitigados los riesgos. Es en este punto cuando se desarrolla
controles de seguridad que son aplicables (necesarios) y si éstos se encuentran operand
¿Qué características tiene una Declaración de Aplica

El SoA puede encontrarse en el formato que más convenga a una organización; lo relevan
los objetivos de control y controles seleccionados del estándar, las razones por las cuales
adicionales si es el caso.
También, debe indicar si los objetivos de control y controles se encuentran implementad
como una justificación del porqué algunas medidas han sido excluidas (las que son innec
una organización).
Los controles indicados en la Declaración de Aplicabilidad pueden ser seleccionados deb
resultado de una evaluación de riesgos, si se debe cumplir con algún requisito legal, obl
nuevos requisitos del negocio, mejores prácticas a utilizar, entre otras.
Posteriormente, la selección de controles de seguridad deriva en la creación de un plan d
definición de las actividades necesarias para la aplicación de los controles de seguridad, q
encuentran implementados.
Por ejemplo, si a partir de una evaluación de riesgos y de recurrentes casos de infección p
control contra códigos maliciosos, se debe planear la adquisición del licenciamiento antiv
relacionados, los encargados de las actividades de instalación y configuración del softwar
estas tareas, los recursos necesarios y todo lo que resulte del análisis previo.
Esta información debería formar parte del plan de tratamiento de riesgos, pero además, e
Declaración de Aplicabilidad, con las referencias necesarias que permitan asociarla a algú
implementado.
¿Qué ventajas se obtienen al formular un SoA?

En primer lugar, las organizaciones que implementan un Sistema de Gestión de Segurida
establece ISO/IEC 27001 y que además buscan obtener la certificación para este estándar
manera indispensable.
Este documento suele ser consultado durante las auditorías al SGSI para conocer los cont
organización, utilizados para protege sus activos.
Por otro lado, si una organización tiene como propósito adoptar mejores prácticas, el SoA
identificadas y analizadas durante la evaluación de riesgos, ya que se encuentran mapead
correspondientes) con las referencias a los controles de seguridad implementados.
Además, también puede ser utilizado para llevar a cabo un análisis GAP (análisis de brechas), que permite comparar los co
Finalmente, un documento de esta naturaleza permite tener un panorama amplio de lo

su información, ya que después de todo, no es mala idea dedicar tiempo para desarrollar
la identificación, organización y registro de las medidas de seguridad que se están aplica
definición de las acciones a realizar para mitigar aquellos riesgos que han sido identificados y analizados.
establecidos en un estándar internacional como ISO/IEC 27001.
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIÓN INTEGRADO
PROCESO: GESTION INTEGRAL
ANEXO. DECLARACIÓN DE APLICABILIDAD
1. OBJETIVO
A través de este documento se expresa formalmente las decisiones de la Entidad, con relación al tratamiento de los riesgos que se realizará en respuesta al análisis de riesgos y
diagnóstico de conformidad con la norma ISO 27001:2006, realizado en el marco del Sistema de Gestión de Seguridad de la Información.
Las Razones para la selección de los controles relacionados a continuacion, dependen de varios factores organizacionales tales como:
- Aplicación de la metodologia de Administración de Riesgos
- Enfoque organizacional para la valoracion de riesgos y el tratamiento de los mismos.
Los lideres de los procesos y los funcionarios con la experiencia y conocimiento de sus actividades, identificaron y evaluaron los riesgos Absolutos, sin controles y son
responsbales de la selección y operación de los controles.
CONVENCIONES
En esta tabla las exclusiones de los controle se encuentran identificadas con el color, que se muestra a continuación sobre todo el renglón del control.
Tabla A.1 Objetivos de control y controles
A.5 POLÍTICA DE SEGURIDAD

A.5.1 Política de seguridad de la información COMO
Objetivo: brindar orientación y apoyo de la dirección para la
seguridad de la información, de acuerdo con los requisitos del
negocio y con las regulaciones y leyes pertinentes.
A.5.1.1 Documento de la Control La Alta Direccion de la SuperIntendencia de Sociedades aprobó la Politica de Gestion Integral y se
política de seguridad de la La dirección debe aprobar, publicar y ha comunicado a todos los funcionarios y las partes externas pertinentes a través de correo
información. comunicar a todos los empleados y electrónico, Intranet e Internet.
partes externas pertinentes, un
documento de política de seguridad de
la información.
A.5.1.2 Revisión de la política Control La Alta Direccion de la SuperIntendencia de Sociedades realiza a intervalos planificados la revisión
de seguridad de la Se debe revisar la política de al Sistema de Gestion Integrado en el proceso de Gestion Estratégica donde las salidas reflejan
información. seguridad de la información a cambios a la Politica de Gestion Integral.
intervalos planificados, o si ocurren
cambios significativos, para asegurar
su conveniencia, suficiencia y eficacia
continuas.
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A.6.1 Organización interna COMO
Objetivo: gestionar la seguridad de la información dentro de la
organización.
A.6.1.1 Compromiso de la Control La Entidad se ha compromitido en la implementación, puesta en funcionamiento y operacion del
dirección con la seguridad de La dirección debe apoyar activamente Sistema de Gestion de Seguridad de la Información. reflejado en los planes de acción, iniciativas
la información. la seguridad dentro de la organización asociadas al tema, con recursos financieros y humanos comprometidos, además continua siendolo
a través de una orientación clara, la dentro del Sistema de Gestion Integrado. De estos planes e iniciativas realiza seguimiento periodico.
demostración del compromiso, y la
asignación y el reconocimiento
explícitos de las responsabilidades de
seguridad de la información.
A.6.1.2 Coordinación de la Control Se lidera desde un funcionario de la Dirección de Informática y Desarrollo y apoyada por los
seguridad de la información. responsables o lideres de cada uno de los servicios de la plataforma informática y los roles y
Las actividades de seguridad de la funciones estan soportadas en el Manual de Funciones y toda la documentacion del Manual de
información deben estar coordinadas Operaciones de la Entidad.
por representantes de diferentes
partes de la organización con
funciones y roles pertinentes.
A.6.1.3 Asignación de Control La Entidad ha generado comunicados internos asignando estas responsabilidades, y soportados por
responsabilidades de Se deben definir claramente todas las el manual de funciones donde se definen estas responsabilidades.
seguridad de la información. responsabilidades en cuanto a
seguridad de la información.
A.6.1.4 Proceso de Control La Entidad cuenta con una planeación estratégica institucional que incorpora la autorización de
autorización para las Se debe definir e implementar un servicios de procesamiento de información y se acuerdan los recursos necesarios para la ejecución
instalaciones de proceso de autorización de la de las iniciativas y planes de acción, los cuales se monitorean a través de un seguimiento periodico
procesamiento de dirección para nuevas instalaciones de y la implementación de nuevos servicios se controla operativamente a través del Procedimiento de
información. procesamiento de información. Control de Cambios al Ambiente Productivo.
A.6.1.5 Acuerdos de Control La Entidad cuenta con el Formato de Acuerdo de Confidencialidad dentro del proceso de Gestion de
confidencialidad Se deben identificar y revisar Talento Humano firmado por los Funcionarios y a través de clausulas de confidencialidad en los
regularmente los requisitos sobre contratos con terceras partes.
acuerdos de confidencialidad o no
divulgación que reflejan las
necesidades de la organización en
cuanto a protección de la información.
A.6.1.6 Contacto con las Control Se cuenta con una linea de contacto Extensión número 1000, donde se activa el plan de evacuacion
autoridades y por verificacion del personal de brigadistas se determina cual es el tipo de emergencia y se hace
el contacto con las autoridades pertinentes. Además a través del Procedimiento de Acciones
Preventivas, Correctivas y de Gestion de Incidentes se adelantan los contactos ante las autoridades
pertinentes y la aplicación de la ley del código único disciplinario.
1. OBJETIVO
CONVENCIONES
A.6.1.6 Contacto
Tabla A.1 con las
Objetivos de control y controles Se cuenta con una linea de contacto Extensión número 1000, donde se activa el plan de evacuacion
autoridades Se deben mantener contactos y por verificacion del personal de brigadistas se determina cual es el tipo de emergencia y se hace
apropiados con las autoridades el contacto con las autoridades pertinentes. Además a través del Procedimiento de Acciones
pertinentes. Preventivas, Correctivas y de Gestion de Incidentes se adelantan los contactos ante las autoridades
pertinentes y la aplicación de la ley del código único disciplinario.
A.6.1.7 Contacto con grupos Control La Entidad mediante el programa de capacitacion y sensibilización participa en seminarios, foros y
de interés especiales Se deben mantener los contactos eventos que tienen que ver con seguridad de la información, y se realizan eventos internos con
apropiados con grupos de interés personal especializado en estos temas, de acuerdo con el procedimiento de selección, permanencia
especiales, otros foros especializados y desvinculacion de personal.
en seguridad de la información, y
asociaciones de profesionales. También la Direccion de Informatica y Desarrollo esta en permanente contanto con COINFO del
Departamento Nacional de Planeacion para los temas de tecnologia y se reunen los Jefes de
Sistemas del Sector siguiendo el programa del SISTEDA.
A.6.1.8 Revisión Control Se realizan pruebas de vulnerabilidad a la plataforma tecnológica por lo menos una vez al año, de
independiente de la seguridad El enfoque de la organización para la acuerdo con la Guia de Administración de la Plataforma Tecnologica, al igual que dentro del
de la información. gestión de la seguridad de la programa de auditoria de la Entidad se tiene previsto realizar auditoria integral al Sistema de Gestion
información y su implementación (es Integrado a todos los procesos.
decir, objetivos de control, controles,
políticas, procesos y procedimientos
para seguridad de la información) se
debe revisar independientemente a
intervalos planificados, o cuando
ocurran cambios significativos en la
implementación de la seguridad.
A.6.2 Partes externas COMO

Objetivo: mantener la seguridad de la información y las
instalaciones de procesamiento de la información Organizaciónal a
las que tienen acceso las partes externas, o que son procesadas,
comunicadas o gestionadas por ellas.
A.6.2.1 Identificación de Control La Entidad cuenta con la guía para la Administración de Riesgos en el Proceso de Gestion
riesgos relacionados con Se deben identificar los riesgos Estrategica y define que es responsabilidad de los lideres de los procesos de su gestión.
partes externas. asociados con la información y las Adicionalmente en se solicita la identificación de riesgos del proceso contractual en el manual de
instalaciones de procesamiento de contratos y esta alineado con la Politica de Gestion Integral soportada por el Manual de Gestion
información Organizaciónal de los Integral donde se establece la obligatoriedad de identificar los riesgos con el acceso a terceros a la
procesos de negocio que involucran información.
partes externas, y se deben
implementar los controles apropiados
antes de otorgar el acceso.
A.6.2.2 Tener en cuenta la Control El acceso a la informacion que se tramita en la Entidad se realiza previa evaluación de la
seguridad cuando se trata con Todos los requisitos de seguridad oportunidad, pertinencia de la misma, y niveles de confidencialidad establecida bajo la
clientes. identificados se deben tener en cuenta responsabilidad de los lideres de procesos actualizando la Tabla de Trámites, definida en la Guía de
antes de permitir a los clientes acceso Archivo y aplicada en la baranda de atencion al público.
a activos o información de la
organización.
A.6.2.3 Tener en cuenta la Control La Politica de Gestion Integral soportada por el Manual de Gestion Integral en el numeral 7.3
seguridad en acuerdos con establece las reglas generales para los acuerdos con terceras partes, al igual que en el Manual de
terceras partes Los acuerdos con terceras partes, que Contratación se relacionan las actividades mínimas que se deben cumplir para adelantar los
involucran acceso, procesamiento, procesos de contratacion, soportados por una evaluacion de riesgos.
comunicación o gestión de la
información o instalaciones de
procesamiento de información de la
organización, o la adición de
productos o servicios a las
instalaciones de procesamiento de
información, deben cubrir todos los
requisitos de seguridad pertinentes.
A.7 GESTIÓN DE ACTIVOS

A.7.1 Responsabilidad por los activos COMO
1. OBJETIVO
CONVENCIONES

Objetivo: lograr y mantener la protección apropiada de los activos
Organizaciónales.
A.7.1.1 Inventario de activos Control La Entidad gestiona el inventario de los documentos a través de la Tabla de Retención Documental y
tabla de trámites, los demas activos de informacion como computadores, servidores, impresoras se
Todos los activos se deben identificar gestionan de acuerdo con el Manual de Control y Manejo Administrativo de Bienes.
claramente y se debe elaborar y
mantener un inventario de todos los
activos importantes.
A.7.1.2 Dueños de los activos Control La guía de Archivos establece mediente la Tabla de Retención Documental y la Tabla de Trámites
Toda la información y los activos del Proceso de Gestión Documental los responsables de los diferentes tipos documentales.
asociados con los servicios de
procesamiento de información deben Además, la entidad establece en el Manual de Control y Manejo Administrativo de Bienes al
ser "propiedad" de una parte responsable del Almacen y cuando estan siendo usados por los funcionarios les delega su custodia.
designada de la organización
A.7.1.3 Uso aceptable de los Control El Procedimiento de Clasificación y Etiquetado, establece el uso aceptable de los activos de
activos informacion tipo documental, y en el Manual de Manejo y Control Administrativo de Bienes. Ademas
se refuerza con el Formato de Acuerdo de Confidencialidad y compromiso de buen uso de los
Se deben identificar, documentar e
activos de información.
implementar las reglas para el uso
aceptable de información y activos
asociados con las instalaciones de
procesamiento de información
A.7.2 Clasificación de la información COMO
Objetivo: asegurar que la información reciba un nivel apropiado de
protección.
A.7.2.1 Directrices para Control El Procedimiento de Clasificación y Etiquetado, establece las directrices de clasificación de la
clasificación La información se debe clasificar en información alineados con el las tablas de Retención Documental y de Trámites que son
cuanto a su valor, requisitos legales, acutalizadas por los lideres de procesos y responsables de cada dependencia, dependiendo de su
sensibilidad y criticidad para el sensibilidad y la importancia para la Entidad, cumpliendo con los requisitos legales establecidos para
sistema. cada proceso a través de su normograma.
A.7.2.2 Etiquetado y manejo Control La Entidad cuenta con el Procedimiento Clasificacion y Etiquetado informacion del Proceso de
de información Gestion Documental. Soportado tambien por la Guía de Adminsitración de Usuarios de la Plataforma
Se debe desarrollar e implementar un y la implementación de los sistemas de información, establecen y controlan el acceso a la
conjunto apropiado de procedimientos información por estos medios.
para etiquetado y manejo de la
información, de acuerdo con el
esquema de clasificación adoptado
por la organización.
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS

A.8.1 Antes de la relación laboral COMO
Objetivo: asegurar que los empleados, contratistas y usuarios por
tercera parte entienden sus responsabilidades y son adecuados
para los roles para los que se los considera, y reducir el riesgo de
robo, fraude o uso inadecuado de las instalaciones.
A.8.1.1 Roles y Control La Entidad establece en el Manual de Operaciones la documentación que soporta los roles de cada
responsabilidades proceso, además las funciones que desarrollan los funcionarios estan fijados a través del Manual de
Funciones. Se utiliza el formato de Acuerdo de Confidencialidad y buen uso de los activos de
Las responsabilidades y roles de información y existen tambien clausulas de confidencialidad en los contratos para el manejo de
seguridad de los empleados, información, alineados con la Politica de Gestion Integral y soportado por el Manual de Gestion
contratistas y usuarios por tercera Integral.
parte* se deben definir y documentar
de acuerdo con la política de
seguridad de la información de la
organización.
A.8.1.2 Selección Control La Entidad cuenta con los Procedimientos de Selección, Permanencia y desvinculacion de los
funcionarios dentro del Proceso de Gestion de Talento Humano, donde se esbozan estos
parametros.
1. OBJETIVO
CONVENCIONES
Tabla A.1 Objetivos de control y controles La Entidad cuenta con los Procedimientos de Selección, Permanencia y desvinculacion de los
Las revisiones de verificación de los funcionarios dentro del Proceso de Gestion de Talento Humano, donde se esbozan estos
antecedentes de todos los candidatos parametros.
a empleos, contratistas y usuarios por
tercera parte se deben llevar a cabo
de acuerdo con las leyes,
reglamentaciones y ética pertinentes y
proporcional a los requisitos del
negocio; la clasificación de la
información a la que se va a tener
acceso y los riesgos percibidos.
A.8.1.3 Términos y Control La Entidad cuenta con los procedimientos de Selección, Permanencia y desvinculacion de Personal
condiciones laborales. que incluye firma el acta de posesión y el formato de Acuerdo Confidencialidad y buen uso de los
activos de información. Además las condiciones contractuales diferentes a los funcionarios se
Como parte de su obligación realizan de acuerdo con el Manual de Contratación.
contractual, los empleados,
contratistas y usuarios por tercera
parte deben acordar y firmar los
términos y condiciones de su contrato
laboral, el cual debe indicar sus
responsabilidades y las de la
organización en cuanto a seguridad de
la información.
A.8.2 Durante la relación laboral COMO

Objetivo: asegurar que todos los empleados, contratistas y
usuarios por tercera parte tengan conciencia sobre las amenazas y
problemas relacionados con la seguridad de la información, sus
responsabilidades y obligaciones, y que estén preparados para
brindar apoyo a la política de seguridad de la información
Organizaciónal en el curso de su trabajo normal, y para reducir el
riesgo de error humano.
A.8.2.1 Responsabilidades de Control La Entidad establece la obligatoriedad del cumplimiento de los requisitos del Sistema de Gestión
la dirección La dirección debe exigir a los Integrado a través de la resolución que formalizó el Manual de Operaciones, además se encuentran
empleados, contratistas y usuarios por fijadas las responsabilidades de la Dirección en el Manual de Funciones de la Entidad en el mismo
tercera parte aplicar la seguridad de sentido.
acuerdo con las políticas y
procedimientos establecidos por la
organización.
A.8.2.2 Educación, formación, Control En el procedimiento de Selección, Capacitación, Evaluación y Desvinculación de Personal de la
y concientizacion sobre la Todos los empleados de la Entidad se establece las necesiidad de capacitación que se controlan con el programa de
Seguridad de la información. organización, y en donde sea capacitaciòn y bienestar, y ademas se ha implementado una herramienta de e-learning donde se
pertinente, los contratistas y usuarios han desarrollado cursos de formacion en Seguridad de la Información, adicionalmente se establece
por tercera parte, deben recibir las condiciones para inducción y reinducción de cada puesto de trabajo.
formación apropiada sobre toma de
conciencia y actualizaciones regulares
sobre las políticas y procedimientos
Organizaciónales, en cuanto sean
pertinentes para su función laboral.
A.8.2.3 Proceso disciplinario Control La Entidad aplica lo establecido en la Ley 734 del 2002 Codigo unico disciplinario.
Debe haber procesos disciplinarios
para los empleados que cometan
violaciones a la seguridad.
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS

A.8.3 Terminación o cambio de la relación laboral COMO
Objetivo: asegurar que los empleados, contratistas y usuarios por
tercera parte abandonan una organización o cambian de empleo de
una manera ordenada.
1. OBJETIVO
CONVENCIONES

A.8.3.1 Responsabilidades de Control La Entidad cuenta con un Procedimiento Selección, Permanencia y Desvinculacion de Personal,
terminación Se deben definir y asignar claramente donde se mencionan responsabilidades a la salida o cambio de cargo. El documento Acuerdo de
las responsabilidades relativas a la Confidencialidad y Compromiso de Buen Uso de los Activos de Información, además de las
terminación o cambio de relación actividades correspondientes al Manual de manejo y control Administrativo de Bienes para la
laboral. devolucion de los mismos.
A.8.3.2 Devolución de activos Control La Entidad cuenta con el Procedimiento Selección, Permanencia y Desvinculacion de Personal, que
Todos los empleados, contratistas y solicita entregar el registro de documentos de trabajo y datos de contactos frecuentes para el
usuarios por tercera parte deben desarrollo de actividades del puesto de trabajo, Además de las actividades correspondientes al
devolver los activos de la organización Manual de Manejo y Control Administrativo de Bienes para la devolucion de los mismos.
que se encuentran en su poder, al
terminar su relación laboral, contrato o
acuerdo.
A.8.3.3 Retiro del derecho de Control La Entidad cuenta con el procedimiento de Guía Gestión de Usuarios Plataforma Tecnológica de
acceso Se debe retirar el derecho de acceso acuerdo con el Procedimiento Selección, Permanencia y Desvinculación de Personal.
de los empleados, contratistas y
usuarios por tercera parte, a la
información y a las instalaciones de
procesamiento de información, al
terminar su relación laboral, contrato o
acuerdo, o se debe ajustar de acuerdo
con el cambio.
A.9 SEGURIDAD FÍSICA Y DEL ENTORNO

A.9.1 Áreas seguras COMO
Objetivo: evitar el acceso físico no autorizado, el daño e
interferencia a las instalaciones e información de la empresa.
A.9.1.1 Perímetro físico de Control La Entidad cuenta con el Instructivo para Ingreso a las Instalaciones de la Entidad para establecer el
seguridad Se deben usar perímetros de control de acceso físico a las instalaciones de la Entidad, tanto de funcionarios como de personal
seguridad (barreras tales como muros, externo, así como la identificación de las áreas seguras, con la aplicacion de algunos controles
puertas de entrada controladas con dependiendo de cada área y la disposición que haya determinado el responsable de cada una.
tarjetas, o áreas de recepción con
personal) para proteger las áreas que
contengan información y las
instalaciones de procesamiento de
información.
A.9.1.2 Controles de acceso Control La Entidad cuenta con el Instructivo de Ingreso a las Instalaciones de la Entidad se especifican los
físico. Las áreas seguras deben estar controles de entrada.
protegidas por controles de entrada
apropiados que aseguren que sólo se
permite el acceso a personal
autorizado.
A.9.1.3 Seguridad de oficinas, Control La Entidad cuenta con el Instructivo de Ingreso a las Instalaciones para establecer el control de
recintos e instalaciones. acceso físico a las instalaciones de la Entidad, tanto de funcionarios como de personal externo con
la aplicación de algunos controles físicos dependiendo del area segura y la disposición que hayan
determinado el responsable de cada área.
Se debe diseñar y aplicar seguridad
física a oficinas, recintos e
instalaciones.
A.9.1.4 Protección contra Control La Entidad cuenta con herramientas de control para la protección fisica de los activos de
amenazas ambientales y información, dependiendo del área segura. Por ejemplo: contra la amenaza de incendio en algunas
externas. áreas se ha instalado el sistema de detección y apagado de incendio con extintores automaticos.
Se debe diseñar y aplicar protección Igualmente se participa en comites de seguridad del sector del CAN de la ciudad de Bogotá para
física contra incendios, inundaciones, prevenir amenazas o desastres no naturales y soportado por el Comite Paritario de Salud
terremotos, explosiones, disturbios u Ocupacional COPASO.
otras formas de desastres naturales o
causados por el hombre.
A.9.1.5 Trabajo en áreas Control La Entidad cuenta con el Instructivo de Ingreso a las Instalaciones, donde establece lo relacionado
seguras. con el trabajo en áreas seguras.
Se debe diseñar y aplicar protección
física y directrices para trabajo en
áreas seguras.
1. OBJETIVO
CONVENCIONES

A.9.1.6 Áreas de carga, Los puntos de acceso tales como las La Entidad cuenta con el instructivo de Ingreso a las Instalaciones, especialmente en la ciudad de
despacho y acceso público áreas de carga y despacho y otros Bogota, se cuenta con vigilacia privada, circuito cerrado de TV que verifica el acceso de funcionarios
puntos por donde pueda ingresar y visitantes a todas las áreas de la Entidad y a las zonas de carga y descarga.
personal no autorizado a las
instalaciones se deben controlar y, si El servicio de procesamiento de datos se realiza a nivel nacional desde el centro de cómputo de la
es posible, aislar de los servicios de ciduad de Bogotá y es un área segura con controles, exiten otras áreas seguras donde los
procesamiento de información para responsables definen y garantizan los controles.
evitar el acceso no autorizado.
A.9 SEGURIDAD FÍSICA Y DEL ENTORNO

A.9.2 Seguridad de los equipos COMO
Objetivo: evitar pérdida, daño, robo o puesta en peligro de los
activos e interrupción de las actividades de la organización.
A.9.2.1 Ubicación y protección Control Los equipos de cómputo y cualquier bien que posea la Entidad se protege de acuerdo con el Manual
de equipos. Los equipos deben estar ubicados o de Manejo y Control Administrativo de Bienes y está bajo la custodia del funcionario asignado y
protegidos para reducir los riesgos de distribuidos en cada una de las dependencias y sedes de la Entidad, todos ellos con puertas de
amenazas y peligros del entorno y las control de acceso.
oportunidades de acceso en forma no
autorizada.
A.9.2.2 Servicios públicos de Control El Procedimiento de Acciones Preventivas, Correctivas y de Gestión de Inicidentes de seguridad,
apoyo Los equipos deben estar protegidos aplica la Guía de Plan de Recuperacion de Tecnologia donde se describe los tipos de contingencia
contra fallas en el suministro de con que cuenta la Entidad para respaldar algunos servicios públicos en la sede de Bogotá
energía y otras interrupciones incorporando UPS, Plantas Electricas y tanques de almacenamiento de agua, y en las ciudades de
causadas por fallas en los servicios Medellín, Calí y Barranquilla se cuenta con UPS para respaldar el adecuado apagado de los
públicos de apoyo. computadores de dichas sedes, ademas en todas las intendencias se cuenta con una UPS
especializada para respaldar la información de los equipos de los enlaces de la red WAN.
A.9.2.3 Seguridad del Control En la sede de Bogotá las redes de cableado eléctrica, las redes de cableado de voz y de datos, las
cableado. El cableado de energía eléctrica y de subestaciones y tableros al igual que los cuartos eléctricos, entre otros son catalogadas como como
telecomunicaciones que porta datos o areas seguras y se aplica el Instructivo de Ingreso a la Superintendencia de Sociedades.
presta soporte a servicios de
información debe estar protegido
contra interceptación o daño.
A.9.2.4 Mantenimiento de Control La Entidad cuenta con el Procedimiento de Mantenimiento Preventivo y Correctivo, la GuÍa de
equipos. Los equipos deben recibir el Mantenimiento y Limpieza de las Instalaciones y el formato de Planes de Mantenimiento.
mantenimiento correcto que permita
su permanente disponibilidad e
integridad.
A.9.2.5 Seguridad de los Control La Entidad ha instalado el software SSF - Secuware para el cifrado los discos duros de los
equipos fuera de las Se deben aplicar medidas de computadores, para que sólo cuando se ingresa con el usuario y la contraseña válidos para el
instalaciones. seguridad a los equipos que se computador se tiene acceso a la misma. Se protegen de acuerdo con el Manual de Manejo y Control
encuentran fuera de las instalaciones, Administrativo de Bienes y la poliza ante todo riesgo.
teniendo en cuenta los diferentes
riesgos existentes al trabajar fuera de
la organización.
A.9.2.6 Seguridad en la Control La Entidad cuenta con el Manual de Manejo y Control Administrativo de Bienes establece las
reutilización o eliminación de Se deben revisar todos los elementos condiciones para el retiro o reutilizacion de los activos de información.
equipos. de equipos que contienen medios de
almacenamiento, para asegurar que
cualquier dato sensible y software con
licencia haya sido eliminado o
sobrescrito en forma segura antes de
su eliminación.
A.9.2.7 Retiro de activos Control La Entidad cuenta con el Manual de Control y Manejo Administrativo de Bienes que direcciona cómo
se retiran los equipos de las instalaciones.
Y se refuerza con el Instructivo de Ingreso a las Instalaciones para el control de acceso físico a las
intalaciones de la entidad con la proteccion a las zonas de carga y descarga.
1. OBJETIVO
CONVENCIONES
A.9.2.7 Retiro
Tabla A.1 de activos
Objetivos de control y controles La Entidad cuenta con el Manual de Control y Manejo Administrativo de Bienes que direcciona cómo
No se deben retirar de su sitio se retiran los equipos de las instalaciones.
equipos, información o software sin
autorización previa. Y se refuerza con el Instructivo de Ingreso a las Instalaciones para el control de acceso físico a las
intalaciones de la entidad con la proteccion a las zonas de carga y descarga.
A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES

A.10.1 Procedimientos operacionales y responsabilidades COMO:
Objetivo: asegurar la operación correcta y segura de las

instalaciones de procesamiento de información.
A.10.1.1 Procedimientos de Control Para la operación de la plataforma tecnológica, la entidad cuenta con la GuÍa de Administración de
operación documentados. la Plataforma Tecnológica, la Guía de Gestión de Usuarios de la Plataforma Tecnológica, el
Procedimiento de Control de Cambios a la Infraestructura Técnológica y el Procedimiento de
Los procedimientos de operación se Soporte Técnico, Mantenimiento Preventivo y Correctivo, y otros disponibles en la seccion de la
deben documentar, mantener y deben Intrenet del Sistema de Gestión Integrado, proceso de Gestion de Infraestructura y Logística.
estar disponibles para todos los
usuarios que los necesiten.
A.10.1.2 Gestión del cambio. Control La Entidad cuenta con el procedimiento Cambios al Ambiente Productivo, el cual direcciona cómo se
deben manejar los cambios al ambiente de producción y el procedimiento de implementación de
Sistemas de Información.
Se deben controlar los cambios en las
instalaciones y sistemas de
procesamiento de información.
A.10.1.3 Separación de Control La Entidad establece a través del Manual de Operaciones las responsabilidades y roles de los
funciones. usuarios en cada uno de los procesos descritos en el manual de Funciones por cargos. Además se
Los deberes y áreas de soporta la segregacion de funciones en el procedimiento de Implementación de sistemas de
responsabilidad se deben separar Información.
para reducir oportunidades de
modificación no autorizada o
utilización inapropiada de los activos
de la organización.
A.10.1.4 Separación de las Control La Entidad cuenta con la Guía de Administración de la Plataforma Tecnologica y el Procedimiento de
instalaciones de desarrollo, Las instalaciones de desarrollo, Implementación Sistemas de Información.
ensayo y operacionales. ensayo y operacionales deben estar
separadas para reducir los riesgos de
acceso no autorizado o cambios al
sistema operacional.
A.10.2 Gestión de la prestación del servicio por tercera parte COMO

Objetivo: implementar y mantener el nivel apropiado de seguridad
de la información y prestación del servicio en línea con los
acuerdos de prestación de servicios por una tercera parte.
A.10.2.1 Prestación del Control La Política de Gestión Integral soportado por el Manual de Gestión Integral establece las directrices
servicio Se debe asegurar que las terceras de la relación con las terceras partes y en el Manual de Contratación.
partes implementen, operen y
mantengan los controles de seguridad,
las definiciones y niveles de
prestación del servicio incluidos en el
acuerdo de prestación de servicios.
A.10.2.2 Seguimiento y Control La Política de Gestión Integral soportada por el Manual de Gestión Integral establece las directrices
revisión de los servicios Se debe hacer seguimiento y se de la relación con las terceras partes y en el Manual de Contratación se describe como se debe
prestados por terceras partes deben revisar regularmente los realizar seguimiento y revisión de la ejecución contractual.
servicios, informes y registros
suministrados por una tercera parte, y
se deben llevar a cabo auditorías
regularmente.
A.10.2.3 Gestión de cambios Control El procedimiento Cambios al Ambiente Productivo debe ser aplicado en cualquiera de los
en los servicios suministrados requerimientos ya sea realizado por los funcionarios así como de los terceros.
por terceras partes
1. OBJETIVO
CONVENCIONES
A.10.2.3
Tabla A.1Gestión de cambios
Objetivos de control y controles El procedimiento Cambios al Ambiente Productivo debe ser aplicado en cualquiera de los
en los servicios suministrados Los cambios en la prestación de los requerimientos ya sea realizado por los funcionarios así como de los terceros.
por terceras partes servicios, incluido el mantenimiento y
la mejora de las políticas,
procedimientos y controles de
seguridad de la información
existentes, se deben gestionar
teniendo en cuenta la criticidad de los
sistemas y procesos de los negocios
involucrados y la re-valoración de los
riesgos.
A.10.3 Planificación y aceptación del sistema COMO
Objetivo: minimizar el riesgo de fallas de los sistemas.
A.10.3.1 Gestión de la Control Se identifican los requerimientos con Guía de Administración de la Plataforma Tecnológica y el
capacidad. Se deben hacer seguimiento y ajustes Procedimiento de Implementación de Sistema de Información y se gestiona a través del Procedimiento
al uso de los recursos, y se deben de Crecimiento y Optimización Infraestructura Tecnológica.
hacer proyecciones de los requisitos
de capacidad futura, para asegurar el
desempeño requerido del sistema.
A.10.3.2 Aceptación del Control La Entidad cuenta con el procedimiento Implementación Sistemas de Información y el Procedimiento de
sistema. Se deben establecer criterios de Cambio al Ambiente Productivo.
aceptación para sistemas de
información nuevos, actualizaciones y
nuevas versiones, y se deben llevar a
cabo los ensayos adecuados del
sistema, durante el desarrollo y antes
de su aceptación.
A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES COMO
A.10.4 Protección contra códigos maliciosos y móviles
Objetivo: proteger la integridad del software y la información.
A.10.4.1 Controles contra Control La GuÍa de Adminsitración de la Plataforma Tecnológica establece a través de la gestion del
códigos maliciosos. directorio activo y el uso de herramientas de Antivirus, instalado en todos los PCs y Servidores,
gestionado de forma centralizada a nivel nacional.
Se deben implementar controles de
detección, prevención y recuperación La seguridad perimetral con firewall tipo gateway con los modulos de Antivirus, ANTISPAM, Filtrado
para protegerse contra códigos de Contenidos, entre otros.
maliciosos, y se deben implementar
procedimientos apropiados de toma
de conciencia de los usuarios.
A.10.4.2 Controles contra Control La Guía de Adminsitración de la Plataforma Tecnológica establece a través de la gestión del
códigos móviles directorio activo y el uso de herramientas de Antivirus, instalado en todos los PCs y Servidores,
gestionado de forma centralizada a nivel nacional. Se restringen las descargas de código móvil.
En donde se autoriza el uso de
códigos móviles, la configuración debe
La seguridad perimetral con firewall tipo gateway con los modulos de Antivirus, ANTISPAM, Filtrado
asegurar que el código móvil
de contenidos, entre otros.
autorizado opera de acuerdo con una
política de seguridad definida
claramente, y se debe impedir la
ejecución de códigos móviles no
autorizados.
A.10.5 Respaldo COMO
Objetivo: mantener la integridad y disponibilidad de la información

y de las instalaciones de procesamiento de información.
A.10.5.1Información de Control La Entidad cuenta con el Procedimiento de Respaldo de Datos, que direcciona la forma como se
respaldo. gestionan las copias de respaldo, que soportan las imágenes de los documentos almacenadas en el
Sistema de Información Documental.
1. OBJETIVO
CONVENCIONES
La Entidad cuenta con el Procedimiento de Respaldo de Datos, que direcciona la forma como se
gestionan las copias de respaldo, que soportan las imágenes de los documentos almacenadas en el
Tabla A.1 Objetivos de control y controles Sistema de Información Documental.
Se deben hacer copias de respaldo de
la información y del software, y se
deben poner a prueba con regularidad
de acuerdo con la política de respaldo
acordada.
A.10.6 Gestión de la seguridad de redes COMO
Objetivo: asegurar la protección de la información de las redes y la

protección de la infraestructura de soporte.
A.10.6.1 Controles de redes. Control Se aplica de acuedo con la Guía de Administración de la Plataforma Tecnológica, segregando
Las redes se deben gestionar y funciones de la persona encargada de las redes de datos y de otros servicios de la plataforma
controlar en forma adecuada, con el tecnológica.
fin de protegerlas contra amenazas y
mantener la seguridad en los
sistemas y aplicaciones que usan la
red, incluida la información en tránsito.
A.10.6.2 Seguridad de los Control La Política de Gestión Integal soportado por el Manual de Gestion Integral establece la política para
servicios de la red. Las características de seguridad, el acceso a los servicios de red y determina algunas directrices para la relacion de terceras partes,
niveles de servicio y requisitos de respaldado por el Manual de Contratación
gestión de todos los servicios de la red
se deben identificar e incluir en Se ha realizado un estudio de Impacto de la Disponibilidad de la Plataforma tecnológica (BIA) que ha
cualquier acuerdo de servicios de red, servido para establecer los requerimientos de los tiempos de disponibilidad para la prestacion de
ya sea que estos servicios se servicios y los acuerdos de prestacion de servicios que deben ofrecer los terceros
suministren internamente o se
contraten externamente
A.10.7 Manejo de medios COMO
Objetivo: evitar la divulgación, modificación, retiro o destrucción de

activos no autorizada, y la interrupción en las actividades del
negocio.
A.10.7.1 Administración de los Control La Entidad cuenta con el Manual de Control y Manejo Administrativo de Bienes establece el proceso
medios removibles. Debe haber implementados de eliminación de información dependiendo del medio en que se encuentre, incluyendo aquellos
procedimientos para la gestión de los considerados removibles.
medios removibles.
A.10.7.2 Eliminación de Control La Entidad cuenta Manual de Control y Manual de Control y Manejo Administrativo de Bienes.
medios. Cuando ya no se requieran estos
medios, su disposición final debe ser El Formato de Acuerdo de Confidencialidad y buen uso de los activos de información.
en forma segura y sin riesgo, usando
procedimientos formales.
A.10.7.3 Procedimientos para Control La Entidad cuenta con Guia Documental y la Guia de Archivo, ambos soportados por la Tabla de
el manejo de la información. Se deben establecer procedimientos Trámites y la Tabla de Retención Documental, tambien el plan de comunicaciones Organizaciónal y
para el manejo y almacenamiento de comunicacion informativa.
la información, con el fin de protegerla
contra divulgación o uso no El Formato de Acuerdo de Confidencialidad y Buen Uso de los Activos de Información.
autorizado.
A.10.7.4 Seguridad de la Control El Procedimiento de Control de Documentos y Registros de la Entidad establece como se deben
documentación del sistema. La documentación del sistema debe proteger los documento. Se aplica también la Guía de Archivo, que respalda la información del
estar protegida contra uso no Sistema de Información Documental mediante el Procedimiento de Respaldo y Recuperación de la
autorizado. Información.
A.10.8 Intercambio de información COMO

Objetivo: mantener la seguridad de la información y el software que
se intercambia dentro de la organización y con cualquier entidad
externa.
A.10.8.1 Políticas y Control Todo tipo de intercambio de información o de acceso a los activos de información de la Entidad a
procedimientos para algún tercero se debe realizar a través de convenios ínter-administrativos o de acuerdos de
intercambio de información cualquier índole, teniendo en cuenta los aspectos descritos en la Politica de Gestion integral
soportado por el Manual de Gestion Integral numeral 7.3
1. OBJETIVO
CONVENCIONES
A.10.8.1 Políticas
Tabla A.1 Objetivos y y controles
de control Todo tipo de intercambio de información o de acceso a los activos de información de la Entidad a
procedimientos para Se deben implementar políticas, algún tercero se debe realizar a través de convenios ínter-administrativos o de acuerdos de
intercambio de información procedimientos y controles para cualquier índole, teniendo en cuenta los aspectos descritos en la Politica de Gestion integral
proteger el intercambio de información soportado por el Manual de Gestion Integral numeral 7.3
mediante el uso de todo tipo de
instalaciones de comunicación.
A.10.8.2 Acuerdos de Control La Entidad cuenta con la Política de Gestión Integral, soportada en el Manual de Gestion Integral en
intercambio Se deben establecer acuerdos para el el numeral 10.1 donde se describe la metodologia para los acuerdos de intercambio de informacion.
intercambio de información y de
software entre la organización y partes
externas.
A.10.8.3 Medios físicos en Control La Entidad cuenta con una herramienta (SecureWare) para el cifrado de los discos duros de todos
tránsito. Los medios que contienen información los equipos Portatiles y computadores a nivel nacional, siguiendo las recomendaciones del Manual
se deben proteger contra acceso no de Control y Manejo Administrativo de Bienes y la Guía de Administración de la Plataforma
autorizado, uso inadecuado o Tecnológica.
corrupción durante el transporte más
allá de los límites físicos de la En Bogotá, para las cintas de respaldo de la informacion se entrega a una firma externa en custodia
organización. a través de un contrato, siempre y cuando cumpla los requisitos aplicables, siguiendo el Manual de
Contratación
A.10.8.4 Mensajería Control Se aplica la guia de Adminsitracion de la Plataforma tecnológica que regula la capacidad de los
electrónica. La información involucrada en la correos másicos de manera coordinada, al igual que el formato de acuerdo de confidencialidad y
mensajería electrónica se debe buen uso de los activos de información y además en una circular interna se definen que estas
proteger apropiadamente. herramientas son para uso exclusivo de labores propias de la Entidad. Los mensajes de coreo
electrónuco se protegen a través de nombre de usuario y contraseña del Directorio Activo. El
servicio de mensajería instántanea no esta permitido, el cual está bloqueado.
A.10.8.5 Sistemas de Control El intercambio de información de los sistemas de información esta establecida a través de convenios
información del negocio. Se deben desarrollar e implementar interadministraticos y como lo define el numeral 4.5 del Manual de Gestion Integral.
políticas y procedimientos para
proteger la información asociada con
la interconexión de los sistemas de
información del negocio.
A.10.9 Servicios de comercio electrónico COMO

Objetivo: garantizar la seguridad de los servicios de comercio
electrónico, y su uso seguro.
A.10.9.1 Comercio electrónico Control El comercio electrónico, también conocido como e-commerce (electronic commerce en inglés),
La información involucrada en el consiste en la compra y venta de productos o de servicios a través de medios electrónicos, tales
comercio electrónico que se transmite como Internet y otras redes informáticas. La Superintendencia de Sociedades es un organismo
por redes públicas se debe proteger técnico, adscrito al Ministerio de Comercio, Industria y Turismo, con personería jurídica, autonomía
contra actividad fraudulenta, disputas administrativa y patrimonio propio, mediante el cual el Presidente de la República ejerce la
contractuales y divulgación y inspección, vigilancia y control de las sociedades mercantiles, así como las facultades que le señala
modificación no autorizadas. la por lo anterior el Comercio Electronico no es una actividad realizada ni es necesaria para la
prestacion de los servicios por parte de la Superintendencia de Sociedades en relación con otras
personas jurídicas o naturales. por lo anterior el Comercio Electronico no es una actividad realizada
ni es necesaria para la prestacion de los servicios por parte de la Superintendencia de Sociedades
en consecuencia no se hace nesario controlar riesgos con este control.(Revisar redacción)
A.10.9.2 Transacciones en Control

línea
La información involucrada en
transacciones en línea debe estar
protegida para impedir su transmisión
incompleta, enrutamiento errado,
alteración de mensajes no autorizada,
divulgación no autorizada, y
duplicación o repetición de mensajes
no autorizada.
A.10.9.3 Información Control

disponible públicamente.
El comercio electrónico, también conocido como e-commerce (electronic commerce en inglés),
consiste en la compra y venta de productos o de servicios a través de medios electrónicos, tales
como Internet y otras redes informáticas. La Superintendencia de Sociedades es un organismo
técnico, adscrito al Ministerio de Comercio, Industria y Turismo, con personería jurídica, autonomía
administrativa y patrimonio propio, mediante el cual el Presidente de la República ejerce la
inspección, vigilancia y control de las sociedades mercantiles, así como las facultades que le señala
la por lo anterior el Comercio
SISTEMA GESTIÓNElectronico
INTEGRADOno es una actividad realizada ni es necesaria para la
prestacion de los servicios por parte de la Superintendencia de Sociedades en relación con otras
PROCESO:
personas jurídicas GESTIONpor
o naturales. INTEGRAL
lo anterior el Comercio Electronico no es una actividad realizada
ni es necesaria para la prestacion de los servicios por parte de la Superintendencia de Sociedades
ANEXO. DECLARACIÓN
en consecuencia DE APLICABILIDAD
no se hace nesario controlar riesgos con este control.(Revisar redacción)
1. OBJETIVO
CONVENCIONES
A.10.9.3 Información
disponible públicamente.
La integridad de la información que
está disponible en un sistema
disponible públicamente se debe
proteger para impedir modificaciones
no autorizadas.
A.10.10 Seguimiento COMO

Objetivo: detectar actividades de procesamiento de información no
autorizadas.
A.10.10.1 Registro de Control La Entidad cuenta con el Procedimiento Implementación de Sistemas de Información, en el cual se
auditorías Se deben elaborar registros de exige que todos los sistemas tengan incorporados el registro de las actividades realizadas tanto por
auditoría para las actividades de los el Administrador como por los usuarios de los sistemas que lo requieren.
usuarios, excepciones y eventos de
seguridad de la información, y se
deben mantener durante un período
acordado para ayudar a futuras
investigaciones y tener acceso a
seguimiento de control.
A.10.10.2 Uso del sistema de Control El Procedimiento de Implementacion de los Sistemas de Información establece que los sistemas,
seguimiento Se deben establecer procedimientos cuando aplique, deben llevar registros de accesos realizados por los usuarios registrados y se
para hacer el seguimiento al uso de verifican de acuerdo con la guía de Gestión de Usuarios de la Plataforma Técnológica.
los servicios de procesamiento de
información, y se deben revisar Adicionalmente se cuenta con la verificación de Auditorias Internas o las Auditorias Externas.
regularmente los resultados de las
actividades de seguimiento.
A.10.10.3 Protección de la Control Los registros de auditoria de los sistemas de información se respalda con el Procedimiento de
información del registro Las instalaciones de registro y la Respaldo y Recuperación y adicionalmente se aplica el Procedimento de Gestión de Logs y
información de registro se deben Registros de Auditoría.
proteger contra alteración y acceso no
autorizado.
A.10.10.4 Registros del Control La Entidad cuenta con el Procedimiento Implementación de Sistemas de Información, en el cual se
administrador y el operador Las actividades del operador y del exige que todos los sistemas tengan incorporados el registro de las actividades realizadas por el
administrador del sistema se deben Administrador del Sistema.
registrar.
A.10.10.5 Registro de fallas stion de Procedimiento de Soporte, Tecnico, Mantenimiento Preventivo y Correctivo, determina el registro de
Las fallas se deben registrar, analizar fallas y dependiendo del problema se aplica el Procedimiento de Acciones Correctivas, Preventivas
y se deben tomar las medidas y de Gestión de Incidentes, donde se analizan las causas y se toman las acciones correspondientes.
apropiadas. Tambien se puede soportar por el Procedimiento de Gestión de Logs y Registros de Auditoría.
A.10.10.6 Sincronización de Control Los relojes se sincronizan de acuerdo con la Guía de Administración de la Plataforma Tecnológica la
relojes Los relojes de todos los sistemas de hora oficial de Colombia.
procesamiento de información
pertinente dentro de una organización
o dominio de seguridad deben estar
sincronizados con una fuente de
tiempo exacto acordada.
A.11 CONTROL DE ACCESO

A.11.1 Requisito del negocio para control del acceso COMO
Objetivo: controlar el acceso a la información.
A.11.1.1 Política de control de Control Cada recurso de la plataforma tecnológica y de operación cuenta con mecanismos que solicitan la
acceso Se debe establecer, documentar y identificación y autenticación previa a su acceso, de acuerdo con los servicios y sistemas de
revisar una política de control de información. Para lo cual ha implementado la Politica de Gestión Integral soportado por el Manual de
acceso con base en los requisitos de Gestión Integral numeral 10.2 y lo aplica según la guía de Administración de la Plataforma
acceso del negocio y de seguridad. Tecnológica, de igual manera el acceso de las personas a las oficinas y areas seguras de la Entidad
se rige por el instructivo de ingreso a las Instalaciones a la Entidad.
A.11.2 Gestión de acceso de usuarios COMO

1. OBJETIVO
CONVENCIONES
Tabla A.1 Objetivos de control y controles COMO

Objetivo: asegurar el acceso autorizado a los usuarios e impedir el
acceso no autorizado a sistemas de información.
A.11.2.1 Registro de usuarios. Control La Entidad cuenta con la Guía de Gestión de usuarios Plataforma Tecnologica, controlados por el
Debe haber un procedimiento formal Directorio Activo de la Plataforma Microsoft implementada a nivel Nacional, también soportada por la
de registro y cancelación del registro a Guía de Administración de la Plataforma Tecnológica.
usuarios, para conceder y anular el
acceso a todos los sistemas y
servicios de información.
A.11.2.2 Gestión de Control La Entidad cuenta con la guia Guía Gestión de Usuarios Plataforma Tecnologica y los perfiles de
privilegios. Se debe restringir y controlar la usuarios definidos en cada uno de los sistemas de información que lo permiten, inclusive algunos
asignación y uso de privilegios. sistemas de Información se validan contra la misma contraseña del Directorio Activo, también la
misma es revisada por los administradores funcionales de los Sistemas de Información.
A.11.2.3 Gestión de Control La Guía Gestión de usuarios Plataforma Tecnologica, establece los métodos para la asignación de
contraseñas para usuarios. La asignación de contraseñas se debe contraseñas y de igual manera define recomendaciones para que los usuarios utilicen contraseñas
controlar mediante un proceso de seguras, mediante la Guia de Contraseña segura. Se refuerza su aplicación con las funcionalidades
gestión formal. del Directorio Activo, La Guía de Adminsitración de la Plataforma Tecnológica define el rol de
gestion del Directorio Activo.
A.11.2.4 Revisión de los Control La Guía Gestión de usuarios Plataforma Tecnologica establece que el Adminsitrador funcional
derechos de acceso de los La dirección debe establecer un mantiene los usuarios del Sistema de información.
usuarios. proceso formal de revisión periódica
de los derechos de acceso de los
usuarios.
A.11.3 Responsabilidades de los usuarios COMO

Objetivo: evitar el acceso a usuarios no autorizados, y el robo o la
puesta en peligro de información y de instalaciones de
A.11.3.1 Uso de contraseñas. Control La Entidad cuenta con Guía de Contraseñas Seguras y esta soportado por el servicio del Directorio
Se debe exigir a los usuarios el Activo para este fin.
cumplimiento de buenas prácticas de
seguridad en la selección y uso de las
contraseñas.
A.11.3.2 Equipo de usuario Control En el Manual de Gestión Integral se ha establecido la politica de puesto de trabajo despejado y
desatendido. Los usuarios deben asegurarse de bloqueo de pantalla. Adicionalmente se cuenta con el control de protector de pantalla automático
que a los equipos desatendidos se les por medio de la gestión del Directorio Activo, de acuerdo con la Guía de Administración de la
da protección apropiada. Plataforma Tecnológica y no permite ser modificado por el usuario.
Para los equipos portátiles se aseguran mediante el uso de guayas entregadas como parte del
equipo.
A.11.3.3 Política de puesto de Control Hace parte de la política de Gestión Integral y esta soportado en el Manual de Gestión Integral
trabajo despejado y bloqueo Se debe adoptar una política de numeral 10.3.
de pantalla. puesto de trabajo despejado para
papeles y medios de almacenamiento
removibles, y una política de bloqueo
de pantalla para instalaciones de
A.11.4 Control de acceso a redes COMO

Objetivo: impedir el acceso no autorizado a servicios en red.
A.11.4.1 Política de uso de los Control Hace parte de la política de Gestión Integral y esta soportado en el Manual de Gestión Integral,
servicios de red. Los usuarios sólo deben tener acceso numeral 10.2.
directo a los servicios para los que
han sido autorizados específicamente.
A.11.4.2 Autenticación de Control Los usuarios remotos que se conecten a la red de la Superintendencia se validarán contra el
usuarios para conexiones directorio Activo de la Plataforma de la Entidad, después de autorizado el acceso remoto, según la
externas. Guia de Administración de la Plataforma tecnológica de la Entidad.
1. OBJETIVO
CONVENCIONES
A.11.4.2 Autenticación
Tabla A.1 Objetivos de y controles
de control Los usuarios remotos que se conecten a la red de la Superintendencia se validarán contra el
usuarios para conexiones Se deben usar métodos de directorio Activo de la Plataforma de la Entidad, después de autorizado el acceso remoto, según la
externas. autenticación apropiados para Guia de Administración de la Plataforma tecnológica de la Entidad.
controlar el acceso de usuarios
remotos.
A.11.4.3 Identificación de Control La Guía de Administración de la Plataforma Tecnologica establece los roles de administracion de
equipos en redes. comunicaciones de las redes de voz y datos, teniendo en cuenta que la red de voz y datos, tanto
La identificación de equipos como sus equipos son identificados con direcciones fijas y única, relacionada con el label de la toma
automáticos se debe considerar como física de conexión y controlada también por autenticación contra el Directorio Activo utilizando
un medio para autenticar conexiones nombre de usuario y contraseña a nivel nacional.
desde lugares y equipos específicos.
A.11.4.4 Protección de Control Las protección de los puertos de diagnóstico de los equipos de red se debe hacer directamente en
puertos de diagnóstico y El acceso físico y lógico a los puertos cada equipo y ellos estan protegidos en cuartos independientes con control de acceso puerta con
configuración remotos. de diagnóstico y configuración se llave, pues son considerados Areas Seguras definidas en el instructivo de ingreso a a las
debe controlar. instalaciones de la Entidad.
A.11.4.5 Subdivisión de Control La Superintendencia maneja las siguientes redes segregadas:

redes. Los grupos de servicios de - Inalambrica (de acceso público) en la sede de Bogotá D.C.
información, usuarios y sistemas de - De área local en cada sede (de acceso interno, autenticando contra Directorio Activo todos hacia
información se deben subdividir en las Bogotá) protegidas con un firewall tipo gateway. Siguiendo las recomendaciones de la Guía de
redes. Administracion de la Infraestructura Tecnológica y la Guía de Gestión de Usuarios de la Plataforma
Tecnológica.
A.11.4.6 Control de conexión Control Existe un firewall que gestiona las políticas de acceso, en especial, gestiona los accesos desde
a las redes. Para redes compartidas, Internet a la red pública y a los servidores, de acuerdo con la Politica de Gestión Integral, donde se
especialmente las que se extienden a incorpora la Politica de Control de Acceso a la Redes soportado en el Manual de Gestión Integral
través de los límites de la numeral 10.2, la Guía de Gestión de Usuarios de la Plataforma Tecnológica y la Guia de
organización, la capacidad de Administracion de la Plataforma Tecnológica.
conexión de los usuarios a la red debe
estar restringida, en línea con la
política de control de acceso y los
requisitos de las aplicaciones del
negocio (véase el numeral 11.1).
A.11.4.7 Control de Control Existe un firewall que gestiona las políticas de acceso, en especial, gestiona los accesos desde
enrutamiento en la red. Se deben implementar controles de Internet a la red pública y a los servidores, de acuerdo con la Politica de Gestion Integral, donde se
enrutamiento para las redes, para incorpora la Politica de Control de Acceso a la Redes soportado en el Manual de Gestión Integral
asegurar que las conexiones entre numeral 10.2, la Guía de Gestión de Usuarios de la Plataforma Tecnologica y la Guía de
computadores y los flujos de Administracion de la Plataforma Tecnológica.
información no incumplan la política
de control de acceso de las
aplicaciones del negocio.
A.11.5 Control de acceso al sistema operativo

A.11.5.1 Control de acceso al sistema operativo COMO
Objetivo: evitar el acceso no autorizado a los sistemas operativos.
A.11.5.1 Procedimientos de Control La Entidad cuenta con la Guía Gestión de Usuarios Plataforma Tecnologica y la Guía de
ingreso seguros Contraseñas Seguras. Los usuarios no administradores no tienen permiso de ingresar a ejecutar
algunas funciones del sistema, como instalación de software, cambio de hora, etc. A través de la
El acceso a los sistemas operativos se gestion del Directorio Activo de la infraestructura.
debe controlar mediante un proceso
de ingreso seguro
A.11.5.2 Identificación y Control La Entidad realiza autenticación utilizando Directorio Activo, cuenta con la Guía Gestión de Usuarios
autenticación de usuarios. Plataforma Tecnologica, Guía de Contraseñas Seguras y la Guia de Administracion de la Plataforma
Tecnológica.
Todos los usuarios deben tener un
identificador único (ID del usuario)
para su uso personal y exclusivo. Se
debe escoger una técnica de
autenticación adecuada para
comprobar la identidad declarada de
un usuario.
A.11.5.3 Sistema de gestión Control La guía de Administracion de la Plataforma Tecnológica establece el rol para la gestión del directorio
de contraseñas. Activo y a través de éste último se aplican los controles necesarios para gestionar las contraseñas
de acceso a los servicios, soportado por el Directorio Activo tiene los controles usuales, como
permitir a los usuarios su cambio de contraseña, no despliegue de la clave cuando se digita, solicitud
de nueva contraseña en el primer log-on y la aplicación de la guía de contraseñas seguras.
1. OBJETIVO
CONVENCIONES
A.11.5.3 Sistema de gestión La guía de Administracion de la Plataforma Tecnológica establece el rol para la gestión del directorio
de contraseñas. Activo y a través de éste último se aplican los controles necesarios para gestionar las contraseñas
de acceso a los servicios, soportado por el Directorio Activo tiene los controles usuales, como
Los sistemas de gestión de permitir a los usuarios su cambio de contraseña, no despliegue de la clave cuando se digita, solicitud
contraseñas deben ser interactivos y de nueva contraseña en el primer log-on y la aplicación de la guía de contraseñas seguras.
deben asegurar contraseñas de
calidad.
A.11.5.4 Uso de utilitarios del Control El Directorio Activo evita que los usuarios puedan instalar software y ejecutar utilitarios como cambio
sistema de hora y fecha. Los usuarios no tienen acceso a modificar los parámetros de la BIOS. La Gestion
del Directorio Activo se realiza con la Guía de Administración de la Plataforma Tecnológica y la Guía
El uso de programas utilitarios que de Gestión de Usuarios de la Plataforma Tecnológica.
pueden estar en capacidad de anular
el sistema y los controles de
aplicación se debe restringir y
controlar estrictamente.
A.11.5.5 Plazo expirado de la Control Existe una política a través de Directorio Activo que bloquea los equipos después de un tiempo de
sesión. Las sesiones inactivas se deben Inactividad (timeout). Para evitar pérdidas de información, las sesiones de los sistemas operativos
apagar después de un período de se bloquean y no se cierran. La gestion del Directorio Activo se realiza en la Guía de Administración
inactividad definido. de la Plataforma Tecnológica.
A.11.5.6 Limitación del tiempo Control El Directorio Activo controla el tiempo de desatención de los computadores conectados a la red y los
de conexión. bloquea dejando activo un protector de pantalla con protección de contraseña y protegiendo las
aplicaciones abiertas. Gestionado con la Guía de Administración de la Plataforma Tecnológica.
Se deben aplicar restricciones en los
tiempos de conexión, para brindar
Adicionalmente ningun funcionario de la Entidad tiene limitación de tiempo de tabajo debido que se
seguridad adicional en aplicaciones de
desarrollan funciones de prestacion de servicio al ciudadano, por ejemplo en el caso de acceso al
alto riesgo.
servicio de Internet que es de 7 días a la semana 24 horas al día y 365 días al año.
A.11 CONTROL DE ACCESO COMO

A.11.6 Control de acceso a la información y a las aplicaciones
Objetivo: evitar el acceso no autorizado a la información contenida
en los sistemas de información.
A.11.6.1Restricción de acceso Control La Entidad cuenta con la Guía Gestión de Usuarios de la Plataforma Tecnológica, que establece
a la información. El acceso a la información y a las roles y perfiles de acceso a la información, dentro de cada uno de los sistemas se restringe el
funciones del sistema de aplicaciones acceso a la información particular. Además se asignan permisos de acceso a la información de
por parte de los usuarios se debe carpetas compartidas dependiendo de la necesidad.
restringir de acuerdo con la política de
control de acceso definida.
A.11.6.2 Aislamiento de Control Los traficos de red LAN estan aislados de la red publica inalámbrica en la Ciudad de Bogotá, por lo
sistemas sensibles. Los sistemas sensibles deben tener tanto las aplicaciones se administran y controlan desde el centro de computo en la sede de Bogotá y
entornos informáticos dedicados los recursos son compartidos para las diferentes aplicaciones.
(aislados).
Se considera sensible la inforamción de Banca Vurtual gestionada por el Grupo de Tesorería donde
el esquemas de procesamiento es aislado.
A.11.7 Computación móvil y trabajo remoto COMO

Objetivo: garantizar la seguridad de la información cuando se usan
instalaciones de computación móvil y trabajo remoto
A.11.7.1 Computación y Control Cualquier conexión interna o externa a la red de datos de La Superintendencia de Sociedades se
comunicaciones móviles. Se debe establecer una política formal realiza a través de componentes tecnológicos que garantizan su seguridad. Todos los
y se deben tomar las medidas de computadores de escritorio y portátiles deben tener sus discos cifrados para proteger el acceso a la
seguridad apropiadas para protegerse información por el personal autorizado. Esta alineado con la Política de Gestion Integral soportada
contra los riesgos generados al usar en el Manual de Gestion Integral numeral 10.4.
instalaciones de computación y
comunicación móviles.
A.11.7.2 Trabajo remoto. Control Los funcionarios solicitaran autorización para el acceso remoto o trabajo remoto directamente a la
Dirección de Informática y será entregada por el responsable de la Infraestructura de
comunicaciónes únicamente, aplicando la Guía de Gestión de Usuarios de la Plataforma
Tecnológica.
1. OBJETIVO
CONVENCIONES
A.11.7.2
Tabla A.1Trabajo remoto.
Objetivos de control y controles Los funcionarios solicitaran autorización para el acceso remoto o trabajo remoto directamente a la
Se debe desarrollar e implementar Dirección de Informática y será entregada por el responsable de la Infraestructura de
una política, y procedimientos y planes comunicaciónes únicamente, aplicando la Guía de Gestión de Usuarios de la Plataforma
operacionales para actividades de Tecnológica.
trabajo remoto.
A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE

SISTEMAS DE INFORMACIÓN
A.12.1 Requisitos de seguridad de los sistemas de información COMO

Objetivo: garantizar que la seguridad es parte integral de los
sistemas de información.
A.12.1.1 Análisis y Control En estudios previos para la contratación se revisan los requierimiento mínimos técnicos, funcionales
especificación de requisitos y de seguridad de las adquisiciones, dentro del Manual de Contratación, sin embargo tambien estan
de seguridad Las declaraciones de los requisitos del especificados los requerimientos de seguridad de los Sistemas de Inforamción en el Procedimiento
negocio para nuevos sistemas de para la Adquisición e Implementación de los Sistemas de Información.
información, o las mejoras a los
existentes, deben especificar los
requisitos para controles de seguridad.
A.12.2 Procesamiento correcto en las aplicaciones COMO

Objetivo: evitar errores, pérdida, modificación no autorizada o mala
utilización de la información en aplicaciones
A.12.2.1 Validación de los Control El Procedimiento de Implementacion de los Sistemas de Información establece la validación de los
datos de entrada. datos de entrada aplicando modelos de pruebas tecnicas, funcionales y de seguridad que sean
necesarios.
Los datos de entrada a las
aplicaciones se deben validar para
asegurar que son correctos y
apropiados.
A.12.2.2 Control de Control El Procedimiento de Implementacion de los Sistemas de Información, establece algunos controles
procesamiento interno. para validación de los datos de entrada y procesamiento aplicando los modelos de pruebas tecnicas,
funcionales y de seguridad que sean necesarios.
Se deben incorporar en las
aplicaciones revisiones de validación
para detectar cualquier corrupción de
la información debida a errores de
procesamiento o actos deliberados.
A.12.2.3 Integridad de los Control El intercambio de información de los sistemas de información esta establecida a través de convenios
mensajes. Se deben identificar los requisitos para interadministrativos y como lo define el numeral 7.3.2 del Manual de Gestion Integral, alineado con la
asegurar la autenticación y proteger la Politica de Gestión Integral. Además del procedimiento de Implementación de Sistemas de
integridad de los mensajes en las Información a través del modelo de pruebas exige la verificación de la integridad de los datos de
aplicaciones, y se deben identificar e aucerdo con los requerimientos, funcionales, técnicos y de seguridad.
implementar controles apropiados.
A.12.2.4 Validación de los Control El procedimiento de Implementacion de los Sistemas de Información establece la validación de los
datos de salida. La salida de datos de una aplicación datos de salida aplicando modelos de pruebas tecnicas, funcionales y de seguridad que sean
se debe validar para asegurar que el necesarios.
procesamiento de la información
almacenada es correcto y apropiado
para las circunstancias.
A.12.3 Controles criptográficos COMO
Objetivo: proteger la confidencialidad, autenticidad o integridad de

la información, por medios criptográficos.
A.12.3.1 Política sobre el uso Control La Politica de Gestion Integral soportada en el Manual de Gestion Integral numeral 10.5, y los
de controles criptográficos. procesos de intercambio de información que requieran garantizar la identificación plena de los
usuarios, así como la integridad y confidencialidad de la información que se utilizan, están
soportados por un convenio interadministrativo con la entidad que lo requiera.
Adicionalmente la Superintendencia de Sociedades garantiza que la información contenida en los

medios de almacenamiento de los computadores están siendo protegidos mediante un sistema de
cifrado de la información (Secureware), teniendo como llave de acceso la identificación del usuario
en la red, al igual, la transmisión de información de los trámites con los usuarios externos que lo
requieren, utilizan protocolos criptográficos, como certificados de firma digital, para intercambio de
información por Internet.
Los usuarios son responsables por el manejo seguro de estos mecanismos de identificación y así
garantizar el no repudio.
1. OBJETIVO
CONVENCIONES
A.12.3.1
Tabla A.1Política sobredeelcontrol
Objetivos uso y controles La Politica de Gestion Integral soportada en el Manual de Gestion Integral numeral 10.5, y los
de controles criptográficos. Se debe desarrollar e implementar procesos de intercambio de información que requieran garantizar la identificación plena de los
una política sobre el uso de controles usuarios, así como la integridad y confidencialidad de la información que se utilizan, están
criptográficos para la protección de la soportados por un convenio interadministrativo con la entidad que lo requiera.
información.
información por Internet.
Los usuarios son responsables por el manejo seguro de estos mecanismos de identificación y así
garantizar el no repudio.
A.12.3.2 Gestión de llaves. Control Los entes de certificación abierta o cerrada son quienes crean y administran los usuarios y las llaves
Se debe implementar un sistema de que entregan a través de algun convenio o acuerdo entre las partes que participan en el intercambio
gestión de llaves para apoyar el uso de información. Soportado también por la Guía de Gestión de Usuarios de la Plataforma
de las técnicas criptográficas por parte Tecnológica.
de la organización.
Se ha incorporado el uso de certificados de firma digitales que garantizan la autenticidad, integridad
y no repudio de los mensajes de datos de las sociedades que se encuentran en vigilancia, sólo para
el trámite de Estados Financieros de fin de ejercicio, que presentan anualmente y que la Entidad ha
contratado a través de una certificadora abierta.
A.12.4 Seguridad de los archivos del sistema COMO

Objetivo: garantizar la seguridad de los archivos del sistema.
A.12.4.1 Control del software Control El Directorio Activo evita que los usuarios puedan instalar software y ejecutar utilitarios como cambio
operativo. Se deben implementar procedimientos de hora y fecha. Los usuarios no tienen acceso a modificar los parámetros de la BIOS de los
para controlar la instalación del computadores. Gestionado según la Guía de Gestión de usuarios de la Plataforma Tecnológica.
software en sistemas operativos.
A.12.4.2 Protección de los Control El procedimiento de Implementación Sistemas de Información establece las condiciones de la
datos de ensayo del sistema. Los datos de ensayo se deben protección de datos utilizafos para las pruebas técnicas, funcioanales y de seguridad.
seleccionar, proteger y controlar
cuidadosamente.
A.12.4.3 Control de acceso al Control El procedimiento de Implementación Sistemas de Información establece la restricción a los
código fuente de los Se debe restringir el acceso al código programas fuentes con que cuenta la Entidad, manejando roles específicos para el desarrollo.
programas fuente de los programas.
A.12.5 Seguridad en los procesos de desarrollo y soporte COMO

Objetivo: mantener la seguridad del software y la información del
sistema de aplicaciones*.
A.12.5.1 Procedimientos de Control El Procedimiento Cambios al Ambiente Productivo controla los requerimientos de actualización de la
control de cambios. La implementación de los cambios se plataforma tecnológica.
debe controlar estrictamente mediante
el uso de procedimientos formales de
control de cambios.
A.12.5.2 Revisión técnica de Control El procedimiento Cambios al Ambiente Productivo controla los requerimientos de actualización de la
las aplicaciones después de Cuando los sistemas operativos Plataforma Tecnológica.
cambios en el sistema cambian, las aplicaciones críticas del
operativo. negocio se deben revisar y poner a
prueba para asegurar que no hay
impacto adverso en las operaciones o
en la seguridad de la organización.
A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE COMO

SISTEMAS DE INFORMACIÓN
A.12.5.3 Restricciones en los Control El procedimiento Cambios al Ambiente Productivo controla los requerimientos de actualización de la
cambios a los paquetes de Se debe desalentar la realización de Plataforma Tecnológica, de acuerdo con las necesidades específicas de la Entidad los sistemas de
software. modificaciones a los paquetes de información aplican su correspondiente Procedimiento de Implementación de Información para sus
software, que se deben limitar a los actualizaciones.
cambios necesarios, y todos los
cambios se deben controlar
estrictamente.
1. OBJETIVO
CONVENCIONES

A.12.5.4 Fuga de información Control El Procedimiento de Implementación de Sistemas de Información, establece responsabilidades para
Se deben impedir las oportunidades controlar la fuga de información antes de su puesta en producción.
para fuga de información.
A.12.5.5 Desarrollo de Control El Manual de Contratación establece las condiciones en que se realiza la supervisión de los
software contratado El desarrollo de software contratado contratos. Tambien debe aplicarse el Procedimiento Implementación Sistemas de Información, al
externamente externamente debe ser supervisado y igual que el Procedimiento de Cambio al Ambiente Productivo.
la organización debe hacer
seguimiento de esto.
A.12.6 Gestión de la vulnerabilidad técnica COMO

Objetivo: reducir los riesgos resultantes de la explotación de las
vulnerabilidades técnicas publicadas.
A.12.6.1 Control de Control Se realizan pruebas de vulnerabilidades periodicamente descrito en la guía de Administración de la
vulnerabilidades técnicas Se debe obtener información oportuna Plataforma Tecnológica.
acerca de las vulnerabilidades
técnicas de los sistemas de
información usados, se debe evaluar
la exposición de la organización a
estas vulnerabilidades, y se deben
tomar las medidas apropiadas
tomadas para abordar el riesgo
asociado.
A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN
A.13.1 Reporte de eventos y debilidades de seguridad de la COMO

información
Objetivo: asegurar que los eventos y debilidades de seguridad de la

información asociados con los sistemas de información se
comunican de una manera que permite que se tomen acciones
correctivas oportunas.
A.13.1.1 Reporte de eventos Control El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad,
de seguridad de la Los eventos de seguridad de la establece los mecanísmos de comunicación de los eventos.
información información se deben reportar a través
de los canales de gestión apropiados,
lo más rápidamente posible.
A.13.1.2 Reporte de las Control El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad,
debilidades de seguridad Todos los empleados, contratistas y establece que todos los funcionarios deben reportar las o conformidades potenciales o eventos de
usuarios por tercera parte, de seguridad.
sistemas y servicios de información,
deben observar y reportar cualquier
debilidad en la seguridad de sistemas
o servicios, observada o que se
sospeche.
A.13.2 Gestión de incidentes y mejoras en la seguridad de la COMO

información
Objetivo: asegurar que se aplica un método consistente y eficaz a la
gestión de los incidentes de seguridad de la información.
A.13.2.1 Responsabilidades y Control El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad que
procedimientos establece como se deben atender los incidentes y las responsabilidades de quienes participan.
1. OBJETIVO
CONVENCIONES
A.13.2.1
Tabla A.1Responsabilidades y y controles
Objetivos de control El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad que
procedimientos Se deben establecer establece como se deben atender los incidentes y las responsabilidades de quienes participan.
responsabilidades y procedimientos
de gestión para asegurar una
respuesta rápida, eficaz y metódica a
los incidentes de seguridad de la
información.
A.13.2.2 Aprendizaje de los Control La Organización cuenta con el Procedimiento Acciones Correctivas, Preventivas y Gestión de
incidentes de seguridad de la Se deben implementar mecanismos Incidentes
información para posibilitar que los tipos,
volúmenes y costos de los incidentes
de seguridad de la información sean
cuantificados y se les haga
seguimiento.
A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA COMO

INFORMACIÓN
A.13.2.3 Recolección de Control El Procedimiento Acciones Correctivas, Preventivas y Gestión de Incidentes de Seguridad,
evidencia establece como se deben manejar las evidencias para aquellos procesos que lo requieran.
En donde una acción de seguimiento
contra una persona u organización
después de un incidente de seguridad
de la información involucra acciones
legales (ya sea civiles o penales), la
evidencia se debe recolectar, retener y
presentar para cumplir con las reglas
para evidencia establecidas en la
jurisdicción pertinente.
A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

A.14.1 Aspectos de seguridad de la información, de la gestión de la
Objetivo: contrarrestar las interrupciones en las actividades del

negocio y proteger sus procesos críticos contra los efectos de
fallas o desastres de gran magnitud en los sistemas de información,
y asegurar su reanudación oportuna.
A.14.1.1 Incluir la seguridad Control Se gestiona a través del Procedimiento Gestión Plan Recuperación ante Desastre de Tecnología
de la información en el Se debe desarrollar y mantener un (DRP), relacionado tambien con los planes de emergencia institucionales, brigadas de emergencia y
proceso de gestión de la proceso gestionado para la comité paritario de salud ocupacional que permiten proteger las personas y los activos de
continuidad del negocio continuidad del negocio en toda la información importantes que esten bajo su custodia, que se aplica una vez se haya activado el
organización, que aborde los procedimiento de acciones preventivas, correctivas y de gestión de incidentes de la Entidad.
requisitos de seguridad de la
información necesarios para la
continuidad del negocio de la
organización.
A.14.1.2 Valoración de la Control La Entidad ha definido la Guía Plan de Recuperación ante Desastres, la cual ha sido aplicado a
continuidad del negocio y del Se deben identificar los eventos que todos los procesos. También se aplica evaluacion de riesgos cuando hay planeacion de cambios al
riesgo pueden causar interrupciones en los Sistema de Gestión Integrado, Cambios al ambiente productivo de la plataforma tecnológica, dentro
procesos del negocio, junto con la de la metodologia de la construcción del plan de recuperacion ante desastres de tecnologia, el
probabilidad e impacto de estas comité paritario de salud ocupacional COPASO, dentro de los procesos de contratacion o convenios
interrupciones y sus consecuencias interadministrativos. Todos estos alineados con la Politica de Gestion Integral soportado en el
para la seguridad de la información. Manual de Gestión Integral.
A.14.1.3 Desarrollo e Control La Entidad ha desarrollado e implementado planes de continuidad de prestación de los servicios en
implementación de planes de Se deben desarrollar e implementar cada uno de los procesos, se ha incorporado protección al Recurso Humano dentro del proceso de
continuidad que incluyen planes para mantener o restaurar las Gestion de Talento Humano coordinado por el Comité Paritario de Salud Ocupacional (COPASO)
seguridad de la información operaciones y asegurar la que involucra Brigadas de Emergencia, también se cuenta con el procedimiento de acciones
disponibilidad de información al nivel preventivas y correctivas y de gestión de incidentes de seguridad que aplica la Guía Plan de
requerido y en las escalas de tiempo Recuperacion ante Desastres de Tecnologia cuando sea requerido.
requeridas después de la interrupción
o falla de los procesos críticos del
negocio.
A.14.1.4 Estructura de Control La entidad cuenta con un comite de emergencias que es un organismo de dirección y determinación
planeación de la continuidad de las políticas, directrices y procedimientos a seguir en caso de emergencias o siniestros que
del negocio puedan amenazar la integridad de los empleados, visitantes y usuarios, ocasionar daños en el
ambiente, instalaciones y equipos o interrumpir las actividades normales y servicios de la entidad.
Este comité es el responsable por el manejo integral de la respuesta a una situación de emergencia
o incidente que afecte las instalaciones de la entidad, integrado por el representante del Comité
Paritario de Salud Ocupacional (COPASO). Además se aplica tambien el Procedimiento de
Acciones Preventivas, Correctivas y de Gestión de Incidentes que activa la guía Plan de
Recuperacion ante Desastres de Tecnologia cuando es requerido.
1. OBJETIVO
CONVENCIONES
A.14.1.4 Estructura
Tabla A.1 Objetivos de y controles
de control La entidad cuenta con un comite de emergencias que es un organismo de dirección y determinación
planeación de la continuidad Se debe mantener una sola estructura de las políticas, directrices y procedimientos a seguir en caso de emergencias o siniestros que
del negocio de los planes de continuidad del puedan amenazar la integridad de los empleados, visitantes y usuarios, ocasionar daños en el
negocio para asegurar que todos los ambiente, instalaciones y equipos o interrumpir las actividades normales y servicios de la entidad.
planes sean consistentes, abordar en Este comité es el responsable por el manejo integral de la respuesta a una situación de emergencia
forma consistente los requisitos de o incidente que afecte las instalaciones de la entidad, integrado por el representante del Comité
seguridad de la información, e Paritario de Salud Ocupacional (COPASO). Además se aplica tambien el Procedimiento de
identificar prioridades para ensayo y Acciones Preventivas, Correctivas y de Gestión de Incidentes que activa la guía Plan de
mantenimiento. Recuperacion ante Desastres de Tecnologia cuando es requerido.
A.14.1.5 Ensayo, Control Las pruebas de emergencias del personal estan soportados por el plan de acción de salud
mantenimiento y re-valoración Los planes de continuidad del negocio ocupacional del Proceso de Talento Humano, en cuanto a las pruebas de infraestructura dentro del
de los planes de continuidad se deben poner a prueba y actualizar plan de Sostenimiento del Sistema de Gestion Integrado, se encuentran programadas las pruebas
del negocio regularmente para asegurar que estén de acuerdo a la Guía Plan de Recuperacion ante Desastres de tecnología y se gestiona por el
actualizados y sean eficaces. Procedimiento Gestión del Plan de Rrecuperación ante Desastres de tecnologia.
A.15 CUMPLIMIENTO
15.1. COMO
Objetivo: evitar incumplimiento de cualquier ley, obligación
estatutaria, reglamentaria o contractual, y de cualquier requisito de
seguridad.
A.15.1.1 Identificación de la Control Dentro de la Caracterización de cada uno de los procesos de la Entidad se ha definido el
legislación aplicable. Todos los requisitos estatutarios, normograma donde se detalla la legislación aplicable a cada uno de ellos, alineados con la Politica
reglamentarios y contractuales de Gestión Integral cumpliendo con la normatividad vigente.
pertinentes y el enfoque de la
organización para cumplirlos, se
deben definir y documentar
explícitamente, y mantenerlos
actualizados para cada sistema de
información y para la organización.
A.15.1.2 Derechos de Control La Organización cuenta con el Codigo de Buen Gobierno, politicas antipirateria, CIRCULAR
propiedad intelectual (DPI). Se deben implementar procedimientos INTERNA No. 05 24 de febrero de 2000 y la ley de derechos de autor ley 23 de 1982, se revisa
apropiados para asegurar el permanentemente la Guía de Administración de la Plataforma Tecnológica.
cumplimiento de los requisitos
legislativos, reglamentarios y
contractuales sobre el uso de material
con respecto al cual puede haber
derechos de propiedad intelectual, y
sobre el uso de productos de software
patentados.
A.1.5.1.3 Protección de los Control El Procedimiento de Control de Documentos y Registros de la Entidad establece como se deben
registros de la organización. Los registros importantes se deben proteger los documento. Se aplica también el procedimiento de la Guía de Archivo, que respalda la
proteger contra pérdida, destrucción y información del Sistema de Información Documental mediante el procedimiento de respaldo y
falsificación, de acuerdo con los recuperación de la información.
requisitos estatutarios, reglamentarios,
contractuales y del negocio.
A.15.1.4 Protección de los Control El Procedimiento: Selección, Capacitación, Evaluación y Desvinculación de Personal, esta alineado
datos y privacidad de la Se debe asegurar la protección y con la normatividad vigente para la proteccion de la información personal de los funcionarios. El
información personal. privacidad de los datos, como se exige acceso a información personal de funcionarios o terceros esta delimitada por la Guía de Gestión de
en la legislación, reglamentaciones, y Usuarios de la Plataforma Tecnológica para los servicios y sistemas de información, dependiendo de
si es aplicable, cláusulas contractuales los roles y autorizaciones correspondientes, siempre alineado a la normatividad vigente.
pertinentes.
A.15.1.5 Prevención del uso Control La Entidad cuenta con el Procedimiento Selección, Permanencia y desvinculacion de personal
inadecuado de las Se debe impedir que los usuarios firmando el Acuerdo de Confidencialidad y buen uso de los activos de información.
instalaciones de usen las instalaciones de
procesamiento de la procesamiento de la información para
información. propósitos no autorizados.
A.15.1.6 Reglamentación de Control Los procesos de intercambio de información que requieran garantizar la identificación plena de los
los controles criptográficos. usuarios, así como la integridad y confidencialidad de la información que se utilizan, están
soportados por un convenio interadministrativo con la entidad que lo requiera aplicando la
normativiadad vigente.

información por Internet. De acuerdo con la normatividad vigente para las entidades de certificación,
y según La Politica de Gestion Integral soportada en el Manual de Gestion Integrado numeral 10.5.
1. OBJETIVO
CONVENCIONES
A.15.1.6
Tabla A.1Reglamentación de
Objetivos de control y controles Los procesos de intercambio de información que requieran garantizar la identificación plena de los
los controles criptográficos. Se deben usar controles criptográficos usuarios, así como la integridad y confidencialidad de la información que se utilizan, están
de conformidad con todos los soportados por un convenio interadministrativo con la entidad que lo requiera aplicando la
acuerdos, leyes y reglamentaciones normativiadad vigente.
pertinentes.
información por Internet. De acuerdo con la normatividad vigente para las entidades de certificación,
y según La Politica de Gestion Integral soportada en el Manual de Gestion Integrado numeral 10.5.
A.15.2 Cumplimiento de políticas y normas de seguridad y COMO

cumplimiento técnico
Objetivo: asegurar el cumplimiento de los sistemas con las políticas

y normas de seguridad Organizaciónales.
A.15.2.1 Cumplimiento de las Control El procedimiento de Selección, Permanencia y Desvinculacion de Personal de la Entidad, establece
políticas y normas de Los gerentes deben asegurar que el cumplimiento de las actividades descritas en el Manual de Funciones de la Entidad, evaluaciones
seguridad. todos los procedimientos de seguridad de desmpeño periódico y cualquier contraversión son evaluadas siguiendo la Ley 734 del 2002
dentro de su área de responsabilidad Código Unico Disciplinario.
se realicen correctamente para lograr
el cumplimiento de las políticas y
normas de seguridad.
A.15.2.2 Verificación del Control La Guía de Administración de la Infraestructura Tecnológica establece la periodicidad de la
cumplimiento técnico. Se debe verificar regularmente el aplicación de análisis de vulnerabilidades y aseguramiento de la Plataforma tecnológica. Además se
cumplimiento de las normas de realiza comprobación del cumplimiento Auditoria Interna o a través de alguno de los entes de control
implementación de seguridad. al proceso de gestión de infraestructura.
A.15 CUMPLIMIENTO COMO

A.15.3 Consideraciones de la auditoría de sistemas de información
Objetivo: maximizar la eficacia del proceso de auditoría de sistemas

de información y minimizar la interferencia desde y hacia éste.
A.15.3.1 Controles de Control La Guía de Administración de la Infraestructura Tecnológica establece la periodicidad de la

auditoría de sistemas de Los requisitos y las actividades de aplicación de análisis de vulnerabilidades y aseguramiento de la Plataforma tecnológica.
información. auditoría que involucran verificaciones
sobre sistemas operacionales se
deben planificar y acordar
cuidadosamente para minimizar el
riesgo de interrupciones en los
procesos del negocio.
A.15.3.2 Protección de las Control De acuerdo con el Procedimiento de Implementación de los sistemas de Información, los registros
herramientas de auditoría de Se debe proteger el acceso a las de auditoria son almacenadas en las bases de datos correspondientes dejando registro de las
sistemas de información. herramientas de auditoría del sistema acciones de los administradores y usuarios; éstos son respaldados por el Procedimiento de
de información, para evitar que se Respaldo y Recuperación de la Información.
pongan en peligro o que se haga un
uso inadecuado de ellas. Adicionalmente, según el Procedimiento de Adminsitración de la Plataforma Tecnológica, solo es
instalado el software ques autorizado por la Direccion de Informática y Desarrollo y se gestiona con
el Directorio Activo para que los usuarios no descarguen software no autorizado que pueda afectar
la información de las auditorias de los sistemas de información y aplicar pruebas de vulnerabilidades
no planificadas.
Declaració
Versión 1.0
Numeral Dominio o descripción
A.5 Politicas de seguridad Aplica
A.5.1.1 Documento de la política de seguridad de la información. Si
A.5.1.2 Revisión de la política de seguridad de la información. Si
Organización de la seguridad de la
A.6
Información
A.6.1.1 Compromiso de la dirección con la seguridad de la información Si
A.6.1.2 Coordinación de la seguridad de la información. Si

Asignación de responsabilidades para la seguridad de la
A.6.1.3 Si
información.
Procesos de autorización para los servicios de procesamiento de
A.6.1.4 Si
información.
A.6.1.5 Acuerdos sobre confidencialidad Si
A.6.1.6 Contacto con las autoridades Si
A.6.1.7 Contacto con grupos de interés especiales Si
A.6.1.8 Revisión independiente de la seguridad de la información Si
A.6.2.1 Identificación de los riesgos relacionados con las partes externas Si
A.6.2.2 Consideraciones de la seguridad cuando se trata con los clientes Si
A.6.2.3 Consideraciones de la seguridad en los acuerdos con terceras partes Si
A.7 Gestión de activos Si
A.7.1.1 Inventario de activos Si

A.7.1.2 Propiedad de los activos Si
A.7.1.3 Uso aceptable de los activos Si
A.7.2.1 Directrices de clasificación Si
A.7.2.2 Etiquetado y manejo de información Si

A.8 Seguridad de los recursos humanos Si
A.8.1.1 Roles y responsabilidades Si
A.8.1.2 Selección Si
A.8.1.3 Términos y condiciones laborales Si
A.8.2.1 Responsabilidades de la dirección Si
Educación, formación y concientización sobre la seguridad de la

A.8.2.2 Si
información
A.8.2.3 Proceso disciplinario Si
A.8.3.1 Responsabilidades en la terminación Si
A.8.3.2 Devolución de activos Si
A.8.3.3 Retiro de los derechos de acceso Si

A.9 Seguridad física y ambiental Si
A.9.1.1 Perímetro de seguridad física Si
A.9.1.2 Controles de acceso físico Si
A.9.1.3 Seguridad de oficinas, recintos e instalaciones Si
A.9.1.4 Protección contra amenazas externas y ambientales Si
A.9.1.5 Trabajo en áreas seguras Si
A.9.1.6 Áreas de carga, despacho y acceso público Si
A.9.2.1 Ubicación y protección de los equipos Si
A.9.2.2 Servicios de suministro Si
A.9.2.3 Seguridad del cableado Si
A.9.2.4 Mantenimiento de los equipos Si
A.9.2.5 Seguridad de los equipos fuera de las instalaciones Si
A.9.2.6 Seguridad en la reutilización o eliminación de los equipos Si
A.9.2.7 Retiro de activos Si

A.10 Gestión de las comunicacione y operaciones Si
A.10.1.1 Documentación de los procedimientos de operación Si
A.10.1.2 Gestión del cambio Si
A.10.1.3 Distribución de funciones Si
A.10.1.4 Separación de las instalaciones de desarrollo, ensayo y operación Si
A.10.2.1 Prestación del servicio Si
A.10.2.2 Monitoreo y revisión de los servicios por terceras partes Si
A.10.2.3 Gestión de los cambios en servicios por terceras partes Si
A.10.3.1 Gestión de la capacidad Si
A.10.3.2 Aceptación del sistema Si

A.10.4.1 Controles contra códigos maliciosos Si
A.10.4.2 Controles contra códigos móviles Si
A.10.5.1 Respaldo de la información Si
A.10.6.1 Controles de las redes Si
A.10.6.2 Seguridad de los servicios de la red Si
A.10.7.1 Gestión de los medios removibles Si
A.10.7.2 Eliminación de los medios Si
A.10.7.3 Procedimientos para el manejo de la información Si
A.10.7.4 Seguridad de la documentación del sistema Si
A.10.8.1 Políticas y procedimientos para el intercambio de la información Si
A.10.8.2 Acuerdos para el intercambio Si
A.10.8.3 Medios físicos en tránsito Si
A.10.8.4 Mensajería electrónica Si
A.10.8.5 Sistemas de información del negocio Si
A.10.9.1 Comercio electrónico Si
A.10.9.2 Transacciones en línea Si

A.10.9.3 Información disponible al público Si
A.10.10.1 Registro de auditorías Si

A.10.10.2 Monitoreo del uso del sistema Si
A.10.10.3 Protección de la información del registro Si
A.10.10.4 Registros del administrador y del operador Si
A.10.10.5 Registro de fallas Si
A.10.10.6 Sincronización de relojes Si

A.11 Control de acceso Si
A.11.1.1 Política de control de acceso Si
A.11.2.1 Registro de usuarios Si
A.11.2.2 Gestión de privilegios Si
A.11.2.3 Gestión de contraseñas para usuario Si
A.11.2.4 Revisión de los derechos de acceso de los usuarios Si
A.11.3.1 Uso de contraseñas Si
A.11.3.2 Equipo de usuario desatendido Si

A.11.3.3 Política de escritorio despejado y de pantalla despejada Si
A.11.4.1 Política de uso de los servicios de red Si
A.11.4.2 Autenticación de usuarios para conexiones externas Si
A.11.4.3 Identificación de los equipos en las redes Si
A.11.4.4 Protección de los puertos de configuración y diagnóstico remoto Si
A.11.4.5 Separación en las redes Si
A.11.4.6 Control de conexión a las redes Si
A.11.4.7 Control de enrutamiento en la red Si
A.11.5.1 Procedimientos de ingreso seguro Si
A.11.5.2 Identificación y autenticación de usuarios Si

A.11.5.3 Sistema de gestión de contraseñas Si
A.11.5.4 Uso de las utilidades del sistema Si
A.11.5.5 Tiempo de inactividad de la sesión Si
A.11.5.6 Limitación del tiempo de conexión Si
A.11.6.1 Restricción de acceso a la información Si
A.11.6.2 Aislamiento de sistemas sensibles Si
A.11.7.1 Computación y comunicaciones móviles Si
A.11.7.2 Trabajo remoto Si
Adquisición, desarrollo y mantenimiento de los sistemas de

A.12 Si
información
A.12.1.1 Análisis y especificación de los requisitos de seguridad Si
A.12.2.1 Validación de los datos de entrada Si
A.12.2.2 Control de procesamiento interno Si
A.12.2.3 Integridad del mensaje Si
A.12.2.4 Validación de los datos de salida Si
A.12.3.1 Política sobre el uso de controles criptográficos Si
A.12.3.2 Gestión de llaves Si
A.12.4.1 Control del software operativo Si
A.12.4.2 Protección de los datos de prueba del sistema Si
A.12.4.3 Control de acceso al código fuente de los programas Si

A.12.5.1 Procedimientos de control de cambios Si
Revisión técnica de las aplicaciones después de los cambios en el

A.12.5.2 Si
sIstema operativo
A.12.5.3 Restricciones en los cambios a los paquetes de software Si
A.12.5.4 Fuga de información Si
A.12.5.5 Desarrollo de software contratado externamente Si
A.12.6.1 Control de vulnerabilidades técnicas Si
A.13 Gestión de incidentes de seguridad de la información Si
A.13.1.1 Reporte sobre los eventos de seguridad de la información Si
A.13.1.2 Reportes sobre las debilidades de la seguridad Si
A.13.2.1 Responsabilidades y procedimientos Si
A.13.2.2 Aprendizaje debido a los incidentes de seguridad de la información Si
A.13.2.3 Recolección de evidencia Si
A.14 Gestión de la continuidad del negocio Si

Inclusión de la seguridad de la inf. En el proceso de gestión de la
A.14.1.1 Si
A.14.1.2 Continuidad del negocio y evaluación de riesgos Si
Desarrollo e implementación de planes de continuidad que incluyen

A.14.1.3 Si
la seguridad de la inf.
A.14.1.4 Estructura para la planificación de la continuidad del negocio Si
Pruebas, mantenimiento y reevaluación de los planes de

A.14.1.5 Si
A.15 Cumplimiento Si
A.15.1.1 Identificación de legislación aplicable Si
A.15.1.2 Derechos de propiedad intelectual (DPI) Si
A.15.1.3 Protección de los registros de la organización Si
A.15.1.4 Protección de los datos y privacidad de la información personal Si
Prevención del uso inadecuado de los servicios de procesamiento de

A.15.1.5 Si
información
A.15.1.6 Reglamentación de los controles criptográficos Si
A.15.2.1 Cumplimiento con las políticas y normas de seguridad Si
A.15.2.2 Verificación del cumplimiento técnico Si
A.15.3.1 Controles de auditoría de los sistemas de información Si
Protección de las herramientas de auditoría de los sistemas de

A.15.3.2 Si
información
Declaración de aplicabilidad
Versión 1.0 de Marzo de 2014
Aplica
Tiene una aplicabilidad global en todo el SGSI

De manera periódica se debe realizar la revisión y documentar las acciones de
mejora
Es fundamental, dado que tienen la responsabilidad de aprobar el SGSI como

última instancia.
Debe haber un área que lidere la implementación del SGSI
A las áreas deben asociarse las respondabilidades frente al SGSI.
Todo sistema informático debe contar con procedimientos de aceptación de los

sistemas antes de su funcionamiento.
La información es fundamental su protección ante develado
Las reacciones a tiempo frente a incidentes, permite la reducción de riesgos

Es necesario mantener informado sobre los acontecimientos en seguridad, con
ello, poder retroalimentar el SGSI y los incidentes de seguridad
Las auditorias externas hacen más fuerte y transparente el proceso de
implementación del SGSI
Toda organización posee terceras partes que ayudan al objeto comercial, es
imprecindible conocer sobre los riesgos
Dado que es una empresa de telecomunicaciones, es fundamental dar valores
agregados y confianza al cliente, por ello se debe fortalecer la confianza en el
cliente
Toda organización posee terceras partes que ayudan al objeto comercial, es
imprecindible conocer sobre los riesgos, así, incluir los temas de seguridad en
los contratos
Para una adecuada gestión de riesgos y tratamiento de estos, es necesario

conocer los activos de información acorde al alcance.
Cada activo de información debe tener un responsable
La información debe protegerse acorde a su criticidad, por ello es necesario
clasificarla
La información debe protegerse acorde a su criticidad, por ello es necesario
clasificarla
A las áreas deben asociarse las responsabilidades frente al SGSI.
Desde los procesos iniciales de ingreso del personal, se debe establecer
parámetros de seguridad
La información es fundamental su protección ante develado
Ser competitivos es de gran importancia para la implementación y

mantenimiento del SGSI, esto implica tener planes de capacitación frente a los
temas de seguridad
El control es fundamental en cualquier organizaci´no, las faltas de los empleados
deben ser investigadas y sancionadas
A las áreas deben asociarse las responsabilidades frente al SGSI, dentro de
éstas, la devolución de activos y accesos que le fueron asignados.
A las áreas deben asociarse las responsabilidades frente al SGSI, dentro de
éstas, la devolución de activos y accesos que le fueron asignados.
Los sistemas de cómputo, los recursos y la personas deben estar

adecuadamente protegidas contra amenazas físicas y ambientales
Todos los procedimientos operativos deben estar documentados.

Se debe controlar de manera adecuada los cambios en plataformas y sistemas
de información, de modo que se reduzcan lo errores operativos




Se debe controlar de manera adecuada los códigos maliciosos.
Se debe controlar de manera adecuada los códigos maliciosos.
Ante eventos de seguridad, es necesario contrar con backup que permitan la
recuperación de la información.
El control de acceso a las redes debe permitir la reducción de los riesgos

Se debe tener control y planes de sensiblización con respecto a los medios
removibles
removibles
Tanto la clasificación como los planes de sensibilización fortalecen la reducción
de riesgos sobre el inadecuado manejo de la información.


removibles
Las áreas hacen uso de la mensajería y aplicaciones de transacciones (online)
como una herramienta de trabajo, por ello se debe proteger


Los logs y registros deben estar configurados y protegidos para validaciones,
monitoreso y manejo de incidentes de seguridad
Los sistemas deben ser monitoreados de manera permanente.
El tiempo es fundamental en los sistemas y más aún en las aplicaciones de
tiempo real Online).
Tiene una aplicabilidad global en todo el SGSI

Todos los usuarios y sistemas deben identificarse, autenticarse y autorizarse
acorde a los accesos permitidos.
La información sensible debe estar coherentemente resguardada




Los sistemas sensibles deben tener un nivel de seguridad mas alto.
La movilidad es fundamental en las organizaciones de hoy y por ello, se deben
proteger
Los desarrollos y mantenimiento de sistemas de información son un foco de

vulnerabilidades, por ello se les debe dar máxima prioridad en la protección, más
aún, cuando son sitios web Online
Para tener un control de los riesgos en los sistemas, es fundamental conocer de
manera técnica qué tipo de vulnerabilidades se tienen, tanto en las redes, como
en los SI y las aplicaciones.
Parte fundamental de la gestión de riesgos es las fuentes de incidentes de

seguridad y la gestión sobre éstos, por ello se deben reportar adecuadamente




La recuperación ante desastres y los planes de contingencia son fundamentales

y dentro de estos, es necesario asegurar la información
Es necesario conocer las reglamentaciones a nivel Colombia que aplican para el
sector de las telecomunicaciones y sistemas informáticos.

sector de las telecomunicaciones
Tanto los log, registros así como las herramientas de auditoría y monitorea
deben ser protegidas contra accesos no autorizados.
sector de las telecomunicaciones
Se deben implementar controles persuasivos y disuasivos en los sistemas y
plataformas.

sector de las telecomunicaciones y sistemas informáticos.
Es fundamental tener planes de auditoria, que validen y ajusten los objetivos del
SGSI
Es fundamental tener planes de auditoria, que validen y ajusten los objetivos del
SGSI
Los log y registros del sistema son fundamentales para el monitoreo y control de
la seguridad, así como para investigaciones
Tanto los log, registros así como las herramientas de auditoría y monitorea
deben ser protegidas contra accesos no autorizados.
Evidencia o registro de implementación
Documento de política firmado por la alta dirección
Actas de revisión periódica
Actas de comité
Equipo de trabajo conformado

Documento con la inclusión de las responsabilidades o en los cargos o
en los procesos.
Actas de aceptación de los sistemas
Claúsulas contractuales, modelos de contratos con las claúsulas de

confidencialidad.
Listado y procedimiento de cómo contactar a las autoridades policiales y
de control
Inscripcion a grupos de interés en seguridad de la información, tales
como: ACIS, LACNIC-Amparo, segu-info, Inteco
Contrato anual con revisores/auditoria externa
Mapa de riesgos de terceras partes
Procedimientos y manuales de seguridad como recomendaciones hacia

el clientes.

confidencialidad.
Listado con activos de información
Listado con activos de información con responsable
Documento con los niveles de clasificación

Documento con los niveles de clasificación y procedimiento para
etiqueteado
en los procesos.
Inlcusión de elementos de seguridad sobre los procesos de selección de
personal
confidencialidad.
en los procesos.
Plan de capacitación o registros de participación.
Inlcusión de elementos de seguridad sobre los procesos de selección de

personal
en los procesos.
Procedimiento para el retiro de puesto de trabajo y equipos informáticos.
Procedimiento para el retiro de puesto de trabajo y equipos informáticos.
Implementación de medidas físicas y procedimentales.

Implementación de medidas físicas y procedimentales. Tener contacto
con las autoridades.
Implementación de medidas físicas y procedimentales. Tener contacto
con las autoridades.
Implementación de medidas físicas y procedimentales. Control de
acceso físico en las áreas de carga
Los equipos de misión crítica deben ser protegidos en centros de datos.
Procedimientos y control de suminsitros electricos y utilitarios

Procedimiento de control de acceso a centro de datos y centros de
cableados
Ejecución de contratos sobre equipos informáticos incluyendo
mantenimientos preventivos y de soporte.
Ejecución de contratos sobre equipos informáticos incluyendo polízas y
seguros.
Procedimientos de borrado seguro de información sin recuperación
procedimientos paa el ingreo y retiro de equipos tecnológicos a las
instalaciones
Documentos y manuales de operación
Procesos y procedimientos para la gestión del cambio.

Documento con la inclusión de las responsabilidades, funciones o en los
cargos o en los procesos, los cuales debe estar segregados en la
ejecución de actividades
Documento de arquitectura para la segmentación de las redes y los
ambientes de procesamiento, que incluya gestión de la capacidad y
expansión de la red
ambientes de procesamiento.
Procesos y procedimientos de monitoreo de funciones ejecutadas
Procesos y procedimientos de monitoreo de funciones ejecutadas

Instalación de códigos maliciosos: anti-x

Instalación de códigos maliciosos: anti-x
procedimientos para el respaldo de la información.

Procedimientos para el control de acceso (creación, bloqueo,
modificación, aprovisionamiento).
Procedimientos y políticas en la red para el uso de medios removibles
Procedimientos de borrado seguro de información sin recuperación

Documento con niveles de clasificación y ejecución de planes de
sensibilización.
Procedimientos y herramientas técnicas para la protección de la
documentación.
Documento con niveles de clasificación, ejecución de planes de
sensibilización y procedimientos para el intercambio de información.
Documento con niveles de clasificación, ejecución de planes de
sensibilización y procedimientos para el intercambio de información.
herramientas técnicas para la protección de la documentación
Procedimientos y políticas en la red para el uso de medios removibles

procedimientos para el control de acceso sobre la mensajería,
criptografía e implementación de sistemas Anti-X
criptografía e implementación de sistemas Anti-X
criptografía e implementación de sistemas Anti-X. Se deben desarrollar
pruebas de seguridad para todas las pasalelas de pago.
criptografía e implementación de sistemas Anti-X. Se deben desarrollar
pruebas de seguridad para todas las pasalelas de pago.
Procedimientos de clasificación de información y aplicarlos antes de
publicar.
procedimiento con las recomendaciones de configuración de logs y
registros de auditorias, así como la protección de estos.
Procedimientos de monitoreo
procedimiento para la configuración de NTP.
Documento de política firmado por la alta dirección

Procedimiento para el registro de usuarios/equipos y privilegios en
general
Procedimiento para el registro de usuarios//equipos y privilegios en
general
general, incluyendo parámetros de contraseñas
Procedimientos para la revisión periódica de accesos.
Control de sesiones en equipos.
Planes de sensibilización sobre la protección de la información

Definiciones de como proteger los canales de comunicacion (VPN)
general, incluyendo parámetros de sesiones
Procedimiento para la separación de redes y ambientes de
procesamiento.
Procedimientos para la protección de equipos móviles.

Definiciones de como proteger los canales de comunicacion (VPN)
Documento con los requisitos mínimos de seguridad para el desarrollo

de aplicaciones (línea base) que incluya éste numeral.











Planes de sensibilización sobre la protección de la información, controles

criptográficos

Documento de planeación y diseño de las pruebas de seguridad

periódicas a realizar.
Herramienta para la documentación de Incidentes de seguridad
Herramienta para la documentación de Incidentes de seguridad
Documento de políticas de seguridad, documento con las

responsabilidades de las áreas frente a los incidentes de seguridad.
Herramienta para la documentación de Incidentes de seguridad y

evidencia de la gestión del conocimiento
Procedimientos para la identificación, recolección, embalaje y

tratamiento de la evidencia digital.
Documento y procedimiento para la continuidad de negocio

Documento con las normas/leyes que aplican al SGSI
Procedimiento de control de acceso sobre sistemas de información y

aplicaciones
Documento con los planes de cultura y sensibilización, procedimientos

de configuración de los sistemas.
Documento con la planeación de auditorias anuales, incluyendo

auditorias técnicas.
Documento con la planeación de auditorias anuales, incluyendo
auditorias técnicas.
Documento con las especificaciones de controles de auditoria a activar
Procedimiento de control de acceso sobre sistemas de información y

aplicaciones

SOA Declaracion Aplicabilidad-Tratamiento

Cargado por

Copyright:

Formatos disponibles

SOA Declaracion Aplicabilidad-Tratamiento

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SOA Declaracion Aplicabilidad-Tratamiento

Cargado por

Copyright:

Formatos disponibles

Caso de estudio –Clínica dental “SUPER MUELA”

El personal de la clínica de la oficina “sur” está formado por:

El personal de la clínica de la oficina “sur” está formado por:

6 Organización de la Seguridad de la Información

6.2 Grupos o personas externas

7.2 Clasificación de la información

8 Seguridad de Recursos Humanos

8.2 Durante el empleo

9 Seguridad Física y Ambiental

10 Gestión de las comunicaciones y operaciones

10.2 Gestión de la entrega del servicio de terceros

10.3 Planeación y aceptación del sistema

10.4 Protección contra el código malicioso y móvil

10.5 Respaldo o Back-Up

10.7 Gestión de medios

10.8 Intercambio de información

10. 9 Servicios de comercio electrónico

11.2 Gestión de acceso del usuario

11.3 Responsabilidades del usuario

11.4 Control de acceso a la red

11.5 Control del acceso al sistema operativo

11.6 Control de acceso a la aplicación y la información

11.7 Computación y tele-trabajo móvil

12 Adquisición, desarrollo y mantenimiento de los sistemas de información

12.2 Procesamiento correcto en las aplicaciones

12.3 Controles criptográficos

12.5 Seguridad en los procesos de desarrollo y soporte

12.6 Gestión de la Vulnerabilidad Técnica

13 Gestión de un incidente en la seguridad de la información

13.2 Gestión de los incidentes y mejoras en la seguridad de la

14 Gestión de la continuidad del negocio

15.2 Cumplimiento de las políticas y estándares de seguridad, y

5.1.1 Documento de la política de seguridad de la información

6.1.1 Compromiso de la gerencia con la seguridad de la información

6.2.1 Identificación de los riesgos relacionados con los grupos externos

7.1.1 Inventario de los activos

7.2.1 Lineamientos de clasificación

8.1.1 Roles y responsabilidades

8.2.1 Responsabilidades de la gerencia

8.2.3 Proceso disciplinario

9.1.1 Perímetro de seguridad física

9.2.1 Ubicación y protección del equipo

10.1.1 Procedimientos de operación documentados

10.2.1 Entrega del servicio

10.3.1 Gestión de la capacidad

10.4.1 Controles contra códigos maliciosos

10.6.1 Controles de redes

10.7.1 Gestión de medios removibles

10.8.1 Políticas y procedimientos de intercambio de información

10.9.1 Comercio electrónico

10.10.1 Registro de auditoría

11.1.1 Política de control del acceso

11.2.1 Registro del usuario

11.3.1 Uso de claves secretas

11.4.1 Política sobre el uso de los servicios de la red

11.5.1 Procedimientos para un registro seguro

11.6.1 Restricción del acceso a la información

11.7.1 Computación y comunicaciones móviles

12.1.1 Análisis y especificación de los requerimientos de seguridad