Manual Gestion de Seguridad de La Información V4.0

MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS

MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 1 de 57
1. INTRODUCCION
Las instituciones de cualquier tipo o sector, se enfrentan con riesgos procedentes de una amplia variedad de
amenazas que pueden afectar de forma importante la informacin y sus recursos de procesamiento y
transmisin.
Ante estas circunstancias las organizaciones experimentan la necesidad de establecer estrategias y controles
adecuados que garanticen una gestin segura de los procesos dando mayor proteccin a la informacin. As
mismo, estas estrategias y aspectos para la proteccin y control parten de marcos establecidos a nivel de
elementos normativos que debern ser desarrollados en las entidades pblicas para realizar una gestin y
control adecuado, como es el caso de la implementacin de MECI y recomendaciones de nivel nacional a
travs del Ministerio de Comunicaciones.
La UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE COLOMBIA ha reconocido la informacin como un
activo vital en su organizacin. As, para disminuir los riesgos y proteger esta informacin, es necesario
implementar un adecuado conjunto de controles y procedimientos para alcanzar un correcto nivel de
seguridad de la informacin y de igual forma administrar estos controles para mantenerlos y mejorarlos a lo
largo del tiempo.
Para el establecimiento, implementacin y mejoramiento de los controles y procedimientos necesarios se
define un Sistema de Gestin de Seguridad de la Informacin (SGSI), el cual ayudar a identificar y reducir los
riesgos vitales de seguridad, centrar los esfuerzos en la seguridad de la informacin y lograr su proteccin.
1.1. SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
El Sistema de gestin de seguridad de la informacin (SGSI) es parte del sistema integrado de gestin de la
UPTC, basado en un enfoque de gestin de riesgos de seguridad de la informacin de los procesos, en el
contexto de los riesgos globales de la Institucin, para: establecer, implementar, operar, hacer seguimiento,
mantener y mejorar la seguridad de la informacin.
La seguridad de la informacin es una gestin continua para preservar las propiedades de confidencialidad,
integridad y disponibilidad en los activos de informacin que manejan los procesos de la institucin, basados
en su nivel de riesgo.
El SGSI permite a la institucin identificar, implementar, mantener y mejorar los controles que requiere para
tratar los riesgos de seguridad de la informacin, para llevarlos a niveles aceptables, de tal forma que estos
controles sean los mnimos suficientes para proporcionar un ambiente de control y seguridad adecuados.
Los lineamientos del Sistema de gestin de seguridad de la informacin son aplicables a cualquier proceso de
la UPTC, sin importar su tamao o funcin, dado que la implementacin del sistema debe ser proporcional a la
criticidad de los activos de informacin que maneja y los riesgos identificados en los mismos.
Cdigo : A-RI-M02
Versin : 04
Pgina 2 de 57
El Sistema se enfoca en el modelo de gestin de Planificar-Hacer-Verificar-Actuar (PHVA) de tal forma que se

pueda abordar la planificacin del sistema a travs del establecimiento del SGSI, el hacer a travs de su
implementacin y operacin, la verificacin a travs del seguimiento y revisin y el actuar por medio del
mantenimiento y mejora del SGSI.
El SGSI se integrar con otros Sistemas de gestin en diferentes actividades en diferentes etapas del ciclo
PHVA que son definidos para el sistema integrado de gestin.
SGSI en la Universidad Pedaggica y Tecnolgica de Colombia
El SGSI de la UPTC establece un sentido general de direccin, gestin y principios para la accin con relacin
a la seguridad de la informacin, orientados en su totalidad por el cumplimiento de la poltica de seguridad de
la informacin de la Universidad, teniendo en cuenta los requisitos normativos internos, los legales o
reglamentarios, y las obligaciones contractuales.
Este documento contiene tres anexos para completar la visin general del SGSI en la Universidad Pedaggica
y Tecnolgica de Colombia:
Anexo 1. Roles y Responsabilidades del SGSI.
Anexo 2. Declaracin de Aplicabilidad.
Anexo 3. Polticas de Seguridad de la Informacin.
1.2. ENFOQUE BASADO EN PROCESOS
El Sistema de Gestin de Seguridad de la Informacin (SGSI), planteado tendr un enfoque basado en
procesos. El SGSI se incorpora a la organizacin mediante la adopcin de un modelo PHVA que define las
etapas de establecimiento, implementacin, operacin seguimiento, mantenimiento y mejora del sistema
frente a la seguridad de la informacin.
Para el funcionamiento eficiente del Sistema de Gestin de Seguridad de la Informacin, se deben identificar y
gestionar las actividades involucradas para la proteccin de la informacin de los procesos de la organizacin
buscando que estas prcticas de seguridad sean integradas en el actuar diario.
Este enfoque basado en procesos para la gestin de seguridad de la informacin hace nfasis en la
importancia de:
Comprender los requisitos de seguridad de la informacin de la UPTC y la necesidad de establecer

polticas, procedimientos y objetivos en relacin con la seguridad de la informacin.
Determinar, disear, implementar y operar controles para dar tratamiento a los riesgos de seguridad de la
informacin de la UPTC en el contexto de los riesgos que impactan los procesos de la organizacin.
Incorporar actividades de proteccin de informacin a nivel de los procesos dentro del alcance de SGSI.
El seguimiento y revisin permanente del desempeo y eficacia del SGSI.
La mejora continua basada en la medicin de los objetivos planteados inicialmente.
Basado en el nfasis planteado, el Sistema de Gestin de Seguridad de la Informacin adopta el modelo de

procesos Planificar-Hacer-verificar-Actuar (PHVA), aplicndolo para estructurar todos los procesos que
Cdigo : A-RI-M02
Versin : 04
Pgina 3 de 57
apoyan el sistema. La Figura 1, ilustra cmo el SGSI toma como elementos de entrada los requisitos de
seguridad de la informacin y las expectativas planteadas por la Universidad, y a travs de las acciones y
procesos diseados para soportar el sistema (SGSI) produce resultados de seguridad de la informacin que
buscan cumplir estos requisitos y expectativas.
En la figura 1 se observa el ciclo PHVA del SGSI en la UPTC y se destacan los procesos y procedimientos
que ayudan en el cumplimiento del Sistema.
Figura 1 - Ciclo PHVA para el SGSI
Las etapas del modelo de procesos que enmarcan el SGSI se definen de la siguiente forma:
Planificar (establecer el SGSI): Establecer la poltica, los objetivos, procesos y procedimientos de

seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la informacin, con el fin de
entregar resultados acordes con las polticas y objetivos globales de una organizacin.
Cdigo : A-RI-M02
Versin : 04
Pgina 4 de 57
Hacer (implementar y operar el SGSI): Implementar y operar la poltica, los controles, procesos y
procedimientos del SGSI.
Verificar (hacer seguimiento y revisar el SGSI): Evaluar y en donde sea aplicable, medir el
desempeo del proceso contra la poltica y los objetivos de seguridad y la experiencia prctica y
reportar los resultados a la direccin para su revisin.
Actuar (mantener y mejorar el SGSI): Emprender acciones correctivas y preventivas con base en
los resultados de la auditora interna del SGSI y la revisin por la direccin, para lograr la mejora
continua del SGSI.
1.3. COMPATIBILIDAD CON OTROS SISTEMAS

El Sistema de Gestin de Seguridad de la Informacin definido en la norma NTC-ISO/IEC 27001 y el cual es
la gua maestra para el diseo del SGSI para la UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE
COLOMBIA se encuentra alineado con la NTC-ISO 9001, con el fin de apoyar la implementacin y operacin,
consistente e integrada y garantizar el coexistir con sistemas de gestin relacionados que se vayan definiendo
en la Universidad, adems conserva procesos comunes con la norma ISO 20000-1:2011.
1.4. ALCANCE DEL DOCUMENTO

Este documento presenta los aspectos claves para la implementacin del Sistema de Gestin de Seguridad
de la Informacin en la UPTC conforme a lo estipulado en la norma NTC ISO/IEC 27001. Es as como se
define un alcance para el sistema, la organizacin para un modelo de gestin y los aspectos para el
establecimiento, implementacin, operacin y seguimiento del SGSI.
Este documento va dirigido e involucra a todo el personal de la UNIVERSIDAD PEDAGGICA Y
TECNOLGICA DE COLOMBIA y a todos los niveles de la organizacin, debido a que la implementacin,
operacin y cumplimiento de lo dispuesto en el SGSI es responsabilidad de todo el personal como parte de las
actividades del da a da.
Cdigo : A-RI-M02
Versin : 04
2.
Pgina 5 de 57
OBJETIVO DEL DOCUMENTO
El establecimiento del SGSI de la UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE COLOMBIA tiene

como sustento el que la seguridad de la informacin es responsabilidad de todos.
En la definicin del Modelo PHVA para el SGSI, la fase de establecimiento hace parte de la etapa de
Planificar. Es aqu en donde la UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE COLOMBIA establece la
poltica, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar
la seguridad de la informacin, con el fin de entregar resultados acordes con las polticas y objetivos de la
institucin.
2.1.
POLITICA DEL SGSI
La Universidad Pedaggica y Tecnolgica de Colombia, se compromete a preservar la confidencialidad,

disponibilidad e integridad, de sus activos de informacin, protegindolos contra amenazas internas y
externas, mediante la implementacin del sistema de gestin de seguridad de la informacin y la metodologa
para la gestin del riesgo, manteniendo la mejora continua; adicionalmente a cumplir con las disposiciones
constitucionales y legales aplicables a la entidad, as como las disposiciones internas, relacionadas con la
seguridad de la informacin, para todas sus sedes.
2.2.
2.3.
OBJETIVOS DEL SGSI

Establecer y mantener las polticas del Sistema de Gestin de Seguridad de la Informacin.
Administrar los riesgos de seguridad de la informacin para mantenerlos en niveles aceptables teniendo
en cuenta la clasificacin de los riesgos.
Identificar y dar seguimiento a los incidentes de seguridad de la informacin.
Proteger los activos de informacin, con base en los criterios de confidencialidad, integridad,
disponibilidad.
Divulgar el Sistema de gestin de seguridad de la informacin, para fortalecer la cultura de proteccin de
la informacin a la comunidad universitaria.
ALCANCE DEL SGSI
El Alcance del Sistema de Gestin de Seguridad de la Informacin de la Universidad Pedaggica Y

Tecnolgica de Colombia es para el proceso Gestin de Recursos Informticos de la Institucin.
La implementacin del SGSI est orientada a ejecutarse por fases, por tal razn se asume un enfoque por
medio del cual se define un alcance que puede ser modificado a futuro para incluir de manera incremental
otros procesos.
Cdigo : A-RI-M02
2.4.
Versin : 04
Pgina 6 de 57
ENFOQUE ORGANIZACIONAL DE VALORACION DE RIESGO
Mediante la Metodologa de Gestin de riesgos del SGSI, se establecen los criterios contra los cuales se
evalan los riesgos de seguridad de la informacin de la UNIVERSIDAD PEDAGGICA Y TECNOLGICA
DE COLOMBIA para los procesos dentro del alcance del SGSI.
Mediante esta metodologa se llevan a cabo las siguientes actividades generales con respecto a los riesgos:
Identificacin de activos.
Identificacin de amenazas y vulnerabilidades.
Valoracin de los riesgos.
Criterios para la aceptacin del riesgo.
Identificacin de los niveles de riesgos aceptables.
Definicin de planes de accin.
Comunicacin y monitoreo de riesgos.
Mediante esta metodologa se identifican para cada uno de los activos dentro del alcance, los riesgos,
posteriormente se analizan y evalan los riesgos, se identifican y se evalan las opciones para el tratamiento
de los mismos. Se encuentra en la GUIA PARA LA GESTION DEL RIESGO DE ACTIVOS DE
INFORMACION A-RI-P11-G01
2.5.
PROCEDIMIENTOS PARA DEFINICION DE RIESGOS DEL SGSI
A continuacin se presentan las actividades que deben ser desarrolladas para la gestin de riesgos en la
etapa de establecimiento del SGSI:
Identificacin de riesgos.
Anlisis y evaluacin de riesgos.
Identificacin y evaluacin de las opciones de tratamiento de riesgos.
Seleccin de los objetivos de control y los controles para el tratamiento de los riesgos.
Estas actividades se encuentran definidas en el procedimiento Gestin del Riesgo de Seguridad de la

Informacin (A-RI-P11) generado en el marco del SGSI, que establece los criterios contra los cuales se
evalan los riesgos de seguridad de la informacin de la Universidad Pedaggica y Tecnolgica de Colombia.
2.6.
DOCUMENTACION DE LA ETAPA DE ESTABLECIMIENTO DEL SGSI
En la etapa de establecimiento se deben generar y actualizar los siguientes documentos necesarios para el
SGSI: Los procedimientos que soportan el SGSI se observan en el Anexo 1 de este documento.
El alcance y lmites del SGSI. (En este documento)

El enfoque para la valoracin del riesgo (Gua para la Gestin del Riesgo de Activos de Informacin
A-RI-P11-G01).
La identificacin, anlisis, evaluacin de los riesgos y los controles a ser aplicados para su
mitigacin. (Identificacin y Clasificacin del Riesgo de Seguridad de la Informacin A-RI-P11-F01).
La declaracin de aplicabilidad (ANEXO 2).
Cdigo : A-RI-M02
2.7.
Versin : 04
Pgina 7 de 57
SEGURIDAD DE LA INFORMACION EN LA GESTION DE PROYECTOS.
Para la creacin de proyectos que se registren en el Banco de proyectos de la Universidad se consideraran

las condiciones de seguridad de la Informacin, relacionadas con la Confidencialidad, disponibilidad e
integridad. En el registro realizado a travs del sistema Banco de Proyectos que hace parte del Sistema
Integrado de Planeacin Estratgica SIPEF, en el campo de descripcin se dejaran consignadas las
condiciones relacionadas con seguridad de la Informacin.
2.8. NORMAS QUE APLICAN PARA EL SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION.
Las normas por las que se rige el SGSI se encuentran contempladas en el marco Legal que hace parte de
cada uno de los procedimientos que integran el SGSI, la lista se presenta a continuacin:
Ley 1266 de 2008: Por la cual se dictan las disposiciones generales del hbeas data y se regula el
manejo de la informacin contenida en bases de datos personales, en especial la financiera,
crediticia, comercial, de servicios y la proveniente de terceros pases y se dictan otras disposiciones.
Ley 1341 de 2009: Por la cual se definen principios y conceptos sobre la sociedad de la informacin y
la organizacin de las Tecnologas de la Informacin y las Comunicaciones -TIC-, se crea la Agencia
Nacional del Espectro y se dictan otras disposiciones.
Estatuto anticorrupcin: Por la cual se dictan normas orientadas a fortalecer los mecanismos de
prevencin, investigacin y sancin de actos de corrupcin y la efectividad del control de la gestin
pblica
Ley 1437 de 2011: Por la cual se expide el Cdigo de Procedimiento Administrativo y de lo
Contencioso Administrativo.
Ley 527 de Agosto de 1999 Comercio electrnico: Define y reglamenta el acceso y uso de los
mensajes de datos (probatoria), del comercio electrnico y de las firmas digitales, se establecen las
entidades de certificacin (parte de una PKI) y se dictan otras disposiciones
Ley 1273 de 2009: Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico
tutelado - denominado de la proteccin de la informacin y de los datos- y se preservan
integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre
otras disposiciones.
Ley 594 de 2000 Ley General de Archivos (Sector Pblico): Regula la obligacin que tienen las
entidades pblicas y privadas que cumplen funciones pblicas, de elaborar programas de gestin
documental, independientemente del soporte en que se produzca la informacin para su cometido
estatal, del objeto social para el que fueron creadas. ANEXO 11.2 SEGURIDAD DE LA
INFORMACIN: La conservacin en condiciones seguras de estos documentos se efecta en
locales especialmente habilitados, al amparo de desastres naturales o accidentales, de robos o usos
indebidos, de campos magnticos o de diferencias trmicas o hidromtricas excesivas.
Ley 603 de 2000: LA DIAN trabaja con entidades pblicas y privadas que hacen parte del comit
antipiratera del software y de la produccin intelectual, con el fin de extender las auditoras que hace
todos los das, al tema de la informtica.
Ley 794 de 2003: Actos de comunicacin procesal por medios electrnicos
Ley 962 de 2005: Actuaciones administrativas por medios electrnicos
Ley 1150 de 2007: Contratacin del Estado por medios electrnicos
Ley 1273 del 5 de enero 2009: Delitos informticos
Ley 1581 de 2012: Ley Estatutaria 1581 de 2012 mediante la cual se dictan disposiciones generales
para la proteccin de datos personales, en ella se regula el derecho fundamental de hbeas data y
se seala la importancia en el tratamiento del mismo. La ley busca proteger los datos personales
registrados en cualquier base de datos que permite realizar operaciones, tales como la recoleccin,
Cdigo : A-RI-M02
Versin : 04
Pgina 8 de 57
almacenamiento, uso, circulacin o supresin (en adelante tratamiento) por parte de entidades de
naturaleza pblica y privada.
Decreto 1377 del 27 de junio de 2013: El Decreto tiene como objetivo facilitar la implementacin y el
cumplimiento de la ley 1581 reglamentando aspectos relacionados con la autorizacin del titular de la
informacin para el tratamiento de sus datos personales, las polticas de tratamiento de los
responsables y encargados, el ejercicio de los derechos de los titulares de la informacin.
Se tendrn en cuenta algunos estndares de buenas prcticas para ser aplicados en los casos que se
considere, de acuerdo a los servicios que se han implementado.:
Norma NFPA 75 Proteccin contra incendio equipos electrnicos
Norma Data Center TIA 942
Sistemas Arquitectnico, elctrico, de telecomunicaciones, mecnico y de seguridad
Norma ANSI/TIA 942 Telecommunications Infrastructure Standard for Computer center.
Sistema de Cableado de Telecomunicaciones
Norma ANSI/TIA/EIA 568-B, Commercial Building Telecommunications Cabling Standard
Norma ANSI/TIA/EIA 569-A, Comercial Building Standard for Telecommunications Pathways and
Spaces
Norma ANSI/TIA/EIA 606-A, Administration Standard for the Telecommunications Infrastructure of
Commercial Buildings
Norma ANSI/J-STD 607-A, Commercial Building Grounding (Earthing) and Bonding Requirements for
Telecommunications
Sistema de Seguridad
Norma NFPA 101, Life Safety Code
Norma NFPA 2001, Standard on Clean Agent Fire Extinguishing Systems
Norma NFPA 72, National Fire Alarm Code
Norma NFPA 75, Standard for the protection of electronic computer/ data processing equipment.
Norma NFPA 76, Standard for the protection of telecommunications facilities
SIA, Security Industry Association
ITIL V 3.0
Cdigo : A-RI-M02
Versin : 04
3.
Pgina 9 de 57
IMPLEMENTACION Y OPERACION DEL SGSI
La implementacin y operacin del SGSI de la UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE

COLOMBIA se basa en la administracin del riesgo de la seguridad de la informacin. Por este enfoque, la
Universidad se compromete a implementar los controles procedimentales, tecnolgicos y del talento humano
que sean necesarios para llevar los riesgos de seguridad de la informacin a unos niveles aceptables.
3.1. PLAN DE TRATAMIENTO DE RIESGOS
El Lder del SGSI con su equipo de trabajo presentar anualmente al Comit de Seguridad un plan de
tratamiento de los riesgos de seguridad de la informacin identificados, este plan contiene lo siguiente:
La matriz de resultados de seleccin de objetivos de control y controles referenciando los riesgos para los
cuales aplican los controles seleccionados, obtenido con el procedimiento de A-RI-P11 Gestin del Riesgo de
Seguridad de la Informacin y la Gua asociada a este procedimiento.
Documento de declaracin de aplicabilidad,
Planes de proyectos de seguridad de la informacin que hay que adelantar para implementar los controles
seleccionados, indicando en este los recursos necesarios, los tiempos de desarrollo de los mismos y la
prioridad de implementacin de cada proyecto. Estos planes de proyectos de seguridad de la informacin son
identificados y definidos en conjunto entre el Lder del SGSI y los responsables de los procesos y sern
consolidados por el Lder del SGSI.
3.2. IMPLEMENTACION Y MEDICION DE LOS CONTROLES
Se deben implementar los controles seleccionados a travs de la ejecucin de los proyectos de seguridad
definidos, estos deben ser verificados por el Lder del SGSI y su equipo de trabajo por medio del anlisis de
las mediciones de la eficacia de dichos controles, ya que esto permitir a la Universidad y al personal
responsable de dichos controles determinar la medida en que se cumplen los objetivos de control
seleccionados. Lo anterior, debe desarrollarse mediante el procedimiento de medicin de la efectividad de
los controles del SGSI.
3.3. PROGRAMAS DE FORMACION Y PLANES DE SENSIBILIZACION

El Sistema de Gestin de la Seguridad de la Informacin de la UNIVERSIDAD PEDAGGICA Y
TECNOLGICA DE COLOMBIA define y mantiene programas de formacin, planes de sensibilizacin y toma
de conciencia en seguridad de la informacin y en la operacin del mismo sistema de gestin.
El plan de formacin y sensibilizacin se definir, revisar y ejecutar de acuerdo a las necesidades y en
coordinacin con el proceso de Comunicacin Pblica en la Universidad Pedaggica y Tecnolgica de
Colombia, con el fin que se tenga la cobertura necesaria a todo el mbito Universitario.
As mismo, estas actividades de definicin debern estar coordinadas con las reas encargadas de la gestin
del recurso humano que tienen la responsabilidad junto con cada proceso de la generacin de competencias
Cdigo : A-RI-M02
Versin : 04
Pgina 10 de 57
en el talento humano con el fin que cada vez que se integre un empleado a la Universidad, ste conozca sus
deberes y responsabilidades frente a la Seguridad de la Informacin y el uso adecuado de los servicios
brindados por la Universidad para el manejo de la Informacin.
3.4. NO CONFORMIDADES DE SEGURIDAD DE LA INFORMACION
La UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE COLOMBIA mantendr registros de aquellos
eventos o comportamientos que van en contra de lo establecido en los requerimientos para la implementacin,
operacin y mantenimiento del Sistema de Gestin de Seguridad la Informacin.
Estos elementos permiten establecer elementos de mejora continua teniendo en cuenta en establecer
acciones tendientes a la correccin y a la prevencin de aquellas situaciones que lleven al incumplimiento en
lo dispuesto a nivel de la organizacin en el marco del SGSI basado en la norma ISO 27001.
Se cuenta con el procedimiento Control de Servicio No Conforme (V-EI-P05), para la deteccin, tratamiento,
registro y control de las no conformidades del sistema. Adems se registraran los incidentes de seguridad de
la Informacin a travs del procedimiento de Gestin de Incidentes A-RI-P07 y el procedimiento de acciones
preventivas y Correctivas V-EI-P04.
3.5. PROVISION DE RECURSOS

El Lder del SGSI a travs del representante de Comit de seguridad de la informacin, debe gestionar ante la
Alta Direccin todos los recursos necesarios para que la implementacin de los controles se realice con base
en el plan de tratamiento de riesgos definidos.
3.6. OPERACION DEL SGSI
El Lder del SGSI con el apoyo de los responsables de los procesos, es quien coordina y da direccin a la
operacin del SGSI en la Universidad a travs de la realizacin de las diferentes actividades de
establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI, que
despliega y vuelve operativas dentro de la Institucin.
3.7. DOCUMENTACION DE LA ETAPA DE IMPLEMENTACION Y OPERACION DEL SGSI
En la etapa de establecimiento se deben generar o actualizar los siguientes documentos necesarios para la
implementacin y operacin del SGSI: Los procedimientos que soportan el SGSI se observan en el Anexo 1
de este documento
Gestin de Riesgos de Informacin

Metodologa
Formatos
Plan de tratamiento
Control de Documentos y Registros
Indicadores de Gestin SGSI
Inventario de Activos de informacin
Planes de Sensibilizacin
Cdigo : A-RI-M02
Versin : 04
Pgina 11 de 57
3.8. CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE INFORMACION.

Cuando se realicen actividades de auditora que involucren verificaciones de los sistemas en produccin,
se tomar previsin en la planificacin de los requerimientos y tareas, y se acordar con las reas
involucradas a efectos de minimizar el riesgo de interrupciones en las operaciones.
Se contemplarn los siguientes puntos:
Acordar con el proceso que corresponda los requerimientos de auditora.

Controlar el alcance de las verificaciones. Esta funcin ser realizada por el responsable de
auditora.
Limitar las verificaciones a un acceso de slo lectura del software y datos de produccin. Caso
contrario, se tomarn los resguardos necesarios a efectos de aislar y contrarrestar los efectos de las
modificaciones realizadas, una vez finalizada la auditora. Por ejemplo:
Eliminar archivos transitorios.
Eliminar entidades ficticias y datos incorporados en archivos maestros.
Revertir transacciones.
Revocar privilegios otorgados

Identificar claramente los recursos de tecnologas de informacin (TI) para llevar a cabo las
verificaciones, los cuales sern puestos a disposicin de los auditores. A tal efecto, quien sea
propuesto por el Comit de Seguridad de la Informacin completar el siguiente formulario, el cual
deber ser puesto en conocimiento de los procesos involucrados
RECURSOS TI A UTILIZAR EN LA VERIFICACION
Sistemas de informacin
Base de datos
Hardware
Software de Auditora
Medios Magnticos
Personal de Auditora
Interlocutores de las reas de TI
Interlocutores de las reas Usuarias
Conexiones a Red
Identificar y acordar los requerimientos de procesamiento especial o adicional.

Monitorear y registrar todos los accesos, a fin de generar una pista de referencia. Los datos a
resguardar deben incluir como mnimo:
Fecha y hora.
Puesto de trabajo.
Usuario.
Tipo de acceso.
Identificacin de los datos accedidos.
Estado previo y posterior
Programa y/o funcin utilizada.
Documentar todos los procedimientos de auditora, requerimientos y responsabilidades.
Cdigo : A-RI-M02
Versin : 04
4.
Pgina 12 de 57
SEGUIMIENTO Y REVISION DEL SGSI
En la definicin del Modelo PHVA, la fase de seguimiento y revisin hacen parte de las etapas de
Verificar, donde se establecen los aspectos a ser desarrollados por los responsables del sistema de
gestin de seguridad de la informacin (SGSI) en todos los niveles, para as, evaluar y en donde sea
aplicable, medir el desempeo del sistema contra la poltica, los objetivos y la experiencia prctica de la
gestin de seguridad de la informacin, a la vez que se reportan los resultados a la direccin para su
revisin y toma de decisiones.
Para el cumplimiento de esta fase, la organizacin desarrolla un conjunto de actividades de seguimiento
donde la Universidad mantendr de manera continua la medicin y verificacin de cumplimiento de los
aspectos planteados en la fase de Planeacin del modelo y la forma como estas actividades se han ido
desarrollando o ejecutando.
Cabe anotar, que estos aspectos de seguimiento y revisin debern ser desarrollados con base en los
resultados obtenidos; y se debern ajustar los aspectos necesarios para que el SGSI sea eficiente y
eficaz en el cumplimiento de los objetivos trazados en la fase de planeacin.
El modelo de seguridad de la informacin desarrollado por la Universidad incluye para la fase de
seguimiento y revisin las actividades detalladas a continuacin.
4.1. REVISION
Se deben llevar a cabo las siguientes actividades:
De la efectividad de los controles establecidos y su apoyo al cumplimiento de los objetivos de

seguridad de la informacin.
De la evaluacin de los riesgos desarrollada en la organizacin donde a su vez se validen los
niveles aceptables de riesgo y el riesgo residual despus de la aplicacin de controles y medidas
administrativas.
4.2. SEGUIMIENTO
Se deben llevar a cabo actividades para realizar seguimiento a:
La programacin y ejecucin de las actividades de auditoras internas del SGSI.

La programacin y ejecucin de las revisiones por parte de la direccin.
Al alcance del sistema de gestin y las mejoras del mismo.
Los Planes de seguridad tanto para el establecimiento como la ejecucin y actualizacin de los
mismos, como respuesta a los aspectos identificados a nivel de las revisiones y seguimientos
realizados en esta fase del SGSI.
A los registros de acciones o incidentes que podran tener impacto en la eficacia o el desempeo
del SGSI.
Cdigo : A-RI-M02
Versin : 04
Pgina 13 de 57
4.3. ACTIVIDADES GENERALES DE SEGUIMIENTO Y REVISION

Las siguientes son las actividades generales que soportan la etapa de seguimiento y revisin del SGSI:
Revisin de la eficacia del SGSI.

Medicin de la efectividad de Controles.
Revisin de las valoraciones de los riesgos.
Medicin de los indicadores de gestin del SGSI.
Realizacin de auditoras.
Revisiones del SGSI por parte de la direccin.
Actualizar los planes de seguridad.
Registro de las actividades del SGSI.
Revisiones de Acciones o Planes de Mejora (Respuesta a no conformidades).
Desde el punto de vista del desarrollo de estas actividades su cumplimiento deber estar enmarcado en
el modelo PHVA al interior de los procesos, donde se integran los aspectos de la gestin de la
organizacin que establece para las etapas de verificacin las siguientes tareas:
Peridicamente consolidar indicadores.

Evaluar indicadores frente a las metas.
Presentar los Indicadores.
Analizar causas de las desviaciones.
Evaluar las No Conformidades ocurridas y su impacto en el cumplimiento de las metas y
objetivos del SGSI.
4.4. DOCUMENTACION DE LA ETAPA DE SEGUIMIENTO Y REVISION DEL SGSI

En la etapa de seguimiento y revisin se definen las actividades que permiten medir el avance de los
elementos definidos en la etapa anterior se deben generar informes acerca de
Revisin de la eficiencia del SGSI

Medicin de efectividad de controles
Revisin de valoraciones de riesgos
Realizacin de auditoras internas
Revisiones del SGSI por la direccin
Actualizar planes de seguridad
Registro de actividades del SGSI
Revisiones de acciones o planes de incidentes
Cdigo : A-RI-M02
Versin : 04
5.
Pgina 14 de 57
MANTENIMIENTO Y MEJORA DEL SGSI
Una vez el Sistema de Gestin de Seguridad de la informacin se haya diseado e implementado se hace
necesario cerrar el ciclo con el mejoramiento continuo del mismo. Para esto se disea un plan de auditoras
internas teniendo en cuenta el estado e importancia de los procesos y la criticidad de la informacin y recursos
informticos. Estos planes incluirn el alcance, frecuencia de realizacin, mtodos de la auditoria, pruebas y
seleccin de los auditores.
El objetivo de la auditoras internas es determinar si los objetivos de control, controles, procesos, y
procedimientos del SGSI,
Estn implementados correctamente.

Tienen un desempeo acorde con lo esperado.
Cumplen los requisitos normativos.
Estas auditoras se encontrarn enmarcadas dentro del procedimiento Auditoras Internas V-EI-03 del Sistema
Integrado de Gestin SIG, que define las responsabilidades y requisitos para la planificacin y realizacin de
las mismas, la presentacin de resultados y mantenimiento de los registros.
Adems de los resultados de las auditorias, como entrada a este procedimiento se prev tambin la
retroalimentacin de todos los participantes del sistema y de la institucin, el manejo de no conformidades,
medicin de los indicadores y sugerencias.
Dentro de la fase de mantenimiento y mejora se definen las siguientes acciones:
5.1.
ACCIN CORRECTIVA
El objetivo de estas acciones es eliminar la causa de problemas asociados con los requisitos del SGSI (Estas
no conformidades son el resultado de las auditoras realizadas dentro del seguimiento y revisin del SGSI),
con el fin de prevenir que ocurran nuevamente.
5.2.
Determinar y evaluar las causas de los problemas del SGSI e incidentes de seguridad de la
informacin.
Disear e implementar la accin correctiva necesaria.
Revisar la accin correctiva tomada.
ACCIN PREVENTIVA
El objetivo de las acciones preventivas es eliminar la posibilidad de ocurrencia de no conformidades

potenciales con los requisitos del SGSI. Los procedimientos necesarios para esta accin son:
Determinar y evaluar las causas de las no conformidades potenciales.

Disear e implementar la accin preventiva necesaria.
Revisar la accin preventiva tomada.
Cdigo : A-RI-M02
Versin : 04
Pgina 15 de 57
Se debe identificar los cambios en los riesgos e identificar los requisitos en cuanto acciones preventivas,
enfocando la atencin en los riesgos que han cambiado significativamente. De esta manera la prioridad de las
acciones preventivas se debe determinar con base en los resultados de la valoracin de los riesgos.
Para el cumplimiento de estas acciones se cuenta con el Procedimiento Acciones Preventivas y Correctivas VEI-P04 del Sistema Integrado de Gestin.
5.3.
COMUNICACION
Las acciones de mejora se deben comunicar a todas las partes interesadas, con un nivel de detalle apropiado
a las circunstancias, y en donde sea pertinente llegar a acuerdos sobre cmo proceder.
5.4.
DOCUMENTACIN DE LA ETAPA DE MANTENIMIENTO Y MEJORA
Los procedimientos que soportan esta etapa del SGSI son
No Conformidades
Acciones correctivas y preventivas.
Cdigo : A-RI-M02
Pgina 16 de 57
Versin : 04
ANEXO 1. ROLES Y RESPONSABILIDADES PARA ISO 27001 E ISO 20000-1
ROLES
Representa
nte de la
Alta
Direccin
para el SIG
CARGO
Directivo
designado por el
Rector
AUTORIDAD
- Establecer polticas
que
contribuyan
a
implementar
y
mantener el Sistema
Integrado de Gestin
-SIG-.
-Avalar la adopcin y
modificacin de la
documentacin del
Sistema
Integrado
de Gestin SIG.
RESPONSABILIDAD
RENDICION DE
CUENTAS
Sugerir actualizaciones al marco

normativo de seguridad de la
informacin de la empresa cuando un
requerimiento del negocio, contractual
o del proceso genere la necesidad.
Liderar los proyectos y planes

mejoramiento de seguridad de
informacin asociados a la gestin
riesgos sobre la informacin de
proceso.
de
la
de
su
Participar en las decisiones

de
Asegurar
el
establecimiento,
implementacin,
operacin,
seguimiento y mejoramiento del SGSI
en sus procesos.
Garantizar los recursos humanos para

la ejecucin de los planes de
auditoras al SGSI.
Aprobar la identificacin, evaluacin y

tratamiento de riesgos sobre los
activos de sus procesos.
Cdigo : A-RI-M02
Versin : 04
Pgina 17 de 57
Asegurar el seguimiento de la gestin

de riesgos asociados a los activos de
sus procesos.
Aprobar la implementacin, comunicar

y asegurar la aplicacin de los
controles/ medidas administrativas
para tratar los riesgos sobre la
informacin de sus procesos.
Hacer seguimiento al
Anomalas del SGSI.
Aprobar la identificacin, valoracin y

clasificacin de la informacin en sus
procesos.
Determinar la informacin que har

parte del alcance del SGSI.
Garantizar
la
clasificacin
y
tratamiento de la informacin de
acuerdo al esquema definido por la
Universidad.
Asegurar que se realizan las
actividades
para
identificar,
documentar
y
satisfacer
los
requisitos del servicio.
Asignar
autorizaciones
y
responsabilidades para asegurar
que se disean, implementan y
mejoran los procesos de gestin del
manejo de
Cdigo : A-RI-M02
Versin : 04
Comit De
Seguridad.
Debe estar bajo

alguna resolucin.
Comit
Coordinador de
Control Interno..
Pgina 18 de 57
servicio conforme a la poltica y

objetivos de gestin del servicio.
Asegurar que los procesos de
gestin del servicio estn integrados
con el resto de componentes del
SGS y del SIG.
Asegurar
que
los
activos,
incluyendo sus licencias utilizados
para proveer los servicios, se
gestionan conforme a los requisitos
legales y regulatorios y a las
obligaciones contractuales.
Informar a la alta direccin sobre el
comportamiento y oportunidades de
mejora del SGS y de los servicios.
Revisar y aprobar la poltica de
seguridad de la informacin y asignar
las responsabilidades pertinentes.
Monitorear los cambios importantes

en la exposicin de los recursos de la
informacin a las mayores amenazas.
Revisar y monitorear las anomalas o

aspectos que puedan impactar la
seguridad de la informacin (No
conformidades en el marco del SGSI).
Aprobar iniciativas en pro de la mejora

de la seguridad de la informacin.
Debe brindar evidencia objetiva de su
Cdigo : A-RI-M02
Versin : 04
Pgina 19 de 57
participacin y compromiso con el

establecimiento,
implementacin,
operacin,
seguimiento,
revisin,
mantenimiento y mejora del SGSI.
Llevar a
cabo
las
revisiones
pertinentes a la gestin de la
seguridad de la informacin en la
organizacin
Brindar las aprobaciones necesarias

para la consecucin de los recursos
necesarios para el sistema.
Aprobar la normatividad del Sistema

de Gestin de Seguridad de la
Informacin (SGSI) teniendo en
cuenta las caractersticas de la
institucin.
Aprobar los objetivos para el SGSI.
Validar el manual del Sistema de

Gestin
de
Seguridad
de
la
Informacin
(SGSI)
para
la
Universidad en cuanto a su alcance,
objetivos, indicadores y metas,
herramientas,
funciones
y
responsabilidades y competencias
necesarias.
Asegurar que se hagan revisiones
Cdigo : A-RI-M02
Versin : 04
Pgina 20 de 57
regulares de la eficacia del SGSI.
Lder
del
Sistema de
Gestin de
Seguridad
de
la
Informacin
.
SGSI.
Informar a la Direccin de la
Universidad acerca del desempeo
del SGSI y de la manera como se
estn
gestionando
los
planes
asociados a la seguridad de la
informacin.
Aprobar y hacer seguimiento a los

criterios para la aceptacin y
tratamiento de los riesgos asociados a
la informacin.
La delegada por la
alta direccin para
tomar las decisiones
acerca del SGSI.
Coordinador
Grupo
Organizacin y
Sistemas.
Reporta al Comit de
Seguridad y a la Alta
Direccin.
Validar y proponer al comit el

alcance y lmites del SGSI en trminos .
de las caractersticas del negocio, la
organizacin, su ubicacin, sus
activos, tecnologa.
Validar y proponer al comit la poltica

de SGSI en trminos de las
caractersticas
del
negocio,
la
organizacin, su ubicacin, sus
activos y tecnologa.
Validar y proponer al comit una

metodologa para la identificacin,
valoracin, clasificacin y tratamiento
de los activos de informacin.
Validar y proponer al comit una
Cdigo : A-RI-M02
Pgina 21 de 57
Versin : 04
metodologa de valoracin del riesgo

que sea adecuada al SGSI y a los
requisitos reglamentarios, legales y de
seguridad de la informacin del
negocio, identificados.
Conocer la gestin de identificacin de

riesgos realizada por los procesos.
Coordinar la realizacin de la gestin

de riesgos que incluye:
o
Anlisis
riesgos.
Identificacin y evaluacin de
opciones para tratamiento de
riesgos.
Seleccin de objetivos de
control y controles para el
tratamiento de riesgos.
evaluacin
de
Validar y presentar al comit los

riesgos residuales propuestos por los
procesos.
Validar la implementacin y operacin

del SGSI.
Validar y presentar al comit una

declaracin de aplicabilidad.
Cdigo : A-RI-M02
Versin : 04
Pgina 22 de 57
Validar la implementacin del plan de

tratamiento de riesgos para lograr los
objetivos de control identificados, que
incluye considerar la financiacin y la
asignacin
de
funciones
y
responsabilidades.
Validar la implementacin de controles

seleccionados para cumplir con los
objetivos.
Validar la definicin de la eficacia de

los controles o grupos de controles
seleccionados por los procesos.
Definir y validar en conjunto con las

reas idneas la implementacin de
programas de formacin y toma de
conciencia relacionados con el SGSI.
Validar el diseo y definicin de los

procedimientos y controles para
detectar y dar respuesta oportuna a
los incidentes de seguridad.
Definir y aplicar los procedimientos de

seguimiento y revisin del SGSI.
Definir y aplicar la medicin de la

eficacia de los controles para verificar
que se han cumplido los requisitos de
Cdigo : A-RI-M02
Versin : 04
Pgina 23 de 57
seguridad.
Revisar las valoraciones de los

riesgos a intervalos planificados, y el
nivel de riesgo residual y riesgo
aceptable identificado.
Coordinar la realizacin de auditoras

internas al SGSI.
Coordinar las revisiones regulares de

la eficacia del SGSI (que incluyen el
cumplimiento de la poltica y objetivos
del SGSI, y la revisin de los controles
de seguridad) teniendo en cuenta los
resultados de las auditorias de
seguridad, incidentes, medicin de la
eficacia
sugerencias
y
retroalimentacin de todas las partes
interesadas.

planes de seguridad desarrollados.
Facilitar y promover el desarrollo de

iniciativas sobre seguridad de la
informacin.
Validar la documentacin del SGSI.
Validar
que
se
cumpla
el
establecimiento y mantenimiento de
registros para brindar evidencia de la
Cdigo : A-RI-M02
Versin : 04
Pgina 24 de 57
conformidad con los requisitos y la

operacin eficaz del SGSI.
Lder
de
Proceso.

criterios para aceptacin de riesgos, y
los niveles de riesgo aceptables.
Recomendar al Comit de Seguridad

de la Informacin, sobre posibles
actualizaciones de polticas, normas y
estndares de Seguridad de la
Informacin.
Coordinar la realizacin de anlisis e

investigaciones sobre los incidentes
de seguridad de la informacin.
Liderar la realizacin de la gestin de

activos de informacin y riegos por
parte de los lderes de procesos.
Velar
por
una
permanente
integracin del Sistema de Gestin
de Seguridad de la Informacin con
el Sistema de Gestin Integral de la
Universidad.
Verificar el cumplimiento de
normatividad de seguridad de
informacin en el proceso.
Participacin en la identificacin de los
la
la
Cdigo : A-RI-M02
Versin : 04
Pgina 25 de 57
proyectos y planes de mejoramiento

de seguridad de la informacin
asociados a la gestin de riesgo sobre
la informacin de su proceso.
Reportar el desempeo del sistema de

seguridad de la informacin y los
planes y proyectos asociados a la
seguridad de la informacin de su
proceso.
Verificar la identificacin, evaluacin,

tratamiento y seguimiento de los
riesgos sobre la informacin en su
proceso, as mismo su pertinencia.
Validar
la
identificacin,
implementacin y aplicacin de
controles y/o medidas administrativas
a implementar.
Verificar la aplicacin de
procedimientos
de
manejo
incidentes y anomalas.
Consolidar y hacer seguimiento de las

acciones preventivas o correctivas en
el proceso.
Identificar y valorar la informacin ms

importante del proceso en trminos de
su confidencialidad, integridad y
disponibilidad y atributos de manejo.
los
de
Cdigo : A-RI-M02
Versin : 04
Clasificar la informacin del proceso

de
acuerdo
al
esquema
de
clasificacin y a los niveles de
tratamiento definidos por la empresa.
Verificar la aplicacin del tratamiento

estipulado
de
acuerdo
a
la
clasificacin de la informacin.
Garantizar que se cumpla con las
polticas de Seguridad Informtica.
Administrar y coordinar la ejecucin
de la Seguridad Informtica desde el
punto de
vista tecnolgico
y
administrativo.
Promover la aplicacin de auditoras
enfocadas a la seguridad informtica,
para evaluar las prcticas de
Seguridad Informtica.
Ejecutar el plan de seguridad
informtica definido.
Definir disposiciones de seguridad
para que sean incorporadas por las
reas que utilizan la tecnologa a nivel
de estndares y procedimientos de
Seguridad Informtica.
Documentar
los
procedimientos,
normas y estndares de Seguridad
Informtica.
Administrad
or
de
Seguridad.
Profesional
Universitario
Grupo
Organizacin y
Sistemas.
Pgina 26 de 57
Cdigo : A-RI-M02
Versin : 04
Pgina 27 de 57
En conjunto con el rea de tecnologa

de Informacin o Sistemas y el lder
del SGSI desarrollar, mantener y
comunicar las polticas, estndares y
normas de Seguridad Informtica.
Crear y definir los lineamientos para la
conformacin de un grupo de
respuesta a incidentes de seguridad,
para
atender
los
problemas
relacionados
a
la
Seguridad
Informtica.
Servir de punto de apoyo respecto a
cambios en la plataforma tecnolgica,
para asegurar que los aspectos de
Seguridad
Informtica
sean
considerados en las etapas inciales
de los proyectos.
Responsable por establecer y verificar
la implementacin de los lineamientos
(Normas y estndares) de seguridad
en las plataformas tecnolgicas que
soportan los procesos.
Crear y vigilar los lineamientos
necesarios que ayuden a tener los
servicios de seguridad.
Servir como punto de apoyo en la
Cdigo : A-RI-M02
Versin : 04
Usuarios
Funcionario
s
que
hacen parte
del SGS y
del SGSI.
Grupo
Organizaci
n
y
Sistemas.
Funcionarios
Grupo
Organizacin y
Sistemas
Pgina 28 de 57
Seguridad Informtica de activos que

hacen parte de los procesos.
Realizar las acciones correctivas y
preventivas relacionadas con el
modelo de seguridad informtica.
Cumplir con todas las medidas de
seguridad definidas en el Manual de
Gestin
de
Seguridad
de
la
Informacin.
Participar
activamente
de
las
capacitaciones
peridicas
para
conocer las polticas de Seguridad de
la Informacin.
Evaluar los servicios prestados por el
SGS.
Funciones establecidas en el manual
de funciones.
Actividades establecidas en cada uno
de los procedimientos que hacen
parte del SGS.
Dar cumplimiento a las polticas
establecidas en el SGS y en el SGSI.
Dar cumplimiento a las actividades
para cumplir con los acuerdos de
Cdigo : A-RI-M02
Versin : 04
Pgina 29 de 57
Nivel de servicios del SGS.

Comit de
Calidad del
Proceso
Gestin de
Recursos
Informtico
s.
La definida por el
lder del SGSI y
SGS.
Funcionarios del
Grupo
Organizacin y
Sistemas.
- Aprueba los planes definidos de la

gestin del servicio.
- Aprueba los Procesos del SGS
(documentacin,
responsables,
registros, indicadores).
Comunica al personal y alta direccin
de las acciones y resultados
obtenidos.
Verifica que las mejoras cumplen los
objetivos propuestos.
Genera
acciones
de
mejora,
preventivas y correctivas para el SGS
y el SGSI
- Delega la ejecucin de las tareas de
desarrollo e implementacin del SGS.
Cdigo : A-RI-M02
Versin : 04
Pgina 30 de 57
ANEXO 2. DECLARACION DE APLICABILIDAD.

REGISTRO DE MODIFICACIONES
VERSION
1
FECHA
29-07-2014
ITEM MODIFICADO
COLUMNA EFECTIVIDAD
DEL CONTROL
IMPLEMENTADO.
DESCRIPCION
SE ELIMINA ESTE CAMPO, DEBIDO A QUE NO ES
FUNCIONAL.
.
DECLARACIN DE APLICABILIDAD
Clusula
ISO
27001:2013
Descripcin
Aplica
Justificacin
Control Implementado
A 5. POLITICA DE SEGURIDAD
A 5.1 Poltica de Seguridad de la Informacin
La UPTC demuestra su inters
hacia la seguridad de la
Poltica de Seguridad de
Polticas de seguridad de
informacin
a
travs
del
SI
A 5.1.1
Informacin.
resolucin
la informacin
establecimiento de la poltica del
2094 de 2014.
SGSI y la implementacin del
SGSI.
Revisin anual de la poltica
Asegurar que la poltica se de
seguridad
de
Revisin de la poltica de
mantiene relacionada con los informacin por parte del
SI
A 5.1.2
seguridad de la
requisitos
de
las
partes Comit de Seguridad y en
informacin
interesadas y la evaluacin del la revisin por la Alta
riesgo.
Direccin.
A 6. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACIN
A 6.1 Organizacin Interna
Documento Plan de Gestin
Determinar cada responsabilidad
Roles y responsabilidades
del Servicio. A-RI-L02 Y
en los diferentes niveles dentro
SI
A 6.1.1
para la seguridad de la
Manual
Integrad
del
de la estructura Organizacional
informacin
Sistema
Integrad
de
de la Universidad.
Gestin.P-DS-M01
Los deberes y responsables
de las actividades que se
realizan en el Proceso
Separar los deberes y reas de Gestin
de
Recursos
SI
A 6.1.2
Separacin de deberes
responsabilidad en conflicto para Informticos se encuentran
minimizar la modificacin y el uso documentados
en
los
indebido
de
activos
de procedimientos que hacen
informacin.
parte del proceso.
Mantener el cumplimiento de la
Contacto con las
Procedimiento Contacto con
SI
A 6.1.3
Institucin en el contacto con las
autoridades
las autoridades A-RI-P21.
autoridades pertinentes.
Cdigo : A-RI-M02
Versin : 04
A 6.1.4
Contacto con grupos de

inters especial
SI
A 6.1.5
Seguridad de la
informacin en la Gestin
de Proyectos
SI
Pgina 31 de 57
Monitorear y estar actualizado

respecto a amenazas para la
Procedimiento Contacto con
informacin y sus medios de
las autoridades A-RI-P21.
procesamiento a travs de grupos
de inters especial.
Se genera en el concepto
tcnico para compra de
equipos de computo y
Tratar la seguridad de la perifricos.
informacin en la gestin de Se genera cuadro de
proyectos, no importa el tipo de verificacin
acerca
de
proyecto.
seguridad de la informacin
a tener en cuenta en
Planeacin
donde
se
revisan los proyectos.
A.6.2. Dispositivos mviles y Teletrabajo.

Polticas para gestionar los
riesgos introducidos por el uso de
dispositivos mviles.
La
Universidad
no
tiene
NO
A 6.2.2
Teletrabajo
establecida la modalidad de
TeleTrabajo..
A 7. SEGURIDAD DE LOS RECURSOS HUMANOS
A 7.1 Antes de Asumir el Empleo
La UPTC debe contar con
SI
procedimientos para la seleccin
A 7.1.1
Seleccin
de
personal
que
incluye
investigacin de antecedentes.
Establecer
dentro
de
las
obligaciones
contractuales
de
SI
Trminos y condiciones
A 7.1.2
empleados
o
terceros,
del empleo
condiciones
respecto
a
la
seguridad de informacin.
A 7.2 Durante la Ejecucin del Empleo
A 6.2.1
Poltica para dispositivos

mviles
A 7.2.1
Responsabilidades de la
direccin
A 7.2.2
Toma de conciencia ,
educacin y formacin en
la seguridad de la
informacin
SI
SI
SI
Es
importante
que
los
involucrados en el SGSI tengan
claras sus responsabilidades
respecto a la seguridad de los
activos de informacin.
La UPTC debe realizar campaas

y actividades que sensibilicen a
sus colaboradores sobre la
seguridad de la Informacin.
Polticas de Dispositivos
mviles en el Manual del
SGSI.
Procesos
institucionales
seleccin
de
Personal
Docente y No docente. AGH-P01 y A-GH-P02.
Acuerdo de confidencialidad
A-GH-P03-F04
del
procedimiento
de
vinculacin A-GH-P03.
La organizacin informa a
sus funcionarios en el
proceso de vinculacin con
el
acuerdo
de
confidencialidad A-GH-P03F04 . y
en Curso de
induccin
y reinduccin
acerca de la importancia de
la
seguridad
de
la
informacin a travs del
cumplimiento
de
las
polticas.
En Curso de induccin y
reinduccin.
Charlas
a
funcionarios
organizadas
por el Grupo Organizacin y
Sistemas. Difusin a travs
de la pgina web, de la
Cdigo : A-RI-M02
A 7.2.3
Proceso disciplinario
Versin : 04
SI
Pgina 32 de 57
emisora y del boletn UPTC.

En caso de no cumplir con los
criterios de Seguridad de la
Procedimiento
Control
informacin, la UPTC debe contar
Disciplinario A-GH-P07.
con
procesos
disciplinarios
conforme al marco legal.
A 7.3 Terminacin y Cambio de Empleo
A 7.3.1
Terminacin o cambio de
responsabilidades de
empleo
Asegurar
la
integridad,
confidencialidad y disponibilidad
de los activos de informacin Procedimiento de entrega
SI
durante el proceso de retiro, de cargos A-GH-P05.
licencia
y
movimiento
de
personal.
A 8. GESTIN DE ACTIVOS
A 8.1 Responsabilidad por los Activos

A 8.1.1
Inventario de Activos
SI
A 8.1.2
Propiedad de los activos
SI
A 8.1.3
Uso aceptable de los

activos
SI
A 8.1.4
Devolucin de activos
SI
Procedimiento Inventario y
Conocer y clasificar los Activos de clasificacin de activos de
informacin
A-RI-P09.
Informacin.
Formato A-RI-P09-F01.
Procedimiento Inventario y
Definir responsabilidades sobre la clasificacin de activos de
informacin. Formato A-RIasignacin de activos.
P09-F01.
Polticas contenidas en el
anexo 4 del Manual de
Contar con polticas para el
seguridad de la Informacin
manejo y
uso de recursos
Polticas para el manejo de
tecnolgicos
la informacin y de Uso de
los Recursos tecnolgicos.
Asegurar
la
integridad,
Procedimiento de entrega
de los activos de informacin
de cargos. A-GH-P05
durante el proceso de retiro,
renuncia y traslados de personal.
A 8.2 Clasificacin de la Informacin

A 8.2.1
Clasificacin de la
informacin
SI
A 8.2.2
Etiquetado de la
informacin
SI
A 8.2.3
Manejo de activos
SI
Gua para el Inventario y la

Identificar y clasificar los Activos
Clasificacin de Activos de
de Informacin.
Informacin A-RI-P09-G01.
Facilitar
el
control
de
la
Procedimiento
A-RI-P09
informacin con el manejo de las
Inventario y Clasificacin de
etiquetas
derivadas
de
la
activos de Informacin
clasificacin de la Informacin.
Contar con procedimientos para Procedimiento
A-RI-P09
el manejo de activos de Inventario y Clasificacin de
informacin.
activos de Informacin
A 8.3 Manejo de Medios
A 8.3.1
Gestin de los medios

removibles
SI
En la operacin de los procesos

dentro del SGSI son utilizados Procedimiento
medios electrnicos mviles, por Gestin
de
lo que se requiere definir un Removibles.
procedimiento que controle su
A-RI-P22.
Medios
Cdigo : A-RI-M02
Versin : 04
Pgina 33 de 57
uso.
Una vez que activos de
informacin no volvern a ser
utilizados o son destinados para
SI
A 8.3.2
Disposicin de los medios
fines diferentes a los actuales
debe protegerse la informacin,
software y accesos conforme a
las polticas correspondientes.
Procedimientos para el manejo y
almacenamiento
de
la
Transferencia de medios
informacin que eviten el acceso
SI
A 8.3.3
fsicos
no autorizado o uso inadecuado
de
la
informacin
de
la
Universidad.
A 9. CONTROL DE ACCESO
A 9.1 Requisitos del Negocio para el Control de Acceso
Poltica de control de
Controlar el acceso a la
SI
A 9.1.1
acceso
informacin.
Asegurar que los usuarios de la
Acceso a redes y a
SI
A 9.1.2
red slo acceden a los servicios
servicios de red
para los que estn autorizados.
A 9.2 Gestin del Acceso de Usuarios
Asegurar el acceso del usuario
Registro y cancelacin del
autorizado y evitar el acceso no
SI
A 9.2.1
registro de usuarios
autorizado a los sistemas de
informacin y servicios.
Asignar o revocar derechos de
Suministro de acceso a
SI
A 9.2.2
acceso a usuarios para todos los
usuarios
servicios.
Gestin de derechos de
SI
A 9.2.3
informacin de los sistemas y
acceso privilegiado
servicios.
Gestin de informacin de
SI
A 9.2.4
autenticacin secreta de
informacin de los sistemas y
usuarios
servicios.
Asegurar que cada usuario
Revisin de los derechos
solamente tenga acceso a la
SI
A 9.2.5
de acceso de usuarios
informacin que requiere para sus
funciones.
Asegurar
la
integridad,
Retiro o ajuste de los
SI
A 9.2.6
de los activos de informacin
derechos de acceso
durante el proceso de retiro,
renuncia y traslado de personal.
A 9.3 Responsabilidades de los Usuarios
Uso de informacin de
Que los usuarios mantengan su
SI
A 9.3.1
autenticacin secreta
contrasea secreta.
A 9.4 Control de Acceso a Sistemas y Aplicaciones
Evitar
que
usuarios
no
Restriccin del acceso a la
SI
A 9.4.1
autorizados tengan acceso a los
informacin
sistemas de informacin.
Procedimiento
A-RI-P23.
Eliminacin Segura de la
Informacin.
Procedimiento
Gestin
de
Removibles.
A-RI-P22.
Medios
Poltica 12 de Control de
Acceso.
Acceso..
Proceso
Gestin
de
Identidad y Acceso A-RIP20.
Proceso
Gestin
de
Identidad y Acceso A-RIP20.
Proceso
Gestin
de
Identidad y Acceso A-RIP20..
A travs del gestor de
identidad en el portal
http://miclave.uptc.edu.co.
Proceso
Gestin
de
Identidad y Acceso A-RIP20..
Proceso de Entrega de
Cargos A-GH-P05. Proceso
Gestin de Identidad y
Acceso A-RI-P20.
Polticas 2. Uso de los
Recursos Tecnolgicos.
Acceso.
Cdigo : A-RI-M02
Pgina 34 de 57
Versin : 04
A 9.4.2
Procedimiento de ingreso
seguro
NO
A 9.4.3
Sistema de gestin de
contraseas
SI
A 9.4.4
Uso de programas
utilitarios privilegiados
SI
A 9.4.5
Control de acceso al
cdigo fuente de los
programas
La poltica de control de acceso

no requiere de un procedimiento
de ingreso seguro.
Mantener patrn de claves de A travs del gestor de
acceso.
Recuperacin
de identidad en el portal
contraseas.
http://miclave.uptc.edu.co.
Se controla el uso de programas

utilitarios.
Recursos Tecnolgicos..
El acceso no permitido a los
cdigos fuente de los sistemas de
la organizacin puede provocar
SI
su robo o que el sistema sea
corrompido y verse afectados en
su funcionamiento, con el seguro
impacto a los clientes.
A 10. CRIPTOGRAFIA
A 10.1 Controles Criptogrficos

Desarrollar
e
implementar
controles criptogrficos para la
proteccin de la informacin.
Implementar sistema de gestin
SI
de llaves para apoyar el uso de
las tcnicas criptogrficas.
A 11. SEGURIDAD FSICA Y DEL ENTORNO
A 10.1.1
Poltica sobre el uso de

controles criptogrficos
A 10.1.2
Gestin de llaves
SI
Poltica
13.
Uso
de
controles Criptogrficos.
Poltica
Llaves
14.
Gestin
de
A 11.1 reas Seguras

A 11.1.1
Permetro de seguridad
fsica
SI
A 11.1.2
Controles de acceso
fsicos
SI
A 11.1.3
Seguridad de oficinas,
recintos e instalaciones
SI
A 11.1.4
Proteccin contra
amenazas externas y
ambientales
SI
Limitar la posibilidad de prdida

Control de acceso al Data
de
activos
de
informacin
Center.
definiendo
permetros
de
seguridad fsica.
Centros de cableado y Data
Center permanecen bajo
Evitar el acceso no autorizado a llave y solo se permite el
reas seguras como rea de acceso
al
personal
servidores,
rea
de autorizado, se mantiene
comunicaciones, archivo con lista con el personal. En
informacin confidencial
caso de acceso por parte
de terceros se diligencia
formato A-RI-P17-F01.
Se mantiene la informacin
bajo llave y se restringe el
Preservar las reas de resguardo
acceso sin autorizacin con
de activos de informacin.
avisos impresos. En las
oficinas del GOS.
Se cuenta con sistema de
aire acondicionado en data
Preservar los de activos de
center, proteccin con UPS
informacin, contra desastres
y
Planta
Elctrica,
naturales, ataques maliciosos o
protegido con extintores
accidentes.
especiales para data center.
Mantiene condiciones de
Cdigo : A-RI-M02
Versin : 04
A 11.1.5
Trabajo en reas seguras
SI
A 11.1.6
reas de carga, despacho

y acceso pblico
SI
Pgina 35 de 57
control de acceso seguro.

Los controles se definieron
en el Procedimiento Gestin
de
Seguridad
de
la
Informacin. A-RI-P17
La carga y despacho de
elementos se realiza en el
almacn de la Universidad
Evitar la carga y despacho de que es el sitio designado
elementos en las reas seguras.
por la Universidad. En las
reas seguras no se
realizan procesos de carga
y despacho de elementos.
Preservar las reas de resguardo
de activos de informacin y los
propios activos de daos no
intencionados.
A 11.2 Equipos
A 11.2.1
Ubicacin y proteccin de
los equipos
A 11.2.2
Servicios de suministro
A 11.2.3
Seguridad del cableado
A 11.2.4
Mantenimiento de los
equipos
A 11.2.5
Retiro de activos
A 11.2.6
Seguridad de los equipos

fuera de las instalaciones
SI
SI
Prevenir la perdida de activos de

informacin por dao o robo.
Mantener la operacin de equipos

crticos.
La UPTC debe contar con plantas
o elementos que garanticen la
continuidad
del
suministro
elctrico.
Los equipos se encuentran

protegidos con plizas de
seguros global de la
Universidad.
La conexin se realiza a la
red elctrica regulada y los
puntos
de
red
se
encuentran certificados.
Se aplica poltica 4 de
escritorio y pantalla limpios
El data Center donde se
aloja
los
activos
de
informacin crticos esta
protegida
con
planta
elctrica y UPS para
proteger y mantener el
respaldo elctrico.
Se cuenta con circuitos
independientes desde la
subestacin hasta el centro
de datos para el suministro
elctrico del data center.
El cableado de datos se
encuentra protegido de
acuerdo con lo establecido
en la norma IEEE 568B
Poltica 6. Instalacin de
Cableado.
Programas
de
mantenimiento a equipos de
acuerdo el procedimiento ARI-P02 y se evidencia en el
formato A-RI-P02-F08
Poltica 2.
Uso de los
Recursos tecnolgicos
SI
El cableado de energa elctrica y

de comunicaciones se debe
proteger.
SI
Mantener la operatividad de los

equipos.
SI
Autorizacin para el retiro de

activos.
Evitar daos o prdidas a los
Poltica 2.
Uso de los
equipos cuando se encuentran
Recursos tecnolgicos
fuera de las instalaciones.
SI
Cdigo : A-RI-M02
Versin : 04
Pgina 36 de 57
Procedimiento Gestin de
Evitar fugas de informacin
Medios Removibles A-RIpropiedad de la Universidad.
P22.
Evitar el acceso no autorizado a
Equipo de usuario
Poltica 4 de escritorio y
SI
A 11.2.8
equipos de cmputo, cuando el
desatendido
pantalla limpios
usuario no se encuentra.
Poltica de escritorio
Evitar acceso o filtraciones de
Poltica 4 de escritorio y
SI
A 11.2.9
despejado y de pantalla
informacin
a
travs
de
pantalla limpios
despejada
documentos en reas visibles.
A 12. SEGURIDAD DE LAS OPERACIONES
A 12.1 Procedimientos Operacionales y Responsabilidades
Establecer las condiciones de Procedimientos
de
Procedimientos de
operacin
conforme
a
las operacin que hacen parte
SI
A 12.1.1
operacin documentados
necesidades de los procesos de del proceso Gestin de
la Universidad, segn aplique.
Recursos Informticos A-RI.
Procedimiento
Controlar los cambios que afecten
SI
A 12.1.2
Gestin de cambios
Gestin de Cambios A-RIla Seguridad de la Informacin.
P10.
Gestionar
los
recursos Procedimiento Gestin de la
SI
A 12.1.3
Gestin de la capacidad
tecnolgicos de la Universidad.
Capacidad A-RI-P12
Separacin de los
Preservar activos e informacin Se cuenta con equipos
SI
A 12.1.4
ambientes de desarrollo,
de operacin / produccin ante donde se trabaja cada uno
pruebas y operacin
desarrollos o cambios.
de los ambientes.
A 12.2 Proteccin contra Cdigos Maliciosos
Poltica 2. Uso de Recursos
Tecnolgicos.
Evitar daos al
software y
Documento de Controles
Controles contra cdigos
hardware de la Organizacin con
SI
A 12.2.1
contra cdigos maliciosos
maliciosos
controles
contra
cdigos
en la base de datos del
maliciosos.
conocimiento del sistema
mesa de ayuda.
A 12.3 Copias de Respaldo
Respaldo de la
Mantener disponible e integra la Poltica 7. Copias de
SI
A 12.3.1
informacin
informacin.
Respaldo.
A 12.4 Registro y Seguimiento
Se mantienen los siguientes
registros de eventos:
1. En la base de datos log
de alertas contiene
eventos, errores de la
base de datos y
archivos de traza que
Mantener
registro
de
las
se van generando. Se
SI
A 12.4.1
Registro de eventos
operaciones de los usuarios
revisan
realizadas en las bases de datos.
quincenalmente.
2. Registro de eventos en
los sistemas operativos
de acceso de errores,
de aplicacin y se
revisan
peridicamente.
La
A 11.2.7
Disposicin segura o
reutilizacin de equipos
SI
Cdigo : A-RI-M02
Pgina 37 de 57
Versin : 04
frecuencia de revisin
la
establece
el
administrador de cada
equipo.
3. La rotacin se realiza
de
acuerdo
a
la
capacidad
de
almacenamiento
disponible
en
los
equipos
4. Se mantienen registros
de auditoria de los
sistemas
de
informacin SIRA y
HUMANO a nivel de
aplicacin
para
detectar los cambios
relacionados con la
informacin sensible.
Solo los Administradores de
el historial
los equipos tienen acceso a
la informacin de registro.
A 12.4.2
Proteccin de la
informacin de registro
SI
Mantener y proteger
de logs.
A 12.4.3
Registros del
administrador y del
operador
SI
Mantener
registro
de
operaciones realizadas.
A 12.4.4
Sincronizacin de relojes
SI
Asegurar la hora exacta de las Servidores

transacciones de los servidores.
NTP.
SI
Poltica2. Uso de Recursos

Controlar
accesos
para
Tecnolgicos
y
instalacin de software en los
Procedimiento Gestin de
sistema operativos.
Incidentes A-RI-P07.
las Se conservan los registros

de inicio de sesin.
con
protocolo
A 12.5 Control de Software Operacional

A 12.5.1
Instalacin de software en
sistemas operativos
A 12.6 Gestin de la Vulnerabilidad Tcnica

Los
nuevos
sistemas
de
informacin deben especificar los
Gestin de las
requerimientos de controles de
SI
A 12.6.1
vulnerabilidades tcnicas
seguridad
necesarios
para
cumplir los lineamientos en
materia de seguridad del negocio.
Establecer polticas para la
Restriccin sobre la
SI
A 12.6.2
instalacin de software por parte
instalacin de software
de los usuarios.
A 12.7 Consideraciones sobre Auditorias de Sistemas de Informacin
Se genera Documento de
identificacin de controles
de vulnerabilidades tcnicas
en la base de datos de
conocimiento del sistema
mesa de ayuda.
Poltica 2 Uso de los
Numeral
3.8
Realizar auditoras para verificar
consideraciones
sobre
Controles de auditoras de
los sistemas operativos para
SI
A 12.7.1
auditorias de Sistemas de
sistemas de informacin
minimizar las interrupciones en
Informacin en el Manual
los procesos.
del SGSI A-RI-M02
A 13 SEGURIDAD DE LAS COMUNICACIONES
A 13.1 Gestin de la Seguridad de las Redes
SI
A 13.1.1
Controles de las redes
Gestin y control de las redes El profesional encargado de
Cdigo : A-RI-M02
Versin : 04
A 13.1.2
Seguridad de los servicios

de red
SI
A 13.1.3
Separacin en las redes
SI
Pgina 38 de 57
para
proteger informacin en la red realiza la gestin para
sistemas y aplicaciones.
los equipos activos se
monitoreando
comportamiento del trfico
sobre puerto de conexin
de los servidores en el
Switch.
Monitoreo de trfico de la
red con WHIRESHARP
La
gestin
sobre
aplicaciones se realiza a
travs del monitoreo con
NATGIOS.
Documento de Seguridad
Asegurar los servicios en red.
de los servicios de red..
Administracin de la red, se
tiene una segmentacin
Evitar que el trfico de una para la parte acadmica,
subred afecte a las dems.
administrativa, inalmbrica.
Videoconferencias
y
RENATA
A 13.2 Transferencia de Informacin
A 13.2.1
Polticas y procedimientos
para el intercambio de
informacin
SI
A 13.2.2
Acuerdos sobre
transferencia de
informacin
SI
A 13.2.3
Mensajera electrnica
SI
Establecer los mecanismos de

intercambio de informacin entre
dependencias de la Universidad,
que asegure la confidencialidad,
integridad y disponibilidad de los
datos.
Asegurar la confidencialidad de la
informacin,
en
manos
de
terceras partes.
Evitar accesos no autorizados a
buzones de correo.
Evitar la
recepcin de correo no solicitado
(SPAM).
Mantener
la
disponibilidad del servicio. Evitar
transmisin
de
virus.
La
mensajera electrnica definida
por la Universidad es el Correo
Electrnico Institucional.
Poltica 8. Intercambio de
Informacin.
Acuerdo de confidencialidad
con terceros.
Polticas 1. Manejo de la
Informacin.
Acuerdos
de
Asegurar la confidencialidad y
confidencialidad
para
SI
A 13.2.4
garantizar la proteccin de la
funcionarios
y
para
informacin.
terceros.
A 14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
A 14.1 Requisitos de Seguridad de los Sistemas de Informacin
Los
nuevos
sistemas
de
Anlisis y especificacin
informacin deben especificar los
Guia para el Desarrollo de
de los requisitos de
requerimientos de controles de
SI
A 14.1.1
Sistemas de Informacin. Aseguridad de la
seguridad
necesarios
para
RI-P01-G01
informacin
cumplir los lineamientos en
materia de seguridad del negocio.
Acuerdos de
confidencialidad o de no
divulgacin
Cdigo : A-RI-M02
A 14.1.2
Seguridad de servicios de
las aplicaciones en redes
pblicas
A 14.1.3
Proteccin de
transacciones de los
servicios de las
aplicaciones
Pgina 39 de 57
Versin : 04
SI
Proteger
de
actividades
fraudulentas la informacin de los
servicios que utilizan redes
pblicas.
SI
Evitar la transmisin incompleta,

el
enrutamiento
errado,
alteracin,
divulgacin,
duplicacin o reproduccin de
mensajes no autorizada.
A 14.2 Seguridad en los Procesos de Desarrollo y Soporte

Establecer
polticas
para
Poltica de desarrollo
SI
A 14.2.1
desarrollo interno de productos de
seguro
software.
Es esencial, para evitar que los
cambios se realicen de forma no
controlada, que se cuente con un
Procedimientos de control
SI
A 14.2.2
procedimiento que establezca los
de cambios en sistemas
pasos a seguir para que los
cambios a los sistemas se hagan
de manera ordenada y correcta.
Se deben probar los cambios en
Revisin tcnica de las
los sistemas previos a su
aplicaciones despus de
liberacin para asegurar que no
SI
A 14.2.3
los cambios en la
tengan un impacto adverso a las
plataforma de operacin
operaciones de la organizacin o
a su seguridad.
Los cambios en los sistemas
Restricciones en los
deben ser restringidos para evitar
SI
A 14.2.4
cambios a los paquetes de
las modificaciones fuera de
software
control que podran generar fallas
no deseadas o conocidas.
Establecer,
documentar
y
mantener polticas para desarrollo
Principios de construccin
SI
A 14.2.5
de aplicaciones de software
de los sistemas seguros
seguros y aplicarlos en cualquier
actividad de implementacin.
Las aplicaciones que se

publican han cumplido con
el proceso de Gestin de
Entregas A-Ri-P20
Se
implementa
para
aplicaciones
web
tres
elementos:
*Mecanismos
de
autenticacin basado en
WRSO.
*Mecanismos
de
autorizacin
*Manejo de Sesiones.
Se implementa certificado
digital
SSL
para
aplicaciones web criticas
como
SIRA
en
http://registro.uptc.edu.co
Se
maneja
para
aplicaciones cliente servidor
ORACLE
y
ORACLE
DEVELOPER que contiene
mecanismos de seguridad
en el transporte de datos
propietarios de la base de
datos.
Poltica
seguro
16.
Desarrollo
Procedimiento gestin de
Cambios A-RI-P10.
Cambios A-RI-P10.
Cambios A-RI-P10.
Gua para el Desarrollo de

Sistemas de Informacin. ARI-P01-G01
Cdigo : A-RI-M02
A 14.2.6
Ambiente de desarrollo
seguro
Versin : 04
SI
A 14.2.7
Desarrollo contratado
externamente
SI
A 14.2.8
Pruebas de seguridad de
sistemas
SI
A 14.2.9
Prueba de aceptacin del

sistema
SI
Garantizar
ambientes
desarrollo seguros para todas
actividades del ciclo de vida
desarrollo
de productos
software.
Pgina 40 de 57
de
las Restriccin en el ingreso a
de los lugares de desarrollo,
de con avisos impresos.
La supervisin de los
Validar el procesamiento de los contratos de desarrollo ser
sistemas antes de ponerlos en realizada
por
la
produccin.
coordinacin del Grupo
organizacin y Sistemas.
Realizar pruebas de seguridad
Sistemas de Informacin. Adurante el desarrollo.
RI-P01-G01
Determinar la posible afectacin a Sistemas de Informacin. Ala operacin de la Universidad y RI-P01-G01. Formato A-RIel adecuado uso de los recursos. P01-I01-F04.
Acta
de
Realizacin de Pruebas.
A 14.3 Datos de Prueba

Se
deben
seleccionar
cuidadosamente los datos que se
Proteccin de los datos de
van a utilizar en las pruebas para
SI
A 14.3.1
Sistemas de Informacin. Aprueba del sistema
evitar alguna fuga de la
RI-P01-G01
informacin Poltica de desarrollo
de software.
A 15. RELACIONES CON LOS PROVEEDORES
A 15.1 Seguridad de la Informacin en las Relaciones con los Proveedores
Poltica 1. Manejo de la
Prever fallas o situaciones de
informacin.
Poltica de seguridad de la
impacto a los activos de
Poltica 3. Acceso Remoto
informacin para las
informacin o la informacin
SI
A 15.1.1
Poltica 5. Seguridad Fsica
relaciones con
misma a travs de condiciones y
y del entorno.
proveedores
caractersticas de productos,
Poltica 8. Intercambio de
servicios, etc.
Informacin.
Los requisitos de seguridad
se definen en los conceptos
tcnicos y en los pliegos de
Tratamiento de la
Establecer y acordar requisitos de
condiciones.
SI
A 15.1.2
seguridad dentro de los
seguridad de la informacin con
Se definen en el Acuerdo
acuerdos con proveedores
los proveedores.
de confidencialidad con
terceros.
Los acuerdos con terceros deben
Acuerdo
de
incluir requisitos para tratar los
SI
A 15.1.3
Confidencialidad
con
riesgos de seguridad de la
terceros.
informacin.
A 15.2 Gestin de la Prestacin del Servicios de Proveedores
Documento publicado en la
Seguimiento y revisin de
Determinar
el
grado
de base
de
datos
de
SI
A 15.2.1
los servicios de los
cumplimiento de terceras partes conocimientos del sistema
proveedores
conforme contrato y/o acuerdos.
mesa de ayuda acerca de
Monitoreo y Revisin a los
Cadena de suministro de
tecnologa de informacin
y comunicacin
Cdigo : A-RI-M02
A 15.2.2
Versin : 04
Pgina 41 de 57
servicios
provistos
por
terceros.
Mantener la operacin de la Los proveedores deben
Gestin cambios en los
SI
Universidad
controlando
el referir al procedimiento
servicios de los
impacto de los servicios de
Gestin de Cambios A-RIproveedores
terceros ante cambios.
P10.
A 16. GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN
A 16.1 Gestin de los Incidentes y las Mejoras en la Seguridad de la Informacin
A 16.1.1
Responsabilidades y
procedimientos
A 16.1.2
Reporte sobre los eventos

de seguridad de la
informacin
SI
A 16.1.3
Reporte sobre las

debilidades en la
seguridad
SI
SI
Asegurar una respuesta oportuna,

efectiva y organizada de los
incidentes de seguridad de la
informacin.
Asegurar que los eventos e

incidentes de seguridad de
informacin
sean
reportados
oportunamente.
Asegurar que los eventos e
incidentes de seguridad de
informacin
sean
reportados
oportunamente.
A 16.1.4
Evaluacin de eventos de
seguridad de la
informacin y decisiones
sobre ellos
SI
Evaluar los eventos de seguridad

de la informacin y decidir si se
clasifican como incidentes de
A 16.1.5
Respuesta a incidentes de
seguridad de la
informacin
SI
Procedimiento
para
atender
informacin.
A 16.1.6
Aprendizaje obtenido de
los incidentes de
seguridad de la
informacin
SI
Conocimiento adquirido sobre los

eventos de seguridad.
Procedimiento
para
la
Gestin de Incidentes A-RIP07.
Gua para la Gestin de
Incidentes de Seguridad de
la Informacin A-RI-P07G01.
Procedimiento
para
la
Procedimiento
para
la
Procedimiento
para
la
Se publica el conocimiento
adquirido en la base de
datos del conocimiento.
Mantener las evidencias de los

Procedimiento Recoleccin
de evidencias A-RI-P24
informacin.
A 17. ASPECTOS DE SEGURIDAD DE LA INFORMACION DE LA GESTIN DE LA CONTINUIDAD DEL
NEGOCIO
A 17.1 Continuidad de Seguridad de la Informacin
El Plan de Continuidad del
Planificacin de la
Negocio debe estar elaborado
Documento
Plan
de
continuidad de la
con base en los lineamientos y
SI
A 17.1.1
Recuperacin
ante
seguridad de la
requerimientos de la seguridad y
desastres.
informacin
debe estar sujeto a pruebas,
escalamiento y pruebas.
A 16.1.7
Recoleccin de evidencias
SI
Cdigo : A-RI-M02
Versin : 04
A 17.1.2
Implementacin de la
continuidad de la
seguridad de la
informacin
SI
A 17.1.3
Verificacin, revisin y
evaluacin de la
continuidad de la
seguridad de la
informacin
SI
Contar con procedimientos que

permitan
hacer
frente
a
contingencias y restablecer en el
menor
tiempo
posible
los
servicios,
disminuyendo
el
impacto que pueda tener para la
organizacin.
El Plan de Continuidad del
Negocio
debe
recibir
mantenimiento para que se
encuentre
actualizado
al
momento de ser probado y se
encuentre apegado a la realidad
de las operaciones en la
organizacin.
Pgina 42 de 57
Documento
Recuperacin
desastres.
Plan
de
ante
Documento
Recuperacin
desastres.
Plan
de
ante
A.17.2 Redundancias
Implementar con redundancia
suficiente las instalaciones de
procesamiento de informacin
SI
A 17.2.1
para
Cumplir con el requisito de
disponibilidad
18. CUMPLIMIENTO
A 18.1 Cumplimiento de los Requisitos Legales y Contractuales
Identificacin de la
legislacin aplicable y de
Determinar el marco legal al que
SI
A 18.1.1
los requisitos
debe alinearse el SGSI.
contractuales
Asegurar el cumplimiento de los
requisitos
legislativos
de
reglamentacin y contractuales
Derechos de propiedad
SI
A 18.1.2
relacionados con los derechos de
intelectual (DPI)
propiedad intelectual y el uso de
productos
de
software
patentados.
Proteger los registros contra
prdida, destruccin, falsificacin,
SI
A 18.1.3
Proteccin de registros
acceso no autorizado y liberacin
no autorizada.
Cuidar las bases de datos y
expedientes
con
datos
personales como parte de las
Privacidad y proteccin de
buenas prcticas de seguridad
SI
A 18.1.4
informacin de datos
para evitar violar los derechos de
personales
seguridad en la informacin y
ocasionar daos al personal o a
los clientes.
Disponibilidad de
instalaciones de
procesamiento de
informacin
A 18.1.5
Reglamentacin de los
controles criptogrficos
SI
Actualmente se maneja a
travs
de
mquinas
virtualizadas para operacin
crtica.
El Normograma del Sistema

Integrado de Gestin.
Documento de Derechos de
propiedad intelectual en la
base
de
datos
de
conocimiento del Sistema
Mesa de Ayuda.
Procedimiento Control de
Registros. A-ED-P01
Ley 1588 de Proteccin de
datos personales.
Resolucin 3842 de 2013,
por la cual se establece la
poltica de proteccin de
datos personales de la
UPTC.
Lista de normas que

Utilizar controles criptogrficos
reglamentan en Colombia el
que cumplan todos los acuerdos,
uso
de
controles
las leyes y los reglamentos
criptogrficos. Verificacin
pertinentes.
del cumplimiento.
Cdigo : A-RI-M02
Versin : 04
A 18.2 Revisiones de Seguridad de la Informacin

El SGSI se debe revisar
Revisin independiente de
independientemente a intervalos
SI
A 18.2.1
la seguridad de la
planificados o cuando ocurran
informacin
cambios significativos.
Necesaria la inclusin de la Alta
Cumplimiento con las
Direccin en este proceso, como
SI
A 18.2.2
polticas y las normas de
requisito de la norma y condicin
seguridad
de xito del Sistema de Gestin
de Seguridad de la Informacin.
Controles y aplicaciones tcnicas
Revisin del cumplimiento
SI
A 18.2.3
cumplan con requisitos mnimos
tcnico
de seguridad.
Pgina 43 de 57
Procedimiento de Auditorias
Internas V- EI-P04.
Actas de comit de calidad

del proceso gestin de
recursos informticos.
Se
revisaran
trimestralmente en las actas
de Taller de Gestin.
Cdigo : A-RI-M02
Versin : 04
Pgina 44 de 57
ANEXO 3.
POLITICAS DE SEGURIDAD DE LA INFORMACION PARA

UNIVERSIDAD PEDAGOGICA Y TECNOLOGICA DE
COLOMBIA
Contenido
1.
INTRODUCCION .............................................................................................................................. 1
2.
OBJETIVO DEL DOCUMENTO ...................................................................................................... 5
3.
IMPLEMENTACION Y OPERACION DEL SGSI ........................................................................... 9
4.
SEGUIMIENTO Y REVISION DEL SGSI ...................................................................................... 12
EN LA DEFINICIN DEL MODELO PHVA, LA FASE DE SEGUIMIENTO Y REVISIN HACEN

PARTE DE LAS ETAPAS DE VERIFICAR, DONDE SE ESTABLECEN LOS ASPECTOS A SER
DESARROLLADOS POR LOS RESPONSABLES DEL SISTEMA DE GESTIN DE SEGURIDAD
DE LA INFORMACIN (SGSI) EN TODOS LOS NIVELES, PARA AS, EVALUAR Y EN DONDE
SEA APLICABLE, MEDIR EL DESEMPEO DEL SISTEMA CONTRA LA POLTICA, LOS
OBJETIVOS Y LA EXPERIENCIA PRCTICA DE LA GESTIN DE SEGURIDAD DE LA
INFORMACIN, A LA VEZ QUE SE REPORTAN LOS RESULTADOS A LA DIRECCIN PARA
SU REVISIN Y TOMA DE DECISIONES. .......................................................................................... 12
PARA EL CUMPLIMIENTO DE ESTA FASE, LA ORGANIZACIN DESARROLLA UN
CONJUNTO DE ACTIVIDADES DE SEGUIMIENTO DONDE LA UNIVERSIDAD MANTENDR
DE MANERA CONTINUA LA MEDICIN Y VERIFICACIN DE CUMPLIMIENTO DE LOS
ASPECTOS PLANTEADOS EN LA FASE DE PLANEACIN DEL MODELO Y LA FORMA
COMO ESTAS ACTIVIDADES SE HAN IDO DESARROLLANDO O EJECUTANDO. ................... 12
CABE ANOTAR, QUE ESTOS ASPECTOS DE SEGUIMIENTO Y REVISIN DEBERN SER
DESARROLLADOS CON BASE EN LOS RESULTADOS OBTENIDOS; Y SE DEBERN
AJUSTAR LOS ASPECTOS NECESARIOS PARA QUE EL SGSI SEA EFICIENTE Y EFICAZ EN
EL CUMPLIMIENTO DE LOS OBJETIVOS TRAZADOS EN LA FASE DE PLANEACIN. .......... 12
EL MODELO DE SEGURIDAD DE LA INFORMACIN DESARROLLADO POR LA
UNIVERSIDAD INCLUYE PARA LA FASE DE SEGUIMIENTO Y REVISIN LAS ACTIVIDADES
DETALLADAS A CONTINUACIN. ..................................................................................................... 12
Cdigo : A-RI-M02
Versin : 04
Pgina 45 de 57
4.1. REVISION ........................................................................................................................................ 12

SE DEBEN LLEVAR A CABO LAS SIGUIENTES ACTIVIDADES: .................................................. 12
DE LA EFECTIVIDAD DE LOS CONTROLES ESTABLECIDOS Y SU APOYO AL

CUMPLIMIENTO DE LOS OBJETIVOS DE SEGURIDAD DE LA INFORMACIN. ....................... 12
DE LA EVALUACIN DE LOS RIESGOS DESARROLLADA EN LA ORGANIZACIN

DONDE A SU VEZ SE VALIDEN LOS NIVELES ACEPTABLES DE RIESGO Y EL RIESGO
RESIDUAL DESPUS DE LA APLICACIN DE CONTROLES Y MEDIDAS ADMINISTRATIVAS.
12
4.2. SEGUIMIENTO ............................................................................................................................... 12
SE DEBEN LLEVAR A CABO ACTIVIDADES PARA REALIZAR SEGUIMIENTO A: ................... 12
LA PROGRAMACIN Y EJECUCIN DE LAS ACTIVIDADES DE AUDITORAS INTERNAS

DEL SGSI. ............................................................................................................................................... 12
LA PROGRAMACIN Y EJECUCIN DE LAS REVISIONES POR PARTE DE LA

DIRECCIN. ............................................................................................................................................ 12
AL ALCANCE DEL SISTEMA DE GESTIN Y LAS MEJORAS DEL MISMO. ....................... 12
LOS PLANES DE SEGURIDAD TANTO PARA EL ESTABLECIMIENTO COMO LA

EJECUCIN Y ACTUALIZACIN DE LOS MISMOS, COMO RESPUESTA A LOS ASPECTOS
IDENTIFICADOS A NIVEL DE LAS REVISIONES Y SEGUIMIENTOS REALIZADOS EN ESTA
FASE DEL SGSI. .................................................................................................................................... 12
A LOS REGISTROS DE ACCIONES O INCIDENTES QUE PODRAN TENER IMPACTO EN

LA EFICACIA O EL DESEMPEO DEL SGSI. ................................................................................... 12
4.3. ACTIVIDADES GENERALES DE SEGUIMIENTO Y REVISION ............................................... 13
LAS SIGUIENTES SON LAS ACTIVIDADES GENERALES QUE SOPORTAN LA ETAPA DE
SEGUIMIENTO Y REVISIN DEL SGSI: ............................................................................................. 13
REVISIN DE LA EFICACIA DEL SGSI. ..................................................................................... 13
MEDICIN DE LA EFECTIVIDAD DE CONTROLES. ................................................................ 13
REVISIN DE LAS VALORACIONES DE LOS RIESGOS. ....................................................... 13
MEDICIN DE LOS INDICADORES DE GESTIN DEL SGSI. ................................................ 13
REALIZACIN DE AUDITORAS. ................................................................................................ 13
REVISIONES DEL SGSI POR PARTE DE LA DIRECCIN. ..................................................... 13
ACTUALIZAR LOS PLANES DE SEGURIDAD. ......................................................................... 13
Cdigo : A-RI-M02
Versin : 04
Pgina 46 de 57
REGISTRO DE LAS ACTIVIDADES DEL SGSI. ......................................................................... 13
REVISIONES DE ACCIONES O PLANES DE MEJORA (RESPUESTA A NO

CONFORMIDADES). .............................................................................................................................. 13
DESDE EL PUNTO DE VISTA DEL DESARROLLO DE ESTAS ACTIVIDADES SU
CUMPLIMIENTO DEBER ESTAR ENMARCADO EN EL MODELO PHVA AL INTERIOR DE
LOS PROCESOS, DONDE SE INTEGRAN LOS ASPECTOS DE LA GESTIN DE LA
ORGANIZACIN QUE ESTABLECE PARA LAS ETAPAS DE VERIFICACIN LAS SIGUIENTES
TAREAS: ................................................................................................................................................. 13
PERIDICAMENTE CONSOLIDAR INDICADORES. ................................................................ 13
EVALUAR INDICADORES FRENTE A LAS METAS. ................................................................ 13
PRESENTAR LOS INDICADORES. ............................................................................................. 13
ANALIZAR CAUSAS DE LAS DESVIACIONES. ........................................................................ 13
EVALUAR LAS NO CONFORMIDADES OCURRIDAS Y SU IMPACTO EN EL

CUMPLIMIENTO DE LAS METAS Y OBJETIVOS DEL SGSI. .......................................................... 13
4.4. DOCUMENTACION DE LA ETAPA DE SEGUIMIENTO Y REVISION DEL SGSI .................. 13
EN LA ETAPA DE SEGUIMIENTO Y REVISIN SE DEFINEN LAS ACTIVIDADES QUE
PERMITEN MEDIR EL AVANCE DE LOS ELEMENTOS DEFINIDOS EN LA ETAPA ANTERIOR
SE DEBEN GENERAR INFORMES ACERCA DE .............................................................................. 13
REVISIN DE LA EFICIENCIA DEL SGSI .................................................................................. 13
MEDICIN DE EFECTIVIDAD DE CONTROLES ....................................................................... 13
REVISIN DE VALORACIONES DE RIESGOS ......................................................................... 13
REALIZACIN DE AUDITORAS INTERNAS ............................................................................. 13
REVISIONES DEL SGSI POR LA DIRECCIN .......................................................................... 13
ACTUALIZAR PLANES DE SEGURIDAD ................................................................................... 13
REGISTRO DE ACTIVIDADES DEL SGSI .................................................................................. 13
REVISIONES DE ACCIONES O PLANES DE INCIDENTES ..................................................... 13
5.
MANTENIMIENTO Y MEJORA DEL SGSI .................................................................................. 14
1.
POLITICA PARA EL MANEJO DE INFORMACION ............................................................... 48
2.
POLITICA DE USO DE RECURSOS TECNOLOGICOS ........................................................... 49
3.
POLITICA DE ACCESO REMOTO ............................................................................................. 51
Cdigo : A-RI-M02
Versin : 04
Pgina 47 de 57
4.
POLITICA DE ESCRITORIO Y PANTALLA LIMPIOS ............................................................... 51
5.
POLITICA DE SEGURIDAD FISICA Y DEL ENTORNO ............................................................ 52
6.
POLITICA DE INSTALACION DE CABLEADO .......................................................................... 53
7.
POLITICA DE COPIAS DE RESPALDO ...................................................................................... 53
8.
POLITICA DE INTERCAMBIO DE INFORMACION .................................................................... 53
9.
POLITICA DE MANEJO DE INCIDENTES Y PETICIONES ..................................................... 54
10. POLITICA DE GESTION DE CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION . 54

11. POLITICA DE CUMPLIMIENTO .................................................................................................. 55
12. POLITICA DE CONTROL DE ACCESO....................................................................................... 55
13. POLITICA DE USO DE CONTROLES CRIPTOGRAFICOS. ..................................................... 55
14. POLITICA DE GESTION DE LLAVES ......................................................................................... 56
15. POLITICA DE DISPOSITIVOS MOVILES .................................................................................... 56
16. POLITICA DE DESARROLLO SEGURO ..................................................................................... 56
17. PROHIBICIONES............................................................................................................................ 56
Cdigo : A-RI-M02
Versin : 04
Pgina 48 de 57
Este documento tiene como objeto dar a conocer las polticas Seguridad Informtica que debern cumplir los
usuarios de servicios de tecnologas de informacin, para proteger adecuadamente los activos de informacin
de la Universidad Pedaggica y Tecnolgica de Colombia.
De igual manera, establecen las reglas bsicas con las cuales la UPTC debe manejar sus activos de
informacin, a travs de la implantacin de normas y procedimientos de modo que aumente la proteccin de
stos recursos. As mismo, identifican responsabilidades y establecen requerimientos mnimos para una
proteccin apropiada y consistente de los activos de informacin de la Institucin.
En este documento se entiende como usuarios a la Comunidad Universitaria (funcionarios pblicos,
funcionarios oficiales, docentes, aspirantes, estudiantes, egresados, contratistas internos y externos) en
General, que hacen uso de servicios de tecnologa de la informacin de la Institucin.
1.
POLITICA PARA EL MANEJO DE INFORMACION
Esta poltica tiene como finalidad establecer las directrices para proteger la informacin contra uso no
autorizado, divulgacin o publicacin, modificacin, dao o prdida y establecer el cumplimiento
de
reglamentaciones y leyes aplicables a la Universidad Pedaggica y Tecnolgica de Colombia.
Acuerdos de Confidencialidad: Los funcionarios y contratistas de la Institucin deben firmar acuerdos

de confidencialidad al momento de realizar la legalizacin de sus respectivos contratos, en los cuales se
comprometen a no divulgar, usar o explotar la informacin institucional a la cual tengan acceso.
Los proveedores que requieran tener acceso a la informacin confidencial de la Institucin, deben firmar
un acuerdo de confidencialidad. En caso de que el proveedor no est de acuerdo con la firma de ste,
no podr tener acceso a la informacin requerida.
Propietario de la Informacin: La informacin institucional (artculos, revistas, contenidos de cursos,
videos, fotos, informacin acadmica, entre otros) administrada, manejada o creada por los empleados
de la Universidad independiente de su forma de vinculacin es de la UPTC, al igual que los Sistemas de
Informacin desarrollados por personal interno o externo; por lo anterior, la Institucin es propietaria de
los derechos de esta informacin.
Derechos de Autor: Est prohibido por las leyes de derechos de autor y por la UPTC, realizar copias no
autorizadas de software , ya sea adquirido o desarrollado por la Universidad. Adems de lo anterior, est
prohibido hacer copias de la informacin institucional en cualquier formato.
La Universidad no realizar copias de seguridad de software que no le este permitido.
Publicaciones de Seguridad de la Informacin: Para todos los usuarios de servicios de tecnologas de
Informacin, es de indispensable cumplimiento la lectura y aplicacin de la informacin publicada o
comunicada a travs de capacitaciones o de campaas institucionales realizadas para la divulgacin de
la Seguridad de la Informacin .
Uso del Correo Electrnico Institucional: El correo institucional es un medio de transmisin y manejo
de informacin, por lo cual el usuario ser el responsable de realizar copias de seguridad de la
informacin almacenada, para evitar riesgos de prdida de informacin.
Cdigo : A-RI-M02
Pgina 49 de 57
La cuenta de correo electrnico debe ser usada para el desempeo de las funciones asignadas dentro de
la UPTC, as mismo podr ser utilizada para uso personal, siempre y cuando se realice de manera tica,
razonable, responsable, no abusiva y sin afectar la productividad
Los usuarios no deben propagar cadenas de mensajes de cualquier tipo y la comunicacin de tipo
comercial, poltico, religioso y en general cualquier contenido ofensivo para los funcionarios de la
Universidad.
Los funcionarios de la Universidad deben cumplir fidelidad como producto de las tareas que les fueron
asignadas y guardar la discrecin correspondiente, o la reserva absoluta con respecto a la informacin de
la Institucin de la cual tengan conocimiento en el ejercicio de sus funciones.
Todos los mensajes enviados deben respetar el estndar de formato e imagen corporativa definido por
UPTC y deben conservar en todos los casos el mensaje legal corporativo de confidencialidad.
Es deber de los funcionarios verificar la identidad de todas aquellas personas, a quienes se les entrega
informacin por telfono, por fax, por correo electrnico o por correo certificado, entre otros.
Equipos de procesamiento de datos tipo servidor: Los administradores de servidores, bases de datos
y dems roles que manejen informacin clasificada como semiprivada y privada, deben garantizar la
confidencialidad de la informacin y el uso de credenciales de administracin (usuario y contrasea), sin
excepcin
Equipos de procesamiento de datos tipo servidor: La administracin de los equipos de procesamiento
de datos tipo servidor que soportan servicios institucionales debe ser realizada por el Grupo Organizacin
y Sistemas. Los servidores que no sean administrados por el Grupo Organizacin y Sistemas, el
responsable del activo de informacin, debe presentar por escrito los motivos y justificacin de esto a la
Coordinacin del Grupo Organizacin y Sistemas.
2.
Versin : 04
POLITICA DE USO DE RECURSOS TECNOLOGICOS
Credenciales de Acceso: Los usuarios son los nicos responsables por la seguridad de sus
credenciales de acceso (Usuario y Contrasea), las cuales son de uso exclusivo e intransferible.
Para la asignacin y/o eliminacin de credenciales de acceso de usuarios institucionales administrativos,
docentes y contratistas se har de acuerdo al procedimiento de vinculacin de servidores pblicos AGH-P03 y entrega de cargos A-GH-P05, y se tendr en cuenta los lineamientos por el Grupo
Organizacin y Sistemas en el procedimiento de Gestin de Identidad y Acceso A-RI-P20.
Instalacin, Mantenimiento y Actualizacin de Hardware: El personal adscrito al Grupo Organizacin y
Sistemas es el nico autorizado para instalar aplicaciones y realizar mantenimientos preventivos y
correctivos en los equipos de cmputo de la Institucin.
Uso de los Equipos de Cmputo: Los equipos de cmputo (computadores, impresoras, porttiles,
servidores, tablas y dems elementos similares) de la Institucin sern utilizados nicamente por el
personal autorizado para el desarrollo de las actividades asignadas.
Todo funcionario, contratista y/o docente de la Institucin es responsable del equipo que le sea asignado;
el cual ser asignado a su inventario personal, de acuerdo con el procedimiento Egreso de Bienes de
Almacn A-AB-P05.
Est prohibido retirar de las instalaciones de la Universidad cualquier equipo de cmputo. Si es necesario
hacerlo, debe contar con la autorizacin de Servicios Generales con el Visto bueno del Jefe Inmediato. El
personal de vigilancia deber registrar la orden de salida de los equipos para su movilizacin fuera de las
instalaciones de la UPTC.
Cdigo : A-RI-M02
Versin : 04
Pgina 50 de 57
Los dispositivos mviles (porttiles, tablets, celulares) propiedad de la Universidad, no deben ser
desatendidos. El usuario deber tomar las medidas de seguridad pertinentes que permitan garantizar la
integridad y confidencialidad del activo de informacin.
En caso de presentarse una falla o problema de hardware o software en una estacin de trabajo o equipo
porttil propiedad de la Universidad, el usuario responsable del mismo deber informarlo al Grupo
Organizacin y Sistemas a travs de la mesa de ayuda, para una asistencia especializada y, por ningn
motivo, deber intentar resolver el problema.
Artculos de Decoracin en Equipos de Cmputo: Se debe mantener el equipo de cmputo libre de
fotos, calcomanas y cualquier otro elemento que lo pueda deteriorar o comprometer su integridad.
Software en los Equipos de Cmputo: Para todos los equipos de cmputo propiedad de la Institucin,
se instalar nicamente el software que cuente con licencia autorizada para uso en la Universidad. El
software que no cumpla con estos lineamientos se debe desinstalar de manera inmediata para garantizar
el cumplimiento de la Ley antipiratera.
Software Antivirus: Para todos los equipos de cmputo propiedad de la Institucin, se instalar
nicamente el software antivirus que el Grupo Organizacin y Sistemas establezca.
Los usuarios que hacen uso de los servicios de Tecnologa de Informacin y Comunicacin, deben
realizar tareas de escaneo de archivos y directorios, no deben cambiar o eliminar la configuracin del
software de antivirus en los equipos de cmputo propiedad de la Institucin.
Los usuarios nicamente deben descargar archivos adjuntos que provengan de fuentes conocidas para
evitar contaminacin por virus informticos y/o instalacin de software malicioso en sus estaciones de
trabajo o equipos porttiles.
Aplicaciones de Ofimtica: La suite de ofimtica permitida por la Institucin para equipos con sistema
operativo Windows y Mac, son las versiones de Microsoft Office licenciadas por la Universidad. Adems,
se permite el uso de la versin libre de Open Office, en los equipos de cmputo propiedad de la
Institucin.
Sistemas propietarios Desarrollos in House. La instalacin de productos de software desarrollados por
el Grupo Organizacin y Sistemas de la Universidad se realizar en los equipos de cmputo propiedad
de la institucin designados para tal fin.
Sistemas de informacin de entes de control: El licenciamiento de los sistemas de informacin a
travs de los cuales se reporta informacin, es responsabilidad del ente de control respectivo.
Acceso a Cdigo Fuente de Aplicaciones: Est prohibido manipular el cdigo fuente de una aplicacin
sin la autorizacin correspondiente del Grupo Organizacin y Sistemas, para generar cambios o mejoras
a la misma. Si se requiere tener acceso al cdigo fuente de una aplicacin desarrollada en la institucin,
se debe solicitar permiso al GOS. Si se trata de una aplicacin desarrolla por un proveedor externo, se
deben revisar las condiciones del contrato.
Gestin de Cambios: Se deben documentar todos los cambios que se realicen a los recursos
tecnolgicos de la Universidad de acuerdo con el procedimiento A-RI-P10 Procedimiento para la Gestin
de Cambios y Entregas.
Documentacin de Pruebas: Se deben documentar todas las pruebas que se realicen a los recursos
tecnolgicos de la Institucin. de acuerdo con el procedimiento A-RI-P10 Procedimiento para la Gestin
de Cambios y Entregas.
Monitoreo de Equipos: La Institucin se reserva el derecho de monitorear los equipos de cmputo,
conectados a la red de datos de la universidad, de los cuales se sospeche que estn comprometiendo la
confidencialidad, integridad y disponibilidad de la informacin.
Los usuarios solamente tendr acceso a los servicios de red para cuyo uso estn especficamente
autorizados segn su perfil.
Cdigo : A-RI-M02
Versin : 04
Pgina 51 de 57
La universidad dispone de un Data Center, como lugar adecuado para el alojamiento de los equipos de
procesamiento de datos tipo servidor.
El Grupo Organizacin y Sistemas gestiona el mantenimiento peridico para el Data Center junto con los
elementos que lo componen, para garantizar la integridad, disponibilidad y confidencialidad de los activos
de informacin que se encuentran all alojados.
Los usuarios no pueden portar informacin de la Universidad clasificada como privada sin la previa
autorizacin del propietario del activo de informacin independiente del medio que utilice.
La instalacin de un nuevo componente en la red de datos debe estar autorizada por la Coordinacin del
Grupo Organizacin y Sistemas.
La adopcin y uso de Tecnologas de la informacin y la comunicacin orientados a la gestin de
servicios institucionales, sern aprobados por el Grupo Organizacin y Sistemas.
3.
POLITICA DE ACCESO REMOTO
La presente poltica contempla las comunicaciones electrnicas y conexiones remotas de usuarios

autorizados para acceder a los servicios de la red de datos institucional.
El Servicio de acceso remoto permite el acceso a la red de datos institucional a aquellos usuarios
externos e internos expresamente autorizados por el Lder del Proceso de Gestin de Recursos
Informticos, para que lo hagan desde redes externas o internas, el cual debe estar sujeto a autenticacin
con un nivel adecuado de proteccin.
Solo Los equipos de procesamiento de datos tipo servidor y de comunicacin tendrn habilitado el
servicio de conexin de acceso remoto. Los clientes para acceder a estos recursos sern previamente
identificados y autorizados.
4.
POLITICA DE ESCRITORIO Y PANTALLA LIMPIOS
El propsito de esta poltica es establecer una cultura de seguridad de entorno informtico para la
Universidad. Un esfuerzo eficaz de escritorio limpio y pantalla limpia con la participacin y el apoyo de todos
los funcionarios de la Institucin, tiene como objetivo garantizar que la informacin confidencial que se
encuentran en los medios magnticos como los computadores se protege con el uso de contraseas en los
protectores de pantalla y los medios fsicos como los documentos en papel que contienen informacin propia
de la Institucin, se encuentran resguardados en los escritorios de los funcionarios que laboran en la
Universidad.
El Grupo Organizacin y Sistemas y los usuarios deben configurar las estaciones de trabajo para que
activen en forma automtica el uso de protector de pantalla con contrasea, despus de 2 minutos de
inactividad. As mismo, todas las estaciones de trabajo debern usar el papel tapiz Institucional.
Es responsabilidad de los usuarios no modificar las configuraciones de proteccin de pantalla
implantadas por el Grupo Organizacin y Sistemas.
Cdigo : A-RI-M02
Versin : 04
Los usuarios no deben dejar CDs, pendrives, dispositivos de almacenamiento USB y medios removibles
en general, olvidados en los computadores. Adicionalmente, se requiere que la informacin sensible que
se enva a las impresoras sea recogida de manera inmediata.
Todos los escritorios o mesas de trabajo deben permanecer limpios para proteger documentos en papel y
dispositivos de almacenamiento como CD, Memorias USB y otros dispositivos de almacenamiento, con
fin de reducir los riesgos de acceso no autorizado, prdida y dao de la informacin durante el horario
normal de trabajo y fuera del mismo. Los dispositivos de almacenamiento deben ser guardados bajo llave,
especialmente aquellos en los que se hayan realizado copias de respaldo de archivos magnticos.
En largos perodos de tiempo fuera de su escritorio, se espera que los documentos sensibles del trabajo
sean colocados en cajones cerrados con llave.
Todos los usuarios son responsables de bloquear la sesin de su estacin de trabajo en el momento en
que se retiren del puesto de trabajo, la cual se podr desbloquear solo con la contrasea del usuario.
Cuando finalicen sus actividades, se deben cerrar todas las aplicaciones, dejar los equipos apagados, el
escritorio en orden y los documentos guardados.
Guarde bajo llave los dispositivos informticos porttiles, como ordenadores porttiles o dispositivos PDA.
Los usuarios deben tratar los dispositivos de almacenamiento masivo como CD-ROM, DVD o unidades
USB como sensibles y fijarlos en un cajn cerrado con llave.
Cierre con llave su escritorio y archivadores en la final de la jornada.
5.
Pgina 52 de 57
POLITICA DE SEGURIDAD FISICA Y DEL ENTORNO
Con el fin de proteger permetros en los cuales se encuentre informacin Institucional, la Universidad
instalar los elementos necesarios para restringir el acceso del personal no autorizado al campus
universitario.
Con el fin de evitar accesos a personal no autorizado, la Universidad instalar un lector de huella como
control de acceso en el rea del Data Center, que funcionar en conjunto con tarjeta inteligente, clave y
llave fsica.
La Coordinacin del Grupo Organizacin y Sistemas elaborar un listado del personal autorizado para
ingresar al Data Center. Estrictamente se debe registrar a las personas que por el rol de sus funciones
debe ingresar.
El acceso a personal no autorizado al Data Center, deber ser autorizado por el lder del proceso Gestin
de Recursos informticos.
No se permiten las visitas al Data Center.
Como mecanismo de prevencin todos los empleados y visitantes no deben comer, fumar o beber en el
Data Center o en instalaciones donde haya equipos tecnolgicos.
No se debe proveer informacin sobre la ubicacin del Data Center o de los lugares crticos, como
mecanismo de seguridad.
Cualquier persona que tenga acceso a las instalaciones de la UPTC deber registrar al momento de su
entrada en las porteras, el ingreso de equipos de cmputo, equipo de comunicaciones, medios de
almacenamiento y herramientas que no sean propiedad de la UPTC, el cual podrn retirar el mismo da.
En caso contrario deber tramitar la autorizacin de la salida correspondiente.
Cdigo : A-RI-M02
Versin : 04
Las puertas de acceso al Data Center, el rea de Tecnologa de Informacin y los Centros de Cableado
deben permanecer siempre cerradas y aseguradas. De igual manera, todos los gabinetes y puertas de los
equipos que se encuentran en estos lugares deben permanecer cerrados.
Todos los funcionarios deben portar el carn que los identifica como empleados de la Universidad,
mientras permanezcan dentro de las instalaciones de la Institucin.
6.
POLITICA DE INSTALACION DE CABLEADO
Instalacin de Cableado Estructurado: Planeacin, diseo, construccin, instalacin, administracin y

mantenimiento del cableado estructurado de telecomunicaciones de la Institucin es responsabilidad del
proceso Gestin de Recursos Informticos, debe cumplir con las normas tcnicas o estndares
adoptados por el mismo, con el fin de garantizar la integridad, conservar la esttica y la seguridad de las
redes.
7.
POLITICA DE COPIAS DE RESPALDO
El Grupo Organizacin y Sistemas debe respaldar con copias de seguridad la informacin Institucional
que sea de misin crtica, dichas copias deben ser tomadas y probadas de acuerdo al procedimiento ARI-P03 Copias de Seguridad de la Informacin.
El Grupo Organizacin y Sistemas debe garantizar copia de la informacin de configuracin contenida en
la plataforma tecnolgica de la Institucin como equipos tipo servidores, equipos activos de red y
dispositivos de red inalmbricos, dichas copias deben ser tomadas y probadas de acuerdo al
procedimiento A-RI-P03 Copias de Seguridad de la Informacin.
El Grupo Organizacin y Sistemas debe garantizar copia de los productos de software que administra,
dichas copias deben ser tomadas y probadas de acuerdo al procedimiento A-RI-P03 Copias de Seguridad
de la Informacin.
Los medios magnticos que tienen informacin crtica deben ser almacenados en otra ubicacin diferente
a las instalaciones donde se encuentra ubicada. El sitio externo donde se resguardan dichas copias, solo
tendr acceso el Grupo Organizacin y Sistemas.
Es de responsabilidad exclusiva de los usuarios, la creacin de copias de seguridad de archivos usados,
custodiados o producidos por estos. Para esto, deben tener en cuenta la Gua para Proteger Informacin
en Equipos Computacionales A-RI-P03-G01.
8.
Pgina 53 de 57
POLITICA DE INTERCAMBIO DE INFORMACION
El intercambio de informacin manual, solo debe utilizar los servicios de correos autorizados en la
Universidad. De ser entregada por mano, debe ser entregada personalmente al destinatario en sobre
sellado y su entrega debe quedar registrada.
Toda informacin enviada a travs del correo Institucional, debe incluir en su pie de pgina, una
advertencia en cuanto a su uso y autorizaciones al respecto, quedando bajo responsabilidad del receptor
el cuidado y resguardo de la informacin.
Cdigo : A-RI-M02
Pgina 54 de 57
Todo intercambio de informacin a travs de acceso remoto, debe cumplir con la Poltica de Acceso
Remoto establecida por la Institucin.
El intercambio de informacin privada a o semiprivada por va telefnica no se est permitido.
9.
Versin : 04
POLITICA DE MANEJO DE INCIDENTES Y PETICIONES
Todos los incidentes y peticiones solicitados por los usuarios de la Institucin deben ser canalizados a
travs del sistema mesa de ayuda.
Toda la informacin relativa a los incidentes reportados, debe ser manejada con total confidencialidad.
La Universidad solicitar la asesora legal para las acciones a realizar en incidentes relacionados con:
suplantacin de identidad, acceso a informacin confidencial e incidentes relacionados con ingeniera
social.
10. POLITICA DE GESTION DE CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION
La Alta Direccin de la Universidad deber aprobar un plan de continuidad de la seguridad de la

informacin para reducir las interrupciones en las actividades Misionales, como consecuencia de fallos o
desastres que impidan su normal funcionamiento; el cual estar orientado a los procesos involucrados en
el SGSI, teniendo en cuenta la fase de anlisis de riesgos.
La revisin del Plan de Continuidad de la seguridad de la informacin debe hacerse anualmente,
dependiendo de los cambios y nuevos requerimientos en los procesos.
El Data Center se debe proveer con unidades suplementarias de energa elctrica (UPS) y se debe
garantizar el ptimo funcionamiento de dichas unidades.
Las copias de seguridad de los sistemas de computacin que incluye sistema operativo, base de datos,
aplicacin, servicios, entre otros; deben ser almacenados en un lugar diferente de donde reside la
informacin original, dentro de las instalaciones de la Universidad.
A los equipos servidores, de comunicaciones y dems equipos en los cuales haya configurados servicios
debe realizrsele un mantenimiento preventivo y peridico, de tal forma que el riesgo a fallas fsicas se
mantenga en una probabilidad de ocurrencia baja.
A intervalos programados se realizar mantenimiento preventivo a los equipos de cmputo de los
usuarios finales, propiedad de la Institucin, para reducir el riesgo de falla.
Los planes de continuidad deben ser probados regularmente con el fin de asegurar que el plan sea
relevante, efectivo, prctico y factible de realizar. Cada prueba debe documentarse y sus resultados y las
acciones de correccin deben comunicarse a la alta direccin.
La Institucin gestiona y ejecuta los planes de capacitacin para garantizar la formacin y actualizacin
de los funcionarios del Grupo Organizacin y Sistemas conforme a las necesidades de modernizacin
tecnolgica que se presenten y mantener la confidencialidad, disponibilidad e integridad de los diferentes
activos de informacin de la institucin, as como la continuidad en la prestacin de servicios de
Tecnologa e Informacin.
Cdigo : A-RI-M02
Versin : 04
Pgina 55 de 57
11. POLITICA DE CUMPLIMIENTO
El lder del proceso Gestin Normativa tiene la responsabilidad de identificar la legislacin vigente que
debe cumplir la Universidad
en funcin de la proteccin de la informacin y divulgar estos
requerimientos. Adems, debe servir de apoyo en la interpretacin, asistencia y manejo de dicha
legislacin.
Todos los funcionarios de la Universidad deben cumplir con la Normatividad vigente adoptada por la
Institucin, leyes de derechos de autor, acuerdos de licenciamiento de software y acuerdos de
confidencialidad.
12. POLITICA DE CONTROL DE ACCESO
El control de acceso a todos los Sistemas de Informacin de la entidad debe realizarse por medio de
cdigos de identificacin y palabras claves o contraseas nicos para cada usuario.
El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de informacin de UPTC
debe ser asignado de acuerdo a la identificacin previa de requerimientos de seguridad y de la Institucin,
que se definan por las diferentes dependencias de la Universidad, as como normas legales o leyes
aplicables a la proteccin de acceso a la informacin presente en los sistemas de informacin.
Los responsables de la administracin de la infraestructura tecnolgica de UPTC asignan los accesos a
plataformas, usuarios y segmentos de red de acuerdo Al proceso Gestin de Identidad y Acceso A-RIP20.
Del control de acceso al equipo de cmputo. Todos y cada uno de los equipos son asignados a un
responsable, por lo que es de su competencia hacer buen uso de los mismos.
Del control de acceso local a la red. El Grupo de Organizacin y Sistemas es responsable de
proporcionar a los usuarios el acceso a los recursos informticos.
El acceso lgico a equipo especializado de cmputo (servidores, enrutadores, bases de datos, etc.)
conectado a la red es administrado por el Grupo de Organizacin y Sistemas.
13. POLITICA DE USO DE CONTROLES CRIPTOGRAFICOS.
La Universidad establece la presente Poltica de uso de controles criptogrficos, a fin de determinar su

correcto uso.
Se utilizarn controles criptogrficos en los siguientes casos:

Para la transmisin de informacin clasificada, fuera de la Universidad.
Para el resguardo de informacin, cuando as surja de la evaluacin de riesgos realizada por el
Propietario de la Informacin y el Responsable de Seguridad Informtica.
Cdigo : A-RI-M02
Versin : 04
Pgina 56 de 57
Se desarrollarn lineamientos respecto de la administracin de claves, de la recuperacin de informacin

cifrada en caso de prdida, compromiso o dao de las claves y en cuanto al reemplazo de las claves de
cifrado.
Se utilizar el Software WinPT de licencia GNU, para el cifrado y generacin de llaves.
14. POLITICA DE GESTION DE LLAVES
Las llaves criptogrficas utilizadas para el cifrado de los datos deben estar clasificadas como Confidencial
y ser protegidas contra divulgacin, uso indebido o sustitucin no autorizada restringiendo al mnimo el
nmero de custodios necesarios y guardndola de forma segura en la menor cantidad de ubicaciones y
formas posibles.
Para reducir la probabilidad de compromiso, las llaves tendrn fechas de inicio y caducidad de vigencia.
15. POLITICA DE DISPOSITIVOS MOVILES
Las caractersticas en las capacidades de los equipos sern definidos en funcin de la importancia de la
informacin procesada o almacenada en cada tipo de usuario que utiliza un dispositivo mvil de la
Institucin.
Todos los usuarios de dispositivos mviles que contengan informacin Confidencial o de Uso Interno
deben usar la ltima o la ms segura versin de los productos de software. Los parches o
actualizaciones sern obtenidos de manera formal, provenientes del fabricante.
Los usuarios que utilicen dispositivos mviles como computadores porttiles, en su puesto de trabajo,
para el cumplimiento de las funciones asignadas debern mantener el equipo asegurado con guaya.
Los usuarios de dispositivos mviles deben mantener actualizado el software antivirus del dispositivo.
16. POLITICA DE DESARROLLO SEGURO
Para apoya los procesos operativos y estratgicos la Universidad debe hacer uso intensivo de las
Tecnologas de la Informacin y las comunicaciones. Los productos de software pueden ser adquiridos a
travs de terceras partes o desarrollado por personal propio.
El Grupo Organizacin y Sistemas debe elaborar, mantener y aplicar un procedimiento para la
incorporacin de sistemas de informacin, el cual debe incluir lineamientos, procesos, buenas prcticas,
plantillas y guas que sirvan para regular los desarrollos de productos de software internos en un
ambiente de aseguramiento de calidad.
Los productos de software adquiridos a travs de terceras partes deben cumplir con el procedimiento de
incorporacin de sistemas de informacin establecido por la Universidad.
17. PROHIBICIONES
Queda prohibida la ejecucin de cualquier herramienta o mecanismo de monitoreo de la red de manera

no autorizada, as como evadir los mecanismos de seguridad, autenticacin, autorizacin o de auditora
de cualquier servicio de red, aplicacin servidor o cuenta de usuario, estn restringidos.
Est prohibido utilizar la infraestructura de tecnologa de informacin y redes de la Universidad, para
conseguir o transmitir material con nimo de lucro.
Cdigo : A-RI-M02
Versin : 04
Pgina 57 de 57
Est prohibida la utilizacin de la infraestructura de tecnologa de informacin y redes de la Universidad

para hacer algn tipo de acoso, difamacin calumnia o cualquier forma de actividad hostil en contra de
miembros de la comunidad universitaria y en general de cualquier persona o institucin.
Queda prohibida la instalacin de puntos de acceso inalmbricos no autorizados en la Institucin.
La tecnologa de informacin que provee la UPTC es para el desarrollo de los procesos institucionales
exclusivamente. Por lo tanto, no est permitido el uso con fines personales de estos recursos.

Manual Gestion de Seguridad de La Información V4.0

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Manual Gestion de Seguridad de La Información V4.0

Hochgeladen von

Copyright:

Verfügbare Formate

MACROPROCESO: ADMINISTRATIVOS

PROCESO: GESTION DE RECURSOS INFORMATICOS

El Sistema se enfoca en el modelo de gestin de Planificar-Hacer-Verificar-Actuar (PHVA) de tal forma que se

SGSI en la Universidad Pedaggica y Tecnolgica de Colombia

Comprender los requisitos de seguridad de la informacin de la UPTC y la necesidad de establecer

Basado en el nfasis planteado, el Sistema de Gestin de Seguridad de la Informacin adopta el modelo de

Figura 1 - Ciclo PHVA para el SGSI

Planificar (establecer el SGSI): Establecer la poltica, los objetivos, procesos y procedimientos de

1.3. COMPATIBILIDAD CON OTROS SISTEMAS

1.4. ALCANCE DEL DOCUMENTO

OBJETIVO DEL DOCUMENTO

El establecimiento del SGSI de la UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE COLOMBIA tiene

POLITICA DEL SGSI

La Universidad Pedaggica y Tecnolgica de Colombia, se compromete a preservar la confidencialidad,

OBJETIVOS DEL SGSI

El Alcance del Sistema de Gestin de Seguridad de la Informacin de la Universidad Pedaggica Y

ENFOQUE ORGANIZACIONAL DE VALORACION DE RIESGO

PROCEDIMIENTOS PARA DEFINICION DE RIESGOS DEL SGSI

Estas actividades se encuentran definidas en el procedimiento Gestin del Riesgo de Seguridad de la

DOCUMENTACION DE LA ETAPA DE ESTABLECIMIENTO DEL SGSI

El alcance y lmites del SGSI. (En este documento)

SEGURIDAD DE LA INFORMACION EN LA GESTION DE PROYECTOS.

Para la creacin de proyectos que se registren en el Banco de proyectos de la Universidad se consideraran

IMPLEMENTACION Y OPERACION DEL SGSI

La implementacin y operacin del SGSI de la UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE

3.3. PROGRAMAS DE FORMACION Y PLANES DE SENSIBILIZACION

3.5. PROVISION DE RECURSOS

Gestin de Riesgos de Informacin

3.8. CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS DE INFORMACION.

Acordar con el proceso que corresponda los requerimientos de auditora.

Eliminar archivos transitorios.

Eliminar entidades ficticias y datos incorporados en archivos maestros.

Revocar privilegios otorgados

Identificar y acordar los requerimientos de procesamiento especial o adicional.

Documentar todos los procedimientos de auditora, requerimientos y responsabilidades.

SEGUIMIENTO Y REVISION DEL SGSI

De la efectividad de los controles establecidos y su apoyo al cumplimiento de los objetivos de

La programacin y ejecucin de las actividades de auditoras internas del SGSI.

4.3. ACTIVIDADES GENERALES DE SEGUIMIENTO Y REVISION

Revisin de la eficacia del SGSI.

Peridicamente consolidar indicadores.

4.4. DOCUMENTACION DE LA ETAPA DE SEGUIMIENTO Y REVISION DEL SGSI

Revisin de la eficiencia del SGSI

MANTENIMIENTO Y MEJORA DEL SGSI

Estn implementados correctamente.

El objetivo de las acciones preventivas es eliminar la posibilidad de ocurrencia de no conformidades

Determinar y evaluar las causas de las no conformidades potenciales.

DOCUMENTACIN DE LA ETAPA DE MANTENIMIENTO Y MEJORA

Los procedimientos que soportan esta etapa del SGSI son

ANEXO 1. ROLES Y RESPONSABILIDADES PARA ISO 27001 E ISO 20000-1

Sugerir actualizaciones al marco

Liderar los proyectos y planes

Participar en las decisiones

Garantizar los recursos humanos para

Aprobar la identificacin, evaluacin y

Asegurar el seguimiento de la gestin

Aprobar la implementacin, comunicar

Aprobar la identificacin, valoracin y

Determinar la informacin que har

Debe estar bajo

servicio conforme a la poltica y

Monitorear los cambios importantes

Revisar y monitorear las anomalas o

Aprobar iniciativas en pro de la mejora