ISO 27002

Descripción Recomendaciones
Controles

POLITICAS DE
5. SEGURIDAD.

Directrices de la
Dirección en seguridad
5.1 de la información.
Conjunto de políticas para Se sugiere definir en conjunto de las políticas de seguridad de la información de acuerdo a las necesidades
5.1.1 la seguridad de la identificadas en el análisis de riesgos, aprobada por la dirección, publicada y comunicada a los colaboradores y
información. partes externas pertinentes.

Revisión de las políticas

Se sugiere revisar de forma periódica las políticas de seguridad de la información para mantenerlas actualizadas, o
5.1.2 para la seguridad de la
si ocurren cambios significativos, asegurar su conveniencia, adecuación y eficacia continuas.
información.
ASPECTOS
ORGANIZATIVOS DE LA
SEGURIDAD DE LA
6. INFORMACION.

6.1 Organización interna.

Asignación de
responsabilidades para la se sugiere mantener una organización de seguridad, donde los roles y responsabilidades estén definidas y
6.1.1
seguridad de la asignadas a los participantes en el modelo de seguridad establecido por la Organización.
información.
los deberes y áreas de responsabilidad en conflicto se sugieren separar para reducir las posibilidades de
6.1.2 Segregación de tareas. modificación no autorizada o no intencional de la información de la Organización, o el uso indebido de los activos de
la organización.

Contacto con las se sugieren mantener los contactos apropiados con las autoridades pertinentes, que pueden apoyar a solucionar
6.1.3
autoridades. conflictos en cuanto a la seguridad de la información de la Organización.

Contacto con grupos de para la organización siempre sugiere ser conveniente mantener contactos apropiados con grupos de interés especial
6.1.4
interés especial. u otros foros y asociaciones profesionales especializadas en seguridad.
 Seguridad de la durante la planeación y ejecución de los proyectos de la Organización, además de las áreas interesadas, sugiere
6.1.5 información en la gestión participar el área de Seguridad de la Información como generador de recomendaciones en la evaluación de los
de proyectos. riesgos inherentes con dichos proyectos.

Dispositivos para
6.2
movilidad y teletrabajo.

el uso de dispositivos móviles, tales como PDAs, smartphones, celulares u otros dispositivos electrónicos sobre los
Política de uso de
que se puedan realizar intercambios de información con cualquier recurso de la Organización, sugiere estar
6.2.1 dispositivos para
autorizado de forma explícita por la dependencia respectiva, en conjunto con la Gerencia de Seguridad de la
movilidad.
Información y podrá llevarse a cabo sólo en dispositivos provistos por la organización para tal fin.

se sugiere proteger la información a la que se tiene acceso, que es procesada o almacenada en lugares en los que
6.2.2 Teletrabajo.
se realiza teletrabajo.

SEGURIDAD LIGADA A
LOS RECURSOS
7. HUMANOS.

7.1 Antes de la contratación.

Investigación de los nuevos colaboradores que ingresen a la Organización, sugieren pasar por un proceso de investigación de
7.1.1
antecedentes. antecedentes, con el fin de mitigar los riesgos en el uso de la información.

Términos y condiciones de los contratos de los colaboradores sugieren incluir cláusulas que especifiquen las responsabilidades y los cuidados
7.1.2
contratación. que sugieren tener con la información de la Organización.

7.2 Durante la contratación.

Responsabilidades de la Organización sugiere proveer los mecanismos necesarios para asegurar que sus colaboradores cumplan con sus
7.2.1
gestión. responsabilidades en Seguridad de la Información desde su ingreso hasta su retiro.

Concienciación, educación
la Organización sugiere establecer un programa permanente de creación de cultura en seguridad de la información
y capacitación en
7.2.2 para los colaboradores y terceros, capacitándolos constantemente en actualizaciones regulares sobre las políticas y
seguridad de la
procedimientos pertinentes para su cargo.
información
 las Políticas de Seguridad de la Información con sus respectivas normas, estándares, procedimientos y demás
7.2.3 Proceso disciplinario. documentos que se generen y soporten el Sistema de Gestión de Seguridad de la Información son de obligatorio
cumplimiento.

Cese o cambio de puesto

7.3
de trabajo.

Cese o cambio de puesto se sugiere informar a los colaboradores o contratistas, las responsabilidades y los sugiereres de seguridad de la
7.3.1
de trabajo. información que permanecen validos después de la terminación o cambio de contrato, los cuales sugieren cumplir.

8. GESTIÓN DE ACTIVOS.

Responsabilidad sobre
8.1
los activos.

la Organización sugiere mantener un inventario de recursos o activos de información. Los propietarios de la

8.1.1 Inventario de activos. información sugieren clasificar la información basados en su valor, sensibilidad, riesgo de pérdida o compromiso y/o
requerimientos legales de retención.

el área responsable del proceso sugiere realizar el debido control y mantenimiento al inventario de activos de
8.1.2 Propiedad de los activos. tecnología e información, para establecer responsabilidad sobre la tenencia de los mismos y la información sobre
estos, incluido el control al licenciamiento de software.

Uso aceptable de los Independientemente del medio en donde se encuentre cada activo de información, éstos sugieren ser clasificados
8.1.3
activos. por el dueño de la información, mediante el estándar de clasificación establecido.

Todos los colaboradores y usuarios de partes externas sugieren devolver todos los activos de la organización que se
8.1.4 Devolución de activos. encuentren a su cargo, al terminar su empleo, contrato o acuerdo. Sugiere quedar un acta de dicha devolución,
firmada por ambas partes.

Clasificación de la
8.2 información.

Los propietarios de la información sugieren clasificar los niveles de sensibilidad de la misma, de acuerdo a criterios
8.2.1 Directrices de clasificación.
que permitan velar por la seguridad de la información, estos se encuentran en detalle en las políticas de seguridad.

Etiquetado y manipulado
8.2.2
de la información.
Los propietarios de la información sugieren etiquetar y manipular los niveles de sensibilidad de la misma, de acuerdo
a criterios que permitan velar por la seguridad de la información, estos se encuentran en detalle en las políticas de
seguridad.
 Cada gerente de área sugiere realizar el proceso de clasificación de información, inventariando la información
8.2.3 Manipulación de activos.
utilizada por su área.

Manejo de los soportes

8.3 de almacenamiento.
no está permitida la conexión a la red de la Organización de equipos portátiles, notebooks, computadores,
Gestión de soportes
8.3.1 dispositivos móviles o cualquier otro dispositivo que se considere removible, de uso personal de los funcionarios, sin
extraíbles.
la debida autorización del Jefe inmediato y de la Gerencia de Seguridad de la Información.
Permanentemente se sugiere efectuar copia de respaldo de toda la información considerada confidencial o sensible
y que se encuentre contenida en los equipos de la Organización. En especial se sugiere asegurar el respaldo de
8.3.2 Eliminación de soportes. información cuando termine el vínculo laboral del funcionario o contractual del proveedor responsable de su
generación, edición y manejo, así como cuando se vaya a dar de baja un activo tecnológico (por pérdida, daño,
devolución, enajenación o donación, entre otros).
durante el transporte fuera de los límites físicos de la organización, los soportes que contengan información deben
Soportes físicos en
8.3.3 estar protegidos contra accesos no autorizados, usos indebidos o deterioro. Se etiquetarán las cajas con el nivel
tránsito.
confidencialidad de la información que contienen.

9. CONTROL DE ACCESOS.

Requisitos de negocio
para el control de
9.1 accesos.
el uso de la información de la Organización sugiere ser controlado para prevenir accesos no autorizados. Los
Política de control de
9.1.1 privilegios sobre la información sugieren ser otorgados y mantenidos de acuerdo con las necesidades de la
accesos.
operación, limitando el acceso sólo a lo que es requerido.

Control de acceso a las el acceso a la red de la Organización sugiere ser otorgado solo a usuarios autorizados, previa definición, verificación
9.1.2 redes y servicios y control de los perfiles y roles para el acceso en los diferentes sistemas de información, en coordinación con el área
asociados. de Recursos Humanos, la Gerencia Administrativa y la Gerencia de IT.

Gestión de acceso de
9.2 usuario.
se sugiere establecer por la Organización, los procedimientos para cubrir todas la etapas del ciclo de vida del acceso
Gestión de altas/bajas en
9.2.1 de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
el registro de usuarios.
acceso a los sistemas y servicios de información.
 Gestión de los derechos se sugieren establecer mecanismos de control de acceso físico y lógico para los usuarios, con el fin de asegurar que
9.2.2 de acceso asignados a los activos de información se mantengan protegidos de una manera consistente con su valor para el negocio y con
usuarios. los riesgos de pérdida de confidencialidad, integridad, disponibilidad y privacidad de la información.

Gestión de los derechos la Organización se reserva el derecho de restringir el acceso a cualquier información en el momento que lo
9.2.3 de acceso con privilegios considere conveniente. El personal seleccionado por la Organización podrá utilizar tecnología de uso restringido
especiales. como la de monitoreo de red, datos operacionales y eventos en seguridad de la información.

Gestión de información
los usuarios de la Organización serán requeridos para que se autentiquen ellos mismos, previa obtención del acceso
9.2.4 confidencial de
a la información.
autenticación de usuarios.

en el uso de la información de la Organización no se sugiere presumir privacidad, por lo que cuando ésta sea
Revisión de los derechos
9.2.5 utilizada se sugieren crear registros de la actividad realizada, que pueden ser revisados periódicamente o en una
de acceso de los usuarios.
investigación, con el objetivo de detectar abusos y amenazas.

todos los usuarios que acceden la información de la Organización sugieren disponer de un medio de identificación y
Retirada o adaptación de
9.2.6 el acceso sugiere ser controlado a través de una autenticación personal, la cual puede ser modificada cuando se
los derechos de acceso
presente un cambio de funciones del empleado o se retire definitivamente de la organización.

Responsabilidades del
9.3 usuario.
Uso de información cada usuario es responsable por sus acciones mientras usa cualquier recurso de información de la Organización.
9.3.1 confidencial para la Por lo tanto, la identdad de cada usuario que acceda los recursos informáticos sugiere ser establecida y autenticada
autenticación. de una manera única y no puede ser compartida.

Control de acceso a
9.4 sistemas y aplicaciones.
el acceso a la información de la Organización y a las funciones de los sistemas de las aplicaciones, será restringido
Restricción del acceso a la
9.4.1 de acuerdo con la política de control de acceso, ya que se sugiere asegurar que los usuarios de la información,
información.
únicamente tengan acceso a lo que les concierne.
se sugiere concienciar y controlar que los usuarios sigan buenas prácticas de seguridad en la selección, uso y
Procedimientos seguros de protección de claves o contraseñas, las cuales constituyen un medio de validación de la identidad de un usuario y
9.4.2
inicio de sesión. consecuentemente un medio para establecer derechos de acceso a las instalaciones, equipos o servicios
informáticos de manera segura.
• Poseer algún grado de complejidad y no sugieren ser palabras comunes que se puedan encontrar en diccionarios,
Gestión de contraseñas de ni tener información personal, por ejemplo: fechas de cumpleaños, nombre de los hijos, placas de automóvil, etc.
9.4.3
usuario. • Tener mínimo diez caracteres alfanuméricos.
• Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.
 el área de Tecnología de la Organización, velará porque los recursos de la plataforma tecnológica y los servicios de
Uso de herramientas de
red sean operados y administrados en condiciones controladas y de seguridad, que permitan un monitoreo posterior
9.4.4 administración de
de la actividad de los usuarios administradores, poseedores de los más altos privilegios sobre dichas plataformas y
sistemas.
servicios.
Control de acceso al el área de Tecnología de la Organización, como responsable de la administración de los sistemas de información,
9.4.5 código fuente de los aplicativos y sus códigos fuente, propenderá para que estos sean debidamente protegidos contra accesos no
programas. autorizados a través de mecanismos de control de acceso lógico.

10. CIFRADO.

10.1 Controles criptográficos.

Política de uso de los la Organización velará porque la información, clasificada como reservada o restringida, será cifrada al momento de
10.1.1
controles criptográficos. almacenarse y/o transmitirse por cualquier medio, con el propósito de proteger su confidencialidad e integridad.

la Organización sugiere proteger los tipos de claves de modificación o destrucción; las claves secretas y las privadas
10.1.2 Gestión de claves.
además requieren protección contra su distribución no autorizada.

SEGURIDAD FÍSICA Y
11. AMBIENTAL.

11.1 Áreas seguras.

Perímetro de seguridad la seguridad física de la Organización sugiere basarse en perímetros y áreas seguras, las cuales serán protegidas
11.1.1
física. por medio de controles circundantes apropiados.

Controles físicos de todas las entradas a las áreas físicas del negocio sugieren tener un nivel de seguridad acorde con el valor de la
11.1.2
entrada. información que se procesa y administra en ellas.

Los ingresos y egresos de personal a las instalaciones de la Organización, sugieren ser registrados; por
Seguridad de oficinas,
11.1.3 consiguiente, los funcionarios y personal provisto por terceras partes sugieren cumplir completamente con los
despachos y recursos.
controles físicos implantados.

Protección contra las la Organización sugiere proveer las condiciones físicas y medioambientales necesarias para certificar la protección y
11.1.4 amenazas externas y correcta operación de los recursos, en especial la plataforma tecnológica ubicada en el centro de cómputo; sugieren
ambientales. existir sistemas de control ambiental de temperatura y humedad, sistemas de detección y extinción de incendios,
 sistemas de descarga eléctrica, sistemas de vigilancia y monitoreo y alarmas en caso de detectarse condiciones
ambientales inapropiadas.

El trabajo en áreas la Organización proveerá la implantación y velará por la efectividad de los mecanismos de seguridad física y control
11.1.5
seguras. de acceso que aseguren el perímetro de sus instalaciones. Así

Áreas de acceso público, No aplica

11.1.6 carga y descarga.

Seguridad de los
11.2 equipos.
los recursos informáticos de la Organización sugieren estar físicamente protegidos contra amenazas de acceso no
Emplazamiento y
11.2.1 autorizado y amenazas ambientales para prevenir exposición, daño o pérdida de los activos e interrupción de las
protección de equipos.
actividades.

la Organización sugiere asegurar que las labores de mantenimiento de redes eléctricas, de voz y de datos, sean
Instalaciones de
11.2.2 realizadas por personal idóneo y apropiadamente autorizado e identificado; así mismo, se sugiere llevar control de la
suministro.
programación de los mantenimientos preventivos.

el área de Tecnología de la Organización, sugiere certificar que el centro de cómputo y los centros de cableado que
11.2.3 Seguridad del cableado. están bajo su custodia, se encuentren separados de áreas que tengan líquidos inflamables o que corran riesgo de
inundaciones e incendios.

los medios y equipos donde se almacena, procesa o comunica la información, sugieren mantenerse con las medidas
Mantenimiento de los
11.2.4 de protección físicas y lógicas, que permitan su monitoreo y correcto estado de funcionamiento; para ello se sugiere
equipos.
realizar los mantenimientos preventivos periódicamente cada seis meses y correctivos cuando se requieran.
la Organización sugiere velar porque la entrada y salida de información, software, estaciones de trabajo, servidores,
Salida de activos fuera de
equipos portátiles y demás recursos tecnológicos corporativos de las instalaciones, cuente con la autorización
11.2.5 las dependencias de la
documentada y aprobada previamente por el responsable de los recursos físicos o en su defecto el área
empresa.
responsable del activo.
Seguridad de los equipos y
el área responsable de los recursos físicos sugiere velar porque los equipos que se encuentran sujetos a traslados
11.2.6 activos fuera de las
físicos fuera del instituto, posean pólizas de seguro que cubran los diferentes riesgos que puedan presentar.
instalaciones.

Reutilización o retirada el área de Tecnología sugiere efectuar la reutilización o retirada segura de los dispositivos de almacenamiento que
11.2.7 segura de dispositivos de tienen información de la Organización, a través de los mecanismos necesarios en la plataforma tecnológica, ya sea
almacenamiento. cuando son dados de baja o cambian de usuario.

el área de Tecnología sugiere velar porque los equipos informáticos de los usuarios que no trabajan dentro de las
Equipo informático de
11.2.8 instalaciones de la Organización, tengan sus medios de almacenamiento cifrados, los softwares para protección de
usuario desatendido.
la información, que eviten que la información se accedida por personas no autorizadas.
 Política de puesto de tanto los funcionarios como el personal provisto por terceras partes sugieren asegurarse que en el momento de
11.2.9 trabajo despejado y ausentarse de su puesto de trabajo, sus escritorios se encuentren libres de documentos y medios de
bloqueo de pantalla. almacenamiento, utilizados para el desempeño de sus labores

SEGURIDAD EN LA
12. OPERATIVA.

Responsabilidades y
procedimientos de
12.1 operación.
Documentación de
la Organización debe efectuar, a través de sus funcionarios responsables de los procesos, la actualización de la
12.1.1 procedimientos de
documentación y los procedimientos relacionados con la operación y administración de la plataforma tecnológica.
operación.

todo cambio a la infraestructura informática deberá estar controlado y será realizado de acuerdo con los
12.1.2 Gestión de cambios.
procedimientos de gestión de cambios del Área de Tecnología y Sistemas de Información de la Organización.

el área de Tecnología, a través de sus funcionarios, sugiere realizar estudios sobre la demanda y proyecciones de
12.1.3 Gestión de capacidades.
crecimiento de los recursos administrados (capacity planning) de manera periódica

Separación de entornos de
el área de Tecnología sugiere proveer los recursos necesarios para la implantación de controles que permitan la
12.1.4 desarrollo, prueba y
separación de ambientes de desarrollo, pruebas y producción
producción.

Protección contra código

12.2 malicioso.
la Organización proporcionará los mecanismos necesarios que garanticen la protección de la información y los
Controles contra el código
12.2.1 recursos de la plataforma tecnológica en donde se procesa y almacena, adoptando los controles necesarios para
malicioso.
evitar la divulgación, modificación o daño permanente ocasionados por el contagio de software malicioso

12.3 Copias de seguridad.

la Organización certificará la generación de copias de respaldo y almacenamiento de su información crítica,
Copias de seguridad de la
12.3.1 proporcionando los recursos necesarios y estableciendo los procedimientos y mecanismos para la realización de
información.
estas actividades

Registro de actividad y
12.4 supervisión.
 Registro y gestión de la Organización realizará monitoreo permanente del uso que dan los funcionarios y el personal provisto por terceras
12.4.1
eventos de actividad. partes a los recursos de la plataforma tecnológica y los sistemas de información.

Protección de los registros el área de Tecnología sugiere certificar la integridad y disponibilidad de los registros de auditoria generados en la
12.4.2
de información. plataforma tecnológica y los sistemas de información de la Organización.

Registros de actividad del el área de Control Interno sugiere revisar periódicamente los registros de auditoria de los administradores y
12.4.3 administrador y operador operadores de la plataforma tecnológica y los sistemas de información con el fin de identificar brechas de seguridad
del sistema. y otras actividades propias del monitoreo

el área de Tecnología sugiere proveer un sistema que sincronice los relojes de todos los sistemas de procesamiento
12.4.4 Sincronización de relojes.
de información pertinentes dentro de la Organización o de un dominio de seguridad.

Control del software en

12.5 explotación.
a través del área de Tecnología, designará responsables y establecerá procedimientos para controlar la instalación
Instalación del software en de software operativo, se cerciorará de contar con el soporte de los proveedores de dicho software y asegurará la
12.5.1
sistemas en producción. funcionalidad de los sistemas de información que operan sobre la plataforma tecnológica cuando el software
operativo es actualizado

Gestión de la
12.6 vulnerabilidad técnica.
a través del área de Tecnología y la Gerencia de Seguridad de la Información, revisará periódicamente la aparición
Gestión de las
12.6.1 de vulnerabilidades técnicas sobre los recursos de la plataforma tecnológica por medio de la realización periódica de
vulnerabilidades técnicas.
pruebas de vulnerabilidades

Restricciones en la La instalación de software en los computadores suministrados por la Organización, es una función exclusiva del área
12.6.2
instalación de software. de Tecnología y Seguridad de la Información.

Consideraciones de las
auditorías de los
12.7 sistemas de información.
Controles de auditoría de el área de Auditoría sugiere realizar monitoreo periódicamente para evaluar la conformidad con las políticas de la
12.7.1 los sistemas de organización, para evaluar el nivel de implementación de los sistemas de información, para evaluar el estado de
información. mantenimiento y la capacidad de mejoramiento de los sistemas de información

SEGURIDAD EN LAS
13. TELECOMUNICACIONES.
 Gestión de la seguridad
13.1 en las redes.
La Organización establecerá, a través del área de Tecnología, los mecanismos de control necesarios para proveer la
13.1.1 Controles de red. disponibilidad de las redes de datos y de los servicios que dependen de ellas y minimizar los riesgos de seguridad
de la información transportada por medio de las redes de datos

Mecanismos de seguridad
se sugiere identificar los mecanismos de seguridad y los niveles de servicio de red requeridos e incluirlos en los
13.1.2 asociados a servicios en
acuerdos de servicios de red, cuando estos se contraten externamente.
red.

el área de Tecnología sugiere mantener las redes de datos segmentadas por dominios, grupos de servicios, grupos
13.1.3 Segregación de redes.
de usuarios, ubicación geográfica o cualquier otra tipificación que se considere conveniente para la Organización

Intercambio de
información con partes
13.2 externas.
Políticas y procedimientos la Organización asegurará la protección de la información en el momento de ser transferida o intercambiada con
13.2.1 de intercambio de otras organizaciónes u otro destino externo y establecerá los procedimientos y controles necesarios para el
información. intercambio de información

el área Legal, en acompañamiento con el área de Seguridad de la Información, sugiere definir los modelos de
13.2.2 Acuerdos de intercambio. Acuerdos de Confidencialidad y/o de Intercambio de Información entre la Organización y terceras partes incluyendo
los compromisos adquiridos y las penalidades civiles o penales por el incumplimiento de dichos acuerdos
la Organización, entendiendo la importancia del correo electrónico como herramienta para facilitar la comunicación
entre funcionarios y terceras partes, proporcionará un servicio idóneo y seguro para la ejecución de las actividades
13.2.3 Mensajería electrónica.
que requieran el uso del correo electrónico, respetando siempre los principios de confidencialidad, integridad,
disponibilidad y autenticidad de quienes realizan las comunicaciones a través de este medio
el área Legal sugiere establecer en los contratos que se establezcan con terceras partes, los Acuerdos de
Acuerdos de Confidencialidad o Acuerdos de intercambio dejando explícitas las responsabilidades y obligaciones legales
13.2.4
confidencialidad y secreto. asignadas a dichos terceros por la divulgación no autorizada de información de beneficiarios de la Organización que
les ha sido entregada en razón del cumplimiento de los objetivos misionales
ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO DE
LOS SISTEMAS DE
14. INFORMACIÓN.

Requisitos de seguridad
de los sistemas de
14.1 información.
 Análisis y especificación
los requerimientos de seguridad de la información sugieren ser identificados previos al diseño de los sistemas de
14.1.1 de los requisitos de
tecnología de la información.
seguridad.
Seguridad de las
el área de Tecnología sugiere asegurar que los sistemas de información o aplicativos informáticos que pasan a
comunicaciones en
14.1.2 través de redes públicas, incluyen controles de seguridad y cumplen con las políticas de seguridad de la información,
servicios accesibles por
con el fin de proteger la información de la Organización de posibles ataques.
redes públicas.
Protección de las
los desarrolladores de las aplicaciones, sugieren certificar la transmisión de información relacionada con pagos o
14.1.3 transacciones por redes
transacciones en línea a los operadores encargados, por medio de canales seguros.
telemáticas.

Seguridad en los
procesos de desarrollo y
14.2 soporte.
se sugiere velar porque el desarrollo interno o externo de los sistemas de información cumpla con los requerimientos
Política de desarrollo
14.2.1 de seguridad esperados, con las buenas prácticas para desarrollo seguro de aplicativos, así como con metodologías
seguro de software.
para la realización de pruebas de aceptación y seguridad al software desarrollado

Procedimientos de control
el área de Tecnología sugiere contar con sistemas de control de versiones para administrar los cambios de los
14.2.2 de cambios en los
sistemas de información de la Organización.
sistemas.
Revisión técnica de las
el área de Tecnología, sugiere realizar pruebas de todos los sistemas, cuando se presente un cambio de sistema
aplicaciones tras efectuar
14.2.3 operativo en los equipos de cómputo de la Organización, con el fin de revisar los posibles impactos en las
cambios en el sistema
operaciones o en la seguridad de la información de la organización.
operativo.
Restricciones a los
la realización de un cambio tecnológico en un paquete de software entregado por un tercero, que no considere los
14.2.4 cambios en los paquetes
requerimientos de seguridad de la Información hace que la Organización esté expuesta a riesgos.
de software.

Uso de principios de Se deben establecer mecanismos de control en la labor de implementación en el sistema de información, con el
14.2.5 ingeniería en protección de objetivo de asegurar que la información a la que tengan acceso o servicios que sean provistos por las mismas,
sistemas. cumplan con las políticas, normas y procedimientos de seguridad de la información.

Seguridad en entornos de la Organización establecerá y protegerá adecuadamente los entornos para las labores de desarrollo e integración de
14.2.6
desarrollo. sistemas que abarcan todo el ciclo de vida de desarrollo del sistema.

el área de Tecnología sugiere establecer el procedimiento y los controles de acceso a los ambientes de desarrollo
Externalización del
14.2.7 de los sistemas de información; así mismo, sugiere asegurarse que los desarrolladores internos o externos, posean
desarrollo de software.
acceso limitado y controlado a los datos y archivos que se encuentren en los ambientes de producción.
 Pruebas de funcionalidad
los desarrolladores de los sistemas de información sugieren considerar las buenas prácticas y lineamientos de
14.2.8 durante el desarrollo de los
desarrollo seguro durante el ciclo de vida de los mismos, pasando desde el diseño hasta la puesta en marcha.
sistemas.

el área de Tecnología sugiere generar metodologías para la realización de pruebas al software desarrollado, que
14.2.9 Pruebas de aceptación. contengan pautas para la selección de escenarios, niveles, tipos, datos de pruebas y sugerencias de
documentación.

14.3 Datos de prueba.

Protección de los datos el área de Tecnología de la Organización protegerá los datos de prueba que se entregarán a los desarrolladores,
14.3.1
utilizados en pruebas. asegurando que no revelan información confidencial de los ambientes de producción.

RELACIONES CON
15. SUMINISTRADORES.
Seguridad de la
información en las
relaciones con
15.1 suministradores.
Política de seguridad de la la Organización establecerá mecanismos de control en sus relaciones con terceras partes, con el objetivo de
15.1.1 información para asegurar que la información a la que tengan acceso o servicios que sean provistos por las mismas, cumplan con las
suministradores. políticas, normas y procedimientos de seguridad de la información.

Tratamiento del riesgo

el área de Tecnología, el área Legal y el área de Seguridad de la Información sugieren generar un modelo base para
15.1.2 dentro de acuerdos de
los Acuerdos de Niveles de Servicio y requisitos de Seguridad de la Información
suministradores.
Cadena de suministro en
tecnologías de la el área de Tecnología, el área Legal y el área de Seguridad de la Información, sugieren elaborar modelos de
15.1.3
información y Acuerdos de Confidencialidad y Acuerdos de Intercambio de Información con terceras partes.
comunicaciones.
Gestión de la prestación
15.2 del servicio por
suministradores.

Supervisión y revisión de el área de Seguridad de la Información, sugiere identificar y monitorear los riesgos relacionados con terceras partes
15.2.1 los servicios prestados por o los servicios provistos por ellas, haciendo extensiva esta actividad a la cadena de suministro de los servicios de
terceros. tecnología o comunicaciones provistos.
 Gestión de cambios en los los supervisores de contratos con terceros, con el apoyo del área de Seguridad de la Información, sugieren
15.2.2 servicios prestados por administrar los cambios en el suministro de servicios por parte de los proveedores, manteniendo los niveles de
terceros. cumplimiento de servicio y seguridad establecidos con ellos y monitoreando la aparición de nuevos riesgos.
GESTIÓN DE
INCIDENTES EN LA
SEGURIDAD DE LA
16. INFORMACIÓN.

Gestión de incidentes de
seguridad de la
16.1 información y mejoras.
la Organización promoverá entre los funcionarios y personal provisto por terceras partes el reporte de incidentes
Responsabilidades y relacionados con la seguridad de la información y sus medios de procesamiento, incluyendo cualquier tipo de medio
16.1.1
procedimientos. de almacenamiento de información, como la plataforma tecnológica, los sistemas de información, los medios físicos
de almacenamiento y las personas.
Notificación de los eventos
los propietarios de los activos de información sugieren informar lo antes posible al área de Seguridad de la
16.1.2 de seguridad de la
Información, los incidentes de seguridad que identifiquen o que reconozcan su posibilidad de materialización.
información.

en caso de conocer la pérdida o divulgación no autorizada de información clasificada como uso interno, reservada o
Notificación de puntos
16.1.3 restringida, los funcionarios sugieren notificarlo al área de Seguridad de la Información para que se registre y se le
débiles de la seguridad.
dé el trámite necesario.
Valoración de eventos de
seguridad de la el Comité de Seguridad de la Información sugiere analizar los incidentes de seguridad que le son escalados y activar
16.1.4
información y toma de el procedimiento de contacto con las autoridades, cuando lo estime necesario.
decisiones.
el área de Seguridad de la Información sugiere designar personal calificado, para investigar adecuadamente los
Respuesta a los incidentes
16.1.5 incidentes de seguridad reportados, identificando las causas, realizando una investigación exhaustiva,
de seguridad.
proporcionando las soluciones y finalmente previniendo su re-ocurrencia.

Aprendizaje de los el área de Seguridad de la Información sugiere, con el apoyo del área de Tecnología y la Secretaría General, crear
16.1.6 incidentes de seguridad de bases de conocimiento para los incidentes de seguridad presentados con sus respectivas soluciones, con el fin de
la información. reducir el tiempo de respuesta para los incidentes futuros, partiendo de dichas bases de conocimiento.

Es importante evaluar todos los incidentes de seguridad de acuerdo a sus circunstancias particulares, reuniendo las
Recopilación de
16.1.7 evidencias necesarias y escalar al Comité de Seguridad de la Información aquellos en los que se considere
evidencias.
pertinente.
ASPECTOS DE
SEGURIDAD DE LA
INFORMACION EN LA
GESTIÓN DE LA
CONTINUIDAD DEL
17. NEGOCIO.
 Continuidad de la
seguridad de la
17.1 información.
Planificación de la
se sugiere desarrollar, documentar, implementar y probar periódicamente procedimientos para asegurar una
continuidad de la
17.1.1 recuperación razonable y a tiempo de la información crítica de la Organización, sin disminuir los niveles de seguridad
seguridad de la
establecidos.
información.
Implantación de la
Es necesario proporcionar los recursos suficientes para proporcionar una respuesta efectiva de funcionarios y
continuidad de la
17.1.2 procesos en caso de contingencia o eventos catastróficos que se presenten en el instituto y que afecten la
seguridad de la
continuidad de su operación.
información.
Verificación, revisión y
evaluación de la
Se sugiere asegurar la realización de pruebas periódicas del plan de recuperación ante desastres y/o continuidad de
17.1.3 continuidad de la
negocio, verificando la seguridad de la información durante su realización y la documentación de dichas pruebas.
seguridad de la
información.

17.2 Redundancias.
Disponibilidad de
instalaciones para el Se sugiere propender por la existencia de una plataforma tecnológica redundante que satisfaga los requerimientos
17.2.1
procesamiento de la de disponibilidad aceptables.
información.

18. CUMPLIMIENTO.

Cumplimiento de los
requisitos legales y
18.1 contractuales.

Identificación de la el área de tecnología sugiere identificar y velar porque el software instalado en los recursos de la plataforma
18.1.1
legislación aplicable. tecnología cumpla con los requerimientos legales y de licenciamiento aplicables.

Derechos de propiedad para todo el personal de la organización es importante tener presente que sugieren cumplir con las leyes de
18.1.2
intelectual (DPI). derechos de autor y acuerdo de licenciamiento de software.

Protección de los registros
18.1.3
de la organización.
el área Legal y el área de Seguridad de la Información sugieren identificar, documentar y mantener actualizados los
requisitos legales, reglamentarios o contractuales aplicables a la Organización, que están relacionados con los
registros de la organización, para protegerlos contra pérdidas, destrucción, falsificación, accesos y publicación no
autorizados.
 Protección de datos y en cumplimiento de la de Ley 1581 de 2012, por la cual se dictan disposiciones para la protección de datos
18.1.4 privacidad de la personales, la Organización a través del área de Seguridad de la Información, propenderá por la protección de los
información personal. datos personales de sus beneficiarios, proveedores y demás terceros de los cuales reciba y administre información.

el área de Tecnología sugiere implantar los controles criptográficos necesarios para proteger la información personal
Regulación de los
18.1.5 de los beneficiarios, funcionarios, proveedores u otras terceras partes almacenada en bases de datos o cualquier
controles criptográficos.
otro repositorio y evitar su divulgación, alteración o eliminación sin la autorización requerida.

Revisiones de la
18.2 seguridad de la
información.

Revisión independiente de la Organización sugiere realizar revisiones periódicamente, para validar si se sugieren realizar actualizaciones a las
18.2.1 la seguridad de la políticas de seguridad. Los controles que se establezcan sugieren ser los que corresponden a la norma de seguridad
información. internacional ISO 27001 y otras fuentes como COBIT, ITIL, BASILEA II, entre otros.

Cumplimiento de las
Los diferentes aspectos contemplados en este documento de políticas de seguridad, son de obligatorio cumplimiento
18.2.2 políticas y normas de
para todos los funcionarios, contratistas y otros colaboradores de la Organización.
seguridad.

el área de Control Interno sugiere revisar periódicamente los registros de auditoria de la plataforma tecnológica y los
Comprobación del
18.2.3 sistemas de información con el fin de identificar cumplimiento de las políticas y normas de seguridad dispuestas por
cumplimiento.
la información de la organización.