MODELO DE SEGURIDAD - Gobierno en línea.

ENTREGABLES 3, 4, 5 y 6: INFORME FINAL – MODELO DE SEGURIDAD DE 

LA INFORMACIÓN – SISTEMA SANSI - SGSI - 

MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE 

GOBIERNO EN LÍNEA 

Bogotá, D.C., Diciembre de 2008 

ÁREA DE INVESTIGACIÓN Y PLANEACIÓN 

© República de Colombia - Derechos Reservados

Título: 

Fecha elaboración 

aaaa-mm-dd: 

Sumario: 

Palabras Claves: 

INFORME FINAL – MODELO DE SEGURIDAD DE LA 

INFORMACIÓN – SISTEMA SANSI - SGSI 

MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA 

ESTRATEGIA DE GOBIERNO EN LÍNEA 

FORMATO PRELIMINAR AL DOCUMENTO 

INFORME FINAL –MODELO DE SEGURIDAD DE LA INFORMACIÓN – 

SISTEMA SANSI – SGSI -MODELO DE SEGURIDAD DE LA 

INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 

26 – Diciembre – 2008 

CORRESPONDE A LOS ENTREGABLES 3, 4, 5 y 6: SISTEMA DE 

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - DISEÑO DEL 

MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA 

DE GOBIERNO EN LÍNEA 

Sistema Administrativo, Modelo de Seguridad, Arquitectura Institucional, 

Ciclo PHVA, C-SIRT, Gestión de Seguridad Informática, SGSI, mejores 

prácticas, ISO, CobIT, madurez 

Formato: Lenguaje: Castellano 

Dependencia: Investigación y Planeación 

Código: Versión: 3 Estado: 

Categoría: 

Autor (es): Equipo consultoría Digiware 

Revisó: Juan Carlos Alarcon 

Aprobó: Ing. Hugo Sin Triana 

Información Adicional: 

Ubicación: 

Página 2 de 207 

Firmas: 

Documento para 

revisión por parte del 

Supervisor del 

contrato





CONTROL DE CAMBIOS 

VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN 

0 02/12/2008 Ing. Jairo Pantoja M. Sistema SANSI para el Modelo de Seguridad de la Información 

1 04/12/2008 Equipo del proyecto Revisión interna conjunta equipo consultoría Digiware 

2 17/12/2008 Ing. Jairo Pantoja M. 

Actualización según discusiones internas del equipo de trabajo en 

cuanto a las funciones de los entes participadores del SANSI 

3 26/12/2008 Ing. Fabiola Parra Modelo SGSI para el Sistema SANSI –Controles 

Página 3 de 207





TABLA DE CONTENIDO 

1. AUDIENCIA ...............................................................................................................................................................10 

2. INTRODUCCIÓN........................................................................................................................................................11 

3. MARCO DE REFERENCIA -SISTEMA DE GESTIÓN EN SEGURIDAD DE LA INFORMACIÓN -SGSI ...............................12 

3.1. SEGURIDAD DE LA INFORMACIÓN .................................................................................................................................12 

3.2. ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION).........................................................................................12 

3.3. ESTÁNDAR................................................................................................................................................................13 

3.4. ICONTEC...................................................................................................................................................................13 

3.5. NORMA ISO27001...................................................................................................................................................14 

3.5.1. SERIE ISO27000 ...................................................................................................................................................14 

3.5.2. RELACIÓN DE LA NORMA ISO27001 CON OTROS ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN ....................................15 

3.6. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN -SGSI..................................................................................15 

3.6.1. BENEFICIOS DE LA IMPLANTACIÓN DE UN SGSI............................................................................................................16 

3.6.2. JUSTIFICACIÓN DE LA IMPLEMENTACIÓN DE UN SGSI....................................................................................................16 

4. COMPONENTES PRINCIPALES DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN –SGSI .......18 

5. ESTRUCTURA INSTITUCIONAL..................................................................................................................................21 

5.1. INTRODUCCIÓN .........................................................................................................................................................21 

5.2. SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI.............................................................22 

5.3. COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ..............................................................................................24 

5.4. GRUPO TÉCNICO DE APOYO ........................................................................................................................................30 

5.4.1. DIRECCIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ..........................................................................................31 

5.5. RELACIONES DE DESARROLLO EMPRESARIAL CON ENTIDADES PÚBLICAS Y PRIVADAS.............................................................35 

5.6. FUNCIONES DE LOS ACTORES DEL SANSI -ENFOQUE BASADO EN EL PROCESO PHVA.............................................................35 

5.6.2. MEJORA DEL SGSI..................................................................................................................................................49 

5.7. SEGURIDAD APLICADA A LA COMUNIDAD – HIGIENE EN SEGURIDAD...................................................................................49 

6. MODELO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI .........................................................................51 

6.1. ALCANCE Y LÍMITES DEL SISTEMA..................................................................................................................................51 

6.2. OBJETIVOS DEL SISTEMA.............................................................................................................................................53 

6.3. POLÍTICA DEL SISTEMA DE GESTIÓN. .............................................................................................................................53 

Página 4 de 207





6.4. POLÍTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN ............................................................................................54 

6.4.1. PS1 – POLÍTICA DE CONTROL DE ACCESO...................................................................................................................54 

6.4.2. PS2 - POLÍTICA DE NO REPUDIACIÓN.........................................................................................................................56 

6.4.3. PS3 - POLÍTICA DE SERVICIOS CONFIABLES ..................................................................................................................56 

6.4.4. PS4 – POLÍTICA DE PRIVACIDAD Y CONFIDENCIALIDAD.................................................................................................57 

6.4.5. PS5 - POLÍTICA DE INTEGRIDAD ................................................................................................................................57 

6.4.6. PS6 – POLÍTICA DE DISPONIBILIDAD DEL SERVICIO.......................................................................................................58 

6.4.7. PS7 – POLÍTICA DE DISPONIBILIDAD DE LA INFORMACIÓN.............................................................................................58 

6.4.8. PS8 – POLÍTICA DE PROTECCIÓN DEL SERVICIO............................................................................................................59 

6.4.9. PS9 - POLÍTICA DE REGISTRO Y AUDITORIA.................................................................................................................59 

6.4.10. ALINEAMIENTO DE LAS POLÍTICAS DE SEGURIDAD CON NORMAS Y MEJORES PRÁCTICAS DE LA INDUSTRIA.............................60 

6.5. CLASIFICACIONES DE SEGURIDAD DEL MODELO SGSI.......................................................................................................67 

6.5.1. CLASIFICACIÓN DE ENTIDADES POR GRUPO O NATURALEZA DEL SERVICIO..........................................................................67 

6.5.2. NIVELES DE MADUREZ DE LOS CONTROLES DE SEGURIDAD RECOMENDADOS .....................................................................69 

6.5.3. REGISTRO DE SEGURIDAD DE LA INFORMACIÓN RSI - GRADUACIÓN................................................................................70 

6.5.4. CONTROLES DE DE SEGURIDAD DE LA INFORMACIÓN RECOMENDADOS POR GRUPO ...........................................................74 

6.6. METODOLOGÍA DE CLASIFICACIÓN Y CONTROL DE ACTIVOS. ...........................................................................................198 

6.7. ENFOQUE PARA LA GESTIÓN DEL RIESGO. ....................................................................................................................198 

6.8. RECOMENDACIONES GENERALES PARA LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO...........................................................198 

6.9. DEFINICIÓN DEL SISTEMA DE GESTIÓN DOCUMENTAL....................................................................................................198 

6.10. RECOMENDACIONES PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN .....................................201 

6.10.1. APOYO POR PARTE DE LA ALTA DIRECCIÓN .............................................................................................................201 

6.10.2. COMPROMISO DE LA ALTA DIRECCIÓN ...................................................................................................................201 

6.10.3. FORMACIÓN Y SENSIBILIZACIÓN ............................................................................................................................202 

6.10.4. REVISIÓN (AUDITORIAS) DEL SGSI ........................................................................................................................203 

Página 5 de 207





LISTA DE FIGURAS 

ILUSTRACIÓN 1: RELACIÓN ENTRE AMENAZAS – ACTIVOS – RIESGOS – CONTROLES .......................................................................................... 17 

ILUSTRACIÓN 2: PUNTOS IMPORTANTES PARA LA DECLARACIÓN DE APLICABILIDAD -SOA. TOMADO DE ESTRATEGIAS CLAVE PARA LA IMPLANTACIÓN DE 

ISO 27001, POR KK MOOKHEY Y KHUSHBU JITHRA. ........................................................................................................................... 19 

ILUSTRACIÓN 3: PRINCIPALES COMPONENTES DE UN SGSI. DERECHOS RESERVADOS ANDRÉS VELÁSQUEZ. 

AVELAZQUEZ@DODOMEX.COM ............................................................................................................................................... 20 

ILUSTRACIÓN 4: SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI....................................................... 23 

ILUSTRACIÓN 5: COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN............................................................................................. 24 

ILUSTRACIÓN 6: ESTRUCTURA GRUPO TÉCNICO DE APOYO............................................................................................................................. 31 

ILUSTRACIÓN 7: CICLO DE VIDA PHVA PARA EL SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN Y SUS ACTORES 

................................................................................................................................................................................................. 36 

ILUSTRACIÓN 8: CICLO P-H-V-A. IMPLANTACIÓN Y GESTIÓN DE UN SISTEMA SGSI. COPYRIGHT © 2007 ISECT LTD. WWW.ISO27001SECURITY.COM . 37 

ILUSTRACIÓN 9: GESTIÓN DE RIESGOS........................................................................................................................................................ 42 

ILUSTRACIÓN 10: ESTRUCTURA DEL MODELO DE SEGURIDAD ......................................................................................................................... 44 

ILUSTRACIÓN 11: CMM NIVELES DE MADUREZ. COBIT 4.0. IT GOVERNANCE INSTITUTE................................................................................. 70 

Página 6 de 207





LISTA DE TABLAS 

TABLA 1: RELACIÓN DE LAS POLÍTICAS Y OBJETIVOS DE CONTROL DEL MODELO DE SEGURIDAD SGSI PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CON LAS 

NORMAS Y MEJORES PRÁCTICAS DE LA INDUSTRIA. ............................................................................................................................... 67 

TABLA 2: CLASIFICACIÓN DE GRUPOS SEGÚN LA NATURALEZA DE LA ENTIDAD..................................................................................................... 68 

TABLA 3: CLASIFICACIÓN DE CONTROLES SEGÚN EL GRUPO AL QUE PERTENEZCA LA ENTIDAD................................................................................. 68 

TABLA 4: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 1.................................................................................. 76 

TABLA 5: CONTROLES DE SEGURIDAD RECOMENDADOS PARA EL GRUPO 2. ..................................................................................................... 129 

TABLA 6: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 3................................................................................ 197 

Página 7 de 207






DERECHOS DE AUTOR 

Este documento pertenece a la Estrategia de Gobierno en Línea del Ministerio de Comunicaciones de 

Colombia, esta prohibida la reproducción total o parcial del contenido de este documento sin la 

autorización expresa de la Estrategia de Gobierno en Línea. 

Todas las referencias con derechos reservados.






CRÉDITOS 

Este documento fue generado a partir de los resultados de la consultoría llevada a cabo para el diseño del 

modelo de seguridad de la información para la Estrategia de Gobierno en Línea. El desarrollo del proyecto 

estuvo a cargo del grupo de consultores contratados por Gobierno en Línea y el aporte de los 

responsables de la supervisión del contrato y demás grupos asesores de la Estrategia de Gobierno en 

Línea.






1. AUDIENCIA 

La Dirección del Proyecto, entidades públicas de orden nacional y territorial y entidades privadas, 

proveedores de servicios de Gobierno en Línea y la comunidad académica en general, que contribuirán con 

sus comentarios, observaciones y retro-alimentación a este documento cuyo propósito es plantear las 

mejores prácticas y recomendaciones para la creación del Modelo de Seguridad de la Información acorde 

con los objetivos y lineamientos de la Estrategia de Gobierno en Línea.






2. INTRODUCCIÓN 

En esta versión final del documento, se plantea la estructura institucional recomendada que deberá tener 

el modelo de seguridad de la información para la estrategia de Gobierno en Línea respaldado por los 

instrumentos normativos que le permitan tener vida y ser aplicado por las diferentes entidades públicas y 

privadas, incluyendo los proveedores que pertenezcan a la cadena de prestación de servicios de Gobierno 

en Línea (ver documento “Instrumentos normativos proyectados”). 

Como se verá en el capítulo 5, el modelo de seguridad se apoyará en un Sistema Administrativo Nacional 

de Seguridad de la Información –SANSI, para que sus diferentes componentes, realicen tareas y 

actividades relacionadas con el ciclo de vida propuesto para el modelo, incentiven su implementación y 

mejora continua cuando sea adoptado por las entidades destinatarias. 

Parte fundamental de la arquitectura institucional planteada, es la creación de un CSIRT Colombiano, para 

el cual, en este proyecto, se tienen propuestos tres diferentes modelos según la naturaleza del CSIRT a 

implementar: a) público -dependiendo del Ministerio de Comunicaciones, b) como Asociación sin ánimo de 

lucro del sector público y c) como Asociación sin ánimo de lucro con participación Mixta (ver documento 

“Diseño de un CSIRT Colombiano”). 

Finalmente, este documento detalla el Modelo de gestión de seguridad de la información SGSI propiamente 

dicho, que será parte de la estructura planteada y que se integrará al ciclo de vida PHVA para que, además 

de ser un mecanismo de cumplimiento del modelo, le permita a las diferentes entidades destinatarias 

ceñirse a sus políticas, objetivos de control y controles planteados, y de esta forma, mejorar su nivel de 

seguridad de la información, para que sean competitivas y al mismo tiempo, provean mayor confianza a los 

ciudadanos que hagan uso de sus productos y servicios.





3. Marco de Referencia -Sistema de Gestión en Seguridad de la 

Información -SGSI 

3.1. Seguridad de la Información 

La seguridad de la información es la preservación de los principios básicos de la confidencialidad, 

integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se 

definen 1 como: 

• Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados. 

• Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de 

proceso. 

• Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por parte de 

los usuarios autorizados cuando lo requieran. 

En la seguridad de la información, no solo intervienen los aspectos tecnológicos, sino también los procesos, 

los ambientes (centro de cómputo, ubicación de oficinas) y principalmente las personas. 

3.2. ISO (International Organization for Standardization) 

La ISO es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 

157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados 

de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en 

cada país (entidad pública, privada). 

1 Tomado de “Preguntas más Frecuentes, doc_faq_all.pdf pág. 9”, www.iso27000.es. 

Página 12 de 207





La ISO desarrolla estándares requeridos por el mercado que representan un consenso de sus miembros 

(previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores) acerca de 

productos, tecnologías, sistemas y métodos de gestión, entre otros. Estos estándares, por naturaleza, son 

de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar 

su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar 

como parte de su legislación, puede convertirse en obligatorio. 

La ISO garantiza un marco de amplia aceptación mundial a través de sus 3.000 grupos técnicos y más de 

50.000 expertos que colaboran en el desarrollo de estándares. 

3.3. Estándar 

Publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, 

departamentos de gobierno y consumidores, que contiene las especificaciones técnicas y mejores prácticas 

en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las 

necesidades demandadas por la sociedad y tecnología. 

3.4. Icontec2 

El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), es un organismo de carácter 

privado, sin ánimo de lucro, que trabaja para fomentar la normalización, la certificación, la metrología y la 

gestión de la calidad en Colombia. Está conformado por la vinculación voluntaria de representantes del 

Gobierno Nacional, de los sectores privados de la producción, distribución y consumo, el sector tecnológico 

en sus diferentes ramas y por todas aquellas personas jurídicas y naturales que tengan interés en 

pertenecer a él. 

En el campo de la normalización, la misión del Instituto es promover, desarrollar y guiar la aplicación de 

Normas Técnicas Colombianas (NTC) y otros documentos normativos, con el fin de alcanzar una economía 

óptima de conjunto, el mejoramiento de la calidad y también facilitar las relaciones cliente-proveedor, en el 

ámbito empresarial nacional o internacional. 

ICONTEC, como Organismo Nacional de Normalización (ONN) representa a Colombia ante organismos de 

normalización internacionales y regionales como la Organización Internacional de Normalización (ISO), la 

2 Tomado de www.icontec.org “Quienes Somos”. 

Página 13 de 207





Comisión Electrotécnica Internacional (IEC), y la Comisión Panamericana de Normas de la Cuenca del 

Pacífico (COPANT). 

3.5. Norma ISO27001 

Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, 

mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en el ciclo de 

vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua, al igual que otras 

normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). 

Este estándar es certificable, es decir, cualquier organización que tenga implantado un SGSI según este 

modelo, puede solicitar una auditoria externa por parte de una entidad acreditada y, tras superar con éxito 

la misma, recibir la certificación en ISO 27001. 

El origen de la Norma ISO27001 está en el estándar británico BSI (British Standards Institution) BS7799- 

Parte 2, estándar que fue publicado en 1998 y era certificable desde entonces. Tras la adaptación 

pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005. 

Puede consultar la historia de ISO27001 en el siguiente link: 

http://www.iso27000.es/download/HistoriaISO27001.pps 

3.5.1. Serie ISO27000 

ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de 

seguridad de la información. En el 2005 incluyó en ella la primera de la serie (ISO 27001), las demás son: 

• ISO27000 (términos y definiciones), 

• ISO27002 (objetivos de control y controles), 

• ISO27003 (guía de implantación de un SGSI), 

• ISO27004 (métricas y técnicas de medida de la efectividad de un SGSI), 

• ISO27005 (guía para la gestión del riesgo de seguridad de la información) y 

• ISO27006 (proceso de acreditación de entidades de certificación y el registro de SGSI). 

Página 14 de 207





3.5.2. Relación de la Norma ISO27001 con otros estándares de seguridad de la 

Información 

Existen otros estándares internacionalmente aceptados relacionados con seguridad de la información 

(COBIT 3 , NIST 4 , AS/NZ4360 5 , entre otros), que la enfocan desde diferentes puntos de vista como controles 

de seguridad, buen gobierno, gestión de riesgo etc. Para este particular, se ha realizado un informe de 

interrelación de estándares de seguridad recomendados y se incluye un mapa que detalla estas relaciones 

tomando como pivote la mencionada norma ISO27001. Ver “Anexo 1 -Mapa de Interrelación de Estándares 

de Seguridad de la Información”. 

3.6. Sistema de Gestión de la Seguridad de la Información -SGSI 

Un SGSI es un Sistema de Gestión de la Seguridad de la Información o ISMS por sus siglas en inglés 

(Information Security Management System). Este sistema consiste de una serie de actividades de gestión 

que deben realizarse mediante procesos sistemáticos, documentados y conocidos por una organización o 

entidad. 

3 COBIT: Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de 

dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los 

expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, 

asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. El Instituto ITGI Governance Institute 

(www.itgi.org) diseñó y creó esta publicación titulada COBIT® como un recurso educacional para los directores ejecutivos de información, para la dirección 

general, y para los profesionales de administración y control de TI. Más información en la página www.itgi.org 

4 NIST: National Institute of Standards and Technology, Elabora y promueve patrones de medición, estándares y tecnología con el fin de realzar la 

productividad, facilitar el comercio y mejorar la calidad de vida. Destinados principalmente para el Gobierno de EE.UU. las fuerzas militares y el sector 

comercial, pero pueden ser adaptados a cualquier contexto. Las publicaciones del NIST, son estándares concisos y claros, disponibles de forma gratuita. NIST 

tiene una división especial destinada para publicaciones relacionadas en seguridad de la información: Computer Security Division –Resource Center 

http://csrc.nist.gov/ 

5 AS/NZ4360: Norma Australiana – Neocelandesa que suministra orientaciones genéricas para la gestión de riesgos. Puede aplicarse a una gran variedad de 

actividades, decisiones u operaciones de cualquier entidad pública, privada o comunitaria, grupos o individuos. Se trata de una instrucción amplia pero que 

permite la definición de objetivos específicos de acuerdo con las necesidades de cada implementación. La aplicación de la norma AS/NZS 4360, le garantiza a 

la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento. Ver 

más información en: http://www.riskmanagement.com.au/ 

Página 15 de 207





El propósito 6 de un sistema de gestión de la seguridad de la información no es garantizar la seguridad – 

que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son 

conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, 

sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la 

organización, los riesgos, el entorno y las tecnologías. 

El SGSI protege los activos de información de una organización, independientemente del medio en que se 

encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, 

documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información 

confidencial de trabajadores y colaboradores, entre otros. 

3.6.1. Beneficios de la implantación de un SGSI 

Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al 

negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control, 

tratamiento y mejora continua. 

Ayuda a las empresas a gestionar de una forma eficaz la seguridad de la información, evitando las 

inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una 

evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles 

desproporcionados y de un costo más elevado del necesario, por el retraso en las medidas de seguridad en 

relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en 

la asignación de funciones y responsabilidades sobre los activos de información, por la ausencia de 

procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad 

del negocio, etc. 

3.6.2. Justificación de la implementación de un SGSI 

La información, junto a los procesos, personas y sistemas que hacen uso de ella, son activos muy 

importantes dentro de una organización. La confidencialidad, integridad y disponibilidad de información 

sensitiva son elementos esenciales para mantener los niveles de competitividad, rentabilidad, conformidad 

legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios 

económicos. 

Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de 

amenazas que, aprovechando cualquiera de las vulnerabilidades existentes –inherentes a los activos, 

pueden someter a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, entre 

otros. Los virus informáticos, el “hacking” o los ataques de negación de servicio son algunos ejemplos 

comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad 

causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados 

accidentalmente por catástrofes naturales y fallas técnicos. 

6 Tomado de “Preguntas más Frecuentes, doc_faq_all pág. 8”, www.iso27000.es 

Página 16 de 207





El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del 

entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o 

el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos 

fundamentales en los que el SGSI es una herramienta de gran utilidad y de importante 

ayuda para la gestión de las organizaciones. 

El nivel de seguridad alcanzado por medios y controles técnicos es limitado e insuficiente. En la gestión 

efectiva de la seguridad, debe tomar parte activa toda la organización apoyada por la Alta Dirección, 

tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de 

gestión de la seguridad debe contemplar políticas y procedimientos adecuados y la planificación e 

implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la 

eficacia de los mismos. 

Ilustración 1: Relación entre amenazas – activos – riesgos – controles 

El Modelo de gestión de seguridad de la información (SGSI) ayuda a establecer estas políticas y 

procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel 

de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. 

Con un sistema SGSI, la organización conoce los riesgos a los que está sometida su información y 

activos y los asume, minimiza, transfiere o controla mediante una metodología definida, 

documentada y conocida por todos, que se revisa y mejora constantemente. 

Página 17 de 207





4. Componentes Principales de un Sistema de Gestión de la Seguridad 

de la Información –SGSI 

De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes 

documentos (en cualquier formato o tipo de medio): 

• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una 

identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas 

partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del 

SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, 

sistemas o tareas concretas). 

• Política y objetivos de seguridad: documento de contenido genérico que establece el 

compromiso de la Alta Dirección y el enfoque de la organización en la gestión de la seguridad de la 

información. 

• Estándares, Procedimientos, y Guías que soportan el SGSI: aquellos documentos y 

mecanismos que regulan el propio funcionamiento del SGSI. Documentación necesaria para 

asegurar la planificación, operación y control de los procesos de seguridad de la información, así 

como para la medida de la eficacia de los controles implantados -Métricas. 

• Metodología de Evaluación de riesgos: descripción de la metodología a emplear (cómo se 

realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos 

en relación a los activos de información contenidos dentro del alcance seleccionado), tratamiento y 

desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables. 

• Informe de evaluación de riesgos –Risk Assessment: estudio resultante de aplicar la 

metodología de evaluación anteriormente mencionada a los activos de información de la 

organización. 

• Plan de tratamiento de riesgos: documento que identifica las acciones de la Alta Dirección, los 

recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la 

información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos 

de control identificados, de los recursos disponibles, etc. 

Página 18 de 207





• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del 

funcionamiento eficaz del SGSI. 

• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas en inglés); 

documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado 

en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y 

exclusiones. 

Ilustración 2: Puntos importantes para la Declaración de Aplicabilidad -SOA. Tomado de Estrategias clave 

para la implantación de ISO 27001, por Kk Mookhey y Khushbu Jithra. 

• Control de la documentación: Para los documentos generados y que hacen parte del sistema 

SGSI se debe establecer, documentar, implantar y mantener un procedimiento que defina las 

acciones de gestión necesarias para: 

La Alta Dirección debe aprobar documentos antes de su publicación. 

Revisar y actualizar documentos cuando sea necesario y renovar su validez. 

Garantizar que los cambios y el estado actual de revisión de los documentos están 

identificados. 

Garantizar que las versiones relevantes de documentos vigentes están disponibles en los 

lugares de empleo. 

Garantizar que los documentos se mantienen legibles y fácilmente identificables. 

Página 19 de 207





Garantizar que los documentos permanecen disponibles para aquellas personas que los 

necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los 

procedimientos aplicables según su clasificación. 

Garantizar que los documentos procedentes del exterior están identificados. 

Garantizar que la distribución de documentos está controlada. 

Prevenir la utilización de documentos obsoletos. 

Aplicar la identificación apropiada a documentos que son retenidos con algún propósito. 

Ilustración 3: Principales componentes de un SGSI. Derechos reservados Andrés Velásquez. 

avelazquez@dodomex.com 

Página 20 de 207

5.1. Introducción 






5. ESTRUCTURA INSTITUCIONAL 

Gobierno en Línea es una estrategia del Ministerio de Comunicaciones de Colombia 7 establecido como una 

política de estado, dirigida a contribuir con un sector productivo más competitivo, un estado moderno y 

una comunidad con mayores oportunidades para el desarrollo, al aprovechar las ventajas que las nuevas 

tecnologías ofrecen. La estrategia de Gobierno en Línea contribuye mediante el aprovechamiento de las 

Tecnologías de la Información y las Comunicaciones -TIC, a la construcción de un Estado más eficiente, 

más transparente, más participativo y en el que se presten mejores servicios a los ciudadanos y a las 

empresas. 

En este sentido, la Estrategia Gobierno en Línea persigue tres objetivos estratégicos: 

• Mejorar la provisión de servicios a los ciudadanos y a las empresas 

• Fortalecer la transparencia del Estado y la participación ciudadana 

• Mejorar la eficiencia del Estado 

Para dar cumplimiento a sus objetivos estratégicos, la Estrategia de Gobierno en Línea está organizado por 

los procesos necesarios para promover en la administración pública el aprovechamiento de las TIC, a fin de 

desarrollar conjuntamente con las instituciones, y de manera gradual, servicios electrónicos dirigidos a la 

ciudadanía, las empresas y el Estado. 

7 Tomado de: http://www.gobiernoenlinea.gov.co/home_principal.aspx. Fecha de acceso: 2008/10/10. Publicado por el Ministerio de 

Comunicaciones. Autor: No determinado.





Estos tres últimos aspectos se definen de la siguiente manera 8 ; 

• Comunidad: Fomentar el uso de las Tecnologías de la Información para mejorar la calidad de vida de 

la comunidad, ofreciendo un acceso equitativo a las oportunidades de educación, trabajo, justicia, 

cultura, recreación, entre otros. 

• Sector Productivo: Fomentar el uso de las tecnologías de la información y las comunicaciones como 

soporte al crecimiento y aumento de la competitividad, el acceso a mercados para el sector productivo, 

y como refuerzo a la política de generación de empleo. 

• Estado: Proveer al Estado la conectividad que facilite la gestión de los organismos gubernamentales y 

apoye la función de servicio al ciudadano. 

A través de este programa, el Gobierno Nacional brindará en primera instancia, la información necesaria 

para difundir el conocimiento e incentivar la apropiación de las tecnologías de la información hacia las 

comunidades, de tal forma que estas, al ser quienes mejor conocen sus necesidades, intereses y 

perspectivas, participen activamente en el proceso mediante la formulación de requerimientos puntuales 

aplicables para su propio progreso. 

5.2. Sistema Administrativo Nacional de Seguridad de la Información -SANSI 

El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, se apoya en la creación 

del Sistema Administrativo Nacional de Seguridad de la Información –SANSI, institución que le da la 

facultad al Presidente de la República de conformar la Comisión Nacional de Seguridad de la Información 

para tomar acciones estratégicas y definir los lineamientos que permitan la implementación, seguimiento y 

mantenimiento de las políticas y controles del Modelo de Seguridad 9 en cada una de las entidades públicas 

de orden nacional y territorial y en las entidades privadas que pertenezcan a la cadena de prestación de 

8 Tomado de: Agenda de Conectividad, CONPES 3072. 

9 Modelo de Seguridad: Cabe aclarar que existen dos connotaciones para el término dentro de este documento. En los capítulos 1, 2 y 3, se hace 

referencia al modelo en cuanto a que el objetivo de la consultoría es definir un modelo de seguridad como “un todo” para la estrategia de gobierno 

en línea. A partir del numeral 3.2; se hace referencia al “modelo de seguridad” como un producto del sistema SANSI, entendiendo el modelo en su 

definición técnica como el conjunto de políticas estratégicas que soportan los objetivos de Gobierno en Línea; estas políticas a su vez, son 

soportadas por controles. Este conjunto de políticas y controles que conforman el modelo de seguridad, deberá ser implementado por cada una de 

las entidades objetivo, convirtiendo a este modelo en un sistema de gestión SGSI. Para mayor información del modelo de seguridad técnico, 

remitirse al capítulo número 6. Modelo SGSI. 

Página 22 de 207





servicios de Gobierno en Línea y en las entidades privadas que provean acceso a Internet a los ciudadanos 

que ingresen a los servicios de Gobierno en Línea. 

Gracias a mecanismos normativos que se están planteando en el marco de esta consultoría, se podrán 

sentar las herramientas para la creación del Sistema Administrativo Nacional de Seguridad de la 

Información, lo cual constituye un paso muy importante para el cumplimiento de los principios definidos en 

la Estrategia de Gobierno en Línea que corresponden a la "Protección de la información del individuo" y la 

"Credibilidad y confianza en el Gobierno en Línea". 

En particular, para lograr el cumplimiento de estos principios, se requiere que tanto los Servicios de 

Gobierno en Línea como la Intranet Gubernamental y las entidades que participen en la cadena de 

prestación de los servicios de Gobierno en Línea cumplan con los tres elementos fundamentales de la 

Seguridad de la Información a saber: disponibilidad de la información y los servicios; integridad de la 

información y los datos; y, confidencialidad de la información. Para la correcta administración de la 

Seguridad de la Información, se deben establecer y mantener programas y mecanismos que busquen 

cumplir con los tres requerimientos mencionados. 

Es así, como producto de esta consultoría, se propone la creación del Sistema Administrativo Nacional de 

Seguridad de la Información (SANSI), cuyo eje central es la Comisión Nacional de seguridad de la 

Información (CNSI) (ver Ilustración 4). El SANSI surge, entonces, como un sistema institucional que reúne 

a todos los actores públicos, privados, la academia y la sociedad civil involucrados en la seguridad nacional 

de la información. Así mismo, incorpora el conjunto de reglas y normas que rigen las interacciones entre 

estos actores. 

En este sentido, el SANSI coordinará las actividades relacionadas con la formulación, ejecución, 

seguimiento y mantenimiento de las políticas y lineamientos necesarios para fortalecer la adecuada gestión 

de la seguridad de la información nacional: 

Ilustración 4: Sistema Administrativo Nacional de Seguridad de la Información -SANSI 

Página 23 de 207





Finalmente, el Sistema Administrativo Nacional de Seguridad de la Información -SANSI, es el conjunto 

sistematizado de Lineamientos, Políticas, Normas, Procesos e Instituciones que proveen y promueven la 

puesta en marcha, supervisión y control del modelo de Seguridad de la Información para la Estrategia de 

Gobierno en Línea. 

A continuación, se detallan cada una de las características de cada uno de los actores que componen el 

sistema SANSI: 

5.3. Comisión Nacional de Seguridad de la Información 

La Comisión Nacional de Seguridad de la Información (CNSI) es el órgano asesor del Gobierno 

Nacional y de concertación entre éste, las entidades destinatarias y la sociedad civil en temas relacionados 

con la seguridad de la información del país y de sus territorios, con el fin de generar credibilidad y 

confianza en Gobierno en Línea protegiendo la información de las entidades y de los ciudadanos. La 

Comisión apoyará al Presidente de la República en la dirección del SANSI. 

Como se puede observar en la ilustración 5, el componente principal del sistema SANSI es la Comisión 

Nacional de Seguridad de la Información, la cual, provee un espacio de encuentro de todos los actores 

involucrados en temas de Seguridad Nacional para aprobar las políticas en materia de seguridad de 

información nacional, definir el curso de acciones a seguir y hacer seguimiento para asegurar su 

cumplimiento y su mantenimiento: 

Ilustración 5: Comisión Nacional de Seguridad de la Información 

Página 24 de 207





El modelo de seguridad de la información planteado obedece las directrices establecidas por la Comisión 

Nacional de Seguridad de la Información, compuesta por representantes de los diferentes sectores 

responsables e interesados en la seguridad nacional y cuya función es asesorar al Presidente de la 

República y al Gobierno Nacional en la formulación y adopción de los lineamientos del Modelo de Seguridad 

de la Información, en concordancia con los planes y programas de la Estrategia de Gobierno en Línea. 

La Comisión Nacional de Seguridad de la Información, está compuesta por los siguientes miembros que 

tendrán voz y voto 10 : 

o El Presidente de la República, quien la presidirá. 

Justificación: Es el jefe de Estado, jefe del gobierno y suprema autoridad 

administrativa, tiene las competencias para tomar decisiones estratégicas 

relacionadas con la seguridad de la información nacional. Aprueba leyes, decretos y 

actos jurídicos para dar soporte y cumplimiento al sistema SANSI. 

o El Ministro de Comunicaciones, quien ejercerá la coordinación general. 

Justificación: Dado que el sistema SANSI y sus diferentes componentes son adscritos 

al Ministerio de Comunicaciones, este último coordinará las actividades al interior de 

la Comisión. Junto con el Director Nacional de Seguridad de la Información, 

presentará los informes, las políticas, los controles y resultados del modelo de 

seguridad, y sus ajustes propuestos, para que sean estudiados y sometidos a 

aprobación por parte de la Comisión. Los ajustes del modelo de seguridad 

aprobados por la Comisión, serán incluidos en la nueva versión del modelo a ser 

implementado en el siguiente ciclo de vida del sistema SANSI. 

o El Ministro del Interior y de Justicia, como representante del gobierno. 

Justificación: Jefe superior de las entidades del gobierno y legales adscritas al 

ministerio. Actúa en representación del Presidente de la República en las funciones 

que el le delegue o la ley le confiera. Participa en la orientación, coordinación y 

control de las entidades adscritas y vinculadas pertenecientes al Sector 

Administrativo del Interior y de Justicia. Formula las políticas sectoriales, planes 

generales, programas y proyectos del Sector Administrativo del Interior y de 

Justicia, bajo la dirección del Presidente de la República. Representa, en los asuntos 

de su competencia, al Gobierno Nacional en la ejecución de tratados y convenios 

10 Para la justificación de cada miembro de la Comisión, se tomaron algunas funciones que aparecen publicadas en las páginas Internet oficiales de cada 


Página 25 de 207





internacionales, de acuerdo con las normas legales sobre la materia. Coordina la 

actividad del Ministerio, en lo relacionado con su misión y objetivos, con las 

Entidades Públicas del orden nacional y descentralizado territorialmente y por 

servicios, el Congreso de la República, la Rama Judicial, la Registraduría Nacional 

del Estado Civil y los organismos de control. Imparte instrucciones a la Policía 

Nacional para la conservación y el restablecimiento del orden público interno en 

aquellos asuntos cuya dirección no corresponda al Ministro de Defensa Nacional. 

Planea, coordina, formula políticas y traza directrices que orienten los rumbos del 

sistema jurídico del país y del sistema de justicia. Prepara e impulsa proyectos de 

ley y actos legislativos ante el Congreso de la República. Promueve dentro de las 

instancias respectivas y con la colaboración de las entidades estatales competentes, 

la cooperación internacional en los asuntos de su competencia. 

o El Ministro de Defensa Nacional, como responsable de la Seguridad Nacional. 

Justificación: Participa en la definición, desarrollo y ejecución de las políticas de 

defensa y seguridad nacionales, para garantizar la soberanía nacional, la 

independencia, la integridad territorial y el orden constitucional, el mantenimiento 

de las condiciones necesarias para el ejercicio y el derecho de libertades públicas, y 

para asegurar que los habitantes de Colombia convivan en paz. Contribuye con los 

demás organismos del Estado para alcanzar las condiciones necesarias para el 

ejercicio de los derechos, obligaciones y libertades públicas. Coadyuva al 

mantenimiento de la paz y la tranquilidad de los colombianos en procura de la 

seguridad que facilite el desarrollo económico, la protección y conservación de los 

recursos naturales y la promoción y protección de los Derechos Humanos. Orienta, 

coordina y controla, en la forma contemplada por las respectivas leyes y estructuras 

orgánicas, las superintendencias, las entidades descentralizadas y las sociedades de 

economía mixta que a cada uno de ellos estén adscritas o vinculadas. 

o El Ministro de Comercio, Industria y Turismo, rector del desarrollo empresarial y 

normalización del país, además lidera el tema de competitividad. 

Justificación: Participa en la formulación de la política, los planes y programas de 

desarrollo económico y social. Formula la política en materia de desarrollo 

económico y social del país relacionada con la competitividad, integración y 

desarrollo de los sectores productivos de bienes y servicios de tecnología para la 

micro, pequeña y mediana empresa, el comercio interno y el comercio exterior. 

Formula las políticas para la regulación del mercado, la normalización, evaluación de 

la conformidad, calidad, promoción de la competencia, protección del consumidor y 

propiedad industrial. Desarrolla la estrategia de desarrollo empresarial, de 

productividad y competitividad, de Mipymes y regulación, de conformidad con los 

lineamientos señalados por los Consejos Superiores de Micro y de Pequeña y 

Mediana Empresa y el Ministro. Establece mecanismos permanentes y eficaces que 

garanticen la coordinación y la mayor participación del sector privado. Formula y 

adopta la política, los planes, programas y reglamentos de normalización. Ejerce la 

coordinación necesaria para mejorar el clima para la inversión tanto nacional como 

extranjera en el país y para incrementar la competitividad de los bienes y servicios 

colombianos. Formula dentro del marco de su competencia las políticas relacionadas 

Página 26 de 207





con los instrumentos que promuevan la productividad, la competitividad y el 

comercio exterior. 

o El Ministro de Relaciones Exteriores, para garantizar el cumplimiento de acuerdos 

internacionales. 

Justificación: Dirige y coordina la estrategia de comunicación que promueva la 

generación de una cultura corporativa en pro del desarrollo de la misión institucional 

y que brinde apoyo y asistencia técnica en materia de comunicaciones a todas las 

dependencias del Ministerio que lo requieran. 

o El Departamento Nacional de Planeación, encargado de la implantación de las 

políticas, ente rector de la planeación del país. 

Justificación: Coordina a todas las entidades y organismos públicos para garantizar el 

debido cumplimiento y ejecución de las políticas, los programas y los proyectos 

contenidos en el Plan Nacional de Desarrollo. Promueve, elabora y coordina estudios 

e investigaciones atinentes a la modernización y tecnificación de la macro-estructura 

del Estado. Participa en el diseño de la política para la prestación de servicios 

públicos domiciliarios, a través de las Comisiones de Regulación, y promueve su 

adopción por parte de las empresas de servicios públicos. Traza las políticas 

generales y desarrolla la planeación de las estrategias de control y vigilancia, para la 

adecuada y eficiente prestación de los servicios públicos domiciliarios. Participa en el 

diseño, seguimiento y evaluación de la política para el desarrollo de la ciencia, la 

tecnología y la innovación. 

o El Departamento Administrativo de Seguridad DAS, Seguridad Nacional. 

Justificación: Produce la inteligencia de Estado que requiere el Gobierno Nacional y 

formula políticas del sector administrativo en materia de inteligencia para garantizar 

la seguridad nacional interna y externa del Estado colombiano. Participa en el 

desarrollo de las políticas diseñadas por el Gobierno Nacional en materia de 

seguridad. Obtiene y procesa información en los ámbitos nacional e internacional, 

sobre asuntos relacionados con la seguridad nacional, con el fin de producir 

inteligencia de Estado, para apoyar al Presidente de la República en la formulación 

de políticas y la toma de decisiones. Coordina el intercambio de información y 

cooperación con otros organismos nacionales e internacionales que cumplan 

funciones afines. 

o La Superintendencia Financiera, por la Ley de Habeas Data y la inspección y control del 

sector financiero. 

Justificación: Propone las políticas y mecanismos que propendan por el desarrollo y el 

fortalecimiento del mercado de activos financieros y la protección al consumidor 

financiero. Instruye a las instituciones vigiladas y controladas sobre la manera como 

deben cumplirse las disposiciones que regulan su actividad, fija los criterios técnicos 

Página 27 de 207





y jurídicos que faciliten el cumplimiento de tales normas y señala los procedimientos 

para su cabal aplicación, así como instruye a las instituciones vigiladas sobre la 

manera como deben administrar los riesgos implícitos en sus actividades. 

o La Superintendencia de Industria y Comercio, Salvaguarda la Ley de Habeas Data. 

Justificación: Vela por la observancia de las disposiciones sobre protección al 

consumidor. Impone, previas explicaciones, de acuerdo con el procedimiento 

aplicable, las sanciones que sean pertinentes por violación de las normas sobre 

protección al consumidor, así como por la inobservancia de las instrucciones 

impartidas por la Superintendencia. Fija el término de la garantía mínima presunta 

para bienes o servicios. Fija requisitos mínimos de calidad e idoneidad para 

determinados bienes y servicios. Asesora al Gobierno Nacional y participa en la 

formulación de las políticas en todas aquellas materias que tengan que ver con la 

protección al consumidor, la promoción de la competencia y la propiedad industrial 

y en las demás áreas propias de sus funciones. Realiza las actividades de 

verificación de cumplimiento de las normas técnicas obligatorias o reglamentos 

técnicos sometidos a su control. Salvaguarda la ley de Habeas Data: Ley 1266 del 

31 de diciembre de 2008. 

o Comisión de Regulación de las Telecomunicaciones –CRT, como ente regulador del 

sector. 

Justificación: Promueve la competencia en el sector de las telecomunicaciones. 

Define los criterios de eficiencia y desarrolla los indicadores y modelos para evaluar 

la gestión financiera, técnica y administrativa de las empresas de 

telecomunicaciones. Prepara proyectos de ley para presentar ante el Congreso 

Nacional relacionados con la prestación del servicio de telecomunicaciones. Fija las 

normas de calidad que deben cumplir las empresas que prestan el servicio. 

Adicionalmente, la Comisión Nacional de Seguridad de la Información podrá convocar a los 

siguientes organismos para participar en las sesiones de la Comisión, cuando su presencia sea 

requerida en función de los temas a tratar, los cuales tendrán voz pero no voto: 

o Fiscalía General de la Nación, como representante de la Rama Judicial y unidad 

especializada en delitos de telecomunicaciones y la administración pública. Posee la 

Dirección Nacional del Cuerpo Técnico de Investigación –CTI. 

Justificación: Investiga los delitos, califica los procesos y acusa ante los jueces y 

tribunales competentes, a los presuntos infractores de la ley penal, ya sea de oficio 

o por denuncia. Posee la Dirección Nacional del Cuerpo Técnico de Investigación – 

CTI, que asesora al Fiscal General en la definición de políticas y estrategias 

asociadas con las funciones de Policía Judicial, en los temas de investigación 

criminal, servicios forenses, de genética y en la administración de la información 

técnica y judicial que sea útil para la investigación penal. Además, planea, organiza, 

dirige, controla y ejecuta las funciones de Policía Judicial de la Fiscalía, organiza y 

controla el cumplimiento de las políticas y estrategias de investigación, servicios 

Página 28 de 207





forenses, de genética y de administración de la información útil para la investigación 

penal en el CTI. Asesora al Fiscal General en el diseño y planeación de estrategias y 

procedimientos en materia de seguridad y de comunicaciones requeridos en los 

distintos niveles territoriales de la Entidad, así como también promover el 

intercambio de información entre los distintos organismos de seguridad del Estado, 

para la programación y el desarrollo de operaciones contra la delincuencia. 

o Procuraduría General de la Nación, como entidad de vigilancia, control y protección de 

los derechos de los ciudadanos. 

Justificación: La función preventiva, empeñada en “prevenir antes que sancionar”, 

vigila el actuar de los servidores públicos y advierte cualquier hecho que pueda ser 

violatorio de las normas vigentes, sin que ello implique coadministración o 

intromisión en la gestión de las entidades estatales. La función de intervención, en 

la que interviene ante las jurisdicciones Contencioso Administrativa, Constitucional y 

ante las diferentes instancias de las jurisdicciones penal, penal militar, civil, 

ambiental y agraria, de familia, laboral, ante el Consejo Superior de la Judicatura y 

las autoridades administrativas y de policía. La intervención es imperativa y se 

desarrolla de forma selectiva cuando el Procurador General de la Nación lo 

considere necesario y cobra trascendencia siempre que se desarrolle en defensa de 

los derechos y las garantías fundamentales de los ciudadanos. La función 

disciplinaria, inicia, adelanta y falla las investigaciones que por faltas disciplinarias 

se adelanten contra los servidores públicos y contra los particulares que ejercen 

funciones públicas o manejan dineros del estado. 

o Superintendencia de Servicios Públicos Domiciliarios, que vela por la adecuada 

prestación de los servicios a los ciudadanos. 

Justificación: Vigila y controla el cumplimiento de las leyes y actos administrativos a 

los que estén sujetos quienes presten servicios públicos, en cuanto el cumplimiento 

afecte en forma directa e inmediata a usuarios determinados y sancionar sus 

violaciones. Adelanta las investigaciones cuando las Comisiones de Regulación se lo 

soliciten. Señala, de conformidad con la Constitución y la ley, los requisitos y 

condiciones para que los usuarios puedan solicitar y obtener información completa, 

precisa y oportuna, sobre todas las actividades y operaciones directas o indirectas 

que se realicen para la prestación de los servicios públicos. Da concepto a las 

Comisiones de Regulación y a los Ministerios sobre las medidas que se estudien en 

relación con los servicios públicos. Efectúa recomendaciones a las Comisiones de 

Regulación en cuanto a la regulación y promoción del balance de los mecanismos de 

control y en cuanto a las bases para efectuar la evaluación de la gestión y 

resultados de las personas prestadoras de los servicios públicos sujetos a su control, 

inspección y vigilancia. Proporciona a las autoridades territoriales el apoyo técnico 

necesario, la tecnología, la capacitación, la orientación y los elementos de difusión 

necesarios para la promoción de la participación de la comunidad en las tareas de 

vigilancia. 

Página 29 de 207





o Registraduría Nacional del Estado Civil, Entidad encargada de la identificación de las 

personas. 

Justificación: Atiende el manejo, clasificación, archivo y recuperación de la 

información relacionada con el registro civil. Responde a las solicitudes de personas 

naturales o jurídicas y organismos de seguridad del Estado o de la rama judicial en 

cuanto a identificación, identificación de necrodactilias y demás requerimientos. 

Atiende todo lo relativo al manejo de la información, las bases de datos, el Archivo 

Nacional de Identificación y los documentos necesarios par el proceso técnico de la 

identificación de los ciudadanos. Adopta las políticas y procedimientos para el 

manejo del Registro del Estado Civil en Colombia, asegurando la inscripción 

confiable y efectiva de los hechos, actos y providencias sujetos a registro. 

Las funciones de la Comisión Nacional de Seguridad de la información están orientadas hacia una 

metodología basada en el proceso Planear – Hacer – Verificar – Actuar de un sistema de 

gestión. Para ver la información sobre las funciones de esta Comisión, remitirse al numeral 5.6.1.1.1. 

5.4. Grupo Técnico de Apoyo 

La Comisión Nacional de Seguridad de la información, es asesorada por el Grupo Técnico de Apoyo, 

(ilustración 8), cuya función principal es definir y mantener el Modelo de Seguridad de la información a 

nivel táctico y técnico especificando las políticas, objetivos de control y controles propuestos para que sean 

implementados por cada una de las entidades destinatarias. El Grupo Técnico de Apoyo, somete a 

consideración de la Comisión, la aprobación del Modelo de Seguridad de la Información y sus ajustes 

posteriores. De esta forma, el Modelo de Seguridad de la Información para la Estrategia de Gobierno en 

Línea, servirá a las entidades que no han implementado aún un Sistema de Gestión en Seguridad de la 

información –SGSI basado en las mejores prácticas y estándares internacionales; y como referente para 

aquellas entidades que ya cuentan con un SGSI implementado y que necesitará ser ajustado para apoyar 

los servicios de la Estrategia de Gobierno en Línea. 

Es el Grupo encargado de la preparación de los documentos, políticas, lineamientos y controles 

recomendados que son avalados por la Comisión. Asesora a las Entidades en su implementación y 

proporciona apoyo técnico y jurídico para la operatividad del modelo. Además, coordina las actividades del 

portafolio de servicios en seguridad de la información (soporte especializado, capacitación, concienciación) 

realizadas por el grupo CSIRT (ver documento “Diseño de un CSIRT Colombiano”). 

Página 30 de 207





Ilustración 6: Estructura Grupo Técnico de Apoyo 

Las funciones del Grupo Técnico de Apoyo están orientadas hacia una metodología basada en el proceso 

Planear – Hacer – Verificar – Actuar de un sistema de gestión. Para ver la información sobre las 

funciones de este Grupo, remitirse a los numerales 5.6.1.1.2 (Funciones Planear) y 5.6.1.4. (Funciones 

Actuar) del presente documento. 

5.4.1. Dirección Nacional de Seguridad de la Información 

Encabeza el Grupo Técnico de Apoyo y depende del Ministerio de Comunicaciones. Articula la Comisión 

Nacional de Seguridad de la Información con el Grupo Técnico de Apoyo. Coordina las acciones tanto a 

nivel técnico como jurídico, los entes policivos y lo concerniente al grupo CSIRT (ver documento “Diseño de 

un CSIRT Colombiano”). 

5.4.1.1. Funciones de la Dirección Nacional de Seguridad de la Información 

• Aprobar y publicar el reporte anual de seguridad de la información en Colombia (estadísticas, 

métricas, indicadores, etc.). 

Página 31 de 207





• Convocar expertos técnicos en seguridad de la información pertenecientes a la academia y al sector 

privado, con el objeto de plantear mejoras para el modelo de seguridad de la información (MSI). 

• Coordinar acuerdos de cooperación con los entes policivos competentes para la provisión de 

servicios de asistencia ante incidentes de Seguridad de la Información en las entidades. Las 

siguientes son las entidades policivas contempladas: 

La Policía Nacional, como parte integrante de las autoridades de la República. 

Recomienda las políticas del estado en materia de seguridad de la comunidad, 

estableciendo planes y responsabilidades entre las diferentes entidades comprometidas. 

DAS (ver numeral 5.3. de este documento). 

La Fiscalía General de la Nación –CTI (ver numeral 5.3. de este documento). 

DIJIN -Dirección de Investigación Criminal, contribuye a la seguridad y convivencia 

ciudadana, mediante el desarrollo efectivo de la investigación criminal judicial, 

criminalística, criminológica y el manejo de la información delincuencial orientada a brindar 

el apoyo oportuno a la administración de justicia. 

DIPOL – Dirección de Inteligencia Policial, unidad especializada que tiene la misión de 

recolectar información y producir inteligencia en relación con los actores y factores de 

perturbación del orden público, la defensa y la seguridad nacional. 

• Proponer ante la Comisión, los cambios y mejoras al modelo de seguridad de la información. 

• Realizar la presentación ejecutiva anual ante la Comisión Nacional de Seguridad, con los resultados 

y la evolución del modelo de seguridad en las Entidades. 

• Coordinar esfuerzos y acuerdos de cooperación con otros grupos CSIRT tanto públicos como 

privados. 

• Coordinar esfuerzos y acuerdos de cooperación con las entidades de Vigilancia y Control para 

realización de verificaciones y auditorias en las entidades que deban cumplir con el Modelo de 

Seguridad de la Información. 

• Coordinar esfuerzos y acuerdos de cooperación con entes de certificación que verifiquen el 

cumplimiento adecuado del Modelo de Seguridad de la Información en las entidades. 

5.4.1.2. Grupo de Estudios Técnicos 

Define los lineamientos y la política de seguridad, prepara estudios técnicos, realiza presentaciones 

ejecutivas ante la Comisión, prepara el documento del Modelo de Seguridad, recibe información a nivel 

de seguridad proveniente del Grupo CSIRT entre otras funciones se encuentran: 

Página 32 de 207





• Definir lineamientos, políticas y controles que forman parte del modelo de seguridad de la 

información, los cuales deberán ser cumplidos por las Entidades (Nivel Estratégico). 

• Elaborar y publicar estudios e informes propios en materia de seguridad de la Información en 

Colombia (principales amenazas, probabilidades e impactos), basados en estadísticas, métricas, 

indicadores, provistos por el Grupo CSIRT y otras fuentes. 

• Analizar los reportes estregados por el Grupo CSIRT, para determinar nuevas acciones a proponer a 

la Comisión Nacional de Seguridad. 

5.4.1.3. Grupo Técnico - Jurídico 

Define los lineamientos normativos requeridos para la gestión de la política de seguridad de la 

información. Apoyo experto en respuesta a incidentes, delito informático y ciencias forenses. Otras 

Funciones: 

• Asesorar a la Dirección Nacional de Seguridad de la Información, en temas legales y técnico – 

jurídicos relacionados con seguridad de la información. 

• Gestionar y aplicar el conocimiento legal en materia de Seguridad de la Información, derecho 

informático, Habeas Data y ciencias forenses. 

• Proveer soporte técnico - jurídico en temas relacionados con la recopilación de pruebas forenses, 

primer respondiente, capacitación y entrenamiento. 

• Diseñar el catálogo de términos de seguridad de la información, guías legales y modelos 

contractuales en materia de derecho informático. 

5.4.1.4. CSIRT 

El grupo CSIRT es un pilar decisivo dentro del Sistema Administrativo de Seguridad de la Información - 

SANSI, ya que es el ente que permite dar operatividad al Modelo de Seguridad, proporcionando un 

completo portafolio de servicios especializados en seguridad de la información centrado en el soporte y la 

asistencia a las entidades tanto públicas como privadas, así como también, recopilando estadísticas, 

indicadores y métricas en seguridad de la información para su posterior análisis y toma de decisiones por 

parte de la Dirección Nacional de Seguridad de la Información. 

Para mayor información concerniente al CSIRT, ver documento “Diseño de un CSIRT Colombiano”. 

5.4.1.5. Relación con otros Órganos Técnicos 

5.4.1.5.1. Autoridades de Vigilancia y Control 

Tanto para el sector público como para el sector privado, la Contraloría, las 

Superintendencias, la Fiscalía, la Procuraduría y los entes policivos, ejercerán 

Página 33 de 207





las labores de vigilancia (auditoria) y validación de la implantación de las 

disposiciones, lineamientos, políticas y controles relacionados con seguridad 

de la información plasmada en el Modelo. Estas autoridades forman parte de 

la fase VERIFICAR del ciclo PHVA del Sistema. Más información en el 

numeral 5.3. de este documento. 

5.4.1.5.2. Organismos de Certificación 

Los organismos de certificación, son personas jurídicas (o morales) que tienen 

por objeto realizar tareas de certificación: evaluar que un producto, proceso, 

sistema, servicio, establecimiento o persona se ajusta a las normas, 

lineamientos o reconocimientos de organismos dedicados a la normalización 

nacionales o internacionales. En este caso, los organizamos verificarán que las 

entidades cumplan con el Modelo de seguridad de la Información. Estos 

organismos, formarán parte de la fase VERIFICAR del ciclo PHVA del 

Sistema. Más información en el numeral 5.3. de este documento. Estas 

Autoridades, adicionalmente, tendrán las siguientes funciones: 

o Establecer acuerdos de cooperación con el SANSI a través del Grupo Técnico 

de Apoyo. 

o Realizar auditorias de cumplimiento del Modelo de Seguridad en las 

entidades que lo soliciten. 

o Informar a la Dirección Nacional de Seguridad de la Información sobre las no 

conformidades y observaciones relacionadas con el cumplimiento del Modelo 

de Seguridad de la Información en las entidades auditadas. 

5.4.1.5.3. Proveedores de Servicios Relacionados con la Seguridad de la 

Información 

El CSIRT como órgano coordinador de los procesos de incidentes relacionados 

con la seguridad de la información, demanda la permanente relación con los 

proveedores tanto nacionales como internacionales de los servicios 

relacionados con la seguridad de la información, manteniendo una base de 

datos actualizada y un estrecho relacionamiento para garantizar la oportuna 

actuación y prevención en incidentes relacionados con la seguridad de la 

información en las entidades. 

5.4.1.5.4. La Academia 

Definitivamente la academia deberá estar incluida no solo en los procesos de 

diseño e implementación del CSIRT, sino que debe ser tenida en cuenta para 

asesorar al Grupo Técnico de Apoyo y en general al Sistema SANSI ya que 

son entes que poseen un amplio conocimiento y disponibilidad de 

Página 34 de 207





información, lo cual puede permitir tener oportunidades de mejora del 

sistema, sus políticas, lineamientos y controles. 

5.5. Relaciones de Desarrollo Empresarial con Entidades Públicas y Privadas 

Las relaciones con la industria deberán partir de una sola filosofía, promover su desarrollo, dando 

visibilidad a la industria de seguridad de la información mediante un espacio (medios técnicos y humanos 

altamente especializados) en el que puedan ponerse en contacto la oferta y la demanda y en el que se 

colabora a impulsar la innovación del sector privado en seguridad de la información. Se da visibilidad tanto 

nacional como internacional a la industria de seguridad de la información en Colombia, se analiza la 

demanda y la oferta de productos/servicios de seguridad disponibles y se sensibiliza por ejemplo a la PYME 

en el uso de esos servicios y productos, dinamizando de este modo la demanda. 

5.6. Funciones de los actores del SANSI -Enfoque basado en el proceso PHVA 

El Sistema Administrativo Nacional de Seguridad de la Información -SANSI, adopta un enfoque basado en 

procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el Modelo de 

Seguridad de la Información para la Estrategia de Gobierno en Línea, pero esta vez no orientado hacia una 

organización en particular sino a todos los actores y entidades involucradas: 

Página 35 de 207





Ilustración 7: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Información y 

sus Actores 

Como se puede observar en la ilustración 7, se propone enfocar el Sistema Administrativo Nacional de 

Seguridad de la Información SANSI hacia un sistema de Gestión auto-sostenible, que funcione eficazmente 

y que tome como entradas al sistema: 

• Los instrumentos normativos para apoyar la implementación del Modelo de Seguridad, 

• Los lineamientos, requerimientos y la política del modelo de seguridad de la información para la 

estrategia de Gobierno en Línea que plasmen las expectativas de seguridad de la información. 

Como todo Sistema de Gestión, se recomienda que el SGSI a ser diseñado e implementado por cada una 

de las entidades participantes en la cadena de prestación de servicios de Gobierno en Línea se fundamente 

con base en la ISO 27001, por medio del uso del ciclo continuo PHVA (Planear – Hacer – Verificar – 

Actuar): 

Página 36 de 207





Ilustración 8: Ciclo P-H-V-A. Implantación y Gestión de un sistema SGSI. Copyright © 2007 IsecT Ltd. 

www.ISO27001security.com 

• Planear: establecer el SGSI. 

• Hacer: implementar y utilizar el SGSI. 

• Verificar: monitorear y revisar el SGSI. 

• Actuar: mantener y mejorar el SGSI. 

A continuación, se detallan las funciones a realizar para cada uno de los actores del sistema SANSI, tanto a 

alto nivel (Comisión y Grupo Técnico de Apoyo), como para las entidades destinatarias al implementar el 

modelo SGSI: 

Página 37 de 207





5.6.1.1. FASE PLANEAR CICLO PHVA - COMISIÓN NACIONAL DE SEGURIDAD DE LA 

INFORMACIÓN Y GRUPO TÉCNICO DE APOYO 

A ALTO NIVEL –SANSI: 

5.6.1.1.1. Funciones de la Comisión Nacional de Seguridad de la Información: 

La Comisión es la máxima autoridad Nacional de Seguridad de la Información y se convierte en el 

escenario ideal para que los responsables por la Seguridad Nacional discutan y articulen los planes y 

estrategias de acción para garantizar adecuadamente la seguridad de la información nacional a través 

del Modelo de Seguridad para la Estrategia de Gobierno en Línea. Así mismo, permitirá la aprobación 

de políticas, acciones y controles a ser implementados por las entidades destinatarias para fortalecer su 

postura en seguridad de la información, permitiendo de esta forma, generar confianza y proteger 

adecuadamente la información de los ciudadanos. 

Reuniones: Por convocatoria del Ministro de Comunicaciones que actuará como Coordinador General, 

la Comisión, sesionará de manera ordinaria una (1) vez al año, y de manera extraordinaria con la 

frecuencia necesaria para el cabal cumplimiento de su agenda de trabajo. 

Funciones Fase Planear Ciclo PHVA: 

• Apoyar y divulgar a alto nivel la seguridad de la información nacional, el modelo de seguridad, sus 

políticas y controles 

• Aprobar y generar los instrumentos normativos pertinentes para viabilizar la implementación del 

modelo de seguridad en las entidades destinatarias 

• Tomar decisiones estratégicas para el SANSI y el modelo de seguridad 

• Impulsar, mantener y mejorar el SANSI y el modelo de seguridad 

• Estudiar los cambios y ajustes propuestos para el modelo de seguridad 

• Presentar propuestas al Gobierno Nacional para la adopción de medidas relacionadas con el 

mejoramiento de la seguridad de la información 

• Asesorarse de grupos técnicos de apoyo para tener una adecuada coherencia a nivel técnico de los 

temas de seguridad de la información y en consecuencia, mejorar el desempeño de sus 

responsabilidades. 

La Comisión Nacional de Seguridad de la Información ejercerá adicionalmente las siguientes funciones: 

Página 38 de 207





• Establecer los lineamientos del Sistema Administrativo Nacional de Seguridad de la Información y 

aprobar el Modelo de Seguridad de la Información en concordancia con los planes y programas de 

desarrollo tecnológico del país y de la Estrategia de Gobierno en Línea. 

• Apoyar la articulación de las iniciativas y acciones que se adelanten en las diferentes entidades 

públicas y privadas relacionadas con Seguridad de la Información. 

• Aprobar el Modelo de Seguridad de la Información (MSI) que incluya las políticas, objetivos y 

controles; la metodología de medición y seguimiento de Indicadores de seguridad; la revisión 

periódica del estado de cumplimiento del Modelo. 

• Aprobar los mecanismos normativos recomendados por el Grupo Técnico de Apoyo a través del 

Grupo Técnico - Jurídico, los cuales permitan el cumplimiento e implementación del modelo por 

parte de la Entidades. 

• Aprobar las nuevas versiones del modelo de seguridad de la información (MSI) para la Estrategia 

de Gobierno en Línea, a ser cumplido por parte de las Entidades destinatarias. 

• Presentar propuestas al Gobierno Nacional para la adopción de medidas tendientes a lograr el 

mejoramiento de la seguridad de la información a nivel nacional en el sector público y privado. 

• Estudiar los temas que propongan sus miembros en relación con los objetivos de la Comisión. 

• Crear los comités técnicos de apoyo que considere necesarios para el mejor desempeño de sus 

responsabilidades. 

• Disponer la formación de comités consultivos o técnicos, integrados por el número de miembros 

que determine, para que asesoren técnicamente a la Comisión Nacional de Seguridad de la 

Información en determinados asuntos. 

• Presentar propuestas al Gobierno Nacional para la adopción de medidas tendientes a lograr el 

mejoramiento de la seguridad de la información del país, de las entidades y de los ciudadanos. 

• Proponer acciones para la modernización de las entidades destinatarias y generar normas que 

mejoren el estado actual de la seguridad de la información. 

• Propender por el desarrollo de una cultura e higiene de seguridad de la información como factor 

determinante para mejorar el estado actual de la seguridad de la información de las entidades y de 

los ciudadanos. 

• Las demás inherentes al cumplimiento de los objetivos del Sistema Administrativo Nacional de 

Seguridad de la Información. 

Página 39 de 207





5.6.1.1.2. Funciones del Grupo Técnico de Apoyo 

Fase Planear Ciclo PHVA: 

• Plantear las políticas y controles que componen el Modelo de Seguridad de la información 

• Coordinar tareas al interior del grupo relacionadas con acuerdos de cooperación con diferentes 

entidades. 

• Proveer el soporte técnico para asesorar adecuadamente a la Comisión. 

A NIVEL DE LAS ENTIDADES DESTINATARIAS –SGSI (ver ilustración 8): 

Funciones Fase Planear Ciclo PHVA: 

1. Obtener Soporte de la Alta Dirección: El apoyo de la Alta Dirección – Gerencia de la entidad es 

vital para el éxito de la implementación del sistema SGSI. 

2. Establecimiento del SGSI: La alta dirección debe definir el alcance y límites del SGSI en términos 

de la estrategia de Gobierno en Línea: procesos de negocio, áreas, servicios. No es necesario 

que el SGSI abarque toda la organización, puede empezar por un proceso o área y avanzar 

paulatinamente cubriendo mas procesos o áreas. 

3. Realizar un inventario de activos: La organización debe realizar un levantamiento de información 

orientado a los activos que soportan los procesos de negocio que componen el alcance del 

SGSI, es decir, que activos soportan los sistemas de información y aplicaciones, que a su vez, 

soportan los procesos de negocio de la entidad. 

La herramienta de Autoevaluación 11 , presenta un formulario de ingreso de información para que 

el responsable por parte de la entidad, identifique los activos que están dentro del alcance del 

SGSI y a sus responsables directos, denominados propietarios. Adicionalmente, calificará el 

grado de criticidad o importancia de cada activo en relación con el apoyo al modelo de 

seguridad de la información para la Estrategia de Gobierno en Línea. Esta calificación la 

11 Ver mayor información de la herramienta de auto-evaluación en el documento: “Entregable 7 –Sistema Autoevaluación”. 

Página 40 de 207





realizará la entidad en la herramienta seleccionando en un rango de 1 a 5 donde 1 es una 

criticidad muy baja, 2 criticidad baja, 3 criticidad media, 4 criticidad alta y 5 criticidad muy alta. 

4. Realizar la evaluación del riesgo en seguridad: Una vez el levantamiento de información de los 

activos parte del alcance del SGSI está realizado, se debe hacer la evaluación del riesgo 

asociado a dichos activos, especificando las áreas de preocupación, amenazas, vulnerabilidades, 

escenarios de riesgo, probabilidad de ocurrencia de la amenaza e impacto si llega a 

materializarse la amenaza a los activos que soportan los sistemas de información, aplicaciones y 

en consecuencia, los procesos de negocio o áreas parte del alcance. La entidad puede hacer uso 

de cualquier metodología de gestión, evaluación y análisis del riesgo que considere conveniente, 

no hay necesidad de usar una específica, lo importante es que tenga los elementos 

recomendados en la norma ISO27001. Como parte de la presente consultoría, se entrega un 

documento con la metodología de evaluación del riesgo propuesta. Ver documento “Entregable 

4 - Anexo 2: Metodología de gestión del riesgo”. De igual forma, existen metodologías de 

gestión del riesgo recomendadas como la AS/NZ4360, la ISO27005:2008 y la SP800-30 (del 

instituto NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf). 

5.a. Preparar y elaborar la Declaración de Aplicabilidad (o en sus términos en inglés: Statement of 

Agreement –SOA): Cada entidad, según su naturaleza, y objetivos de negocio, seleccionará cuales 

de los dominios y objetivos de control de las normas ISO27001/27002 aplican y no aplican para su 

entidad. Para los seleccionados como “No Aplica”, la entidad deberá justificar detalladamente la 

exclusión; además, deberá tener en cuenta: 

• Los objetivos de control y controles seleccionados y los motivos para su elección; 

• Los objetivos de control y controles que actualmente ya están implantados; 

• La exclusión de cualquier objetivo de control y controles deberán estar 

justificados apropiadamente. 

El modelo de Seguridad para la Estrategia de Gobierno en Línea, propone un listado de políticas, 

objetivos de control y controles, producto de un análisis detallado de las normas internacionales 

recomendadas como la (ISO27001/27002, CobIT, NIST, AS/NZ4360) 12 y que en un mayor grado, 

apoyan los objetivos de la Estrategia de Gobierno en Línea. Ver numeral 6.5. de este documento 

para mayor información. 

Por medio de la Herramienta de Auto-evaluación, el usuario designado por cada entidad revisará los 

dominios y objetivos de control propuestos en la interfaz de la herramienta para que luego de un 

análisis interno con la Alta Dirección de su Entidad, seleccione cuales aplica y cuáles no. Para los 

que excluya, deberá digitar y adjuntar (la herramienta podrá permitir ingresar anexos) toda la 

12 Para mayor información ver numeral 3.5.2. de este documento. 

Página 41 de 207





información relevante y detallada justificando el por qué de esta decisión. Al finalizar, deberá 

aceptar que la aplicación envíe el informe de “Declaración de Aplicabilidad” a Gobierno en Línea. 

Con esta información, Gobierno en Línea o quién esta delegue, analizará la información, verificará si 

las justificaciones cumplen y para cualquier inquietud, se comunicará con el encargado de cada 

entidad para obtener aclaraciones con respecto a la Declaración de Aplicabilidad de la entidad. Una 

vez este proceso se haya cumplido, Gobierno en Línea activará la aplicación para que el encargado 

diligencie la información relacionada con los controles. El proceso de validación del SOA por parte 

de Gobierno en Línea es un mecanismo que permitirá detectar posibles omisiones involuntarias/no 

justificadas con suficiencia. Ver mayor información de la herramienta de auto-evaluación en el 

documento: “Entregable 7 –Sistema Autoevaluación”. 

5.b. Preparar y realizar el Plan de Tratamiento del Riesgo: Una vez la entidad ha definido el alcance 

del SGSI, y la Declaración de Aplicabilidad (SOA); a través de la herramienta de autoevaluación, 

deberá revisar los controles propuestos y responder si los tiene implementados y en que grado de 

madurez. Si no los tiene implementados, a través de la herramienta, la entidad especificará las 

acciones, prioridades, recursos, responsables y fecha de compromiso para la implementación de los 

controles, lo que consistirá en el Plan de Tratamiento del Riesgo, ya que la entidad se compromete 

a mitigar los riesgos en seguridad de la información implementando dichos controles 

recomendados. La entidad también podrá elegir si trasfiere el riesgo a terceros (p. ej., compañías 

aseguradoras o proveedores de outsourcing) o lo asume, en cuyo caso, deberá dejar constancia de 

la alta dirección justificando esta decisión, lo cual deberá también estar detallado en la herramienta 

para que Gobierno en Línea sea notificado de esta decisión. 

Ilustración 9: Gestión de Riesgos 

Página 42 de 207





5.6.1.2. FASE HACER CICLO PHVA – ENTIDADES DESTINATARIAS 

Las Entidades públicas y privadas, y las Organizaciones que hagan parte de la cadena de prestación 

de servicios en Línea, deberán implementar y operar (fase HACER del ciclo PHVA) la política, las 

recomendaciones y los controles definidos en el modelo para dar cumplimiento a la normatividad, a 

los requerimientos y expectativas definidos, elementos que a su vez, les permitirán ser más 

competitivos y ofrecer mejores y más seguros servicios para proveer mayor confianza a los 

ciudadanos que hagan uso de sus servicios y productos. Deberán tener las siguientes funciones: 

• Tomar el Modelo de Seguridad de la Información como Referente. 

• Establecer comunicación con el CSIRT y los entes policivos para efectos de obtener soporte en 

el manejo de incidentes de seguridad de la información. 

• Acorde con la naturaleza de los servicios provistos por la entidad, clasificarse en uno de los 

grupos de entidades destinatarias en los que se divide el Modelo SGSI para la estrategia de 

Gobierno en Línea. Ver numeral 6.5. de este documento para mayor información. 

• Implementar y operar la política, los objetivos de control y los controles recomendados de 

acuerdo con grupo en el que se encuentre la entidad para dar cumplimiento al Modelo SGSI, ver 

mayor información en el numeral 6.5 del presente documento. 

• Alimentar, actualizar y usar las recomendaciones e indicadores generados por la herramienta de 

auto-evaluación 13 para mejorar su nivel de cumplimiento con el Modelo y por ende, su postura 

en seguridad de la información. 

Funciones Fase HACER – Entidades destinatarias – Modelo SGSI (ver ilustración 8): 

Con relación a las actividades puntuales de implementación del Modelo SGSI, las entidades 

destinatarias deberán: 

13 La herramienta de auto-evaluación, se provee como un sub-producto de la presente consultoría. El objetivo de esta herramienta, es ayudar a las entidades a 

implementar el Modelo de Seguridad, presentándoles, según el grupo en el que la entidad de clasifique, las políticas y controles recomendados para que sean 

implementados en caso que no existan. Al final, la herramienta realizará cálculos de indicadores de seguridad basándose en los controles alimentados por la 

entidad, permitiéndole a esta última, conocer el estado actual de cumplimiento del modelo y comparar su estado con el de otras entidades del mismo grupo. 

Para mayor información sobre la herramienta de auto-evaluación, favor remitirse a documento “Entregable 7 –Sistema de Auto-evaluación”. 

Página 43 de 207





6 y 7. Implementar el Modelo SGSI: Las entidades deberán implementar las políticas, objetivos de 

control y controles relacionados en el Plan de Tratamiento del riesgo aprobado por parte de la alta 

dirección de cada entidad según las fechas estipuladas en el plan. Cualquier cambio o modificación 

al plan, deberá ser notificado a Gobierno en Línea a través de la herramienta de autoevaluación. 

8 y 9. Definir una política de seguridad que apoye los objetivos estratégicos de Gobierno en Línea, 

ver numeral 6.3. Política del Sistema de Gestión. A su vez, esta política deberá ser apoyada por: 

• Políticas y Objetivos de Seguridad de la Información, ver numeral 6.4. de este 

documento. 

• Esté aprobada por la alta dirección. 

• La política de seguridad tendrá la siguiente estructura básica: 

Políticas Objetivos de Control Controles Justificación 

Ilustración 10: Estructura del Modelo de Seguridad 

Es decir, la política de seguridad que apoya la Estrategia de Gobierno en Línea, es respaldada por 

objetivos de control, que son las áreas de cumplimiento a las que las entidades destinatarias deben 

ceñirse. Para materializar este cumplimiento al interior de cada entidad, se han definido una serie 

de controles asociados a cada objetivo de control para que las entidades los verifiquen e 

implementen si no lo han hecho. En caso que la entidad decida no implementarlo (por que no es su 

naturaleza, por presupuesto, etc.), deberá justificar detalladamente la excepción. Ver mayor 

información en el numeral 6.4. de este documento. 

La Estrategia de Gobierno en Línea apoyará simultáneamente a las entidades en cuanto a: 

• Implementar programas de formación y sensibilización en relación a la seguridad de la información 

para las entidades destinatarias y para la comunidad en general. 

• A través del Grupo Técnico de Apoyo, Gobierno en Línea gestionará las operaciones del Modelo de 

Seguridad SGSI a través de la interfaz de la herramienta de auto evaluación (en modo de 

administración). Este administrador, apoyará a las entidades y aclarará sus dudas con respecto al 

modelo y su implementación, entre otras funciones. 

• Gobierno en Línea implantará procedimientos y controles que permitan una rápida detección y 

respuesta a los incidentes de seguridad en las entidades a través del portafolio de servicios del 

CSIRT y su modelo de negocios (ver documento “Diseño de un CSIRT Colombiano”). 

Página 44 de 207





5.6.1.3. FASE VERIFICAR – Entidades destinatarias, Organismos de certificación y 

autoridades de vigilancia y control 

En la fase VERIFICAR del ciclo PHVA, en el que se realizará la revisión y seguimiento de la 

implementación y cumplimiento del Modelo de Seguridad tomarán parte: 


• Los Organismos de certificación que promoverán el cumplimiento del modelo de seguridad 

otorgando certificaciones para incentivar a las entidades que evidencien una gestión efectiva del 

mismo, realizando los correctivos y mejoras propuestos por el sistema y la revisión del mismo. 

Estos Organismos, podrán ser llamados por las entidades para que realicen dichas auditorias. Los 

organismos de certificación tendrán que ser proveedores autorizados por el SANSI para prestar 

servicios de auditoria y certificación del modelo de seguridad. 

• Las autoridades de vigilancia y control como la Contraloría, así como también las 

Superintendencias y comisiones auditarán y revisarán el cumplimiento del modelo de seguridad 

SGSI por parte de las entidades. Estas autoridades: 

o Determinarán si las acciones realizadas para resolver las brechas de seguridad de 

la información encintradas fueron efectivas. 

o Revisar regularmente la efectividad del Modelo SGSI, atendiendo al cumplimiento 

de la política, objetivos y revisión de los controles de seguridad, los resultados de 

auditorias de seguridad – herramientas de vulnerabilidad automatizadas, 

incidentes, resultados de los indicadores, sugerencias y observaciones de todas 

las partes implicadas. 

o Medir la efectividad de los controles para verificar que se cumple con los 

requisitos de seguridad, para esto se tendrá una visión orientada a niveles de 

madurez. 

o Revisar regularmente en intervalos/periodos planificados, los riesgos residuales y 

sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan 

podido producirse en las entidades, la tecnología, los objetivos y procesos 

misionales, las amenazas identificadas, la efectividad de los controles 

implementados y el ambiente -requerimientos legales y obligaciones 

contractuales, entre otros. 

o Realizar periódicamente auditorias del Modelo SGSI en intervalos planificados. 

Las siguientes son entidades con competencias para realizar las revisiones: 

Contraloría General de la República, máximo órgano de control fiscal del Estado. Como tal, 

tiene la misión de procurar el buen uso de los recursos y bienes públicos y contribuir a la 

Página 45 de 207





modernización del Estado, mediante acciones de mejoramiento continuo en las distintas 

entidades públicas. 

Superintendencia financiera (ver numeral 5.3. de este documento). 

Superintendencia de industria y comercio (ver numeral 5.3. de este documento). 

Superintendencia de servicios públicos domiciliarios (ver numeral 5.3. de este documento). 

Comisión de Regulación de Telecomunicaciones (ver numeral 5.3. de este documento). 

A NIVEL DE LAS ENTIDADES DESTINATARIAS – Modelo SGSI (ver ilustración 8): 

10. Las entidades Públicas y Privadas realizarán su auto-evaluación del nivel de cumplimiento del 

modelo a través de la herramienta de Autoevaluación: 

• Realizar periódicamente auditorias y verificaciones internas de cumplimiento del Modelo de 

Seguridad. 

• Apoyarse en organismos de certificación que acrediten el cumplimiento del Modelo de 

Seguridad (opcional). 

• Someterse a la auditoria a realizar por parte de las autoridades de vigilancia y control. 

• Cada entidad deberá revisar periódicamente el Modelo SGSI implementado para garantizar 

que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI 

son evidentes. 

• Cada entidad deberá actualizar sus planes de seguridad en función de las conclusiones y 

nuevos hallazgos encontrados durante las actividades de seguimiento y revisión. 

• Con relación a la herramienta de autoevaluación: 

La herramienta de autoevaluación, mostrará el porcentaje de cumplimiento a partir de 

los controles implementados, los porcentajes de riesgo a partir de los controles no 

implementados, el porcentaje de aceptación del riesgo a partir de los controles no 

tratados, fecha de implementación – periodo y responsable de implementación. 

Cada control podrá ser calificado de la siguiente forma: 

o Existe -> Nivel de madurez del control (calificación 1-5) 

Página 46 de 207





o No existe -> Fecha de implementación y responsable (calificación = 0) 

Los porcentajes serán calculados usando métodos cuantitativos para generar el nivel 

de cumplimiento o % riesgo de la Entidad a partir de los controles implementados y no 

implementados de la siguiente forma: 

o Porcentaje de cumplimiento = [(Sumatoria niveles de madurez de los Controles 

implementados) / (sumatoria total de Controles aplicables en nivel 5 de 

madurez)] x 100% 

o Porcentaje de riesgo = [(# Controles no implementados) / (# Total Controles 

aplicables)] x 100% 

La herramienta puede de igual forma, mostrar el nivel de cumplimiento y el nivel de 

riesgo de forma cualitativa por medio de una tabla de equivalencia que clasificará a la 

entidad en los siguientes niveles: 

o Porcentaje alto de cumplimiento -> nivel bajo de riesgo 

o Porcentaje medio de cumplimiento -> nivel medio de riesgo 

o Porcentaje bajo de cumplimiento -> nivel alto de riesgo 

La herramienta utilizará colores para una fácil identificación y comparación de entidades 

dependiendo de la calificación a nivel cualitativo con respecto al cumplimiento del 

modelo y con respecto a las demás entidades. 

Adicionalmente, la herramienta proporcionará gráficos generados de forma automática que 

medirán la evolución o involución del modelo de seguridad de una entidad de acuerdo con las 

calificaciones del periodo inmediatamente anterior, las entidades podrán ver estas gráficas, 

compararse con el modelo y compararse entre ellas mismas. 

5.6.1.4. FUNCIONES FASE ACTUAR CICLO PHVA - GRUPO TÉCNICO DE APOYO – 

ENTIDADES DESTINATARIAS 

Finalmente, en la fase ACTUAR del ciclo PHVA, en el que se realizarán mejoras al modelo, tomarán 

parte no solo las entidades destinatarias que deberán ejecutar acciones de mejora ante la autoevaluación 

realizada y/o las auditorias externas e internas para implementar controles de seguridad 

que permitan mejorar su nivel de cumplimiento del modelo de seguridad y por ende, su postura en 

seguridad de la información, sino también, tomará parte el Grupo Técnico de Apoyo para evidenciar 

ajustes, nuevos controles, procesos, lineamientos y políticas que serán puestos a consideración y 

aprobación por parte de la Comisión Nacional de Seguridad de la Información para que sean 

parte de la nueva versión del Modelo a ser implementado en el siguiente ciclo de vida del sistema: 


Página 47 de 207





• Analizar, consolidar y publicar los indicadores, métricas y estadísticas del Sistema y del 

Modelo de Seguridad implementado en las entidades. 

• Proponer ante la Comisión los ajustes al Modelo de Seguridad acorde con su evolución e 

implementación en las entidades destinatarias. 

• Coordinar las actividades del portafolio de servicios en seguridad de la información (soporte 

especializado, capacitación, sensibilización) realizadas por el grupo CSIRT (ver documento 

“Diseño de un CSIRT Colombiano”). 

A NIVEL DE LAS ENTIDADES DESTINATARIAS –Modelo SGSI (ver Ilustración 8): 

11. Acciones Correctivas: Mantener y mejorar el SGSI: 

Las entidades destinatarias deberán regularmente: 

• Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos 

encontrados durante las actividades de seguimiento y revisión. 

• Verificar que el modelo SGSI se implanta con las mejoras identificadas. 

• Emprender acciones preventivas y correctivas adecuadas según los resultados de las 

auditorias, los resultados de la revisión por la dirección y de las lecciones aprendidas de 

experiencias propias y de otras entidades para lograr la mejora continúa del SGSI. 

• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. 

• Comunicar las acciones y mejoras a las partes interesadas 

• Resolver los hallazgos encontrados tanto en las auditorias internas como en las externas. 

• Mejorar los indicadores y métricas del Modelo de Seguridad de la Información, apoyándose 

en la herramienta de auto-evaluación (ver documento “Entregable 7 –Sistema 

Autoevaluación”, aumentando la madurez de los controles recomendadas por el Modelo de 

seguridad, que son mostrados por la herramienta de auto-evaluación (ver numeral 6.5. de 

este documento). Lo anterior, permitirá que las entidades evolucionen y maduren el Modelo 

de Seguridad de la información, mejorando su nivel de seguridad de la información 

permitiéndoles tener ventajas competitivas, entre otros beneficios. 

El ciclo PHVA es un ciclo de vida continuo, lo cual quiere decir que la fase de Actuar lleva de 

nuevo a la fase de Planear para iniciar un nuevo ciclo de cuatro fases. Téngase en cuenta que no es 

necesario llevar una secuencia estricta de las fases, sino que, pueden haber actividades de implantación 

que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoreen 

controles que aún no están implantados en su totalidad. 

Página 48 de 207

5.6.2. Mejora del SGSI: 





• El sistema SANSI y sus diferentes actores, deben mejorar continuamente la eficacia del modelo 

SGSI mediante el uso de una política de seguridad de la información estratégica y orientada a los 

servicios de Gobierno en Línea, los objetivos, los resultados de los análisis y resultados obtenidos 

por medio de la herramienta de auto valoración, el análisis de los eventos e incidentes a los que les 

ha hecho seguimiento, las acciones correctivas y preventivas y las revisiones por la Alta Dirección. 

• Ejecutar acciones correctivas para eliminar la causa de las no conformidades asociadas con los 

requisitos del modelo SGSI en las entidades, con el fin de prevenir que ocurran nuevamente. 

• Ejecutar acciones preventivas para eliminar la causa de no conformidades potenciales con los 

requisitos del modelo SGSI y evitar que ocurran. Las acciones preventivas tomadas deben estar 

acorde con el impacto de los problemas potenciales. 

5.7. Seguridad aplicada a la Comunidad – Higiene en Seguridad 

El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea apoyado a alto nivel por 

el Sistema Nacional de Seguridad – SANSI, servirá como referente a las entidades destinatarias (tanto 

públicas como privadas) para mejorar la seguridad de sus servicios y en consecuencia, lograr que el 

ciudadano y la comunidad tengan mayor confianza al momento de realizar trámites y usar los servicios y 

sistemas de las entidades del Estado y de Gobierno en Línea. 

El Modelo de Seguridad contribuirá asimismo a mejorar la cultura en seguridad de la información de los 

ciudadanos impulsando por medio de campañas y planes de capacitación y sensibilización, el uso correcto 

de herramientas como Internet, los dispositivos y medios de almacenamiento, los computadores, entre 

otros, y formulando recomendaciones, precauciones y buenos hábitos (higiene) que deben tener al hacer 

uso de los mismos, dependiendo del entorno en el que se encuentren: hogar, oficina, cafés Internet, etc. 

El plan de capacitación y sensibilización realizado como parte de esta consultoría (ver documento 

Capacitación y sensibilización Modelo de Seguridad), refuerza los conceptos importantes a tener en cuenta 

en una adecuada higiene en seguridad de la información centrándose en la comunidad y los ciudadanos: 

• Sensibilizar sobre los peligros y riesgos al hacer uso de Internet 

• Instalar software de fuentes no confiables que introduzcan vulnerabilidades a los computadores y a 

los sistemas de información 

• Peligros ocasionados con el uso de sistemas operativos, navegadores de Internet y aplicaciones de 

oficina desactualizados 

Página 49 de 207





• Carencia de controles de seguridad en los computadores que expongan al usuario a contenido 

inapropiado como pornografía, racismo, etc. 

• Uso del computador de la casa para realizar asuntos laborales, lo que expone la información de las 

organizaciones a nuevos riesgos 

• Exposición a robo de información personal o de trabajo a través de virus, spyware, spam, phising y 

otros ataques. 

Página 50 de 207





6. MODELO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI 

6.1. Alcance y límites del Sistema. 

El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea se aplica a los 

siguientes servicios y productos: 

Servicios de Gobierno en Línea 

o Información y servicios 

o Portales de acceso 

o Trámites en línea 

o Sistemas sectoriales 

o Compras públicas 

o Sistemas transversales 

Intranet Gubernamental 

o Plataforma de inter-operabilidad (estándares y políticas, núcleo transaccional) 

o Infraestructura tecnológica de comunicaciones (RAVEC) 

o Infraestructura tecnológica de computación (Centro de Datos) 

o Infraestructura tecnológica de contacto(Centro Interacción Multimedia) 

Los participantes en la cadena de prestación de servicios de Gobierno en Línea los conforman: 

o Comité Nacional de Seguridad de la Información 

o Equipo Técnico de Apoyo 

o CSIRT 

o Proveedores de servicios de Gobierno en Línea(entidades públicas del orden nacional y territorial) 

o Proveedores de servicios de Internet (ISP) 

o Proveedores de servicios de acceso a Internet (Café internet, telecentros) 

o Proveedores de Servicios de la intranet gubernamental 

o Proveedores de servicios de seguridad 

o Clientes: Ciudadanos, funcionarios públicos, empresas 

Página 51 de 207





El Modelo de gestión de seguridad de la información propuesto es lo suficientemente estratégico para 

contemplar las diferentes fases de implementación de la Estrategia de Gobierno en Línea 14 : 

o Fase de Información en línea: Proveer información en línea con esquemas de búsqueda básica 

(Entidades del orden nacional, EON: junio 2008, Entidades del orden territorial, EOT: noviembre 

2008). 

o Fase de Interacción en línea: Habilitar comunicación entre ciudadanos, empresas y servidores 

públicos (EON: diciembre 2008, EOT: diciembre 2009). 

o Fase de transacción en línea: Proveer transacciones electrónicas para la obtención de productos 

y servicios (EON: diciembre 2009, EOT: diciembre 2010). 

o Fase de transformación en línea: Organizar servicios alrededor de necesidades de ciudadanos y 

empresas a través de ventanillas únicas virtuales utilizando la intranet gubernamental (EON: junio 

2010, EOT: diciembre 2011) 

o Fase de democracia en línea: Incentivar a la ciudadanía a participar de manera activa en la 

toma de decisiones del Estado y la construcción de políticas públicas aprovechando las TIC´s (EON: 

diciembre 2010, EOT: diciembre 2012). 

14 Tomado de artículos 5 y 8 del decreto 1151 de 2008. 

Página 52 de 207

6.2. Objetivos del Sistema 





El objetivo principal del Modelo de gestión de seguridad de la información es mantener un ambiente 

razonablemente seguro que permita proteger los activos de información que componen la estrategia de 

Gobierno en Línea para asegurar credibilidad y confianza en los ciudadanos, en los funcionarios públicos, 

terceras partes y en general, todos los que participan en la cadena de prestación de servicios de Gobierno 

en Línea. 

Como objetivos estratégicos del Modelo SGSI se plantean los siguientes: 

• Establecer una guía para manejar todos los aspectos de seguridad que afecten la estrategia de 

Gobierno en Línea, su estructura de operación y gestión y todos los servicios que se derivan de la 

estrategia. 

• Definir guías y lineamientos para asegurar que toda la información sensitiva que se pueda manejar 

como parte de los servicios de Gobierno en Línea esté protegida contra el riesgo de divulgación 

accidental o intencional, fraude, modificación, apropiación indebida, uso indebido, sabotaje o 

espionaje. 

• Proteger al personal de exposiciones innecesarias en relación con el uso indebido de los recursos de 

Gobierno en Línea durante el desempeño de sus funciones. 

• Proteger las operaciones de procesamiento de información de incidentes de hardware, software o 

fallas de red como resultado de errores humanos por descuido o uso indebido accidental por falta 

de entrenamiento y capacitación o uso indebido intencional de los sistemas y aspectos tecnológicos 

que componen la infraestructura de servicios de Gobierno en Línea. 

• Asegurar la continuidad de los servicios de Gobierno en Línea mediante el establecimiento de 

buenas prácticas de continuidad de negocio (ver documento “Entregable 4 - Anexo 3: 

Recomendaciones generales de continuidad negocio”). 

• Proteger a las entidades del Estado que ofrecen sus servicios de Gobierno en Línea de posibles 

demandas o sanciones ante un evento que comprometa la seguridad de los activos de información 

o ante un desastre. 

6.3. Política del Sistema de Gestión. 

La Estrategia de Gobierno en Línea requiere que la información que se gestiona a través de los servicios y 

trámites disponibles para los ciudadanos, funcionarios públicos y entidades públicas y privadas esté 

adecuadamente asegurada con el fin de proteger los intereses públicos y nacionales, y preservar la 

Página 53 de 207





privacidad personal (Ley 1266 de 2008 -Habeas data). Esta política, se enfoca a la protección de la 

confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que 

ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de 2008. 

El representante legal de las entidades públicas y privadas que participan en la cadena de prestación de 

servicios para la Estrategia de Gobierno en Línea, es responsable por implementar los requerimientos de 

seguridad que se plantean en la política con el fin proteger la información y los activos que la procesan. El 

nivel de seguridad que cada entidad debe implementar para proteger la información y los servicios de la 

Estrategia de Gobierno en Línea, debe corresponder a un proceso de análisis y evaluación de riesgos. 

La gestión del riesgo es un requerimiento del Modelo SGSI. Este proceso se ha fortalecido en las entidades 

públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema 

de gestión de la calidad NTC GP 1000:2004 para las entidades públicas. 

El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea es 

complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para 

una entidad, adaptar su(s) sistema(s) de gestión y control existente(s) para que cumplan con los requisitos 

de este modelo. En la implementación del modelo de seguridad, se debe tener especial cuidado en la 

identificación de los elementos comunes, para evitar que se dupliquen esfuerzos. 

6.4. Políticas y Objetivos de Seguridad de la Información 

Las políticas de seguridad que se plantean en este documento, se basan en un análisis estratégico acorde 

con cada una de las fases de la Estrategia de Gobierno en Línea. Estas políticas representan directrices 

generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de 

servicios durante las fases de la evolución de la Estrategia de Gobierno en Línea. 

Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en Línea, se establecieron 

objetivos de control asociados a cada política: 

6.4.1. PS1 – Política de Control de Acceso 

Las entidades que provean servicios de Gobierno en Línea que requieran mayor nivel de seguridad como 

resultado de un análisis y evaluación del riesgo, deben implementar mecanismos y controles que aseguren 

un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo, 

deben implementar mecanismos y controles que aseguren el acceso bajo el principio del menor privilegio, 

necesario para realizar únicamente las labores que a cada cliente o usuario de dichos servicios 

corresponden. Igualmente, se deben implementar controles para realizar una efectiva administración de 

usuarios y derechos de acceso. 

Objetivos de Control: 

Página 54 de 207





PS1.1 Otorgar acceso a servicios que requieren mayor nivel de seguridad o que involucran medios de 

pago sólo para usuarios autorizados. Se requiere limitar el acceso solo para usuarios identificados 

y autenticados apropiadamente. 

PS1.2 Otorgar los mínimos privilegios de acceso a servicios que requieren mayor nivel de seguridad. Se 

requiere minimizar el daño potencial causado por usuarios autorizados lo cual implica establecer 

segregación de funciones para separar usuarios de los servicios y usuarios con roles 

administrativos. 

PS1.3 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación 

de un token de acceso 15 expedido por un tercero en representación de la entidad de gobierno 

proveedora del servicio. Se debe fortalecer el control de acceso para las transacciones que 

requieran mayor nivel de seguridad. 

PS1.4 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación 

de información que soporte la identidad del individuo que requiere el acceso y sus credenciales de 

autenticación. Se debe implementar la autenticación personal más allá de la posesión del token. 

PS1.5 Otorgar privilegios de acceso a servicios de Gobierno en Línea sólo cuando se satisfaga la 

verdadera identidad del usuario, es decir que el usuario sea quien realmente dice que es y no esté 

registrado bajo otra identidad con un acceso legítimo. Se debe prevenir la creación de múltiples 

identidades. Un usuario puede tener múltiples roles con respecto a los servicios de Gobierno en 

Línea pero solo puede poseer una única identidad. 

PS1.6 Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el servicio 

específico requerido. Se deben fortalecer los controles de acceso a nivel de objeto o aplicación, de 

manera que un usuario legítimo, una vez otorgado el acceso, no pueda alterar datos no requeridos 

por el servicio solicitado. 

PS1.7 Implementar una administración efectiva de los derechos de acceso de usuarios y asignar dicha 

responsabilidad al personal apropiado (administradores de accesos). 

PS1.8 Implementar la vigencia de los derechos de acceso y su revocación, una vez finalice el período 

asignado, o haya pérdida de las credenciales, o se detecte uso indebido de los recursos por parte 

de los usuarios. Las credenciales de acceso y los tokens deben quedar inválidos ante eventos de 

revocación. 

15 Token de acceso: es un medio físico que un usuario posee y/o controla y lo utiliza para autenticar su identidad. 

Página 55 de 207

6.4.2. PS2 - Política de no repudiación 





Las entidades que provean servicios de transacciones electrónicas, que requieran mayor nivel de 

seguridad, deben garantizar la no repudiación de las transacciones implementando mecanismos de 

seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios 

públicos, empresas), los proveedores de servicios, los organismos de certificación y la entidad estatal, con 

relación a la autenticidad, trazabilidad y no repudiación de las transacciones electrónicas. 


PS2.1 Proveer evidencia del origen y la integridad del mensaje, es decir, se deben implementar 

mecanismos en el servicio para crear una prueba de origen de manera que se pueda evitar que 

una de las partes (usuario o servicio de gobierno electrónico) niegue su responsabilidad en el 

envío del mensaje. Así mismo, se deben implementar mecanismos para probar si el mensaje ha 

sido alterado. 

PS2.2 Proveer evidencia del acuse del mensaje, es decir, se deben implementar mecanismos en el 

servicio para crear una prueba de recibo y almacenarla para su recuperación posterior en caso de 

una disputa entre las partes (usuario y servicio de gobierno electrónico). 

PS2.3 Proveer evidencia que el servicio es proporcionado realmente por una entidad pública. Se deben 

implementar credenciales del servicio y ser presentadas al cliente para la autenticación del sistema 

de acceso al cliente. 

PS2.4 Proveer evidencia de la fecha y hora de la transacción electrónica efectuada a través del servicio. 

6.4.3. PS3 - Política de servicios confiables 

Las entidades que provean servicios de transacciones electrónicas que requieran mayor nivel de 

seguridad, deben implementar mecanismos que aseguren a sus clientes que los compromisos realizados 

no son vulnerables a robo o fraude. Además, se deben establecer acuerdos con los clientes para que 

manejen con seguridad las credenciales 16 y otra información personal relevante para el servicio. 

16 Credencial: conjunto de información utilizada por un usuario para establecer una identidad electrónica como parte del proceso de autenticación. 

Página 56 de 207






PS3.1 Asegurar que las tarjetas débito, crédito u otros instrumentos de compromiso de los clientes serán 

protegidos por el servicio contra robo o fraude. Se deben implementar las tecnologías de 

seguridad más apropiadas en el servicio según el nivel de seguridad requerido para conducir 

transacciones electrónicas seguras. 

PS3.2 Proveer evidencia de los compromisos ejecutados a través del servicio, de manera que en el 

evento de una disputa, sea posible demostrar la historia de las transacciones a un auditor externo. 

6.4.4. PS4 – Política de Privacidad y Confidencialidad 

Los datos personales de los clientes, ciudadanos y demás información enviada a través de los servicios de 

Gobierno en Línea, deben ser protegidos y manejados de manera responsable y segura. 


PS4.1 Proveer protección adecuada de la información personal y privada contra divulgación no 

autorizada cuando se transmite a través de redes vulnerables. 

PS4.2 Proteger la información personal y privada de uso indebido y divulgación no autorizada cuando se 

procesa y almacena dentro del dominio de implementación de los servicios de Gobierno en Línea. 

6.4.5. PS5 - Política de Integridad 

La información que se recibe o se envía a través de los servicios de Gobierno en Línea, debe conservar 

los atributos de correcta y completa durante la transmisión, el procesamiento y el almacenamiento. Se 

debe garantizar la integridad de la información. 


PS5.1 Proteger la información que se transmite a través de redes públicas contra modificación, borrado o 

repetición accidental o intencional. Se debe asegurar la fuerte integridad de las comunicaciones 

para prevenir contra manipulación de datos en transito o contra pérdida y corrupción causada por 

fallas de equipos y comunicaciones. 

PS5.2 Proteger la información que se almacena en el dominio del cliente contra modificación accidental o 

intencional. Se deben implementar mecanismos para prevenir que usuarios y atacantes manipulen 

Página 57 de 207





la información del servicio almacenada en su estación de trabajo con el fin de obtener algún 

beneficio. 

PS5.3 Proteger la información almacenada dentro de los servicios de Gobierno en Línea contra 

modificación o destrucción intencional por parte de atacantes externos. Se deben implementar 

fuertes medidas para frustrar la alteración mal intencionada de los datos de usuarios o de 

información de dominio público que puedan disminuir la confianza de los servicios. Los 

proveedores de servicios tienen la obligación del debido cuidado (due care) para asegurar que la 

información proporcionada a los clientes sea veraz. 

PS5.4 Proteger la información trasmitida o almacenada dentro del servicio de Gobierno en Línea contra 

pérdida o corrupción accidental. Se deben implementar procedimientos probados de respaldo y 

recuperación de datos y asegurar que se mantienen las listas de usuarios y clientes autorizados. 

6.4.6. PS6 – Política de Disponibilidad del Servicio 

Las entidades que provean servicios de Gobierno en Línea deben asegurar la disponibilidad continua de 

los servicios bajo su control. 


PS6.1 Proteger los servicios de Gobierno en Línea contra daños o negación del servicio (DoS –Denial of 

service) por parte de atacantes externos. 

PS6.2 Proteger los servicios de Gobierno en Línea contra daños o provisión intermitente del servicio por 

fallas internas de los equipos y/o redes. Se deben implementar mecanismos de redundancia y alta 

disponibilidad acordes con la criticidad de la provisión continua del servicio y la capacidad para 

realizar reparaciones rápidas. 

PS6.3 Proteger los servicios de Gobierno en Línea contra pérdida de datos, pérdida de equipos y otros 

eventos adversos. Se debe implementar un plan de continuidad del negocio (BCP –Business 

Continuity Plan), para asegurar que se toman las medidas necesarias y evitar en lo posible, la 

pérdida de información por ocurrencia de incidentes. 

6.4.7. PS7 – Política de Disponibilidad de la Información 

Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los datos de los usuarios 

y clientes se mantienen protegidos contra pérdida, alteración o divulgación por actos accidentales o 

malintencionados, o por fallas de los equipos y/o redes. 

Página 58 de 207






PS7.1 Recuperar los datos personales o críticos que han sido dañados, destruidos, alterados o 

modificados por acciones malintencionadas o accidentales. Se deben implementar procedimientos 

de copias de respaldo y recuperación, para asegurar que exista recuperación de los datos 

sensitivos y que puedan ser restaurados en el evento de una falla. También se deben implementar 

mecanismos para que los datos personales no sean divulgados sin autorización expresa del dueño 

de la información. 

PS7.2 Recuperar la información protegida en el evento que un cliente u otro usuario no puedan suministrar 

las credenciales de acceso necesarias. Se deben implementar procedimientos para recuperar 

datos de usuario en el evento que un token de acceso o la contraseña se pierdan. Esto permite 

soportar investigaciones de posible uso indebido del sistema. 

6.4.8. PS8 – Política de Protección del Servicio 

Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los servicios y sus activos 

de información relacionados, estén adecuadamente protegidos contra ataques externos o internos. 

Objetivo de Control: 

PS8.1 Proteger los sistemas de información, equipos y redes que soportan los servicios de Gobierno en 

Línea contra ataques a la provisión continua y segura del servicio. Se deben asegurar los equipos 

y las redes implementando medidas tales como aseguramiento de servidores, implementación de 

topologías seguras de red y escaneo de vulnerabilidades. Los sistemas de información y las 

aplicaciones, deben ser diseñados e implementados de manera que se minimicen las 

vulnerabilidades y los ataques externos e internos se reduzcan a un nivel aceptable. 

6.4.9. PS9 - Política de Registro y Auditoria 

Las entidades que provean servicios de Gobierno en Línea, deben mantener y proteger los registros de 

las transacciones electrónicas como evidencia para los requerimientos de las auditorias (internas o 

externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios. 

Objetivo de Control: 

PS9.1 Mantener un registro de transacciones que pueda ser requerido después del análisis de eventos 

y/o incidentes. Se deben mantener registros y pistas de auditoria con el fin de establecer 

responsabilidad por las transacciones, reconstruir transacciones fallidas y suministrar registros 

Página 59 de 207





apropiados en caso de conflictos o disputas por el servicio. Debe existir trazabilidad de los 

registros de transacciones según sea apropiado. 

6.4.10. Alineamiento de las políticas de seguridad con normas y mejores prácticas de 

la industria 

Considerando que las entidades del estado como parte del proceso de modernización de la gestión 

pública se encuentran implementado el sistema de gestión integrado de control interno MECI y el sistema 

de gestión de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, elementos de 

dichos sistemas de gestión, que permitan o faciliten la implementación de los requerimientos de seguridad 

de la información del Modelo de Seguridad SGSI propuesto por esta consultoría con el fin de evitar 

duplicación de esfuerzos. 

Igualmente, es necesario tener presente las iniciativas de las entidades públicas y privadas encaminadas a 

implementar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la 

Información SGSI (ISO27001), Gobierno de tecnología de la información (COBIT), Prestación de Servicios 

de TI (ITIL) entre otros. En ese sentido, a continuación se identifica la alineación y armonización de los 

requerimientos de seguridad del presente Modelo SANSI-SGSI con dichas mejores prácticas: 

Política 

SANSI-SGSI 

PS1 - Política de 

Control de 

Acceso 

MECI NTC - 

GP 1000 

1.1 Ambiente de 

control 

1.3 Administración 

del riesgo 

2.1 Actividades de 

Control 

2.2.3 sistemas de 

Información 

5 Roles y 

responsabilidades 

4.1 g) 

Identificar y 

diseñar puntos 

de control 

sobre los 

riesgos 

5.6.2 h) 

Riesgos 

actualizados e 

identificados 

para la entidad 


ISO27001 COBIT ITIL 

4.2.1 

Establecimiento del 

SGSI literales c) al 

h) 

A11.1 Requisito del 

negocio para el 

control de acceso 

A.11.2 Gestión del 

acceso de usuarios 

A.11.3 

Responsabilidades 

de los usuarios 

A.11.4 Control de 

AI1.2 Reporte de 

análisis de riesgos 

DS5.2 Plan de 

seguridad de TI 

DS5.3 

Administración de 

identidad 

DS5.4 


cuentas del 

usuario 

DS5.7 Protección 

de la tecnología 

SO 4.5 

Administración del 

acceso 

SO 5.3 


mainframe 

SO 5.4 

Administración y 

soporte de 

servidores 

SO 5.5 


la red 

SO 5.7 

Administración de


no repudiación 


del riesgo 


Información 





4.1 g) 



de control 

sobre los 

riesgos 

5.6.2 h) 

Riesgos 





acceso a las redes 


acceso al sistema 

operativo 


acceso a las 

aplicaciones y a la 

información. 

A.11.7 Computación 

móvil y trabajo 

remoto 

A.12.1 Requisitos 

de seguridad de los 

sistemas de 

información 

A.12.3 Controles 

criptográficos 

4.2.1 


SGSI, literales c)al 

h) 

A 10.9 Servicios de 

comercio 

electrónico 

A12.1 Requisitos de 

seguridad de los 

sistemas de 

información 



de seguridad 

DS5.8 


llaves 

criptográficas 

DS5.10 Seguridad 

de la red 

DS5.11 

Intercambio de 

datos sensitivos 

AC6 Autenticidad 

e integridad de las 

transacciones 

AI2.4 Seguridad y 

disponibilidad de 

las aplicaciones. 


de tecnologías de 

seguridad 

DS5.8 


llaves 


DS5.11 



DS11.6 

Requerimientos de 

seguridad para 

administración de 

datos 

bases de datos 

SO 5.8 


servicios de 

directorio 

SO 5.10 


middleware 

SO 5.11 


Internet y servicios 

web 

SO 5.10 


middleware 

SD 3.6.1 Diseño 

de las soluciones 

del servicio 

SD 5.2 


información y 

datos


servicios 

confiables 


privacidad y 

confidencialidad 


del riesgo 


Información 

1.1 Ambiente de 

control 


del riesgo 

2.1 Actividades de 

Control 


Información 

5 Roles y 






4.1 literal g) 



de control 

sobre los 

riesgos 

5.6.2 h) 

Riesgos 




4.1 subnumeral 

g) Identificar y 


de control 

sobre los 

riesgos 

5.6.2 h) 

Riesgos 





4.2.1 



h) 


comercio 

electrónico 



sistemas de 

información 



A.10.2 Gestión de la 

prestación del 

servicio por terceras 

partes 


seguridad de las 

redes 

A.10.8 Intercambio 

de la información 

A10.9 Servicios de 

Comercio 

Electrónico 

A.11.1 Requisito del 

negocio para el 


A.11.2 Gestión del 



transacciones 





de tecnologías de 

seguridad 

DS5.8 


llaves 


DS5.11 



DS11.6 




datos 



transacciones 

PO2.3 Esquema 

de clasificación de 

datos 

PO3.4 Estándares 

tecnológicos 

PO6.2 Riesgo 

Corporativo y 

Marco de 

Referencia de 

Control Interno de 

TI 



SO 5.10 


middleware 



del servicio 

SD 5.2 



datos 

SO 4.5 


acceso 

SO 5.3 


mainframe 

SO 5.4 

Administración y 

soporte de 

servidores 

SO 5.5 


la red 

SO 5.6 

Almacenamiento y 

archivo






acceso de usuarios 

A.11.3 

Responsabilidades 

de los usuarios 


acceso a las redes 


acceso al sistema 

operativo 


acceso a las 

aplicaciones y a la 

información. 

A.11.7 Computación 

móvil y trabajo 

remoto 



sistemas de 

información 



AI2.3 Control y 

auditabilidad de 

las aplicaciones 




DS11.1 

Requerimientos 

del negocio para 


datos 

DS5.2 Plan de 


DS5.3 


identidad 

DS5.4 


cuentas del 

usuario 


de la tecnología 

de seguridad 

DS5.8 


llaves 


DS5.10 Seguridad 

de la red 

DS5.11 



DS11.1 




datos 

DS11.2 Acuerdos 

de 

almacenamiento y 

conservación 

DS11.3 Sistema 

SO 5.7 


bases de datos 

SO 5.8 


servicios de 

directorio 

SO 5.10 


middleware 

SO 5.11 


Internet y servicios 

web 



del servicio 

SD 5.2 



datos


integridad 


del riesgo 


Información 








de control 

sobre los 

riesgos 

5.6.2 h) 

Riesgos 





4.2.1 



h) 


comercio 

electrónico 



sistemas de 

información 



de administración 

de librerías de 

medios 

DS11.4 

Eliminación 

DS11.5 Backup y 

restauración 

DS11.6 




datos 

AC4 Integridad y 

validez del 

procesamiento de 

datos 



transacciones 

PO6.2 Riesgo 

Corporativo y 

Marco de 



TI 









DS11.1 




datos 

DS5.2 Plan de 




del servicio 

SD 5.2 



datos


disponibilidad 

del servicio 




del riesgo 


Información 








de control 

sobre los 

riesgos 

5.6.2 h) 

Riesgos 




1.3 Administración 4.1 literal g) 




4.2.1 



h) 

A.10.3 

Planificación y 

aceptación del 

sistema 



sistemas de 

información 

A.14.1 Aspectos 

de seguridad de la 

información, de la 

gestión de la 

continuidad del 

negocio. 

4.2.1 



DS5.8 


llaves 


DS11.1 




datos 

DS11.6 




datos 

DS3 Administrar el 

desempeño y la 

capacidad 

DS4 Garantizar la 

continuidad del 

servicio 

DS4.9 

Almacenamiento 

de respaldos fuera 

SO 4.1 


eventos 

SD 4.3 


la capacidad 

SD 4.4 


la disponibilidad 

SD 4.4.5.2 

Actividades de 


la disponibilidad 

SD 4.5 


la continuidad del 

servicio 

SO 5.2.3 Copia de 

respaldo y 

restauración 

SD Apéndice K 

Contenido de un 

plan de 

recuperación de 

desastres 

SO 5.2.3 Copia de 

respaldo y

de la 

información 


protección del 

servicio 

del riesgo 


Información 


del riesgo 


Información 





de control 

sobre los 

riesgos 

5.6.2 h) 

Riesgos 







de control 

sobre los 

riesgos 

5.6.2 h) 

Riesgos 




7.1 

Planificación de 

la realización 

del producto o 

prestación del 

servicio 

7.2 Procesos 

relacionados 

con el cliente 

7.3 Diseño y 

desarrollo 

7.5 Producción 

y prestación del 

servicio 

7.5.1 literal g) 

Los riesgos de 

mayor 

probabilidad 

h) 


A.10.5 Respaldo 


seguridad de las 

redes 

A.10.10 Monitoreo 



sistemas de 

información 

A.12.5 Seguridad en 

los procesos de 

desarrollo y soporte 


vulnerabilidad 

técnica 

A.13.2 Gestión de 

los incidentes y las 

mejoras en la 

seguridad de la 

información 

de las 

instalaciones 

DS11.2 Acuerdos 

de 

almacenamiento y 

conservación 

DS11.5 Respaldo 

y restauración 

DS11.6 


seguridad para la 


datos 

PO6.2 Riesgo 

Corporativo y 

Marco de 



TI 

PO8.3 Estándares 

de desarrollo y de 

adquisición 



AI2 Adquirir y 

mantener software 

aplicativo 

AI6 Administrar 

cambios 

DS2 Administrar 

los servicios de 

terceros 

DS 5 Garantizar la 


sistemas 

DS8 Administrar la 

mesa de servicio y 

los incidentes 

restauración 

SD 5.2 



datos 

SD 3.6.1 

Diseñando 

soluciones y 

servicios 

SO 4.1 


eventos 

SO 4.2 


incidentes 

SO 4.5 


acceso 

SD 4.6 


la seguridad de la 

información 

SO5.13 


la seguridad de la 

información y de la 

operación de los 

servicios 

SO 5.5 


la red


registro y 

auditoria 

3.1 Autoevaluación 

3.2 Evaluación 

independiente 

3.3 Planes de 

mejoramiento 





7.5.2 Validación 

de los procesos 

de producción y 

de la prestación 

del servicio 

8 Medición, 

análisis y 

mejora 


A.10.10.1 Registro 

de auditorias 

A.10.10.4 Registros 

del administrador y 

del operador 

A.10.10.5 Registro 

de fallas 

A.10.10.6 

Sincronización de 

relojes 




DS5.5 Pruebas, 

vigilancia y 

monitoreo de la 

seguridad 

ME1.2 Definición y 

recolección de 

datos de 

monitoreo 

ME2.2 Revisiones 

de Auditoria 

ME2.5 

Aseguramiento del 

control interno 

ME4.7 

Aseguramiento 

independiente. 

SO 5.1 Monitoreo 

y control 

CSI 4.1 Los siete 

pasos del proceso 

de mejoramiento 

del servicio 

CSI 8 Implementar 

mejoramiento 

continuo del 

servicio 

Tabla 11: Relación de las políticas y objetivos de control del Modelo de seguridad SGSI para la Estrategia 

de Gobierno en Línea con las normas y mejores prácticas de la industria. 

6.5. Clasificaciones de seguridad del Modelo SGSI 

6.5.1. Clasificación de entidades por grupo o naturaleza del servicio 

El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, realmente consiste en 

tres versiones del mismo, ya que las entidades no son similares en sus recursos, criticidad de su 

información y los procesos de negocio, por lo que deben clasificarse en uno de los siguientes grupos que 

están categorizados por la naturaleza del servicio que prestan. El Modelo de Seguridad, aplicará una 

versión distinta en cuanto a los controles recomendados dependiendo del grupo al que pertenezca la 


Los siguientes son los grupos en los que se dividen las entidades destinatarias según su naturaleza del 

servicio:





GRUPO 1 Cafés Internet, Telecentros y Compartel 

GRUPO 2 Entidades públicas de orden nacional y 

territorial 

GRUPO 3 Entidades privadas que pertenezcan a la 

cadena de prestación de servicios de 

Gobierno en Línea (como los ISP). 

Tabla 12: Clasificación de grupos según la naturaleza de la entidad. 

El Modelo de seguridad SGSI propuesto para la Estrategia de Gobierno en Línea, se presenta a las 

entidades destinatarias en forma de políticas, objetivos de control y controles recomendados para su 

implementación y mejoramiento. Las Políticas y objetivos de control, dado que son estratégicos y de 

alto nivel, serán los mismos para todo el universo de entidades independiente del grupo al que 

pertenezcan; los controles recomendados, si dependerán de la clasificación del grupo, es decir, las 

entidades del grupo 1 tendrán que cumplir ciertos controles básicos, las del grupo 2 controles básicos 

mas controles adicionales, y las del grupo 3, controles avanzados, asi: 

GRUPO 1 

Cafés Internet, Telecentros y Compartel 

GRUPO 2 

Entidades públicas de orden nacional y territorial 

GRUPO 3 

Entidades privadas que pertenezcan a la cadena de prestación de servicios de 

Gobierno en Línea (como los ISP). 

Tabla 13: Clasificación de controles según el grupo al que pertenezca la entidad. 


Controles 

básicos 

Controles 

medios 

Controles 

avanzados





6.5.2. Niveles de madurez de los controles de seguridad recomendados 

Independiente del grupo y de los controles que las entidades deban aplicar, cada control tiene un nivel 

de madurez en seguridad de la información categorizado de 0 a 5, que la entidad deberá implementar 

para evidenciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de Gobierno en 

Línea. El Modelo fija niveles mínimos y óptimos de madurez para obtener los registros de seguridad de 

la información –RSI que serán otorgados a las entidades que cumplan con estos niveles requeridos. Ver 

mayor información relacionada con los registros RSI en el numeral 6.5.3. del presente documento. 

Los niveles de madurez de la seguridad de la información de los controles recomendados por el Modelo 

SGSI, son adaptados del Modelo CMM de CobIT versión 4.0 17 , que los clasifican en los siguientes 

niveles: 

Nivel 0 No Existente: No hay políticas, procesos, procedimientos, o controles en seguridad 

de la información. La entidad no reconoce los riesgos en seguridad de la información y por ende 

la necesidad de su tratamiento. 

Nivel 1 Inicial: La entidad reconoce que los riesgos en seguridad de la información deben ser 

tratados/mitigados. No existen políticas ni procesos estandarizados sino procedimientos o 

controles particulares aplicados a casos individuales. 

Nivel 2 Repetible: Se desarrollan procesos y procedimientos en seguridad de la información 

de forma intuitiva. No hay una comunicación ni entrenamiento formal y la responsabilidad de la 

seguridad de la información recae en el sentido común de los empleados. Hay una excesiva 

confianza en el conocimiento de los empleados, por tanto, los errores en seguridad de la 

información son comunes. 

Nivel 3 Definido: Los procesos y las políticas se definen, documentan y se comunican a través 

de un entrenamiento formal. Es obligatorio el cumplimiento de los procesos y las políticas y por 

tanto, la posibilidad de detectar desviaciones es alta. Los procedimientos por si mismos no son 

sofisticados pero se formalizan las prácticas existentes. 

Nivel 4 Administrado: Existen mediciones y monitoreo sobre el cumplimiento de los 

procedimientos en seguridad de la información. Los procedimientos están bajo constante 

17 Ver mayor información en www.isaca.org 

http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEI’s_CMM_for_Software_With_COBIT_4_0.htm 

Página 69 de 207





mejoramiento y proveen buenas practicas. Normalmente requiere de herramientas 

automatizadas para la medición. 

Nivel 5 Optimizado: Los procesos, políticas y controles en seguridad de la información se 

refinan a nivel de buenas prácticas con base en los resultados del mejoramiento continuo y los 

modelos de madurez de otras empresas. Normalmente se cuenta con herramientas 

automatizadas que apoyan a la gestión de la seguridad de la información. 

La siguiente ilustración, muestra la representación gráfica de los modelos de madurez planteados 

para el Modelo de Seguridad: 

Ilustración 14: CMM Niveles de madurez. CobIT 4.0. IT Governance Institute. 

6.5.3. Registro de Seguridad de la Información RSI - Graduación 

El Modelo de Seguridad SGSI determina, de igual forma, la graduación de las entidades destinatarias 

según el cumplimiento de los controles recomendados en los niveles de madurez requeridos, es decir, 

independiente del grupo al que pertenezcan las entidades, podrán ser graduadas 18 con registros de 

18 Esta graduación la otorga el CSIRT como una de sus funciones. Para mayor información, ver el documento “Diseño de un CSIRT Colombiano, numeral 4.3. 

Graduación”. 

Página 70 de 207





seguridad de la información “RSI” en grados 1, 2 o 3, dependiendo de la madurez en la que se 

encuentren implementados sus controles, así: 

• Entidades con controles en niveles de madurez 0 y 1: Registro RSI Grado 1, 

• Entidades con controles en niveles de madurez 2 y 3: Registro RSI Grado 2, 

• Entidades con controles en niveles de madurez 4 y 5: Registro RSI Grado 3. 

La clasificación anterior se denomina “Graduación en el Sistema”. De tal forma, que si una entidad en 

RSI 1 madura sus controles a nivel 3, podrá ser promocionada a RSI grado 2. Así mismo, el sistema 

contempla la promoción de entidades de RSI 2 a RSI 3 si la madurez de los controles pasa a nivel 4 o 

superior. 

También se puede dar el caso que una entidad descuide los controles, por tanto, baje la madurez, y en 

consecuencia, el sistema lo degrade a un grado RSI inferior o no genere el registro correspondiente. 

En cuanto a la seguridad de la información, se puede hacer un diagnóstico de la situación actual según el 

grado RSI de la entidad: 

ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 1: 

Se identifican en forma general los activos de la organización. 

Se observan eventos que atentan contra la seguridad de la información, los activos 

y la continuidad del negocio, pero no se le da la debida importancia. 

Los empleados no tienen conciencia de la seguridad de la información (prestan sus 

claves, dejan sus equipos sin cerrar sesión, etc.). 

Se responde reactivamente a las amenazas de intrusión, virus, robo de equipos y de 

información. 


Se genera un inventario del hardware y software que hay en la organización a partir de 

la identificación de los activos. 

Página 71 de 207





Se identifican riesgos asociados con la información, los equipos de cómputo y las 

aplicaciones, así mismo, se identifican vulnerabilidades por medio de trabajos no periódicos 

en seguridad informática (pruebas de vulnerabilidad). 

Se empiezan a elaborar informes de los incidentes de seguridad ocurridos. 

Se tienen en cuenta algunos procedimientos de seguridad de la información (por ej. 

creación de contraseñas seguras, administración segura de usuarios, clasificación de la 

información, desarrollo seguro de software, etc.) pero aún no se han formalizado en los 

sistemas de gestión documental o de calidad de la organización. 

Se empieza a observar en los empleados una conciencia de la seguridad de la 

información, pero aún no demuestran un compromiso con ella. 

Se diseña e implementa el sistema de gestión de seguridad de la información SGSI. 

Se definen las Políticas de Seguridad de la Información de la organización 

basadas en la Norma ISO27001 debido a que se incrementa el interés por 

buscar las causas que originaron la ocurrencia de los eventos que 

atentaron contra la información, los activos y la continuidad del negocio. 

Se divulgan las Políticas de Seguridad de la Información en toda la organización. 

Se crean indicadores y métricas de seguridad para medir la evolución y mejora del sistema 

SGSI. 

Se realiza la clasificación de los activos y de la información de la entidad los equipos y 

aplicaciones, para así poder dar protección adecuada a cada uno de ellos. 

Se cuentan con Planes de continuidad del negocio enfocados únicamente a la 

infraestructura tecnológica (DRP – Planes de recuperación ante desastres), no obstante, 

se dejan de lado los procesos críticos de la organización. 

Se crean planes de acción y de tratamiento del riesgo con responsables y fechas de 

cumplimiento. 

Se incluyen dentro de los procesos de negocio de la organización, las normas de 

seguridad de la información (por ej. mejores prácticas en centros de cómputo). 

Se empieza a observar un compromiso de los empleados con la seguridad de la 

información. 

Se establecen controles y medidas básicas para disminuir los incidentes y prevenir su 

ocurrencia en el futuro. 

Página 72 de 207





Se cuenta con procedimientos que enseñan a los empleados a manejar la 

información y los equipos de cómputo en forma segura. 

Se monitorea la red de la organización, como una medida preventiva contra 

intrusiones, o infecciones de virus. 


Se realizan periódicamente auditorias internas al sistema SGSI. 

Se crea el comité de seguridad interdisciplinario con el cuál se busca tratar temas de 

Seguridad de la Información que sean de interés para la organización. 

Se analizan los indicadores y métricas para medir el cumplimiento del sistema SGSI con 

relación a las normas internacionales en seguridad de la información para establecer si las 

Políticas de Seguridad de la organización (incluyendo los contratos con empleados y 

terceros), están siendo acatadas correctamente. 

Los roles del área de Seguridad de la información están bien definidos y se lleva un 

registro de las actividades que realiza cada rol. 

Se cuenta con Planes de continuidad del negocio (BCP) que contemplan 

solo los procesos críticos del negocio (los que garantizan la continuidad del 

mismo), no obstante se dejan otros procesos de la organización por fuera. 

Se implementan los controles de seguridad técnicos y no técnicos recomendados en los 

planes de acción. 

Se monitorean periódicamente los activos de la organización. 

Se realizan de manera sistemática pruebas a los controles, para determinar si están 

funcionando correctamente. 

Se hacen simulacros de incidentes de seguridad, para probar la efectividad de los 

planes BCP – DRP y de respuesta a incidentes. 

Se realizan pruebas a las aplicaciones, para verificar el cumplimiento de los 

requisitos de seguridad definidos en las políticas y controles de seguridad de la 


Página 73 de 207





Se hacen pruebas de intrusión periódicas a los equipos críticos de la organización, 

para detectar, claves débiles o fáciles de adivinar, y accesos a ciertos sistemas por 

usuarios no autorizados. 

El sistema SGSI evoluciona sus indicadores y métricas de seguridad, evidencia la 

implementación de planes de mitigación del riesgo con la puesta en producción de controles 

recomendados y realiza auditorias periódicas de cumplimiento. 

Los empleados apoyan y contribuyen al mejoramiento de la seguridad de la 

información en la organización. 

La organización aprende continuamente sobre los incidentes de seguridad presentados. 

Se analizan las recomendaciones arrojadas por las auditorias y consultorías de seguridad 

de la información para que se puedan definir acciones preventivas más efectivas. 

Se incluyen todas las áreas y procesos de la organización (críticos y no 

críticos), en los planes de continuidad y de respuesta a incidentes. 

En el documento “Diseño de un CSIRT Colombiano”, numeral 10 –Presupuesto preliminar de inversión y 

funcionamiento, se puede obtener mayor información con respecto a las condiciones económicas 

planteadas para la graduación de las entidades en el Modelo SGSI según su grado RSI. 

6.5.4. Controles de de Seguridad de la información recomendados por Grupo 

Dado que las políticas estratégicas de seguridad planteadas en este documento, necesitan ser aplicadas 

por las entidades destinatarias según su agrupación dentro del Modelo de seguridad, se proponen una 

serie de controles de seguridad de la información clasificados en diferentes niveles según el grupo al 

que pertenezca la entidad, para lo cual, se ha establecido la siguiente tabla de controles, que serán 

verificados por cada una de las entidades a través de la herramienta de auto-evaluación: 

Página 74 de 207





6.5.4.1. Controles para entidades clasificadas en Grupo 1 (Cafés Internet, Telecentros 

y Compartel): 

# Control Control Descripción 

1 

2 

Planeación Elaborar y documentar los planes para mantener y mejorar 

el servicio 

Identificación de la 

legislación aplicable 

Identificar la reglamentación existente para el servicio 

ofrecido 

3 Gestión de riesgos Elaborar y mantener actualizado un mapa de riesgos 

Políticas Establecer políticas para el uso adecuado de los recursos, 

4 

protección de derechos de autor y protección contra 

pornografía infantil 

5 

6 

7 

8 

9 

10 

11 

12 

Inventario de activos Elaborar y mantener un inventario actualizado de los 

activos 

Conciencia en Entrenar al administrador y al personal de apoyo del 

seguridad de 

centro de servicios (café Internet, Telecentro) en 

información 

fundamentos básicos de seguridad. Preparar y comunicar 

guías básicas para clientes sobre Internet seguro y uso 

aceptable de servicios ofrecidos 

Servicios de suministro Proteger los equipos contra fallas en el suministro de 

energía 

Seguridad del 

cableado 

Protección contra 

incendios 

Seguridad de oficinas, 

recintos e instalaciones 

Mantenimiento de los 

equipos 

Proteger contra código 

malicioso 

Proteger el cableado de energía y de red contra daños 

Suministrar equipo apropiado contra incendios 

Tener presente los reglamentos y normas sobre seguridad 

y salud (por ejemplo, ergonomía en el sitio de trabajo, 

limpieza) 

Programar mantenimiento preventivo y correctivo de los 

equipos 

Instalar software antivirus y mantenerlo actualizado 

13 Registro de fallas Registrar y analizar las fallas de los equipos 

14 

15 

Sincronización de 

relojes 

Derechos de propiedad 

intelectual 

Sincronizar los relojes de los equipos con la hora 

establecida en la página de la SIC 

Usar software protegido con las debidas licencias 

16 Uso de firewall Instalar un firewall personal en cada estación de trabajo 

17 

18 

19 

Estándar de 

configuración 

Definir e implementar un estándar para configurar los 

equipos del centro de servicios de manera que controle la 

descarga e instalación de software y los cambios en la 

configuración del sistema 

Respaldo Mantener copias de respaldo de la configuración de 

equipos y de la red local 

Seguridad de oficinas, 

recintos e instalaciones 

Tener presente los reglamentos y normas sobre seguridad 

y salud (por ejemplo, ergonomía en el sitio de trabajo, 

limpieza) 

Página 75 de 207

Política 

20 

21 





Monitoreo y control de Controlar uso de los recursos del centro de servicios 

recursos 

Administrar parches Implementar procedimiento para instalar parches de los 

sistema operativos 

22 Control de acceso Controlar el ingreso y salida de personal 

Acuerdos de servicio Establecer acuerdos de servicio con proveedores (ISP, 

23 

proveedores de equipos y software, mantenimiento de 

equipos, etc.). 

24 

Evaluación del servicio Programar encuestas entre los usuarios para evaluar el 

servicio 

Tabla 15: Controles de seguridad recomendados para las entidades del Grupo 1 

6.5.4.2. Controles para entidades clasificadas en Grupo 2 (Entidades públicas de orden 

nacional y territorial): 

Objetivo de 

Control 

# Control 

Nombre del 

Control 

Control de 

Acceso 

PS1 PS1.1-PS1.8 AC-1 Política y 

procedimientos 

de control de 

acceso 


Descripción 

Control: La entidad desarrolla, divulga, revisa 

y actualiza periódicamente: (i) una política de 

control de acceso formal y documentada, que 

incluye el propósito, alcance, roles, 

responsabilidades, compromiso de la 

administración, coordinación entre entidades 

organizacionales y cumplimiento. (ii) 

procedimientos formales, documentados para 

facilitar la implementación de la política de 

control de acceso y controles asociados.





PS1 PS1.1, PS1.7 AC-2 Administración de 

cuentas 


Control: La entidad administra las cuentas de 

acceso a los sistemas de información y 

servicios de TI e incluye el establecer, activar, 

modificar, revisar, desactivar y remover 

cuentas. La entidad revisa las cuentas de los 

sistemas de información según una 

frecuencia definida, por lo menos cada 6 

meses. 

Mejoras en el control: 

(1) 

La entidad utiliza mecanismos automatizados 

para apoyar la administración de cuentas del 

sistema de información y servicios de TI. 

(2) 

Se desactivan automáticamente las cuentas 

temporales y de emergencia después de un 

periodo de tiempo definido para cada tipo de 

cuenta. 

(3) 

Se desactivan automáticamente las cuentas 

inactivas después de un período de tiempo 

establecido. 

(4) 


para auditar las acciones de creación, 

modificación, desactivación y terminación de 

cuentas y notifica a los usuarios en la medida 

en que se requiera. 

PS1 PS1.2 AC-3 Forzar el acceso Control: Se establecen las autorizaciones 

asignadas para controlar el acceso al sistema 

según la política aplicable. 

Mejoras en el control: 

(1) 

Se restringe el acceso a funciones 

privilegiadas (instaladas en el hardware, 

software y firmware) y a la información de 

seguridad importante al personal autorizado. 

PS1 PS8.1 AC-4 Restringir el flujo 

de información 

PS1 PS1.2 AC-5 Segregación de 

funciones 

Control: Se establecen las autorizaciones 

asignadas para controlar el flujo de 

información dentro del sistema y entre 

sistemas interconectados de acuerdo con la 

política aplicable. 

Control: Se establece segregación de 

funciones a través de autorizaciones de





PS1 PS1.2, PS1.6 AC-6 Principio del 

mínimo privilegio 

PS1 PS1.8 AC-7 Intentos de login 

fallidos 

PS1 PS1.8 AC-8 Notificación de 

uso del sistema 

PS1 PS1.8 AC-9 Notificación de 

logon previos 

PS1 PS1.8 AC-10 Control de 

sesiones 

concurrentes 


acceso asignadas. 

Control: Se establece el conjunto de 

derechos y privilegios más restrictivo o los 

accesos mínimos necesarios de los 

usuarios(o procesos actuando en 

representación de los usuarios) para el 

desempeño de las tareas específicas. 

Control: Se establece un número límite de 

intentos de acceso fallidos durante un periodo 

de tiempo. Automáticamente se bloquea la 

cuenta por sobrepasar el límite de intentos de 

acceso fallidos durante un periodo de tiempo 

definido. 

Control: Se despliega un mensaje de 

notificación de uso del sistema antes de 

autorizar el acceso informando al usuario 

potencial: (i)que el usuario está accesando un 

servicio o trámite de Gobierno en Línea; (ii) el 

uso del sistema puede ser monitoreado, 

grabado, y sujeto a auditoria; (iii) que el uso 

no autorizado del sistema está prohibido y 

sujeto a acción penal y civil; y (iv) que el uso 

del sistema indica que hay consenso para 

monitorear y grabar. El sistema que usa 

mensajes de notificación proporciona alertas 

de privacidad y seguridad apropiadas y 

permanecen desplegadas en la pantalla hasta 

que el usuario ingresa al sistema. 

Control: Se notifica al usuario, la fecha y la 

hora del último ingreso exitoso, y el número 

de intentos de ingreso fallidos desde el último 

logon exitoso. 

Control: Se limita el número de sesiones 

concurrentes para cada usuario según un 

número establecido por la entidad.





PS1 PS1.8 AC-11 Bloqueo de la 

sesión 

PS1 PS1.8 AC-12 Terminación de la 

sesión 

PS1 PS1.1, PS1.2 AC-13 Supervisión y 

revisión del 


PS1 PS1.1 AC-14 Acciones 

permitidas sin 

identificación o 

autenticación 

PS4 PS4.1, PS4.2 AC-15 Marcación 

automatizada 


Control: Después de un período de tiempo 

de inactividad se bloquea la sesión y se obliga 

a iniciar una nueva sesión. El bloqueo 

permanece hasta que el usuario se identifique 

y autentique nuevamente. 

Control: El sistema de información 

automáticamente termina una sesión remota 

después de un período de tiempo de 

inactividad establecido por la entidad. 

Mejoras al control: 

(1) 

La terminación automática de la sesión aplica 

para sesiones locales y remotas. 

Control: La entidad supervisa y revisa las 

actividades de los usuarios con respecto a 

reforzar y usar los controles de acceso del 

sistema de información y servicios de TI. 


(1) 

Las entidad utiliza mecanismos 

automatizados para facilitar la revisión de las 

actividades de los usuarios. 

Control: La entidad identifica y documenta 

las acciones específicas del usuario que 

pueden ser desarrolladas en el sistema de 

información sin identificación o autenticación. 


(1) 

La entidad permite que se ejecuten algunas 

acciones sin identificación o autenticación 

sólo bajo autorización y bajo el principio de 

necesidad de conocer, es decir, lo mínimo 

necesario para el cumplimiento de una labor. 

Control: El sistema de información marca las 

salidas de información usando convenciones 

de nombres estándar para identificar 

instrucciones de divulgación, manejo o 

distribución especial.





PS1 PS1.1, PS1.2,PS8.1 AC-17 Acceso remoto Control: La entidad autoriza, monitorea y 

controla todos los métodos de acceso remoto 

al sistema de información. 


(1) 


para facilitar el monitoreo y control de los 

métodos de acceso remoto. 

(2) 

La entidad utiliza criptografía para proteger la 

confidencialidad e integridad de las sesiones 

de acceso remoto. 

(3) 

La entidad controla todos los acceso remotos 

mediante un número limitado de puntos de 

control de acceso administrados. 

(4) 

La entidad permite acceso remoto para 

funciones privilegiadas solo para necesidades 

operacionales y se documenta y justifica tal 

acceso en el plan de seguridad del sistema de 

información. 

PS1 PS1.1,PS1.2,PS8.1 AC-18 Restricciones de 

acceso 

inalámbrico 

PS1 PS1.1,PS1.2, PS8.1 AC-19 Control de acceso 

para dispositivos 

móviles y 

portátiles. 


Control: La entidad: (i) establece restricciones 

de uso y guías de implementación para 

tecnologías inalámbricas y (ii) autoriza, 

monitorea y controla el acceso inalámbrico al 

sistema de información. 


(1) 

La entidad utiliza autenticación y encripción 

para proteger el acceso inalámbrico al 


(2) 

La entidad escanea los puntos de acceso 

inalámbrico no autorizados con una 

frecuencia establecida y toma las acciones 

apropiadas en caso de encontrar tales puntos 

de acceso. 

Control: La entidad: (i) establece 

restricciones para el uso y una guía de 

implementación para los dispositivos móviles 

y portátiles; y (ii) autoriza, monitorea y 

controla el acceso de los dispositivos móviles 

a los sistemas de información.





PS1 PS1.1,PS1.2, PS8.1 AC-20 Uso de sistemas 


externos 

PS1 PS1.3, PS1.4, 

PS1.5 

Identificac 

ión y 

autenticac 

ión 

IA-1 Política y 


de identificación y 



Control: La entidad establece términos y 

condiciones para usuarios autorizados al: (i) 

acceder el sistema de información desde un 

sistema de información externo; y (ii) 

procesar, almacenar y /o transmitir 

información controlada por la organización 

mediante un sistema de información externo. 


(1) 

La entidad prohíbe a los usuarios autorizados 

por el sistema de información externo acceder 

el sistema de información interno o procesar, 

almacenar, o transmitir información controlada 

por la organización excepto en situaciones 

donde la entidad: (i) pueda verificar el empleo 

de controles de seguridad requeridos en el 

sistema externo según lo especificado en la 

política de seguridad de la información de la 

entidad y en el plan de seguridad de 

sistemas; o (ii) ha aprobado la conexión al 

sistema de información o acuerdos de 

procesamiento con la entidad que hospeda el 

sistema de información externo. 

Control: La entidad desarrolla, divulga y 

revisa o actualiza periódicamente: (i) una 

política formal, documentada de identificación 

y autenticación que incluye el el propósito, 

alcance, roles, responsabilidades, 

compromiso de la administración, 

coordinación entre entidades 

organizacionales y cumplimiento; y (ii) 

procedimientos formales y documentados 

para facilitar la implementación de la política 

de identificación y autenticación y los 

controles asociados.





PS1 PS1.3, PS1.4,PS1.5 IA-2 Identificación y 

autenticación de 

usuarios 

PS1 PS1.3, PS1.4,PS1.5 IA-3 Dispositivos de 

identificación y 


PS1 PS1.4,PS1.5,PS1.7 IA-4 Gestión de 

identificadores 

PS1 PS1.4,PS1.5,PS1.7 IA-5 Gestión de 

autenticadores 


Control: Se identifican y autentican usuarios 

únicos (o procesos actuando en nombre de 

usuarios). 


(1) 

Se emplea en los sistemas de información el 

factor de autenticación múltiple nivel 3 o 4 

para acceso remoto al sistema, según la 

publicación NIST 800-63. 

(2) 


factor de autenticación múltiple nivel 3 o 4 

para acceso local al sistema, según la 


(3) 


factor de autenticación múltiple nivel 4 para 

acceso remoto al sistema, según la 


Control: Se identifican y autentican los 

dispositivos específicos antes de establecer 

una conexión. 

Control: La entidad administra los 

identificadores de usuario mediante: 

(i)identificación único de usuario; (ii) 

verificando la identidad de cada usuario; (iii) 

recibiendo autorización para emitir 

identificador de usuario de un ente oficial 

aprobado; (iv) entrega del identificador de 

usuario a la parte interesada; (v) deshabilitar 

el identificador de usuario después de un 

periodo de inactividad y (vi) archivar los 

identificadores de usuario deshabilitados. 

Control: La entidad administra los 

autenticadores de los sistemas de información 

: (i) definiendo un contenido inicial del 

autenticador; (ii) estableciendo 

procedimientos administrativos para 

distribución del autenticador inicial , en caso 

de pérdida, compromiso o daño del 

autenticador o para revocar los 

autenticadores; (iii) cambiar los 

autenticadores default después de la 

instalación del sistema de información ; y (iv)





PS1 PS1.4,PS1.5 IA-6 Ocultamiento del 

autenticador 

PS1 PS1.4,PS1.5 IA-7 Autenticación con 

módulo 

criptográfico 

PS4,PS6 

,PS7 

PS4,PS6 

,PS7 

PS4.1, 

PS4.2,PS6.1,PS6.2, 

PS6.3,PS7.1,PS7.2 

PS4.1, 

PS4.2,PS6.1,PS6.2, 

PS6.3,PS7.1,PS7.2 

Concienci 

a y 

entrenami 

ento 

AT-1 Política y 


en conciencia y 

entrenamiento en 

seguridad 

AT-2 Conciencia en 

seguridad 


cambiar los autenticadores periódicamente. 

Control: La información de autenticación no 

es visible durante el proceso de autenticación 

para evitar posible acceso no autorizado. 

Control: Se emplean métodos de 

autenticación que reúnen los requerimientos 

de políticas, regulaciones, estándares y guías 

para autenticar con un módulo criptográfico. 


y actualiza periódicamente : (i) una política 

formal y documentada de conciencia y 

entrenamiento en seguridad de la información 

que incluye el propósito, el alcance, roles, 

responsabilidades , compromiso de la 





de conciencia y entrenamiento en seguridad y 

los controles asociados. 

Control: La entidad suministra entrenamiento 

básico en conciencia de seguridad a todos los 

usuarios de los sistemas de información 

(incluyendo administradores y ejecutivos 

senior) antes de autorizar el acceso al 

sistema, cuando se requiera por cambios en 

el sistema o regularmente según un período 

establecido.





PS8 PS8.1 AT-3 Entrenamiento en 

seguridad 

PS9 PS9.1 AT-4 Registros de 

entrenamiento en 

seguridad 

PS8 PS8.1 AT-5 Contactos con 

grupos de interés 

y asociaciones de 

seguridad 

Auditoria 

y 

rendición 

de 



Control: La entidad identifica al personal que 

tiene roles y responsabilidades de seguridad 

de los sistemas de información durante el 

ciclo de desarrollo del sistema, documenta 

dichos roles y responsabilidades y suministra 

apropiado entrenamiento en seguridad de la 

información: (i) antes de autorizar el acceso a 

los sistemas y antes de ejecutar las funciones 

asignadas; (ii) cuando se requiera por 

cambios en el sistema; y (iii) regularmente 

con una periodicidad establecida. 

Control: La entidad documenta y monitorea 

las actividades de entrenamiento en 

seguridad del sistema de información 

incluyendo entrenamiento básico y especifico. 

Control: La entidad establece y mantiene 

contacto con grupos de interés especiales, 

foros especializados, asociaciones 

profesionales, grupos de seguridad, 

profesionales de seguridad y organizaciones 

similares para mantenerse actualizado con las 

últimas prácticas o técnicas y tecnologías de 

seguridad y compartir información relacionada 

con seguridad incluyendo amenazas, 

vulnerabilidades e incidentes.





PS9 PS9.1 AU-1 Política y 


de auditoria y 

rendición de 


PS9 PS9.1 AU-2 Eventos 

auditables 

PS9 PS9.1 AU-3 Contenido de los 

registros de 

auditoria 



y actualiza periódicamente: (i) una política 

formal y documentada de auditoria y rendición 

de cuentas que incluye el propósito, alcance, 

roles y responsabilidades, compromiso de la 




para facilitar la implementación de la política y 

los controles asociados. 

Control: Se generan registros de auditoria de 

los siguientes eventos: 


(1) 

El sistema de información suministra la 

capacidad de compilar los registros de 

auditoria a partir de múltiples componentes 

del sistema en un archivo de auditoria 

correlacionado con el tiempo. 

(2) 

El sistema de información provee la 

capacidad de administrar la selección de 

eventos a ser auditados. 

(3) 

La entidad revisa y actualiza periódicamente 

la lista de eventos auditables de la 


Control: Los registros de auditoria generados 

por el sistema de información contienen la 

información suficiente para establecer qué 

eventos ocurrieron, las fuentes de los eventos 

y los consecuencias de los eventos. 


(1) 

La entidad provee la capacidad de incluir 

información más detallada en los registros de 

auditoria para eventos identificados por tipo, 

ubicación o sujeto. 

(2) 


capacidad para administrar centralizadamente 

el contenido de los registros de auditoria 

generados por componentes individuales a 

través del sistema.





PS6,PS9 PS6.2, PS9.1 AU-4 Capacidad de 

almacenamiento 

de la auditoria 

PS9 PS9.1 AU-5 Respuesta a 

fallas en la 

auditoria al 

procesamiento 

PS9 PS9.1 AU-6 Monitoreo, 

análisis y reporte 

de auditoria 


Control: La entidad asigna suficiente 

capacidad de almacenamiento para los 

registros de auditoria y configura la auditoria 

de manera que se reduzca la probabilidad de 

que se exceda tal capacidad. 

Control: El sistema de información alerta al 

responsable apropiado en el evento de una 

falla de procesamiento y ejecuta las posibles 

acciones siguientes: shutdown, sobre escribe 

el registro de auditoria más viejo, para la 

generación de los registros de auditoria). 


(1) 

El sistema de información despliega una 

alerta cuando el volumen de almacenamiento 

de los registros de auditoria llega a la 

capacidad máxima definida. 

(2) 

El sistema de información genera una alerta 

en tiempo real cuando los eventos de falla de 

auditoria ocurren. 

Control: La entidad revisa y analiza 

regularmente los registros de auditoria de los 

sistemas de información para obtener 

indicaciones de actividad no usual o 

inapropiada, investigar actividad sospechosa 

o violaciones a la seguridad, reporta hallazgos 

al personal apropiado y ejecuta las acciones 

pertinentes. 


(1) 

La entidad utiliza mecanismos automáticos 

para integrar el monitoreo de auditoria, el 

análisis y el reporte en un proceso global 

para investigación y respuesta ante 

actividades sospechosas. 

(2) 


para alertar al personal de seguridad de las 

actividades inapropiadas o inusuales.





PS9 PS9.1 AU-7 Parametrización 

de la auditoria y 

generación de 

reporte 

PS9 PS9.1 AU-8 Estampación 

electrónica 

PS9 PS9.1 AU-9 Protección de la 

información de 

auditoria 


Control: El sistema de información permite 

disminuir los parámetros de auditoria y 

generar reporte. 


(1) 


capacidad para procesar automáticamente los 

registros de auditoria para eventos de interés 

basados en criterios seleccionables. 

Control: El sistema de información provee 

estampación electrónica en la generación de 

los registros de auditoria. 


(1) 

La entidad sincroniza los relojes internos de 

los sistemas de información con una 

frecuencia establecida. 

Control: Se protege la información y las 

herramientas de auditoria contra acceso no 

autorizado, modificación o borrado. 

PS9 PS9.1 AU-10 No repudiación Control: El sistema de información provee la 

capacidad para determinar si un usuario en 

particular ejecuta una acción específica. 

PS9 PS9.1 AU-11 Retención de 

registros de 

auditoria 

Certificaci 

ón, 

acreditaci 

ón y 

evaluacio 

nes de 

Control: La entidad define un periodo de 

retención de los registros de auditoria para 

proporcionar soporte ante investigaciones de 

incidentes de seguridad y cumplir con los 

requerimientos regulatorios de retención de la 

información organizacional.





seguridad 

PS9 PS9.1 CA-1 Certificación, 

acreditación y 

seguridad 

PS9 PS9.1 CA-2 Evaluaciones de 

seguridad 

PS9 PS9.1 CA-3 Interfaces del 

sistema de 

información 

PS9 PS9.1 CA-4 Certificación de 

seguridad 



y actualiza periódicamente: (i) políticas 

formales y documentadas de certificación, 

acreditación y evaluación de seguridad de la 

información que incluye el propósito, alcance, 

roles y responsabilidades, compromiso de la 




para facilitar la implementación de las 

políticas y sus controles asociados. 

Control: La entidad lleva a cabo evaluación 

de los controles de seguridad del sistema de 

información con una frecuencia establecida 

(por lo menos una vez al año) para determinar 

si los controles están implementados 

correctamente, son efectivos y producen los 

resultados deseados con respecto a reunir los 

requisitos de seguridad para el sistema. 

Control: La entidad autoriza todas las 

conexiones del sistema de información con 

otros sistemas externos mediante el uso de 

acuerdos de conexión a sistemas y monitoreo 

y control de las conexiones de manera 

continúa. 

Control: La entidad lleva a cabo una 

evaluación de los controles de seguridad en el 

sistema de información para determinar si 

están implementados correctamente según 

los requisitos de seguridad del sistema. 


(1) 

La entidad se apoya en una entidad o equipo 

de certificación independiente para conducir 

una evaluación de los controles de seguridad 

en el sistema de información.





PS9 PS9.1 CA-5 Plan de acción y 

puntos de control 

PS9 PS9.1 CA-6 Acreditación de 

seguridad 

PS9 PS9.1 CA-7 Monitoreo 

continuo 

Administr 

ación de 

la 

configura 

ción 

PS8 PS8.1 CM-1 Política y 


de administración 

de configuración 


Control: La entidad desarrolla y actualiza un 

plan de acción y los puntos de control para el 

sistema de información y documenta las 

acciones de remediación planeadas, 

implementadas y evaluadas para corregir las 

deficiencias encontradas durante la 

evaluación de los controles de seguridad y 

reducir o eliminar las vulnerabilidades 

conocidas en el sistema. 

Control: La entidad acredita al sistema de 

información antes de su entrada en operación 

y actualiza la autorización en un periodo 

establecido o cuando surjan cambios 

significativos. Un oficial senior de la entidad 

firma y aprueba la acreditación de seguridad. 

Control: La entidad monitorea los controles 

de seguridad en el sistema de información de 

manera periódica. 

Control: La entidad desarrolla, divulga, 

revisa y actualiza periódicamente: (i) una 

política formal y documentada de 

administración de la configuración e incluye el 

propósito, alcance, roles, responsabilidades, 






los controles asociados.





PS8 PS8.1 CM-2 Configuración 

básica 

PS8 PS8.1 CM-3 Control de 

cambios a la 


PS8 PS8.1 CM-4 Monitorear los 

cambios a la 


PS8 PS8.1 CM-5 Restricciones de 

acceso para 

cambios 


Control: La entidad desarrolla, documenta y 

mantiene una configuración básica del 



(1) 

La entidad actualiza la configuración básica 

del sistema de información con parte integral 

de la instalación de los componentes del 


(2) 


para mantener actualizada, completa, exacta 

y disponible la configuración básica del 


Control: La entidad autoriza, documenta y 

controla los cambios al sistema de 

información. 


(1) 

Le entidad utiliza mecanismos automáticos 

para: (i) documentar los cambios propuestos 

al sistema de información; (ii) notificar a la 

administración responsable de aprobación 

apropiada; (iii) Alertar sobre las aprobaciones 

que no se han recibido de manera oportuna; 

(iv) posponer los cambios hasta que se 

reciban las aprobaciones necesarias; y (v) 

documentar los cambios al sistema de 

información. 

Control: La entidad monitorea los cambios al 

sistema de información y conduce un análisis 

de impacto a la seguridad para determinar los 

efectos de los cambios. 

Control: La entidad: (i) aprueba los privilegios 

de acceso individuales y establece 

restricciones de acceso lógico y físico 

asociados con cambios al sistema de 

información; y (ii) genera, retiene y revisa los 

registros que reflejan todos los cambios. 


(1) 


para forzar restricciones de acceso y soportar 

la auditoria de las acciones.





PS8 PS8.1 CM-6 Estándares de 


PS8 PS8.1 CM-7 Mínima 

funcionalidad 

PS8 PS8.1 CM-8 Inventario de 

componentes del 

sistema de 

información 

Plan de 

contingen 


Control: La entidad (i) establece estándares 

de configuración obligatorios para los 

productos de TI utilizados en el sistema de 

información; (ii) configura los estándares de 

seguridad al modo mas restrictivo posible 

según los requisitos operacionales; (iii) 

documenta los estándares de configuración; 

y (iv) forza los estándares de configuración 

en todos los componentes del sistema de 

información. 


(1) 


para administrar centralizadamente, aplicar y 

verificar los estándares de configuración. 

Control: La entidad configura el sistema de 

información para proveer solo las 

capacidades esenciales y prohíbe o restringe 

el uso de funciones, puertos, protocolos, y o 

servicios adicionales. 


(1) 

Le entidad revisa periódicamente el sistema 

de información para identificar y eliminar 

funciones, puertos, protocolos, y o servicios 

innecesarios. 

Control: La entidad desarrolla, documenta y 

mantiene un inventario actualizado de los 

componentes del sistema de información y la 

información relevante de los dueños. 


(1) 

La entidad actualiza el inventario de los 

componentes del sistema de información 

como parte de las instalaciones de los 

componentes del sistema. 

(2) 


para ayudar a mantener actualizado, 

completo, exacto y disponible el inventario de 

componentes del sistema de información.

PS6 PS6.1, PS6.2, 

PS6.3 





cias 

CP-1 Política y 


del plan de 

contingencias 

PS6 PS6.3 CP-2 Plan de 





formal y documentada de planeación de 

contingencias que incluye el propósito, 







del plan de contingencia y los controles 

asociados. 

Control: La entidad desarrolla e implementa 

un plan de contingencias para el sistema de 

información que incluye roles y 

responsabilidades, personal asignado con 

información de contacto y actividades 

asociadas con la restauración del sistema 

después de una interrupción o falla. Se 

nombra a los coordinadores del plan dentro 

de la entidad encargados de revisar y aprobar 

el plan y distribuir las copias al personal clave 

de contingencias. 


(1) 

La entidad coordina el desarrollo del plan de 

contingencias con las áreas responsables de 

los planes relacionados. 

(2) 

La entidad conduce una planeación de la 

capacidad de manera que se asegure la 

existencia de la capacidad necesaria para el 

procesamiento de la información, las 

telecomunicaciones y el soporte ambiental 

durante las situaciones de crisis.





PS6 PS6.3 CP-3 Entrenamiento en 


PS6 PS6.3 CP-4 Pruebas y 

simulacros del 

plan de 



Control: La entidad entrena al personal en 

los roles y responsabilidades de contingencia 

con relación al sistema de información y 

provee capacitación por lo menos 

anualmente. 


(1) 

La entidad incorpora eventos simulados en 

entrenamiento de contingencias para facilitar 

respuesta efectiva por el personal en 

situaciones de crisis. 

(2) 


para proveer un ambiente de entrenamiento 

más real. 

Control: La entidad: (i) prueba y /o realiza 

simulacros del plan de contingencias para el 

sistema de información por lo menos 

anualmente. y (ii) revisa los resultados de las 

pruebas al plan y las acciones correctivas 

pertinentes. 


(1) 

La entidad coordina las pruebas al plan de 

contingencias con el personal de las áreas 

responsables por los planes relacionados. 

Ejemplos de planes relacionados son: los 

planes de continuidad de negocio, plan de 

recuperación de desastres, plan de 

continuidad de las operaciones, plan de 

recuperación del negocio, plan de respuesta a 

incidentes y plan de acción de emergencias. 

(2) 

La entidad prueba el plan de contingencias en 

un sitio de procesamiento alterno para 

familiarizar al personal de contingencias con 

las instalaciones y los recursos disponibles y 

evaluar las capacidades del sitio para 

soportar las operaciones de contingencia. 

(3) 

La entidad emplea mecanismos automáticos 

para realizar pruebas efectivas al plan de 

contingencias y proveer un cubrimiento más 

completo a los ambientes y escenarios de 

pruebas.





PS6 PS6.3 CP-5 Actualización del 

plan de 


PS6 PS6.3 CP-6 Sitio de 

almacenamiento 

alterno 


Control: La entidad revisa el plan de 

contingencias para el sistema de información 

por lo menos anualmente para incluir los 

cambios al sistema o cambios en la 

organización o problemas encontrados 

durante la implementación, ejecución o 

pruebas al plan. 

Control: La entidad identifica un sitio de 

almacenamiento alterno e inicia los acuerdos 

necesarios para permitir almacenamiento de 

los backups del sistema de información. 


(1) 

La entidad identifica un sitio de 

almacenamiento alterno que está 

geográficamente separado del sitio de 

almacenamiento primario de manera que no 

esté expuesto a las mismas amenazas. 

(2) 

La entidad configura el sitio de 

almacenamiento alterno para facilitar la 

oportuna y efectiva operación de 

recuperación. 

(3) 

La entidad identifica problemas potenciales de 

acceso al sitio de almacenamiento alterno en 

el evento de una interrupción o desastre y 

define acciones de mitigación.





PS6 PS6.3 CP-7 Sitio de 

procesamiento 

alterno 


Control: La entidad identifica un sitio de 

procesamiento alterno e inicia los acuerdos 

necesarios para permitir la restauración de las 

operaciones del sistema de información para 

las funciones de misión crítica dentro de un 

periodo establecido cuando la capacidad 

primaria de procesamiento no está disponible. 


(1) 

La entidad identifica un sitio de procesamiento 

alterno que está geográficamente separado 

del sito de procesamiento primario de manera 

que no esté expuesto a las mismas 

amenazas. 

(2) 

La entidad identifica problemas potenciales de 

acceso al sitio de procesamiento alterno en el 

evento de una interrupción o desastre y 

establece las acciones de mitigación. 

(3) 

La entidad desarrolla acuerdos para el sitio de 

procesamiento alterno que contienen 

prioridad en la provisión del servicio de 

acuerdo con los requisitos de disponibilidad 

de la entidad. 

(4) 

La entidad realiza una configuración completa 

del sitio de procesamiento alterno de manera 

que esté listo para ser usado como el sitio de 

soporte operacional según la mínima 

capacidad operacional requerida.





PS6 PS6.1,PS6.2 CP-8 Servicios de 

telecomunicacion 

es 


Control: La entidad identifica servicios de 

telecomunicaciones primarias y alternas para 

soportar el sistema de información y los 

acuerdos necesarios para restaurar las 

operaciones para las funciones de misión 

crítica en un periodo definido cuando la 

capacidad de las telecomunicaciones 

primarias no está disponible. 


(1) 

La entidad desarrolla acuerdos de servicios 

de telecomunicaciones primarios y alternos 

que priorizan la provisión del servicio de 

acuerdo con los requisitos de disponibilidad 

de la entidad. 

(2) 

La entidad obtiene servicios de comunicación 

alterna que no comparten el mismo punto de 

falla con los servicios de telecomunicaciones 

primarias. 

(3) 

La entidad acuerda con los proveedores de 

servicios de telecomunicaciones alterno de 

manera que estén separados suficientemente 

de los proveedores de servicio de 

telecomunicaciones primario de manera que 

no estén expuestos a las mismas amenazas. 

(4) 

La entidad solicita a los proveedores de 

servicio de telecomunicaciones primaria y 

alterna que tengan planes de contingencia 

apropiados.





PS6 PS6.3 CP-9 Backup del 

sistema de 

información 

PS6 PS6.3 CP-10 Recuperación del 

sistema de 

información 

Respuesta 

a 



Control: La entidad realiza backup periódicos 

a nivel del usuario y a nivel del sistema y 

protege la información de backups en el sitio 

de almacenamiento. 


(1) 

La entidad prueba periódicamente las copias 

para verificar la confiabilidad de la media y la 

integridad de la información almacenada. 

(2) 

La entidad utiliza selectivamente los backups 

en la restauración de las funciones del 

sistema de información como parte de las 

pruebas al plan de contingencias. 

(3) 

La entidad almacena las copias del backup 

del sistema operacional y otros sistemas de 

información críticos en un ambiente separado 

o en un contenedor independiente del 

software operacional. 

(4) 

La entidad protege los backups de 

modificación no autorizada. 

Control: La entidad utiliza mecanismos con 

procedimientos de soporte que permitan 

recuperar el sistema de información y sea 

restablecido a un estado conocido seguro 

después de la interrupción o falla. 


(1) 

La entidad incluye una restauración completa 

y restablecimiento del sistema de información 

como parte de las pruebas al plan de 

contingencias.





PS8 PS8.1 IR-1 Política y 


de respuesta a 


PS8 PS8.1 IR-2 Entrenamiento en 

respuesta a 


PS8 PS8.1 IR-3 Pruebas y 

simulacros de 

respuesta a 



Control: La entidad, desarrolla, divulga, 


política formal y documentada de respuesta a 

incidentes que incluye el propósito, roles, 






de respuesta a incidentes y los controles 

asociados. 

Control: La entidad entrena al personal en 

los roles y responsabilidades de respuesta a 

incidentes con respecto al sistema de 

información y provee re entrenamiento con 

una periodicidad establecida. 


(1) 

Las entidad incorpora simulación de eventos 

en el entrenamiento de respuesta a incidentes 

para facilitar una respuesta efectiva del 

personal en situaciones de crisis. 

(2) 


para proveer un ambiente de entrenamiento 

más ajustado a la realidad. 

Control: La entidad prueba periódicamente 

(por lo menos una vez al año), la capacidad 

de respuesta a incidentes del sistema de 

información para determinar la efectividad de 

la respuesta al incidente y documenta los 

resultados. 


(1) 


para probar la capacidad de respuesta a los 

incidentes.





PS8 PS8.1 IR-4 Manejo de 


PS8 PS8.1 IR-5 Monitoreo de 


PS8 PS8.1 IR-6 Reporte de 


PS8 PS8.1 IR-7 Asistencia en 

respuesta a 


Mantenimi 


Control: La entidad implementa una 

capacidad de manejo de incidentes para 

incidentes de seguridad de manera que 

incluya: preparación, detección, análisis, 

contención, erradicación y recuperación. 


(1) 


para apoyar el proceso de manejo de 

incidentes. 

Control: La entidad registra y documenta los 

incidentes de seguridad de la información de 

manera continua. 


(1) 


para apoyar en el registro de los incidentes de 

seguridad y en la colección y análisis de la 

información del incidente. 

Control: La entidad dispone de un función de 

soporte de respuesta a incidentes que presta 

soporte y asistencia a los usuarios del 

sistema de información para el reporte y 

manejo de los incidentes de seguridad. 


(1) 


para incrementar la disponibilidad de la 

información de respuesta a incidentes 

relacionados y el soporte. 

Control: La entidad reporta oportunamente la 

información del incidente a los niveles 

apropiados. 


(1) 


para incrementar la disponibilidad de la 

información de respuesta a incidentes 

relacionados y el soporte.





ento 

PS6,PS8 PS6.2,PS8.1 MA-1 Política y 


de mantenimiento 

PS6,PS8 PS6.2,PS8.1 MA-2 Mantenimiento 

controlado 




formal y documentada de mantenimiento del 

sistema de información que incluye el 







de mantenimiento del sistema de información 

y los controles relacionados. 

Control: La entidad programa, desarrolla, 

documenta, y revisa los registros de las 

rutinas de mantenimiento preventivo y 

correctivo de los componentes del sistema de 

información según las especificaciones del 

fabricante o vendedor y los requisitos de la 



(1) 

La entidad mantiene registros de 

mantenimiento para el sistema de información 

que incluyen: (i) fecha y hora del 

mantenimiento; (ii) nombre de quien realiza el 

mantenimiento; (iii) nombre de quien lo 

escolta, si aplica; (iv) una descripción del 

mantenimiento realizado; y (v) una lista de 

equipos retirados o reemplazados (incluyendo 

número de identificación si aplica). 

(2) 


para programar y conducir el mantenimiento 

requerido y mantener actualizados, exactos, 

completos y disponibles los registros de todas 

las acciones de mantenimiento realizadas.





PS6,PS8 PS6.2,PS8.1 MA-3 Herramientas de 

mantenimiento 


Control: La entidad aprueba, controla y 

monitorea el uso de las herramientas de 

mantenimiento del sistema de información de 

manera continua. 


(1) 

La entidad inspecciona todas las 

herramientas de mantenimiento que están 

bajo custodia del personal de mantenimiento 

para identificar modificación inapropiada. 

(2) 

La entidad chequea contra código malicioso 

todos los programas de prueba y diagnóstico 

antes de ser utilizados para el mantenimiento 

del sistema. 

(3) 

La entidad chequea todo el equipo en 

mantenimiento y su capacidad de retención 

de información de manera que la información 

de la empresa sea saneada; si el equipo no 

puede ser saneado, éste permanece en las 

instalaciones o es destruido a menos que 

haya una autorización expresa de no hacerlo. 

(4) 


para restringir el uso de herramientas de 

mantenimiento sólo al personal autorizado.





PS6,PS8 PS6.2,PS8.1 MA-4 Mantenimiento 

remoto 

PS6 PS6.2,PS8.1 MA-5 Personal de 

mantenimiento 

PS6 PS6.2 MA-6 Mantenimiento 

oportuno 

Protecció 

n de los 

medios 


Control: La entidad autoriza, monitorea y 

controla las actividades de mantenimiento y 

diagnóstico remotas. 


(1) 

La entidad audita todas las sesiones de 

mantenimiento y diagnóstico remoto y el 

personal apropiado de la entidad revisa los 

registros de mantenimiento de las sesiones 

remotas. 

(2) 

La entidad incluye la instalación y uso de 

mantenimiento remoto y links de diagnóstico 

en el plan de seguridad para el sistema de 

información. 

(3) 

La entidad no permite servicios de 

mantenimiento o diagnostico remoto de un 

proveedor de servicios que no implemente en 

su propio sistema de información un nivel de 

seguridad igual o superior al implementado en 

el sistema de información sujeto a 

mantenimiento, a menos que los 

componentes del sistema de información que 

contengan información organizacional sean 

removidos o saneados(eliminar información 

organizacional y cheque de software 

malicioso) antes de la ejecución del servicio y 

sean saneados antes de ser reconectados al 


Control: La entidad solo permite que el 

personal autorizado realice el mantenimiento 


Control: La entidad establece acuerdos con 

el proveedor para el mantenimiento y 

reemplazo de las componentes del sistema 

en un período de tiempo establecido.





PS4 PS4.2 MP-1 Política y 


de protección de 

los medios 

PS4 PS4.2 MP-2 Acceso a los 

medios 

PS4 PS4.2 MP-3 Etiquetado de los 

medios 

PS4 PS4.2 MP-4 Almacenamiento 

de los medios 




formal y documentada que incluya el 







de protección de los medios y los controles 

relacionados. 

Control: La entidad restringe el acceso a los 

medios del sistema de información a personal 

autorizado. 


(1) 


para restringir el acceso a las áreas de 

almacenamiento de los medios y audita los 

intentos de acceso y los accesos otorgados. 

Control: La entidad : (i) coloca etiquetas 

externas para los medios removibles del 

sistema de información y la información de 

salida indicando limitaciones en la 

distribución, en el manejo de advertencias y 

marcas de seguridad si aplica; y (ii)una lista 

de tipos de medios o hardware exento de 

etiquetas mientras permanecen en un 

ambiente protegido. 

Control: La entidad controla físicamente y 

almacena seguramente los medios del 

sistema de información dentro de áreas 

controladas.





PS4 PS4.1,PS4.2 MP-5 Transporte de los 

medios 

PS4 PS4.2 MP-6 Saneamiento y 

eliminación de los 

medios 

Protecció 

n física y 

ambiental 


Control: La entidad protege y controla los 

medios del sistema de información durante el 

transporte fuera de las áreas controladas y 

restringe las actividades relacionadas con el 

transporte de los medios sólo al personal 

autorizado. 


(1) 

La entidad protege los medios durante el 

transporte fueras de las áreas controladas 

utilizando mecanismos tales como: 

contenedores asegurados, o mecanismos de 

criptografía. 

(2) 

La entidad documenta las actividades 

asociadas con el transporte de los medios del 


(3) 

La entidad utiliza un custodio identificado para 

las actividades de transporte de los medios 

del sistema de información. 

Control: La entidad sanea los medios del 

sistema de información antes de su 

eliminación o reutilización. 


(1) 

La entidad registra, documenta y verifica las 

acciones de saneamiento y eliminación de los 

medios. 

(2) 

La entidad prueba periódicamente el 

saneamiento de los equipos y los 

procedimientos para verificar su correcto 

desempeño.





PS6 PS6.3 PE-1 Política y 


de protección 

física y ambiental 

PS4,PS8 PS4.2,PS8.1 PE-2 Autorización de 

acceso físico 

PS4,PS5 

,PS8 

PS4,PS5 

,PS8 

PS4.2,PS5.2,PS8.1 PE-3 Control de acceso 

físico 

PS4.1,PS5.1, PS8.1 PE-4 Control de acceso 

al medio de 

transmisión 

PS4,PS5 PS4.2, PS5.3 PE-5 Control de acceso 

al medio de 

despliegue. 




formal y documentada de protección física y 

ambiental que incluye el propósito, alcance, 

roles, responsabilidades, compromiso de la 





de protección física y ambiental y los 

controles relacionados. 

Control: La entidad desarrolla y mantiene 

una lista actualizada del personal con 

autorización de acceso a las instalaciones 

donde reside el sistema de información y de 

las credenciales de autorización. Los oficiales 

de seguridad autorizados revisan y aprueban 

las listas de acceso y las credenciales de 

autorización. 

Control: La entidad controla todos los puntos 

de acceso físico a las instalaciones donde 

reside el sistema de información y verifica las 

autorizaciones individuales antes de otorgar 

el acceso a las instalaciones. 


(1) 

La entidad controla el acceso físico al sistema 

de información independiente de los controles 

de acceso físico a las instalaciones. 

Control: La entidad controla el acceso físico 

a las líneas de transmisión y distribución de 

datos del sistema de información dentro de 

las instalaciones de la entidad. 


a los dispositivos que despliegan información 

del Sistema para prevenir que personas no 

autorizadas observen el despliegue de las 

salidas.





PS4,PS5 PS4.2,PS5.3 PE-6 Monitoreo de 

acceso físico 

PS4,PS5 PS4.2,PS5.3 PE-7 Control de 

visitantes 

PS4,PS5 PS4.2,PS5.3 PE-8 Registros de 

acceso 

PS6 PS6.3 PE-9 Equipo de 

suministro de 

energía y 

cableado de 

energía. 


Control: La entidad monitorea el acceso 

físico al sistema de información para detectar 

y responder a incidentes de seguridad física. 


(1) 

La entidad monitorea alarmas de intrusión 

física en tiempo real y equipos de vigilancia. 

(2) 


para reconocer intrusiones potenciales e 

iniciar acciones de respuesta apropiadas. 


al sistema de información autenticando a los 

visitantes antes de autorizar el acceso a las 

instalaciones controladas donde reside el 



(1) 

La entidad escolta a los visitantes y monitorea 

las actividades de estos cuando se requiera. 

Control: La entidad mantiene registros de 

acceso de visitantes a las instalaciones 

controladas donde reside el sistema de 

información que incluyen: (i) nombre y 

empresa del visitante; (ii) firma del visitante; 

(iii) forma de identificación; (iv) fecha de 

acceso; (v) hora de entrada y salida; (vi) 

propósito de la visita; y (vii) nombre y 

empresa de la persona visitada. Las personas 

designadas revisan periódicamente los 

registros de acceso de los visitantes. 


(1) 


para facilitar el mantenimiento y revisión de 

los registros de acceso. 

(2) 

La entidad mantiene un registro del acceso 

físico de visitantes y personal autorizado. 

Control: La entidad protege el equipo de 

suministro de energía y el cableado de 

energía para el sistema de información contra 

daño y destrucción.





PS6 PS6.2 PE-10 Apagado de 

emergencia 

PS6 PS6.2 PE-11 Suministro alterno 

de energía 

PS6 PS6.2 PE-12 Luces de 

emergencia 


Control: La entidad provee capacidad de 

apagado remoto de cualquier componente del 

sistema de información que pueda estar 

funcionando incorrectamente o esté 

amenazado. 


(1) 

La entidad protege la capacidad de apagado 

de emergencia de activación accidental o no 

autorizada. 

Control: La entidad dispone de una UPS para 

facilitar el apagado ordenado del sistema de 

información en el evento de una pérdida de la 

fuente primaria de energía. 


(1) 

La entidad dispone de una fuente alterna de 

energía de larga duración para el sistema de 

información que permita una capacidad 

mínima operacional requerida en el evento de 

una pérdida prolongada de la fuente primaria 

de energía. 

Control: La entidad utiliza y mantiene un 

sistema automático de luces de emergencia 

que se activan en el evento de una 

interrupción de energía y cubre salidas de 

emergencia y rutas de evacuación.





PS6 PE6.3 PE-13 Protección contra 

incendios 

PS6 PE6.3 PE-14 Controles de 

humedad y 

temperatura 

PS6 PE6.3 PE-15 Protección contra 

fugas de agua 


Control: La entidad utiliza y mantiene 

sistemas de detección y extinción de 

incendios que pueden ser activados en caso 

de incendio. 


(1) 

La entidad utiliza sistemas de detección de 

fuego que se activan automáticamente y 

notifican a la entidad y al equipo de respuesta 

a emergencias. 

(2) 

La entidad utiliza sistemas de extinción de 

incendios que suministran notificación 

automática de cualquier activación a la 

entidad y al equipo de respuesta a 

emergencias. 

(3) 

La entidad dispone de capacidad automática 

de extinción de incendios en las instalaciones 

donde no hay frecuente disponibilidad de 

personal. 

Control: La entidad monitorea y mantiene 

dentro de niveles aceptables la temperatura y 

humedad dentro de las instalaciones donde 

reside el sistema de información. 

Control: La entidad protege el sistema de 

información contra daños ocasionados por el 

agua resultante de tuberías rotas u otras 

fuentes de escape de agua manteniendo 

válvulas maestras que son accesibles, 

trabajan adecuadamente y son conocidas por 

el personal clave. 


(1) 


que protegen el sistema de información de 

daños ocasionados por fugas de agua 

significativas. 

PS4 PS4.2 PE-16 Ingreso y retiro Control: La entidad autoriza y controla el 

ingreso y salida de los ítems relacionados con 

el sistema de información dentro de las 

instalaciones y mantiene registros apropiados 

de dichos eventos.





PS6 PS6.3 PE-17 Sitio de trabajo 

alterno 

PS6 PS6.3 PE-18 Ubicación de los 

componentes del 

sistema de 

información 

Planeació 

n 

PS1-PS9 PS1.1 - PS9.1 PL-1 Política y 


de planeación de 

la seguridad 

PS1-PS9 PS1.1 - PS9.1 PL-2 Plan de seguridad 

del sistema 


Control: La entidad mantiene controles 

administrativos, operacionales y técnicos del 

sistema de información en el sitio alterno. 

Control: La entidad ubica de manera segura 

los componentes del sistema de información 

para minimizar el daño potencial de 

amenazas físicas y ambientales y acceso no 

autorizado. 


(1) 

La entidad planea las condiciones de 

seguridad del sitio de ubicación del sistema 

de información considerando las amenazas 

físicas y ambientales y actualiza su estrategia 

de mitigación del riesgo. 



política formal y documentada de planeación 

de la seguridad que incluye el propósito, 

alcance, roles , responsabilidades, 






los controles relacionados. 

Control: La entidad desarrolla e implementa 

un plan de seguridad para el sistema de 

información que incluye una revisión de los 

requisitos de seguridad para el sistema y una 

descripción de los controles de seguridad 

implementados o planeados para reunir los 

requerimientos. Nombra al personal 

encargado de revisar y aprobar el plan.





PS1-PS9 PS1.1 - PS9.1 PL-3 Actualización del 

plan de seguridad 

PS1 PS1.1 PL-4 Reglas de 

comportamiento 

PS4 PS4.1,PS4.2 PL-5 Evaluación del 

impacto a la 

privacidad 

PS8 PS8.1 PL-6 Planeación de las 

actividades 

relacionadas con 

la seguridad 

Seguridad 

del 

personal 


Control: La entidad revisa por lo menos 

anualmente, el plan de seguridad del sistema 

de información para identificar necesidades 

de cambio organizacional o del sistema 

durante la implementación del plan o en las 

evaluaciones de seguridad. 

Control: La entidad establece y divulga un 

conjunto de reglas que describen las 

responsabilidades y comportamiento 

esperado con relación a la información y al 

uso del sistema de información. Los usuarios 

firman un documento de compromiso que 

indica que han leído, que entienden y que 

están de acuerdo con las reglas de 

comportamiento antes de autorizar el acceso 


Control: La entidad lleva a cabo una 

evaluación del impacto a la privacidad en el 

sistema de información según la ley de 

habeas data (Ley 1266 31 diciembre de 2008) 

Control: La entidad planea y coordina las 

actividades relacionadas con la seguridad que 

afectan el sistema de información antes de 

ejecutar dichas actividades con el fin de 

reducir el impacto en las operaciones, en los 

activos de información y en las personas.





PS1-PS9 PS1.1 - PS9.1 PS-1 Política y 


para seguridad 

del personal 

PS1-PS9 PS1.1 - PS9.1 PS-2 Categorización 

del cargo 

PS1-PS9 PS1.1 - PS9.1 PS-3 Verificación del 

personal 

PS1-PS9 PS1.1 - PS9.1 PS-4 Terminación del 

contrato laboral 

PS1-PS9 PS1.1 - PS9.1 PS-5 Transferencia del 

personal 

PS1-PS9 PS1.1 - PS9.1 PS-6 Acuerdos de 

confidencialidad 




formal y documentada de seguridad del 

personal que incluye: propósito, alcance, 


administración, coordinación entre áreas 

organizacionales, y cumplimiento; y (ii) 



de seguridad del personal y los controles 

relacionados. 

Control: La entidad define riesgos de los 

cargos y establece criterios para la selección 

y contratación del personal para dichos 

cargos. La entidad revisa dichos cargos con 

una frecuencia establecida. 

Control: La entidad realiza revisiones de 

verificación del personal que requiere acceso 

a la información empresarial y a los sistemas 

de información antes de autorizar el acceso. 

Control: La entidad retira el acceso a los 

sistemas de información antes de la 

terminación del contrato laboral, realiza 

entrevistas de retiro, gestiona la devolución 

de activos y autoriza al personal apropiado 

para revisar los registros creados en el 

sistema de información por parte del personal 

que se retira. 

Control: La entidad revisa las autorizaciones 

de acceso al sistema de información cada vez 

que se presenta una reasignación o 

transferencia del personal a otro cargo. 

Control: La entidad establece acuerdos de 

confidencialidad firmados por los usuarios que 

requieren acceder la información 

organizacional y los sistemas de información 

antes de autorizar su acceso y efectúa 

revisiones periódicas a dichos acuerdos.





PS1-PS9 PS1.1 - PS9.1 PS-7 Seguridad del 

personal de 

terceras partes 

PS1-PS9 PS1.1 - PS9.1 PS-8 Sanciones al 

personal 

Evaluació 

n del 

riesgo 

PS1-PS9 PS1.1 - PS9.1 RA-1 Política y 


de evaluación del 

riesgo 

PS1-PS9 PS1.1 - PS9.1 RA-2 Categorías de 

seguridad 

PS1-PS9 PS1.1 - PS9.1 RA-3 Evaluación del 

riesgo 


Control: La entidad establece requerimientos 

de seguridad del personal incluyendo roles y 

responsabilidades para contratistas y 

proveedores y monitorea su cumplimiento. 

Control: La entidad adopta un proceso 

disciplinario formal para el personal que viole 

el cumplimiento de las políticas y 

procedimientos de seguridad de la 

información. 



formal y documentada de evaluación del 

riesgo que incluya el propósito, alcance, roles, 


gerencia, coordinación entre áreas 




de evaluación del riesgo y los controles 

relacionados. 

Control: La entidad categoriza el sistema de 

información y la información procesada, 

almacenada o transmitida por el sistema de 

acuerdo con la reglamentación, políticas, 

estándares y guías aplicables y documenta 

los resultados en el plan de seguridad del 

sistema. Designa a personal apropiado para 

revisar las categorías de seguridad. 

Control: La entidad realiza evaluaciones del 

riesgo y análisis de impacto del daño 

resultante de acceso, uso, revelación, 

interrupción, modificación, destrucción no 

autorizada de la información y de los sistemas 

de información que soportan los servicios de





PS1-PS9 PS1.1 - PS9.1 RA-4 Actualización de 

la evaluación del 

riesgo 

PS8 PS8.1 RA-5 Escaneo de 

vulnerabilidades 

Adquisici 

ón de 

sistemas 

y 

servicios 


gobierno en línea. 

Control: La entidad revisa periódicamente la 

evaluación de riesgos o siempre que se 

efectúen cambios significativos en los 

sistemas de información, las instalaciones 

donde reside el sistema o que existan otras 

condiciones que pueden impactar la 

seguridad o el estado de acreditación del 

sistema. 

Control: La entidad escanea periódicamente 

las vulnerabilidades del sistema de 

información o siempre que se identifiquen y 

reporten nuevas amenazas que puedan 

impactar el sistema. 


(1) 

La entidad utiliza herramientas de escaneo de 

vulnerabilidades que incluyen capacidad para 

actualizar la lista de vulnerabilidades 

escaneadas. 

(2) 

La entidad actualiza periódicamente la lista de 

vulnerabilidades escaneadas o cuando 

nuevas vulnerabilidades son identificadas y 

reportadas. 

(3) 

La entidad implementa procedimientos de 

escaneo de vulnerabilidades que pueden 

demostrar la cobertura y profundidad del 

escaneo incluyendo el checkeo de 

vulnerabilidades a los componentes de 

sistema de información.





PS1-PS9 PS1.1 - PS9.1 SA-1 Política y 


de adquisición de 

sistemas y 

servicios 

PS1-PS9 PS1.1 - PS9.1 SA-2 Distribución de 

recursos 

PS8 PS8.1 SA-3 Ciclo de vida del 

soporte 




política formal y documentada de adquisición 

de sistemas y servicios que contempla 

consideraciones de seguridad de la 

información y que incluye el propósito, 


compromiso de la gerencia, coordinación 

entre áreas de la entidad y cumplimiento; y (ii) 



de adquisición de sistemas y servicios y los 


Control: La entidad determina, documenta y 

distribuye como parte de la planeación y 

control de inversiones los recursos 

requeridos para proteger adecuadamente el 


Control: La entidad administra el sistema de 

información adoptando una metodología para 

el ciclo de desarrollo de los sistemas de 

información que incluye consideraciones de 

seguridad de la información. 

PS1-PS9 PS1.1 - PS9.1 SA-4 Adquisiciones Control: La entidad incluye las 

especificaciones de seguridad en los 

contratos de adquisición de los sistemas de 

información basados en un proceso de 

evaluación del riesgo y conforme a las 

regulaciones, políticas y estándares 

aplicables. 


(1) 

La entidad solicita la documentación que 

describa en detalle la funcionalidad de los 

controles de seguridad del sistema de 

información para permitir analizar y probar 

dichos controles. 

(2) 

La entidad solicita la documentación detallada 

del diseño y detalles de implementación de 

los controles de seguridad del sistema para 

permitir analizar y probar dichos controles 

(incluyendo interfaces entre componentes).





PS8 PS8.1 SA-5 Documentación 

de los sistemas 


PS8 PS8.1 SA-6 Restricciones de 

uso del software 

PS8 PS8.1 SA-7 Software 

instalado por los 

usuarios 

PS8 PS8.1 SA-8 Principios de 

ingeniería de 

seguridad 

PS8 PS8.1 SA-9 Servicios de 

desarrollo, 

mantenimiento y 

soporte externo 

del sistema de 

información 

PS8 PS8.1 SA-10 Administración de 

la configuración 

del desarrollador 


Control: La entidad obtiene, protege y 

mantiene disponible al personal autorizado la 

documentación del sistema de información. 


(1) 

La entidad obtiene además de las guías del 

usuario y del administrador, la 

documentación detallada de la funcionalidad 

de los controles de seguridad del sistema de 

información para permitir análisis y prueba de 

los controles. 

(2) 

La entidad obtiene además de las guías de 

usuario y del administrador, la documentación 

detallada del diseño de los controles de 

seguridad del sistema de información para 

permitir análisis y prueba de los controles. 

Control: La entidad cumple con las 

restricciones de uso del software. 

Control: La entidad forza al cumplimiento de 

reglas explicitas que gobiernan la instalación 

de software por parte de los usuarios. 

Control: La entidad designa e implementa el 

sistema de información utilizando principios 

de ingeniería de seguridad. 

Control: La entidad: (i) requiere que los 

proveedores de servicio adopten controles de 

seguridad de conformidad con la 

reglamentación, políticas y estándares 

aplicables y según los ANS establecidos; y 

(ii) monitoree el cumplimiento de los controles 

de seguridad. 

Control: La entidad exige a los 

desarrolladores del sistema de información 

crear e implementar un plan de configuración 

que controle los cambios al sistema durante el 

desarrollo, rastree las fallas de seguridad y 

documente el plan y su implementación.





PS8 PS8.1 SA-11 Pruebas de 

seguridad del 

desarrollador 

Protecció 

n del 

sistema y 

las 

comunica 

ciones 

PS8 PS8.1 SC-1 Política y 


de protección del 

sistema y las 

comunicaciones 

PS1,PS8 PS1.2,PS8.1 SC-2 Particionar la 

aplicación 


Control: La entidad exige al desarrollador del 

sistema crear un plan de evaluación y 

pruebas de seguridad, implementar el plan, y 

documentar los resultados. 



formal y documentada de protección del 

sistema y las comunicaciones que incluye: el 






de protección del sistema y las 

comunicaciones y los controles relacionados. 

Control: Las funciones del usuario y las 

funciones administrativas del sistema se 

encuentran separadas en el sistema de 

información.





PS1,PS8 PS1.2,PS8.1 SC-3 Aislamiento de la 

función de 

seguridad 

PS4 PS4.1,PS4.2 SC-4 Revelación de 

información 


Control: Se aíslan en el sistema de 

información las funciones de seguridad de las 

otras funciones. 


(1) 

En el sistema de información se utilizan 

mecanismos de separación del hardware para 

facilitar el aislamiento de la función de 

seguridad. 

(2) 

En el sistema de información se aíslan las 

funciones de seguridad críticas (por ejemplo: 

control de acceso y control del flujo de 

información) de las funciones de seguridad y 

demás funciones. 

(3) 

En el sistema de información es mínimo el 

número de funciones que no son de 

seguridad incluidas en la frontera de 

aislamiento que contiene las funciones de 

seguridad. 

(4) 

En el sistema de información las funciones de 

seguridad se implementan como módulos 

independientes grandes de manera que 

eviten interacciones innecesarias entre 

módulos. 

(5) 

En el sistema de información se implementan 

las funciones de seguridad con una estructura 

de capas de manera que minimice las 

interacciones entre capas del diseño evitando 

dependencia funcional de capas más bajas o 

correcciones en las capas más altas. 

Control: el sistema de información previene 

de transferencia no autorizada de información 

a través de recursos del sistema compartidos.





PS6,PS8 PS6.1,PS8.1 SC-5 Protección contra 

denegación del 

servicio 

PS8 PS8.1 SC-7 Protección de 

fronteras 


Control: El sistema de información protege o 

limita los efectos de los ataques de 

denegación. 

Mejora al control: 

(1) 

Se restringe en el sistema de información la 

capacidad de los usuarios para generar 

ataques de denegación del servicio contra 

otros sistemas de información o redes. 

(2) 

Se gestiona en el sistema el exceso de 

capacidad, ancho de banda u otra 

redundancia para limitar los efectos de 

ataques de denegación del servicio. 

Control: En el sistema de información se 

monitorean y controlan las comunicaciones 

entre las fronteras externas del sistema y las 

fronteras internas. 


(1) 

La entidad físicamente distribuye los 

componentes del sistema accesibles para 

separar las subredes de las interfaces de red 

físicas. 

(2) 

La entidad previene de acceso público en las 

redes internas de la entidad con excepciones 

plenamente justificadas. 

(3) 

La entidad limita el número de puntos de 

acceso al sistema de información para 

permitir un mejor monitoreo del tráfico 

entrante y saliente de la red. 

(4) 

La entidad implementa una interfase 

administrada a través de un servicio de 

telecomunicaciones externas, implementando 

controles apropiados para proteger la 

integridad y la confidencialidad de la 

información a ser transmitida. 

(5) 

El sistema de información restringe el tráfico 

de red por default y permite el tráfico de red 

por excepción. 

(6) 

La entidad previene de la salida no autorizada 

de información fuera de las fronteras del 

sistema de información cuando existe una 

falla de los mecanismos de protección de 

fronteras.





PS5 PS5.1 SC-8 Integridad de la 

transmisión 

PS4 PS4.1 SC-9 Confidencialidad 

de la transmisión 

PS8 PS8.1 SC-10 Desconexión de 

la red 

PS3,PS8 PS3.1, PS8.1 SC-12 Gestión de llaves 


PS4 PS4.2 SC-13 Uso de 

criptografía 

PS4,PS5 

,PS8 

PS4.2,PS5.3, PS8.1 SC-14 Protección del 

acceso público 


Control: El sistema de información protege la 

integridad de la información transmitida. 


(1) 

La entidad emplea mecanismos criptográficos 

para reconocer cambios a la información 

durante la transmisión a menos que existan 

otros mecanismos físicos alternos de 

protección. 


confidencialidad de la información transmitida. 


(1) 

La entidad utiliza mecanismos criptográficos 

para prevenir de revelación no autorizada de 

información durante la transmisión a menos 

que existan mecanismos físicos alternos de 

protección. 

Control: El sistema de información finaliza 

una conexión de red al final de la sesión o 

después de un periodo de tiempo de 

inactividad. 

Control: La entidad establece y gestiona las 

llaves criptográficas mediante mecanismos 

automáticos y la implementación de 

procedimientos. 


implementa mecanismos criptográficos que 

cumplen con la reglamentación, políticas, 

estándares y guías aplicables. 


integridad y disponibilidad de la información y 

aplicaciones públicamente disponibles.





PS8 PS8.1 SC-15 Computación 

colaborativa 

PS2 PS2.1 - PS2.4 SC-17 Certificados de 

infraestructura de 

clave pública 


Control: el sistema de información prohíbe la 

activación remota de mecanismos de 

computación colaborativa y provee una 

indicación clara de uso solo para usuarios 

locales. 


(1) 

El sistema de información suministra 

desconexión física de cámaras y micrófonos 

de manera que soporte facilidad de uso. 

Control: La entidad emite certificados de 

clave pública mediante una política de 

certificados apropiada u obtiene certificados 

de clave pública a través de un proveedor de 

servicios aprobado. 

PS8 PS8.1 SC-18 Código Móvil Control: La entidad : (i) establece 

restricciones de uso y guía de implementación 

para las tecnologías de código móvil basadas 

en el potencial para causar daño al sistema 

de información si se usa inadecuadamente; y 

(ii) autoriza, monitorea y controla el uso de 

código móvil dentro del sistema de 

información. 

PS8 PS8.1 SC-19 Protocolos de voz 

sobre Internet 

PS8 PS8.1 SC-20 Servicios de 

resolución de 

nombres y 

direcciones 

(fuente 

autorizada) 

Control: La entidad (i) establece restricciones 

de uso y guía de implementación para 

tecnologías de protocolos de voz sobre 

Internet (VoIP) basadas en el potencial para 

causar daño al sistema de información si se 

usan indebidamente y (ii) autoriza, monitorea 

y controla el uso VoIP dentro del sistema de 

información. 


proporciona servicios de resolución de 

nombres además del dato de origen y el 

artefacto de integridad junto con el dato de 

respuesta a la resolución de los queries (ver 

más detalle en SP 800-81).





PS8 PS8.1 SC-21 Servicios de 


nombres y 

direcciones(Resol 

ución recursiva o 

de Caché) 

PS8 PS8.1 SC-22 Arquitectura y 

prestación de los 

servicios de 


nombres y 

direcciones 

PS2 PS2.1 - PS2.4 SC-23 Autenticidad de 

las sesiones 

Integridad 

del 

sistema y 

de la 

informaci 

ón 



servicios de resolución de nombres y 

direcciones para clientes locales y desarrolla 

autenticación del origen de datos y 

verificación de la integridad de los datos en 

las respuestas de resolución que recibe de 

fuentes autorizadas cuando son requeridas 

por los clientes del sistema. 


(1) 

El sistema de información desarrolla 

autenticación del origen del dato y verificación 

de la integridad de la información en todas las 

respuestas de resolución ya sean o no 

clientes locales que requieren explícitamente 

el servicio. 

Control: El sistema de información que 

provee servicios de resolución de nombres y 

direcciones son tolerantes a fallas e 

implementan separación de roles. 


mecanismos para proteger la autenticidad de 

las sesiones.





PS5 PS5.1 - PS5.4 SI-1 Política y 


de integridad del 

sistema y de la 

información 

PS8 PS8.1 SI-2 Corrección de 

errores 

PS8 PS8.1 SI-3 Protección contra 

código malicioso 




política formal y documentada de integridad 

del sistema y de la información que incluya el 




procedimientos formales y documentados que 

faciliten la implementación de la política y los 


Control: La entidad identifica, reporta y corrige 

los errores en el sistema de información. 


(1) 

La entidad administra centralizadamente el 

proceso de corrección de errores e instala 

automáticamente las versiones de 

actualización. 

(2) 


para determinar periódicamente o por 

demanda, el estado de los componentes del 

sistema de información con relación a la 

corrección de los errores. 

Control: El sistema de información tiene 

implementado protección contra código 

malicioso. 


(1) 

La entidad administra centralizadamente los 

mecanismos de protección contra código 

malicioso. 

(2) 

el sistema de información actualiza 

automáticamente los mecanismos de 

protección contra código malicioso.





PS8,PS9 PS8.1, PS9.1 SI-4 Herramientas y 

técnicas de 

monitoreo del 

sistema de 

información 

PS8 PS8.1 SI-5 Alertas de 

seguridad y 

recomendaciones 


Control: La entidad utiliza herramientas y 

técnicas para monitorear los eventos en el 

sistema de información, detectar ataques, y 

proveer identificación de uso no autorizado 

del sistema.Mejoras al control:(1)La entidad 

interconecta y configura las herramientas de 

detección de intrusión individual con el 

sistema de detección e intrusión general de la 

entidad utilizando protocolos comunes.(2)La 

entidad utiliza herramientas automáticas para 

soportar análisis de eventos en tiempo real. 

(3)La entidad utiliza herramientas automáticas 

para integrar las herramientas de detección 

de intrusión con los mecanismos de control de 

acceso y control de flujo de información para 

una rápida respuesta ante ataques 

permitiendo la reconfiguración de estos 

mecanismos para aislar y eliminar los 

ataques.(4)El sistema de información 

monitorea las comunicaciones entrantes y 

salientes para detectar actividades o 

condiciones inusuales o no autorizadas.(5)El 

sistema de información suministra alertas en 

tiempo real cuando ocurre un compromiso de 

la seguridad. 

Control: la entidad recibe continuamente 

reportes de alertas y recomendaciones de 

seguridad y los envía al personal apropiado 

para que se tomen las acciones pertinentes. 


(1) 


para hacer que las alertas y recomendaciones 

de seguridad estén disponibles para toda la 

entidad en la medida en que se requieran.





PS8 PS8.1 SI-6 Verificación de la 

funcionalidad de 

la seguridad 

PS5,PS8 PS5.3, PS8.1 SI-7 Integridad del 

software y de la 

información 

PS8 PS8.1 SI-8 Protección contra 

spam 


El sistema de información verifica 

periódicamente la operación correcta de las 

funciones de seguridad (Ej.: start y restart y 

comandos de usuarios con privilegio 

apropiado) y ejecuta una lista de acciones 

posibles tales como: notificar al administrador 

del sistema, apagar el sistema o reiniciar el 

sistema cuando se detectan anomalías. 


(1) 


que notifican las fallas en las pruebas de 

seguridad. 

(2) 


para soportar la administración de las pruebas 

de seguridad distribuidas. 

Control: El sistema de información detecta y 

protege contra cambios no autorizados al 

software y a la información. 


(1) 

La entidad evalúa periódicamente la 

integridad del software y de la información 

mediante escanéos de integridad del sistema. 

(2) 

La entidad utiliza herramientas automatizadas 

para notificar al personal apropiado sobre las 

discrepancias identificadas durante la 

verificación de la integridad. 

(3) 

La entidad utiliza administración centralizada 

de las herramientas de verificación de 

integridad. 

Control: El sistema de información tiene 

implementado protección contra spam. 


(1) 

La entidad administra centralizadamente los 

mecanismos de protección contra spam. 

(2) 

El sistema de información actualiza 

automáticamente los mecanismos de 

protección contra spam.





PS8 PS8.1 SI-9 Restricciones en 

el ingreso de 

datos 

PS8 PS8.1 SI-10 Chequeo de 

información 

exacta, completa, 

válida y auténtica 

PS8 PS8.1 SI-11 Manejo de 

errores 

PS4,PS5 PS4.2,PS5.4 SI-12 Manejo y 

retención de las 

salidas de 

información 

PS8 Proteger 

las 

comunica 

ciones 

electrónic 

as 

PS8 PS8.1 CE-1 Política y 


de uso aceptable 

de las 


electrónicas 


Control: La entidad limita la capacidad de 

entrada de datos al sistema de información 

sólo al personal autorizado. 

Control: El sistema de información chequea 

que la información sea exacta, completa 

valida y auténtica. 

Control: El sistema de información identifica 

y maneja las condiciones de error de manera 

sencilla sin suministrar información adicional 

que pueda ser aprovechada por atacantes. 

Control: La entidad maneja y retiene las 

salidas del sistema de acuerdo con la 

reglamentación, políticas, estándares, guías 

aplicables y los requerimientos operacionales. 



política formal y documentada de uso 

aceptable y protección de las comunicaciones 

electrónicas que incluya el propósito, alcance, 


gerencia, coordinación entre áreas de la 

entidad y cumplimiento; y (ii) procedimientos 

formales y documentados que faciliten la 

implementación de la política y los controles 

relacionados.





PS8 PS8.1 CE-2 Aprobación de 

uso 

PS8 PS8.1 CE-3 Guías de uso de 

correo 


Control: Exigir aprobación del uso de las 

comunicaciones electrónicas (correo 

electrónico, la mensajería instantánea, el 

acceso a Internet, red de VoIP, acceso 

inalámbrico) por el nivel de autoridad 

apropiado 

Control: Incluir en el procedimiento o guía 

para el uso del correo electrónico lo siguiente: 

a) el uso de correo para el desempeño de las 

funciones asignadas y prohibir el uso para 

fines personales 

b) identificar los tipos de correo permitidos 

(por ejemplo, servicios corporativos tales 

como Lotus Notes o Microsoft Exchange) 

c) guías de uso aceptable del correo (por 

ejemplo, prohibir el uso de declaraciones 

ofensivas, ) 

d) incluir en las guías una lista de 

prohibiciones (por ejemplo, prohibir el uso del 

Web mail, propaganda no autorizada, abril 

archivos adjuntos de fuentes desconocidas, 

encripción privada de correos o archivos 

adjuntos, reenvió automático de correos 

internos a direcciones de correo externas) 

d)dar detalles de las actividades de monitoreo 

que se realizan 

e) el correo personal debe estar etiquetado 

como "personal" y debe estar sujeto a los 

acuerdos de uso establecidos 

f) dar pautas sobre cómo proteger la 

confidencialidad e integridad de los 

mensajes(por ejemplo, mediante el uso de 

encriptación, certificados digitales y firmas 

digitales).






mensajería 

instantánea 


Control: Incluir en el procedimiento o guía 

para el uso de la mensajería instantánea lo 

siguiente: 

a) el uso de mensajería para el desempeño 

de las funciones asignadas y prohibir el uso 

para fines personales 

b) identificar los tipos de mensajería 

permitidos (por ejemplo, servicios públicos 

tales como AOL, Google Talk, Windows 

Messenger y !Yahoo o servicios internos tales 

como Lotus Sametime, Windows Meeting 

Space, WebEx y Jabber) 

c) usar guías de uso aceptable (por ejemplo, 

prohibir el uso de declaraciones ofensivas ) 

d) dar detalles de las actividades de 

monitoreo que se realizan 

e) el uso personal de la mensajería debe 

estar etiquetado como "personal" y debe estar 

sujeto a los acuerdos de uso establecidos 

f) dar pautas sobre cómo proteger la 

confidencialidad e integridad de los 

mensajes(por ejemplo, mediante el uso de 

encriptación, certificados digitales y firmas 

digitales).





PS8 PS8.1 CE-5 Guías de uso 

seguro de 

Internet 


Control: Definir estándares para el acceso a 

Internet (por ejemplo, web browser de Mozilla, 

Firefox, Microsoft Internet Explorer, Opera or 

Apple Safari) y generar guías que incluyan lo 

siguiente: 

a) protección de estaciones de trabajo con 

acceso a Internet (por ejemplo, control de 

acceso, protección de malware, firewall 

personal y copias de respaldo) 

b) identificar los tipos de servicios de Internet 

permitidos 


prohibir el uso de declaraciones ofensivas y 

prohibir para uso personal) 



e) aplicar actualizaciones del software rápida 

y eficientemente 

f) restringir la descarga de código móvil (por 

ejemplo, excluir las categorías de software 

ejecutable usando un firewall personal o 

equivalente) 

g) usar firewall personal 

h) instalar software de detección e intrusión 

de host (HIDS) 

i) Advertir a los usuarios sobre las siguientes 

amenazas: 

- peligros de descargar código móvil (por 

ejemplo, Java applets, MS ActiveX, 

JavaScripts, VBScript) 

- implicaciones de aceptar o rechazar 

‘cookies’ 

- abrir archivos descargados de Internet






redes de voz 

sobre IP 

PS8 PS8.1 CE-7 Guías de acceso 

inalámbrico 

Tabla 16: Controles de seguridad recomendados para el Grupo 2. 


Control: Definir estándares para los servicios 

VoIP(por ejemplo, la aplicación e 

infraestructura de soporte) y generar guías 

que incluyan lo siguiente: 

a) guías para el uso del negocio y uso 

personal (por ejemplo, usarlo para uso 

personal fuera del horario laboral) 

b) identificar los tipos de servicios de VoIP 

permitidos (por ejemplo servicios tales como 

Skype y Google Talk o servicios internos de 

proveedores tales como Avaya, Cisco y 

3Com) 


voice-mail, servicios de conferencias y 

mensajería unificada) 



e) Advertir a los usuarios sobre los riesgos 

específicos del software de VoIP 

Control: Definir estándares para el acceso 

inalámbrico (por ejemplo, el software y la 

infraestructura de soporte) y generar guías 

que incluyan lo siguiente: 

a) guías para el uso sólo en el desempeño de 

las funciones y prohibirlo para uso personal 

b) identificar los tipos de servicios de acceso 

permitidos (por ejemplo, permitir conexión a 

puntos de acceso inalámbrico corporativo o 

conectarse a la red corporativa usando VPN 

cuando se trabaje en sitios remotos) 


prohibir conectarse desde equipos personales 

o no autorizados) 



e) advertir a los usuarios sobre: 

- las amenazas asociadas con el acceso 

inalámbrico (por ejemplo, monitoreo de tráfico 

de red, romper claves de encripción 

inalámbricas, interceptación e interferencia) 

- los pasos para minimizar los riesgos 

asociados con el acceso inalámbrico (por 

ejemplo, activar la tarjeta de interfase de red 

inalámbrica cuando se requiera, usar 

encripción tal como WPA o WPA2 y proteger 

los detalles de autenticación tales como la 

encripción de claves, contraseñas y tokens)





6.5.4.3. Controles para entidades clasificadas en Grupo 3 (Entidades privadas que 

pertenezcan a la cadena de prestación de servicios de Gobierno en Línea): 

# 

Control 

Nombre del Control Descripción 

GESTIÓN DE 

SEGURIDAD DE LA 

INFORMACIÓN 

SM1 Direccionamiento 

estratégico 

SM1.1 Compromiso de la dirección 

SM1.1.1 Control: La dirección debe tener un alto nivel de 

compromiso para: 

a) Alcanzar altos estándares de gobierno corporativo 

b) enfocar la seguridad de la información como un 

asunto de la empresa 

c) crear un entorno positivo de seguridad 

d) demostrar a terceros que la empresa se ocupa de la 

seguridad de la información de manera profesional. 

SM1.1.2 Control: La dirección debe tener un alto nivel de 

compromiso con la aplicación de los principios 

fundamentales, que incluyen: 

a) asumir la responsabilidad de los controles internos de 

la organización 

b) garantizar que los controles sobre la información y los 

sistemas son proporcionales al riesgo 

c) asignar la responsabilidad para identificar, clasificar y 

salvaguardar la información y los sistemas a propietarios 

individuales 

d) garantizar el acceso a la información y los sistemas de 

acuerdo con criterios explícitos. 

Página 130 de 207





SM1.1.3 Control: La dirección debe demostrar su compromiso 

con la seguridad de la información para: 

a) asignar la responsabilidad general de la seguridad de 

la información a un órgano de nivel ejecutivo o 

equivalente (por ejemplo, un Oficial de Seguridad de la 

Información) 

b) compartir aspectos claves de seguridad de la 

información con grupos de trabajo, comités o su 

equivalente 

c) monitorear las condiciones de seguridad de la 

información de la organización 

d) asignar recursos suficientes para la seguridad de la 

información. 

SM1.1.4 Control: La dirección debe demostrar su compromiso 

aprobando la documentación de alto nivel que incluye: 

a) la estrategia para la seguridad de la información 

b) la política de seguridad de la información 

c) la arquitectura de seguridad para la organización 

SM1.2 Política de seguridad de la 

información 

SM1.2.1 Control: Se debe documentar y aprobar el documento 

de la política de seguridad de la información para ser 

aplicada en toda la empresa. Se debe asignar la 

responsabilidad por el mantenimiento de la política. 

SM1.2.2 Control: La política de seguridad de la información debe 

definir las responsabilidades asociadas con la seguridad 

de la información y los principios de seguridad que debe 

seguir todo el personal. 

SM1.2.3 Control: La política de seguridad de la información debe 

exigir que: 

a) se clasifique la información de manera que indique la 

importancia para la organización 

b) se nombre a los dueños de la información y sistemas 

críticos (por lo general son las personas encargadas de 

los procesos de negocio que dependen de la información 

y los sistemas) 

c) se realice un análisis de riesgos sobre la información y 

los sistemas de manera periódica 

d) el personal adquiera conciencia en seguridad de la 

información 

e) se cumpla con el licenciamiento de software y con 

otras disposiciones legales, reglamentarias y 

contractuales 

f) se comunican las brechas de seguridad de la 

información y la sospecha de debilidades de seguridad 


g) se protege la información en términos de los requisitos 

de confidencialidad, integridad y disponibilidad 

Página 131 de 207





SM1.2.4 Control: La política de seguridad de la información debe: 

a) estar alineada con otras políticas de alto nivel (por 

ejemplo, las relativas a los recursos humanos, la salud y 

la seguridad, las finanzas y la 

tecnología de la información) 

b) ser comunicada a todos los funcionarios y personas 

externas con acceso a la información o a los sistemas de 

la organización y revisarse periódicamente según un 

proceso de revisión determinado 

c) ser revisada para que se tenga en cuenta los cambios 

en el entorno (por ejemplo, nuevas amenazas, 

vulnerabilidades y riesgos, la reorganización de la 

empresa, los cambios contractuales, legales y los 

requisitos reglamentarios, o cambios en la infraestructura 

de TI). 

SM1.2.5 Control: La política de seguridad de la información 

debería: 

a) ser apoyada por métodos para evaluar el 

cumplimiento 

b) advertir que se pueden tomar las acciones 

disciplinarias contra las personas que violen sus 

disposiciones. 

SM1.2.6 Control: La política debería instruir a los usuarios para: 

a) asegurar los medios removibles y la documentación 

que contenga información privada cuando no esté en uso 

b) salir o bloquear la sesión del sistema cuando se deja 

la Terminal abandonada 

SM1.2.6 Control: La política de seguridad debería prohibir: 

a) el uso no autorizado de la información y los sistemas 

de la empresa 

b) la utilización de la información y los sistemas para 

fines diferentes a los laborales 

c) la discriminación sexual, racista u otras declaraciones 

que sean ofensivas (por ejemplo, al utilizar el correo 

electrónico, la mensajería instantánea, el Internet o el 

teléfono) 

hacer obsceno, discriminatorio o de acoso declaraciones, 

que puede ser ilegal (por ejemplo, al utilizar el correo 

electrónico, al instante 

mensajería, Internet o teléfono) 

d) la descarga de material ilegal (por ejemplo, con 

contenido obsceno o discriminatorio) 

e) el retiro de información o equipos fuera de las 

instalaciones sin la debida autorización 

f) usar sin autorización software, equipos y dispositivos 

removibles( por ejemplo, software de terceros, USB y 

otros dispositivos removibles) 

g) la copia no autorizada de información o software 

h) la revelación de contraseñas 

i) la utilización de información de identificación personal 

a menos que exista una autorización expresa 

j) comentar sobre la información de la empresa en sitios 

públicos 

k) manipular la evidencia en el caso de incidentes de 

Página 132 de 207





seguridad de la información que requieran una 

investigación forense. 

SM1.3 Acuerdos con el personal 

SM1.3.1 Control: Las responsabilidades de seguridad de la 

información para todo el personal de la empresa debe 

estar especificado en las descripciones del puesto y en 

los términos y condiciones del empleo (por ejemplo, en el 

contrato de trabajo). 

SM1.3.2 Control: Los términos y condiciones del empleo 

deberían: 

a) declarar que las responsabilidades de seguridad de la 

información se extienden fuera de las horas normales de 

trabajo y continúan después de la terminación del 

empleo. 

b) explicar las responsabilidades legales y derechos del 

empleado incluyendo la cláusula de confidencialidad y no 

revelación. 

SM1.3.3 Control: Los empleados, contratistas y personal de 

terceros deberían aceptar y firmar los acuerdos de 

confidencialidad. 

SM1.3.4 Control: Debería establecerse un requisito documentado 

para revocar inmediatamente los privilegios de acceso 

cuando un usuario autorizado ya no requiere el acceso a 

la información o a los sistemas como parte de su trabajo, 

o cuando se retira de la empresa. 

SM1.3.5 Control: Se deben verificar los antecedentes de los 

aspirantes a ser empleados, contratistas o usuarios de 

terceros antes de la contratación laboral. 

SM1.3.6 Control: Los documentos del personal clave tales como 

las políticas o las descripciones del puesto, deben ser 

revisados por un especialista en seguridad de la 

información y aprobados por la dirección y mantenerse 

actualizados. 

SM1.3.7 Control: Al terminar la contratación laboral, los 

empleados y el personal de terceros debería documentar 

la información relacionada con los procesos que maneja 

y que son críticos para la empresa y devolver: 

a) el equipo que pertenece a la empresa 

b) la información importante ya sea en formato 

electrónico o en copia dura 

c) el software 

d) el hardware de autenticación (por ejemplo, las 

smartcards y tokens) 

SM2 Organización de 

seguridad 

SM2.1 Control de Alto nivel 

SM2.1.1 Control: Se debería asignar la responsabilidad general 

por la seguridad de la información a un ejecutivo de alto 

nivel o su equivalente. 

Página 133 de 207





SM2.1.2 Control: Se debería establecer un grupo de trabajo de 

alto nivel técnico o un comité u organismo equivalente 

para coordinar las actividades de seguridad en toda la 

organización. El grupo debería reunirse de forma 

periódica (por ejemplo, tres o más veces al año) y 

documentar las acciones acordadas en las reuniones. 

SM2.1.3 Control: El grupo coordinador de la seguridad debería 

estar conformado por: 

a) un miembro de la dirección 

b) uno o más dueños de aplicaciones y procesos 

c) el jefe de seguridad de la información, o su 

equivalente (por ejemplo, el Oficial Jefe de Seguridad de 

la Información) 

d) representantes de otras funciones relacionadas con la 

seguridad (por ejemplo, accesoria legal, riesgo 

operacional, auditoria interna, seguros, recursos 

humanos y seguridad física) 

e) el jefe de tecnología de la información (o equivalente). 

SM2.1.4 Control: El grupo coordinador de la seguridad debe ser 

responsable de: 

a) considerar la seguridad de la información en toda la 

empresa 

b) asegurar que la seguridad de la información se enfoca 

de manera coherente y consistente 

c) aprobar las políticas de seguridad de la información 

así como las normas y procedimientos 

d) monitorear la exposición de la empresa a amenazas 

de seguridad de la información 

e) Monitorear el desempeño de la seguridad de la 

información (por ejemplo, analizar el actual estado de 

seguridad, manejo de incidentes de seguridad de la 

información, y los costos) 

f) aprobar y dar prioridad a las actividades de mejora de 

seguridad de la información 

g) garantizar que la seguridad de la información se 

enfoca en los procesos de planeación de Ti de la 

empresa 

h) enfatizar la importancia de la seguridad de la 

información en la organización. 

SM2.2 Función de seguridad de la 

información 

SM2.2.1 Control: La organización debe estar apoyada por una 

función de seguridad de la información (o equivalente), 

que tiene la responsabilidad 

para la promoción de buenas prácticas en seguridad de 

la información en toda la empresa. El jefe de la función 


debería tener dedicación de tiempo completo a la 


Página 134 de 207





SM2.2.2 Control: La función de seguridad de la información 

debería: 

a) desarrollar y mantener una estrategia de seguridad de 

la información 

b) coordinar la seguridad de la información a través de la 

organización 

c) definir un conjunto de servicios de seguridad (por 

ejemplo, servicios de identidad, servicios de 

autenticación, cifrado de servicios), que 

proporcionan una gama coherente de capacidades de 

seguridad 

d) desarrollar normas, procedimientos y guías de 


e) proveer consejo especializado en todos los aspectos 

de la seguridad de la información (por ejemplo, 

información de análisis de riesgos, la seguridad de la 

información, administración de incidentes y protección 

contra malware) 

f) supervisar la gestión de incidentes de seguridad de la 

información 

g) ejecutar uno o más programas de sensibilización 

sobre la seguridad de la información y desarrollar 

habilidades en seguridad para todo el personal de la 

empresa 

h) evaluar las implicaciones de seguridad de las 

iniciativas de negocio especializadas (por ejemplo, la 

subcontratación, iniciativas de comercio electrónico y de 

intercambio de información) 

i) supervisar la eficacia de los acuerdos de seguridad de 



debería proveer soporte para: 

a) las actividades de análisis de riesgos de información 

b) importantes proyectos relacionados con la seguridad 

c) los requisitos de seguridad de los principales 

proyectos de TI 

d) auditorias y revisiones de seguridad 

e) clasificar la información y los sistemas de acuerdo con 

su importancia para la organización 

f) el uso de la criptografía 

g) la inclusión de los requisitos de seguridad de la 

información en los documentos de acuerdos(por ejemplo, 

contratos o acuerdos de niveles de servicios) 

i) el desarrollo de planes de continuidad de negocio 

Página 135 de 207






debería monitorear: 

a) las tendencias generales de los negocios (por 

ejemplo, las perspectivas de crecimiento, la 

internacionalización, el comercio electrónico y la 

contratación externa) 

b) los avances tecnológicos (por ejemplo, la tecnología 

basada en la web, arquitectura orientada a servicios 

(SOA) y Voz sobre IP) 

c) las amenazas nuevas y emergentes (por ejemplo, el 

robo de identidad, ataques de phishing y Bluetooth) 

d) nuevas vulnerabilidades en los principales sistemas 

operativos, aplicaciones y otros programas (por ejemplo, 

utilizando los sitios web de proveedores y listas de 

correo) 

e) nuevas soluciones de seguridad de la información (por 

ejemplo, la gestión de derechos digitales y de prevención 

de intrusiones) 

f) los estándares emergentes de la industria relacionadas 

con la seguridad de la información (por ejemplo, las 

Normas de Buenas Prácticas 

ISO / IEC 27002 (17799), y COBIT v4.1) 

g) las nuevas leyes o reglamentación relacionada con la 

seguridad de la información (por ejemplo, los 

relacionados con la privacidad de los datos, 

digital signatures and industry-specific standards such as 

Basel II 1998 and the Payment Card Industry (PCI) 

Estándar de seguridad de datos). 


debería: 

a) contar con recursos suficientes con respecto al 

número de personas, su rango y nivel de habilidades, 

herramientas o 

técnicas (por ejemplo, información de metodologías de 

análisis de riesgos, software de investigación forense y 

una arquitectura de seguridad empresarial) 

b) tener suficiente impacto en la organización y un fuerte 

apoyo de la dirección, de los gerentes de negocio y 

gerentes de TI. 

y los administradores de TI 

c) mantener el contacto con sus homólogos en el mundo 

comercial, el gobierno, las entidades de control y los 

expertos en seguridad informática / empresas de 

software y proveedores de servicios 

d) ser revisado de forma periódica 

SM2.3 Coordinación local de 

seguridad 

SM2.3.1 Control: Se debe asignar la responsabilidad por la 

seguridad de la información a cada jefe de unidad de 

negocio o departamento. 

Página 136 de 207





SM2.3.2 Control: Los coordinadores locales de seguridad de la 

información deben ser designados para coordinar la 

seguridad de la información en la empresa incluyendo 

las aplicaciones comerciales, de instalaciones de 

computación, los ambientes de red, las actividades de 

desarrollo del sistema y ambientes de usuario final. 

SM2.3.3 Control: Los coordinadores locales de seguridad de la 

información deben tener: 

a) una clara comprensión de sus roles y 


b) suficientes conocimientos técnicos, tiempo, 

herramientas necesarias (por ejemplo, listas de 

verificación y especialistas en productos de software) y la 

autoridad para llevar a cabo sus funciones asignadas 

c) acceso a expertos internos o externos en seguridad de 


d) normas y procedimientos documentados para apoyar 

el día a día las actividades de seguridad de la 

información 

e) información actualizada sobre técnicas (por ejemplo, 

información de metodologías de análisis de riesgos, de 

investigación forense, arquitectura de seguridad 

empresarial) relacionados con la seguridad de la 

información. 

SM2.3.4 Control: La información acerca de la condición de 

seguridad de la información debería ser: 

a) reportada al jefe de la función de seguridad de la 

información 

b) presentada periódicamente de manera consistente 

SM2.4 Conciencia de seguridad 

SM2.4.1 Control: Se deben desarrollar actividades específicas 

para promover conciencia de seguridad en toda la 

empresa. Estas actividades deben 

ser: 

a) aprobadas por la dirección 

b) responsabilidad de una persona en particular, de una 

unidad de la organización, de un grupo de trabajo o 

comité 

c) apoyado por un conjunto de objetivos documentado 

d) entregadas como parte de un programa de conciencia 

en seguridad 

e) sujetas a disciplinas de gestión de proyectos 

f) mantenerse actualizadas con las prácticas y requisitos 

actuales 

g) basadas en los resultados de un análisis de riesgos de 

información documentado 

h) orientadas a reducir la frecuencia y magnitud de los 

incidentes de seguridad de la información 

i) medibles. 

Página 137 de 207





SM2.4.2 Control: La conciencia de seguridad debe ser 

promovida: 

a) por la dirección, los gerentes, el personal de TI y 

asesores externos 

b) en conjunto con el entrenamiento en seguridad (por 

ejemplo, utilizando técnicas tales como presentaciones y 

entrenamiento basado en computadores (CBT)) 

c) mediante el suministro de material de sensibilización, 

tales como folletos, fichas, carteles y documentos 

electrónicos en la intranet. 

SM2.4.3 Control: Se debería entregar al personal guías que le 

ayuden a comprender: 

a) el significado de seguridad de la información (es decir, 

la protección de la confidencialidad, integridad y 


de información) 

b) la importancia de cumplir con las políticas de 

seguridad de la información y la aplicación de las 

correspondientes normas y procedimientos 

c) sus responsabilidades personales por la seguridad de 

la información (por ejemplo, la presentación de reportes 

sobre incidentes de seguridad de la información) 

SM2.4.4 Control: Se debe monitorear la efectividad de la 

conciencia en seguridad: 

a) midiendo el nivel de conciencia de seguridad del 

personal 

b) revisar periódicamente el nivel de conciencia de 


c) midiendo los beneficios de las actividades de 

sensibilización (por ejemplo, monitorear la frecuencia y 

magnitud de los 

incidentes de seguridad de la información). 

SM2.4.5 Control: El comportamiento positivo en seguridad 

debería ser promovido por: 

a) entrenamiento obligatorio en toma de conciencia en 

seguridad 

b) divulgación de los éxitos y fallas de seguridad en toda 


c) vincular la seguridad a los objetivos de desempeño y 

evaluaciones del personal 

SM2.5 Educación y entrenamiento en 

seguridad 

SM2.5.1 Control: La educación y entrenamiento en seguridad 

debería proporcionar al personal las habilidades que 

necesitan para: 

a) evaluar los requisitos de seguridad 

b) proponer los controles de seguridad de la información 

c) garantizar que los controles de seguridad funcionan de 

manera eficaz en los ambientes en los que se aplican 

Página 138 de 207





SM2.5.2 Control: La educación y el entrenamiento en seguridad 

debería proporcionar a los usuarios las habilidades 

necesarias para: 

a) usar correctamente los sistemas 

b) aplicar los controles de seguridad de la información 


debería proporcionar al personal de TI las habilidades 

que necesitan para: 

a) diseñar y desarrollar los controles de seguridad de los 

sistemas de manera disciplinada 

b) aplicar controles de seguridad de la información 

c) operar correctamente las instalaciones de TI y aplicar 

de manera efectiva los controles de seguridad 

d) operar correctamente las redes y aplicar los controles 

de seguridad requeridos 


debería ser proporcionada para permitir a especialistas 

de seguridad de la información: 

a) comprender el entorno empresarial 

b) ejecutar proyectos relacionados con la seguridad 

c) comunicarse de manera eficaz (por ejemplo, hacer 

presentaciones, facilitar o influir en la gestión de 

reuniones) 

d) realizar actiivdades especiales de seguridad (por 

ejemplo, análisis de riesgos de información, investigación 

forense y planeación de continuidad del negocio) 

SM3 Requerimientos de 

seguridad 

SM3.1 Clasificación de información 

SM3.1.1 Control: Se debería aplicar un sistema de clasificación 

de la información en toda la empresa que: 

a) tenga en cuenta el impacto potencial en el negocio 

ante la pérdida de confidencialidad de la información 

b) se utiliza para determinar distintos niveles de 

confidencialidad de la información (por ejemplo, top 

secret, en confianza y pública) 

SM3.1.2 Control: El sistema de clasificación de la información 

que se establezca debe clasificar: 

a) la información almacenada en papel (por ejemplo, 

contratos, planos y documentación sobre el sistema, 

celebrada en forma impresa) 

b) la información almacenada en formato electrónico 

(archivos creados en bases de datos, procesadores de 

palabra, hojas de cálculo, etc.) 

c) las comunicaciones electrónicas (por ejemplo, los 

mensajes enviados por e-mail, mensajería instantánea) 

Página 139 de 207





SM3.1.3 Control: El esquema de clasificación de la información 

debería exigir: 

a) que la información esté protegida de conformidad con 

su clasificación de información 

b) que sea aprobada por el dueño del negocio la 

clasificación asignada a la información 

c) que las clasificaciones se revisen y actualicen 

periódicamente y cuando surjan cambios 

SM3.1.4 Control: El esquema de clasificación de la información 

debería: 

a) proporcionar orientación sobre los requisitos de 

manejo de cada clasificación (por ejemplo, cuando se 

copia, almacena y destruye la información) 

b) explicar cómo resolver los conflictos de las 

clasificaciones 

SM3.1.5 Control: El sistema de clasificación de la información 

debería aplicarse a la información asociada con: 

a)aplicaciones de negocio 

b) instalaciones informáticas 

c) redes 

d) sistemas en desarrollo 

e) entornos de usuario final 

SM3.1.6 Control: Se deben aprobar los métodos de etiquetado 

de la información clasificada para: 


utilizando sellos de goma de tinta, etiquetas adhesivas, 

hologramas) 

b) la información almacenada en formato electrónico (por 

ejemplo, marcas de agua electrónicas, etiquetas de 

encabezados y pies de página, uso de convenciones 

para nombres de archivo) 

c) comunicaciones electrónicas (por ejemplo, utilizando 

la firma digital e identificando claramente la clasificación 

en las cabeceras de los mensajes de correo electrónico) 

SM3.1.7 Control: Se debería mantener un inventario de los 

detalles de las clasificaciones de la información (por 

ejemplo, en una base de datos, mediante un software 

especializado, o en papel) 

SM3.1.8 Control: Los detalles de la clasificación de información 

registrada deben incluir: 

a) la clasificación de la información 

b) la identidad del propietario de la información 

c) una breve descripción de la información clasificada. 

SM3.2 Propiedad 

SM3.2.1 Control: Se debe asignar la propiedad de los sistemas y 

la información crítica y documentar las responsabilidades 

de los propietarios. Se deben comunicar las 

responsabilidades para proteger la información y los 

sistemas a los propietarios y ser aceptadas por ellos 

Página 140 de 207





SM3.2.2 Control: Las responsabilidades de los propietarios 

deberían incluir: 

a) identificar los requisitos del negocio (incluyendo la 

seguridad de la información) y aprobarlos 

b) garantizar la protección de la información y los 

sistemas de conformidad con la importancia para la 

organización 

c) la definición de los acuerdos de intercambio de 

información (o equivalente) 

d) el desarrollo de acuerdos de nivel de servicio (SLA) 

e) autorizar nuevos o significativos cambios en los 

sistemas 

f) participar en auditorias y revisiones de seguridad 

SM3.2.3 Control: Las responsabilidades de los propietarios 

deberían involucrar: 

a) determinar cuales usuarios son autorizados para 

acceder la información y los sistemas bajo su control 

b) aprobar los privilegios de acceso para casa usuario o 

grupo de usuarios 

c) asegurar que los usuarios sean concientes de sus 

responsabilidades con respecto a la seguridad y las 

asuman 

SM3.2.4 Control: Se debería establecer un proceso para: 

a) proveer a los propietarios de los conocimientos 

necesarios, las herramientas, el personal y la autoridad 

para cumplir con sus responsabilidades 

b) asignar responsabilidades para la protección de los 

sistemas y la información cuando el propietario no esté 

disponible 

c) reasignar la propiedad cuando un propietario cambia o 

deja sus funciones 

SM3.3 Administrar el análisis de 

riesgos de la información 

SM3.3.1 Control: Quienes toman las decisiones (incluida la 

dirección, los jefes de unidades de negocio y 

departamentos, y los propietarios de las aplicaciones del 

negocio, de las instalaciones informáticas, las redes, los 

sistemas en desarrollo y los entornos de usuario final) 

deberían 

ser conscientes de la necesidad de aplicar el análisis de 

riesgos de información para entornos críticos dentro de 

la organización. 

Página 141 de 207





SM3.3.2 Control: Las normas y procedimientos para realizar 

análisis de riesgos de información deberán ser 

documentados. Se debería exigir que los riesgos sean 

analizados para: 

a) la información y los sistemas que son importantes 

para la organización 

b) los sistemas en una fase temprana de su desarrollo 

c) los sistemas sujetos a importantes cambios, en una 

fase temprana en el proceso de cambio 

d) la introducción de nuevas tecnologías (por ejemplo, 

redes inalámbricas, la mensajería instantánea y voz 

sobre IP) 

e) las solicitudes para permitir el acceso desde sitios 

externos 

f) las solicitudes para permitir el acceso a los sistemas y 

a la información para personas externas a la 

organización (por ejemplo, consultores, contratistas, y 

personal de terceros) 

SM3.3.3 Control: Las normas y procedimientos deberían 

especificar que el análisis de riesgos: 

a) se lleve a cabo periódicamente 

b) involucre a los dueños de los negocios, los 

especialistas en TI, los principales representantes de los 

usuarios, los expertos en análisis de riesgos y los 

especialistas en seguridad de la información 

SM3.3.4 Control: Los resultados del análisis de riesgos deben 

ser: 

a) reportados a la dirección 

b) utilizados para ayudar a determinar programas de 

trabajo en seguridad de la información (por ejemplo, la 

acciones correctivas y las nuevas 

iniciativas en materia de seguridad) 

c) integrados con otras actividades de gestión del riesgo 

(por ejemplo, la gestión de riesgo operativo) 

SM3.4 Metodologías de análisis de 

riesgos de información 

SM3.4.1 Control: Los riesgos asociados con la información y los 

sistemas de la organización deben ser analizados 

utilizando metodologías estructuradas de análisis de 

riesgos información 

Página 142 de 207





SM3.4.2 Control: Las metodología de análisis de riesgos debería 

ser: 

a) documentada 

b) aprobada por la dirección 

c) consistente en toda la organización 

d) automatizado (por ejemplo, utilizando herramientas de 

software especializado) 

e) revisarse periódicamente para garantizar que cumplen 

las necesidades del negocio 

f) aplicable a sistemas de diferentes tamaños y tipos 

g) comprensible para los representantes de las unidades 

negocio. 

SM3.4.3 Control: La metodología de análisis de riesgos de 

información debe exigir que todos los análisis de riesgo 

tengan un alcance claramente definido. 

SM3.4.4 Control: La metodología de análisis de riesgos de 

información debe determinar el riesgo evaluando: 

a) el impacto potencial para el negocio asociadas con el 

sistema, la red, o las instalaciones de computación 

b) las amenazas intencionales a la confidencialidad, 

integridad y disponibilidad de la información y los 

sistemas (por ejemplo, llevar a cabo 

ataques de denegación de servicio, el malware, la 

instalación de software no autorizado, mal uso de los 

sistemas para cometer un fraude) 

c) las amenazas accidentales a la confidencialidad, 

integridad y disponibilidad de la información y los 

sistemas (por ejemplo, la interrupción del suministro de 

energía, mal funcionamiento del sistema o del software) 

d) las vulnerabilidades ocasionadas por deficiencias de 

control 

e) las vulnerabilidades debidas a situaciones que 

aumentan la probabilidad de ocurrencia de un grave 

incidente de seguridad de la información 

(por ejemplo, el uso de Internet, permitir el acceso a 

terceros o la ubicación de un servidor en una zona 

propensa a terremotos o inundaciones) 

SM3.4.5 Control: La metodología de análisis de riesgos debería 

tener en cuenta: 

a) los requisitos de cumplimiento (por ejemplo, con la 

legislación, la reglamentación, las cláusulas 

contractuales, las normas de la industria y 

políticas internas) 

b) los objetivos de la organización 

c) los requisitos de clasificación de la información 

d) el análisis de riesgos previo de la aplicación, la red o 

la instalación de computo que se está evaluando 

e) las características del ambiente operativo de la 

aplicación, la red o la instalación de computo que se está 

evaluando 

Página 143 de 207





SM3.4.6 Control: La metodología de análisis de riesgos debe 

asegurar que los resultados del análisis de riesgos se 

documenten e incluyan: 

a) una clara identificación de los principales riesgos 

b) una evaluación del impacto potencial de cada riesgo 

para el negocio 

c) acciones recomendadas para reducir el riesgo a un 

nivel aceptable 


ser utilizada para ayudar: 

a) a seleccionar los controles de seguridad que reduzcan 

la probabilidad de ocurrencia de graves incidentes de 


b) a seleccionar los controles de seguridad que 

satisfagan los requisitos de cumplimiento 

c) a evaluar las fortalezas y debilidades de los controles 

de seguridad 

d) a determinar los costos de la aplicación de controles 

de seguridad (por ejemplo, los costos relacionados con: 

diseño, compra, 

aplicación y seguimiento de los controles de hardware y 

software, formación, gastos generales, tales como 

instalaciones; 

y honorarios de consultoría) 

e) a identificar controles de seguridad especializados 

requeridos por los ambientes (por ejemplo, el cifrado de 

datos o fuerte 

autenticación) 


asegurar que los resultados del análisis sea: 

a) comunicado a los dueños de los procesos o de la 

información o de los sistemas 

b) aprobado por los dueños 

c) comparado con el análisis de riesgos realizado en 

otras áreas de la organización 

SM3.5 Cumplimiento legal y 

regulatorio 

SM3.5.1 Control: Los requisitos legales y regulatorios que 

afectan la seguridad de la información deben ser 

reconocidos por: 

a) la dirección 

b) los dueños de los negocios 

c) el jefe de seguridad de la información (o equivalente) 

d) los representantes de otras funciones relacionadas 

con la seguridad (por ejemplo, accesoria legal, el riesgo 

operacional, la auditoria interna, seguros, recursos 

humanos y la seguridad física) 

Página 144 de 207





SM3.5.2 Control: Se debe establecer un proceso para asegurar 

cumplimiento con los requisitos legales y regulatorios 

que afectan la seguridad de la información y debe 

considerar: 

a) la legislación específica sobre seguridad de la 

información (por ejemplo, la ley de delitos informáticos, 

ley de habeas data, ley de comercio electrónico) 

b) la legislación general que tiene implicaciones para la 

seguridad (por ejemplo, la constitución nacional, la ley de 

habeas data, la ley de propiedad intelectual, etc.) 

c)las regulaciones (por ejemplo, la circular 052 de la 

Superfinanciera, el lavado de activos, la regulación 

ambiental, regulación de la industria de tarjetas de pago 

(PCI), etc.). 

SM3.5.3 Control: El proceso de cumplimiento debe permitir a 

quienes toman decisiones: 

a) descubrir las leyes y reglamentos que afectan la 


b) interpretar las implicaciones de seguridad de la 

información de estas leyes y reglamentos 

c) identificar el posible incumplimiento legal y 

reglamentario 

d) determinar acciones sobre el posible incumplimiento 

SM3.5.4 Control: El proceso de cumplimiento debe ser 

documentado, aprobado por la dirección, y mantenerse 

actualizado 

SM3.5.5 Control: Una revisión del cumplimiento de los requisitos 

legales y reglamentarios debe ser: 

a) realizado periódicamente o cuando nueva legislación 

o requisitos reglamentarios entren en vigencia 

b) llevada a cabo por representantes de las principales 

áreas de la organización (por ejemplo, la dirección, los 

propietarios de los negocios, el departamento legal, la 

administración de TI, y la función de seguridad de la 

información) 

SM3.5.6 Control: Se debe considerar la actualización de las 

normas y procedimientos de seguridad de la información 

como resultado de la revisión del cumplimiento legal y 

regulatorio 

SM4 Ambiente seguro 

SM4.1 Arquitectura de Seguridad 

SM4.1.1 Control: Se debe establecer una arquitectura de 

seguridad integrada con la arquitectura empresarial de la 

organización (o su equivalente) 

Página 145 de 207





SM4.1.2 Control: El desarrollo de la arquitectura de seguridad 

debería involucrar: 

a) una evaluación de los requisitos de seguridad para el 

negocio 

b) el uso de un modelo de arquitectura de seguridad en 

capas (por ejemplo, las capas conceptual, lógica y física) 

c) la definición de los principios de la arquitectura de 

seguridad 

d) la identificación de los componentes de seguridad que 

pueden incluirse en la arquitectura de seguridad (por 

ejemplo, los controles de seguridad, los servicios de 

seguridad y tecnologías de seguridad) 

e) el desarrollo de herramientas y recursos que se 

utilizarán para ayudar a administrar la arquitectura de 

seguridad (por ejemplo, 

repositorios de soluciones, patrones de diseño, ejemplos 

de código y de interfaces de programación de 

aplicaciones (API)) 

SM4.1.3 Control: El desarrollo de la arquitectura de seguridad 

debería incluir: 

a) el aporte de especialistas internos pertinentes (por 

ejemplo, un arquitecto de seguridad, arquitecto técnico o 

especialista en seguridad de la información) 

b) uso de un especialista externo en arquitectura de 

seguridad 

c) la capacitación de las personas que necesitan utilizar 

la arquitectura de seguridad (por ejemplo, especialistas 

en seguridad de la información, desarrolladores de 

software e implementadores de TI) 

d) la introducción de un método para medir la adopción 

de la arquitectura de seguridad en toda la organización 

SM4.1.4 Control: La arquitectura de seguridad debería ser 

aplicada para: 

a) el desarrollo de aplicaciones de negocio (por ejemplo, 

para ayudar a administrar la complejidad y escala, tomar 

decisiones efectivas de diseño y mejorar la calidad y la 

seguridad de las aplicaciones de negocio) 

b) ayudar a gestionar la infraestructura de TI (por 

ejemplo, para ayudar en el desarrollo de una 

infraestructura de TI segura, y ayudar en la 

revisión y análisis de la actual infraestructura de TI) 

c) los principales proyectos de TI (por ejemplo, para 

ayudar a hacer frente a la complejidad, los nuevos 

riesgos de información y ambientes de gran escala) 

Página 146 de 207





SM4.1.5 Control: La arquitectura de seguridad debería ser : 

a) documentada (por ejemplo en forma de blueprints, 

diseños, diagramas, tablas o modelos) 

b) aprobada por el negocio, por la TI y por los 

administradores de seguridad de la información 

c) asignada a un propietario (por ejemplo, un arquitecto o 

un grupo de alto nivel, tales como una Junta de 

Arquitectura, o equivalente) 

d) mejorada (por ejemplo, mediante revisiones, manejo 

de excepciones y administración de cambios) 

SM4.1.6 Control: Debe haber un proceso para implementar de 

manera coherente y consistente los servicios de 

seguridad (por ejemplo, servicios de identidad, servicios 

de autenticación y servicios de cifrado) y el 

establecimiento de interfaces de usuario y de 

programación de aplicaciones (API). 

SM4.1.7 Control: Se deben establecer acuerdos a nivel empresa 

para: 

a) minimizar la diversidad de hardware y software 

utilizado 

b) proporcionar la funcionalidad de seguridad coherente 

a través de las diferentes plataformas de hardware y 

software 

c) integrar los controles de seguridad en la aplicación, en 

el ambiente del computador y en la red 

d) aplicar técnicas criptográficas consistentes 

e) implementar convenciones de nomenclatura común 

f) segregar los ambientes con diferentes requisitos de 

seguridad (por ejemplo, mediante la creación de 

dominios de seguridad "confiables" y "no confiables") 

g) controlar el flujo de información entre los diferentes 

ambientes 

SM4.2 Privacidad de la información 

SM4.2.1 Control: Se debe establecer un comité directivo que 

será responsable por la gestión de privacidad de la 

información y debe designarse a una persona que 

coordine la actividad de privacidad de la información (por 

ejemplo, un Oficial de Privacidad o un administrador de 

protección de datos) 

SM4.2.2 Control: El comité directivo debería ser conciente de: 

a) la ubicación (s) de la información de identificación 

personal de las personas 

b) cómo y cuándo usar la información de identificación 

personal 

Página 147 de 207





SM4.2.3 Control: Se deben establecer procedimientos para 

manejar la privacidad de la información el cual cubre: 

a) uso aceptable de la información de identificación 

personal 

b) los derechos de las personas sobre los cuales se tiene 

la información de identificación personal 

c) la evaluación de la privacidad, los programas de 

conciencia y cumplimiento 

d) los requerimientos legales y regulatorios para la 

privacidad 

SM4.2.4 Control: En caso de que la información de identificación 

personal se almacene o transforme, deben existir 

procesos para asegurar que ésta es: 

a) adecuada, pertinente y no excesiva para los fines 

para los que se recolecta 

b) exacta (es decir, registrada correctamente y 

actualizada) 

c) mantenerse confidencial, procesada legalmente y 

utilizada sólo para los propósitos explícitos y legítimos 

especificados 

d) manejada en un formato que permita la identificación 

de personas sólo por el tiempo necesario 

e) sólo entregada a terceros, siempre que éstos puedan 

demostrar el cumplimiento de requerimientos legales y 

regulatorios para 

el manejo de la información de identificación personal 

f) recuperable en el caso de una solicitud legítima de 

acceso 

SM4.2.5 Control: A las personas dueñas de la información de 

identificación personal se les debería: 

a) solicitar su probación antes de que la información sea 

recogida, almacenada, procesada o revelada a terceros 

b) informar de cómo se utilizará esta información, 

permitir que se compruebe su exactitud y tener sus 

registros 

corregidos o eliminados 

SM4.2.6 Control: La información de identificación personal debe 

ser tratada de conformidad con la legislación vigente 

SM4.2.7 Control: Se debe designar a una persona o un grupo 

para: 

a) realizar una evaluación de la privacidad (por ejemplo, 

para determinar el nivel de cumplimiento con la 

legislación pertinente y las políticas internas) 

b) implementar un programa de cumplimiento de la 

privacidad 

c) hacer que el personal y los terceros (por ejemplo, 

clientes, clientes y proveedores), sean conscientes de la 

importancia de la privacidad de la información 

SM4.3 Gestión de activos 

Página 148 de 207





SM4.3.1 Control: Deberían existir procedimientos documentados 

para la gestión de activos, que incluyan: 

a) la adquisición de software y hardware 

b) el licenciamiento de software 

c) el registro de activos en un inventario (o equivalente) 

d) el archivo de la información importante 

SM4.3.2 Control: Cuando se adquiera hardware y software se 

debería: 

a) seleccionar una lista de proveedores aprobados 

b) considerar los requisitos de seguridad 

c) debe darse alta prioridad a la confiabilidad 

d) acordar los términos contractuales con los 

proveedores. 

SM4.3.3 Control: Se debe reducir el riesgo de debilidades de 

seguridad del hardware y software mediante: 

a) la obtención de las evaluaciones externas por parte 

de fuentes de confianza 

b) la identificación de las deficiencias de seguridad (por 

ejemplo, inspección detallada, la referencia a las fuentes 

publicadas, o mediante la participación de los usuarios 

o grupos de discusión) 

c) considerar métodos alternativos para proporcionar el 

nivel necesario de seguridad 

SM4.3.4 Control: La adquisición de hardware y software debe ser 

revisado por el personal que tenga las habilidades 

necesarias para evaluar el proceso y se debe contar con 

la aprobación del representante del negocio apropiado. 

SM4.3.5 Control: Se deben cumplir con los requisitos de 

licenciamiento para el uso previsto del software y el 

suministro de prueba de propiedad del software 

SM4.3.6 Control: El Hardware y software (incluyendo 

aplicaciones de escritorio críticas) se deben registrar en 

los inventarios que especifican una única descripción de 

hardware / software en uso, junto con su versión y la 

ubicación. 

SM4.3.7 Control: El inventario de Hardware y software debería 

ser: 

a) protegido contra cambios no autorizados 

b) verificado periódicamente contra los activos físicos 

c) mantenido al día 

d) revisado independientemente. 

SM4.3.8 Control: La información importante debería ser retenida 

de conformidad con los requisitos jurídico y 

reglamentarios 

SM4.4 Gestión de identidad y de 

acceso 

SM4.4.1 Control: Se deben establecer procesos de gestión de 

identidad y de acceso en toda la empresa 

SM4.4.2 Control: Se deben establecer acuerdos para la gestión 

de identidad y acceso y ser incorporados en una solución 

empresarial y estos acuerdos deben aplicarse para 

nuevas aplicaciones. 

Página 149 de 207





SM4.4.3 Control: Los acuerdos de gestión de identidad y acceso 

deben: 

a) incluir un método de validación de las identidades de 

los usuarios antes de activar las cuentas de usuario 

b) mantener un número mínimo de cuentas de usuario 

para inicio de sesión 


deben proveer un conjunto consistente de métodos para: 

a) la identificación de los usuarios (por ejemplo, 

utilizando únicas user ID). 

Autenticación de usuarios (por ejemplo, utilizando 

contraseñas, fichas o datos biométricos) 

el usuario de inicio de sesión en proceso 

se autoriza a los usuarios privilegios de acceso 

administrar los privilegios de acceso de usuario. 

SM4.4.5 Control: Se deben desarrollar acuerdos de 

administración de identidad y de acceso para mejorar la 

integridad de la información del usuario para: 

a) que la información esté disponible para que sea 

validada por lo usuarios 

b) permitir a los usuarios corregir sus propia información 

c) mantener un número limitado de almacenamientos de 

identidad(es decir, el lugar donde la información de 

autenticación de usuario se almacena, como una base 

de datos, X500 / servicio de directorio Lightweight 

Directory Access Protocol (LDAP), o productos 

comerciales de gestión de identidad y acceso) 

d) utilizar un sistema automatizado de dotación (en virtud 

del cual se crean cuentas de usuario para todos los 

sistemas, siguiendo la creación de una entrada inicial de 

un usuario en una aplicación central de gestión de 

identidad y acceso) 

e) utilizar un sistema centralizado de gestión del cambio 


deben permitir: 

a) que los derechos de acceso sean rápida y fácilmente 

concedidos, modificado o eliminados para un gran 

número de usuarios (por ejemplo, instalando derechos 

de acceso basado en roles) 

b) que la gestión de privilegios de acceso de los usuarios 

sea realizada por los propietarios de los sistema 

SM4.5 Protección Física 

SM4.5.1 Control: Deben existir normas y procedimientos para la 

protección física en las zonas donde se alojan los 

servicios de TI críticos dentro de la organización 

Página 150 de 207





SM4.5.2 Control: Los estándares y procedimientos deben cubrir 

la protección de: 

a) edificios contra el acceso no autorizado (por ejemplo, 

mediante el uso de candados, los guardias de seguridad 

y vigilancia por vídeo) 

b) documentos importantes y medios de almacenamiento 

removible (por ejemplo CD, DVD y USB de memoria) 

contra el robo o copiado 

c) áreas de almacenamiento (por ejemplo, que podrían 

ser utilizados para almacenar los activos de la 

organización, equipo y medios de almacenamiento o 

documentos importantes en papel) 

d) personal vulnerables a la intimidación por parte de 

terceros malintencionados 

SM4.5.3 Control: Se deben proteger los edificios que albergan 

las instalaciones de TI críticas contra acceso no 

autorizado mediante: 

a)suministro de cerraduras, tornillos (o equivalente) en 

puertas y ventanas vulnerables 

b) el empleo de guardias de seguridad 

c) la instalación de un circuito cerrado de televisión 

(CCTV), o su equivalente 

SM4.5.4 Control: Se deben proteger los documentos 

importantes y medios de almacenamiento extraíbles (por 

ejemplo CD, DVD y USB de memoria) contra robo o 

copiado mediante: 

a) almacenamiento de material sensitivo en gabinetes 

bajo llave (o similar) cuando no están en uso (por 

ejemplo, mediante la aplicación de una política de 

escritorio limpio) 

b) la restricción del acceso físico a importantes puntos 

post o de fax 

c) la localización de equipos usados para material 

sensitivo impreso en áreas físicas seguras 

SM4.5.5 Control: El personal debe estar protegido contra la 

intimidación por parte de terceros malintencionados 

proporcionando alarmas de coacción en 

áreas públicas susceptibles y estableciendo un proceso 

para responder a situaciones de emergencia. 

SM4.6 Gestión de incidentes de 


SM4.6.1 Control: Se debe establecer capacidad para el gobierno 

de la gestión de incidentes de seguridad de la 

información que comprometan la confidencialidad, 

integridad o disponibilidad de la información 

Página 151 de 207





SM4.6.2 Control: La gestión de incidentes de seguridad de la 

información debe ser respaldada por normas y 

procedimientos documentados los cuales deben: 

a) cubrir la participación de los interesados pertinentes 

(por ejemplo, departamento legal, relaciones públicas, 

recursos humanos, los organismos de control, los 

reguladores de la industria) 

b) detallar los tipos de información necesarios para 

apoyar la gestión de incidentes de seguridad de la 

información (por ejemplo, los registros de eventos de 

seguridad, los diagramas de configuración de la red y los 

detalles de clasificación de la información) 

c) especificar las herramientas necesarias para apoyar la 

gestión de incidentes de seguridad de la información (por 

ejemplo, listas de chequeo, formatos y plantillas, los 

analizadores de logs, software de seguimiento de 

incidentes y software de análisis forense) 

SM4.6.3 Control: Las normas y procedimientos de gestión de 

incidentes de seguridad de la información deben ser: 

a) aprobados por la dirección 

b) revisados periódicamente 

c) mantenidos al día 

SM4.6.4 Control: Debe haber un proceso para la gestión de los 

incidentes de seguridad de la información, que incluya: 

a) la identificación de incidentes de seguridad de la 

información (por ejemplo, la recepción de informes de 

incidentes de seguridad de la información, la evaluación 

del impacto sobre el negocio, la categorización y 

clasificación de los incidentes de seguridad de la 

información, y el registro de la información sobre el 

incidente de seguridad de la información) 

b) la respuesta a los incidentes de seguridad de la 

información (por ejemplo, el escalamiento al equipo de 

gestión de incidentes de seguridad de la información, la 

investigación, contención y erradicación de la causa del 


c) la recuperación después de un incidente de seguridad 

de la información (por ejemplo, la reconstrucción de los 

sistemas y la restauración de datos, y el cierre del 


d) el seguimiento de los incidentes de seguridad de la 

información (por ejemplo, las actividades posteriores a 

los incidentes, tales como el análisis de causa raíz, la 

investigación forense y la presentación de informes al 

negocio) 

Página 152 de 207





SM4.6.5 Control: Debe existir una persona o equipo responsable 

de la gestión de incidentes de seguridad de la 

información, que 

tenga: 

a) sus funciones y responsabilidades definidas 

b) suficientes competencias y experiencia en la gestión 

de incidentes de seguridad de la información 

c) autoridad para tomar decisiones críticas para negocio 

d) métodos para involucrar a los interesados directos 

internos y externos (por ejemplo, departamento legal, 

relaciones públicas, recursos humanos, los organismos 

de control y los reguladores de la industria) 

SM4.6.6 Control: La información pertinente para la gestión de 

incidentes de seguridad de la información (por ejemplo, 

diagramas de red, los registros de sucesos, los procesos 

de los negocios y los informes de auditoria de seguridad) 

debe estar disponible para ayudar al personal a seguir, y 

tomar decisiones importantes durante el proceso de 

gestión de incidentes de seguridad de la información 

SM4.6.7 Control: Las personas responsables de la gestión de 

incidentes de seguridad de la información se deben 

apoyar en herramientas (por ejemplo, software para la 

gestión de seguridad de la información, el manejo de 

evidencia, las copias de respaldo y recuperación, y la 

investigación forense) para ayudar a completar cada 

etapa del proceso de gestión de incidentes de seguridad 

SM4.7 Continuidad del negocio 

SM4.7.1 Control: Deben existir normas y procedimientos para 

desarrollar planes de continuidad de negocios que 

especifiquen que los planes son: 

a) suministrados a todas las partes críticas de la 

organización 

b) basados en los resultados de un análisis de riesgos de 

información documentado 

c) distribuidos a las personas que lo requieran en caso 

de emergencia 

d) mantenidos al día y sujetos a prácticas de 

administración de cambios 

e) sujetos a copias de respaldo y las copias 

almacenadas fuera del sitio 

Página 153 de 207





SM4.7.2 Control: Los planes de continuidad del negocio deben 

incluir: 

a) las guías para garantizar la seguridad de las personas 

b) una lista de los servicios y la información que debe 

recuperarse, en orden de prioridad 

c) un programa de tareas y actividades que se llevarán a 

cabo, la identificación de responsabilidades para cada 

tarea 

d) las guías a seguir en la realización de tareas y 

actividades, incluyendo procedimientos de emergencia, 

y procedimientos de reanudación 

e) suficiente detalle para que puedan ser seguidas por 

personas que no suelen llevarlos a cabo 

f) detalle de las tareas que se emprenderán después de 

la recuperación y restauración (por ejemplo, comprobar 

que los sistemas se restauren al mismo estado que 

tenían antes de que el plan de continuidad fuera 

invocado) 

SM4.7.3 Control: Se deben documentar las normas y 

procedimientos para los acuerdos de continuidad del 

negocio (por ejemplo 

instalaciones de procesamiento separadas, acuerdos de 

reciprocidad con otra organización o un contrato con un 

proveedor especialista 

en acuerdos de continuidad del negocio) 

SM4.7.4 Control: Los acuerdos de continuidad del negocio deben 

cubrir la indisponibilidad prolongada de: 

a) personas clave (por ejemplo, debido a enfermedad, 

lesiones, vacaciones o viaje) 

b) ingreso a las oficinas (por ejemplo, debido a acciones 

de la policía, el ejército o las acciones terroristas, 

desastres naturales, o retiro de los 

servicios de transporte) 

c) los sistemas o software de aplicaciones 

d) la información del negocio (en papel o en formato 

electrónico) 

e) el computador, las comunicaciones y los equipos de 

control ambiental 

f) los servicios de red (por ejemplo, debido a la pérdida 

de voz, datos u otras comunicaciones 

g) los servicios esenciales (por ejemplo, electricidad, gas 

o agua). 


cubrir: 

a) aplicaciones del negocio 

b) las áreas del negocio (por ejemplo, centros de control 

de procesos y centros de llamadas) 

Página 154 de 207






ser probados periódicamente, utilizando simulaciones 

realistas (que implican tanto a los usuarios como al 

personal de TI), para demostrar si el personal es capaz 

de recuperar la información crítica y los sistemas dentro 

de escalas de tiempo críticas. 

SM4.7.7 Control: Los acuerdos de continuidad del negocio 

deben exigir que el personal apropiado esté informado 

sobre las responsabilidades en la continuidad del 

negocio y esté entrenado para asumirlas 

SM5 Ataques maliciosos 

SM5.1 Protección general contra 

malware 

SM5.1.1 Control: Deben existir normas y procedimientos 

documentados los cuales: 

a) proporcionan a los usuarios información sobre los 

programas maliciosos 

b) adviertan a los usuarios la manera de reducir el riesgo 

de infección de malware 

SM5.1.2 Control; Los usuarios deberían ser: 

a) advertidos sobre la prevalencia de los programas 

maliciosos y los peligros que plantea 

b) educados con respecto a la forma en que el malware 

puede instalarse en las estaciones de trabajo 

c) informados de los síntomas más comunes de los 

programas maliciosos (por ejemplo, pobre rendimiento 

del sistema, comportamiento inesperado de la aplicación, 

terminación repentina de una aplicación) 

d) notificados rápidamente de nuevos e importantes 

riesgos relacionados con el malware (por ejemplo, por 

correo electrónico o a través de una intranet) 

e) instruidos para reportar programas maliciosos a un 

único punto de contacto para soporte (por ejemplo, un 

servicio de mesa de ayuda ) 

f) apoyados por especialistas de soporte técnico las 

veces que sea necesario (por ejemplo, las 24 horas del 

día, 365 días al año) 

SM5.1.3 Control: El riesgo de infección por virus debería 

reducirse alertando a los usuarios para no: 

a) instalar el software de fuentes no confiables 

b) abrir archivos adjuntos no confiables 

c) hacer clic en enlaces dentro de correos electrónicos o 

documentos 

d) intentar resolver manualmente problemas de malware 

Página 155 de 207





SM5.1.4 Control: La protección contra virus debería incluir: 

a) la aplicación de procedimientos de emergencia para 

hacer frente a incidentes relacionados con programas 

maliciosos 

b) el monitoreo de fuentes externas para obtener 

conocimiento sobre nuevas amenazas de malware 

c) informar a los terceros sobre las normas y 

procedimientos de protección contra malware 

SM5.2 Software de protección contra 

el malware (por ejemplo: virus, 

gusanos, caballos troyanos, 

spyware, adware, código móvil 

malicioso) 


documentados relacionados con la protección contra 

software malicioso que especifiquen: 

a) los métodos para instalar y configurar el software de 

protección contra programas maliciosos (por ejemplo, 

software de protección antivirus, software antispyware) 

b) los mecanismos para la actualización de software de 

protección contra programas maliciosos (incluyendo 

actualizaciones automáticas). 

SM5.2.2 Control: Se debe instalar el software de protección 

contra el malware en sistemas que son susceptibles a 

los programas maliciosos como son: 

a) los servidores (por ejemplo, los servidores de 

archivos, servidores de impresión, servidores de 

aplicaciones, servidores web y servidores de bases de 

datos) 

b) gateways de mensajería (por ejemplo, los que 

exploran el tráfico de la red y mensajes electrónicos en 

tiempo real) 

c) computadores de escritorio (desktop computers) 

d) computadores portátiles (laptop computers) 

e) dispositivos de computación manuales (hand-held) 

(por ejemplo, teléfonos móviles basados en WAP, 

teléfonos inteligentes y asistentes digitales personales 

(PDA)). 

SM5.2.3 Control: El software de protección contra el malware 

debe distribuirse automáticamente, y dentro de los 

plazos definidos con el fin de reducir el riesgo de 

exposición al malware más reciente (incluidos los que 

están asociados con ataques del "Día cero" ) 


debe proteger contra todas las modalidades de 

programas maliciosos (por ejemplo, virus informáticos, 

gusanos, caballos de troya, spyware, adware y código 

malicioso móvil) 

Página 156 de 207






debe estar configurado para escanear o explorar: 

a) la memoria del computador 

b) los archivos ejecutables (incluidos las macros del 

software de oficina) 

c) los archivos protegidos (por ejemplo, los archivos 

comprimidos y los protegidos con contraseña) 

d) los medios de almacenamiento extraíbles (por ejemplo 

CD, DVD y dispositivos de almacenamiento USB) 

e) el tráfico entrante de la red corporativa (incluyendo el 

correo electrónico y descargas de Internet) 

f) el tráfico saliente de la red corporativa (incluyendo el 

correo electrónico) 


debe estar configurado para: 

a) estar activo en todo momento 

b) proporcionar una notificación cuando se identifique 

malware sospechoso (por ejemplo, producir un log de 

eventos de entrada y el suministro de alertas) 

c) dejar en cuarentena los archivos sospechosos de 

contener malware (por ejemplo, para una investigación 

posterior) 

d) eliminar el malware y los archivos asociados o 

restablecer la configuración del sistema 

e) garantizar que la configuración no se pueda desactivar 

o reducir al mínimo la funcionalidad. 

SM5.2.7 Control: Se deben efectuar revisiones periódicas de los 

servidores, computadoras de escritorio, computadoras 

portátiles y dispositivos de computación manuales para 

garantizar que: 

a) el software de protección contra el malware no ha 

sido desactivado 

b) la configuración del software de protección contra el 

malware es correcta 

c) las actualizaciones se aplican dentro de los plazos 

definidos 

d) se han establecido los procedimientos de emergencia 

para manejar los incidentes relacionados con el malware 

Página 157 de 207





SM5.2.8 Control: Se debe reducir el riesgo de descargar malware 

mediante: 

a) la restricción de las fuentes donde se pueda descargar 

el código móvil (por ejemplo, proporcionando una lista 

negra de sitios web prohibidos) 

b) la prevención de descarga de determinados tipos de 

código móvil (por ejemplo, los relacionados con 

vulnerabilidades conocidas tales como controles ActiveX, 

JavaScript y objetos de ayuda del navegador) 

c) la configuración de los navegadores web para que los 

usuarios se les pregunte si desean instalar el código 

móvil 

d) la descarga de código móvil confiable (es decir, 

firmado con un certificado digital de confianza) 

e) la ejecución de código móvil en un entorno protegido 

(por ejemplo, un área de cuarentena, tales como Java 

'sandbox' o un servidor proxy en una "zona 

desmilitarizada" (DMZ)) 

SM5.3 Detección de intrusos 

SM5.3.1 Control: Deben emplearse mecanismos de detección de 

intrusos para redes y sistemas críticos con el fin de 

identificar previamente los nuevos tipos de ataque. 


documentados para detección de intrusos que incluyan: 

a) métodos de identificación de la actividad no autorizada 

b) análisis de las intrusiones sospechosas 

c) respuesta apropiada a los distintos tipos de ataque 

(por ejemplo, mediante un proceso de gestión de 

incidentes de seguridad de la información) 

SM5.3.3 Control: Los métodos de detección de intrusos deben 

identificar: 

a) el acceso no autorizado a los sistemas y a la 

información 

b) el comportamiento inesperado del usuario o de la 

aplicación 

c) la terminación no planeada de los procesos o 

aplicaciones 

d) la actividad típicamente asociada con el malware 

SM5.3.4 Control: Se debe contar con software especializado 

para la detección de intrusos tales como host de 

sistemas de detección de intrusiones 

(HIDS) y sistemas de detección de intrusiones de red 

(NIDS). Este software debe ser evaluado antes de la 

compra. 

SM5.3.5 Control: Se deben proteger los sensores de detección 

de intrusión en la red (es decir, hardware especializado 

que sirve para identificar la actividad no autorizada en el 

tráfico de la red) contra ataques (por ejemplo, limitando 

la transmisión de cualquier tráfico de red externo, 

o mediante un dispositivo de red, network tap, para 

ocultar la presencia del sensor). 

Página 158 de 207





SM5.3.6 Control: El software de detección de intrusos debe ser: 

a) actualizado automáticamente y dentro de plazos 

definidos (por ejemplo, la distribución de archivos de 

firmas de ataque para los 

sensores de detección de intrusos a través de una 

consola de administración central) 

b) configurado para proporcionar alertas cuando se 

detectan actividades sospechosas (por ejemplo, a través 

de una consola de administración, mensajes de correo 

electrónico o mensajes de texto SMS para teléfonos 

móviles) 

SM5.3.7 Control: Se deben realizar revisiones periódicas para 

asegurar que: 

a) la configuración del software de detección de intrusión 

cumple las normas internas 

b) el software de detección de intrusiones no ha sido 

desactivado 

c) las actualizaciones se han aplicado dentro de los 

plazos definidos 

SM5.3.8 Control: Se deben analizar las intrusiones sospechosas 

y evaluar el impacto potencial para el negocio. El análisis 

debe incluir: 

a) confirmar si un ataque se está produciendo realmente 

(por ejemplo, mediante la eliminación de falsos positivos) 

b) determinar el tipo de ataque (por ejemplo, los 

gusanos, los ataques por desbordamiento de búfer o de 

denegación del servicio) 

c) identificar el punto de origen de un ataque 

d) cuantificar el impacto de un posible ataque. 

SM5.3.9 Control: Se debe evaluar el estado de un ataque en 

términos de: 

a) el tiempo transcurrido desde el inicio del ataque y 

desde la detección del ataque 

b) la escala (por ejemplo, sistemas y redes afectadas) 

SM5.3.10 Control: Se deben documentar los métodos para 

reportar los ataques serios (por ejemplo, para un equipo 

de respuesta a emergencias) 

SM5.4 Respuesta a emergencias 

SM5.4.1 Control: Debe existir un proceso de respuesta a 

emergencias para manejar ataques serios 

SM5.4.2 Control: El proceso de respuesta a emergencias debe 

ser apoyado por un equipo de alto nivel que incluya a 

personas calificadas para responder a los ataques 

graves y además a un representante de la dirección 

Página 159 de 207





SM5.4.3 Control: El proceso de respuesta a los ataques graves 

debe incluir: 

a) una definición de la situación de emergencia 

b) la asignación de funciones y responsabilidades 

c) la definición de un método para que se tomen 

decisiones crítica lo más rápidamente posible 

d) la definición clara de los pasos que deben tomarse en 

situaciones de emergencia 

e) la ejecución de los pasos 

f) los detalles de contacto de las personas claves 

(incluso los relacionados con los terceros) 

g) los métodos de tratar con terceros 

SM5.4.4 Control: El proceso debe incluir métodos para: 

a) permitir a los investigadores reaccionar rápidamente 

en caso de emergencia 

b) obtener la aprobación de las medidas recomendadas 

dentro de un plazo de tiempo crítico 

SM5.4.5 Control: El proceso debe asegurar que después de la 

ocurrencia de un ataque: 

a) los computadores afectados por el ataque se les hace 

una labor de limpieza (por ejemplo, los programas 

maliciosos y los archivos relacionados son removidos del 

computador) 

b) se minimiza la probabilidad de ataques similares 

c) se revisan los controles de seguridad 

SM5.5 Investigaciones forenses 

SM5.5.1 Control: Se debe establecer un proceso para manejar 

incidentes de seguridad de la información que puedan 

requerir investigación forense 


documentados para manejar los incidentes de seguridad 

de la información que requieran la investigación forense, 

los cuales deben cubrir: 

a) la protección inmediata de las pruebas ante un 


b) cumplir con la norma o código de práctica para la 

recuperación de la evidencia admisible 

c) mantener un registro de las pruebas recuperadas y los 

procesos de investigación emprendidas 

d) la necesidad de buscar asesoría jurídico sobre la 

evidencia que se recuperó 

e) las acciones que deben ser objeto de seguimiento 

durante la investigación 

Página 160 de 207





SM5.5.3 Control: La evidencia debe ser recolectada: 

a) con la intención de posibles acciones legales 

b) con el respeto por la privacidad de los individuos y los 

derechos humanos 

c) a partir de fuentes de TI relevantes para el incidente 

de seguridad de la información (por ejemplo, archivos 

activos, temporales y borrados, los archivos eliminados, 

el uso del correo electrónico o uso de Internet, memoria 

cachés y registros de la red) 

d) a partir de fuentes diferentes de TI que sean 

relevantes para el incidente de seguridad de la 

información (por ejemplo, grabaciones de CCTV, los 

registros de acceso a las instalaciones, las revelaciones 

de testigos) 

SM5.5.4 Control: Durante una investigación forense se deben 

seguir pasos para: 

a) establecer y documentar una secuencia cronológica 

de eventos 

b) registrar las acciones de investigación 

c) demostrar que la evidencia apropiada se ha recogido, 

preservado y que no ha sido modificada 

d) proteger los equipos informáticos contra el acceso no 

autorizado y la posible manipulación de las pruebas 

e) analizar las pruebas en un ambiente controlado (por 

ejemplo, utilizando una copia o "imagen" de la 

computadora para evitar la corrupción del original) 

f) examinar las pruebas por un experto independiente e 

imparcial que cumple con los requisitos legales y 


g) garantizar que los procesos utilizados para crear y 

preservar las pruebas se puede repetir por una tercera 

parte independiente 

h) limitar la información sobre una investigación a unos 

pocas personas asignadas y garantizar que la 

información se mantiene confidencial 

SM5.5.5 Control: Los resultados de una investigación forense se 

deben comunicar a la gerencia apropiada (por ejemplo, 

la dirección y los jefes de las unidades de negocio) y a 

los organismos judiciales y regulatorios apropiados. 

SM5.6 Gestión de parches 


documentados para gestión de parches que indiquen: 

a) los requisitos para parchar los equipos, las 

aplicaciones de negocio, los sistemas operativos, el 

software y los componentes de la red 

b) el enfoque de la organización para la gestión de e 

parches 

c) los requisitos de pruebas 

d) la revisión de los métodos de distribución de parches 

Página 161 de 207





SM5.6.2 Control: Las normas y procedimientos para parches 

deben incluir un método para: 

a) la definición de roles y responsabilidades en la gestión 

de parches 

b) determinar la importancia de los sistemas (por 

ejemplo, sobre la base de la información que se maneja, 

los procesos de negocio 

soportados y los ambientes en los que se utilizan) 

c) registrar los parches que se han aplicado (por 

ejemplo, utilizando un inventario de los activos que 

incluya las versiones de los parches) 

SM5.6.3 Control: Se debe establecer un proceso de gestión de 

parches para regular la aplicación de parches en el día a 

día. El proceso debe estar documentado y aprobado por 

la gerencia correspondiente, y se debe asignar un dueño 

de este proceso. 

SM5.6.4 Control: El proceso de gestión de parches debería: 

a) determinar los métodos de obtención de los parches 

b) especificar los métodos de validación de los parches 

(por ejemplo, garantizando que el parche es de una 

fuente autorizada) 

c) identificar las vulnerabilidades que son aplicables a las 

aplicaciones y sistemas utilizados por la organización 

d) evaluar el impacto que tiene para la empresa la 

aplicación de parches (o la no aplicación de un parche 

específico) 

e) garantizar que los parches se prueban contra criterios 

conocidos 

f) describir los métodos de instalar los parches (por 

ejemplo, utilizando las herramientas de distribución de 

software) 

g) informar sobre el estado de instalación de parches en 

toda la organización 

h) incluir la aplicación de métodos para manejar las fallas 

en la instalación de un parche 

SM5.6.5 Control: Se deben establecer métodos para proteger la 

información y los sistemas si no hay parches disponibles 

para vulnerabilidades identificadas (por ejemplo, la 

desactivación de servicios y agregar controles de acceso 

adicionales) 

SM6 Tópicos especiales 

SM6.1 Soluciones criptográficas 

Página 162 de 207





SM6.1.1 Control: La criptografía debe ser utilizada en toda la 

empresa para: 

a) proteger la confidencialidad de la información sensible 

(por ejemplo, mediante el uso de la codificación) 

b) determinar si la información crítica se ha modificado 

(por ejemplo, mediante la realización de funciones de 

hash) 

c) proporcionar autenticación fuerte para los usuarios de 

sistemas y aplicaciones (por ejemplo, utilizando 

certificados digitales y 

tarjetas inteligentes) 

d) permitir la prueba de la identidad del autor de la 

información crítica (por ejemplo, utilizando la firma digital 

para no-repudio. 

SM6.1.2 Control: Se deben establecer y documentar las normas 

y procedimientos para criptografía que cubran: 

a) la definición de las circunstancias en que se debe 

utilizar la criptografía (por ejemplo, para transacciones de 

alto valor que involucran organismos externos o para 

transmitir información confidencial a través de redes 

abiertas tales como Internet) 

b) la selección de algoritmos criptográficos aprobados 

(por ejemplo, Advanced Encryption Standard (AES) para 

confidencialidad, 

y SHA-1 o MD5 para la integridad) 

c) la gestión (incluida la protección), de claves 


d) las restricciones en el uso de soluciones de cifrado 

e) la idoneidad de las soluciones de cifrado utilizadas 

(incluidos los algoritmos y longitudes de claves de 

encriptación) 

SM6.1.3 Control: Se deben definir claramente las 

responsabilidades para la gestión de claves 

criptográficas y la gestión de licencias 

asociadas con el uso de soluciones criptográficas 

internacionales 

SM6.1.4 Control: Los directivos apropiados deben tener acceso 

a: 

a) consejo de expertos técnicos y asesoría jurídica sobre 

la utilización de la criptografía 

b) una lista de soluciones criptográficas 

c) un inventario actualizado (o equivalente) donde se 

detallan las soluciones criptográficas que se aplican en 


SM6.2 Infraestructura de clave pública 

Página 163 de 207





SM6.2.1 Control: La organización que hace uso de una 

infraestructura de clave pública (PKI), debe establecer y 

documentar normas y procedimientos que definan: 

a) el proceso necesario para la gestión de claves 

criptográficas y certificados digitales dentro de la PKI 

b) los métodos necesarios para el funcionamiento del 

PKI 

c) las medidas que deben adoptarse en caso de un 

compromiso o una sospecha de compromiso de la PKI 

SM6.2.2 Control: Los usuarios de PKI deben ser conscientes del 

propósito y función de la PKI, y su responsabilidad para 

proteger las claves privadas y para utilizar la firma digital 

SM6.2.3 Control: Una Autoridad de Certificación (CA) está 

compuesto por las personas, los procesos y las 

herramientas que son responsables de la creación, 

generación y administración de los certificados de clave 

pública que se utilizan dentro de una PKI. Donde una 

PKI es soportada por una CA interna la cual debe estar 

protegida por: 

a) la restricción de acceso a personas autorizadas (por 

ejemplo, utilizando mecanismos de control de acceso y 

autenticación fuerte) 

b) el aseguramiento del sistema operativo que lo soporta 

(por ejemplo, mediante la eliminación de todas las 

vulnerabilidades conocidas) 

c) el empleo de otros controles generales (por ejemplo, 

la gestión de cambios) de manera organizada 

SM6.2.4 Control: Los planes de contingencia para las 

aplicaciones que se soportan en PKI deberían incluir los 

métodos para la recuperación de la PKI en 

el evento de un desastre 

SM6.3 Correo electrónico 

SM6.3.1 Control: Se deben establecer y documentar normas y 

procedimientos para la provisión y uso del correo 

electrónico, los cuales deben especificar métodos para: 

a) configurar los servidores de correo (por ejemplo, para 

limitar el tamaño de los mensajes o buzones de usuario) 

b) escanear los mensajes de correo electrónico (por 

ejemplo, para el malware, cadenas de mensajes o el 

contenido ofensivo) 

c) mejorar la seguridad de los mensajes de correo 

electrónico (por ejemplo, mediante la utilización de 

descargos de responsabilidad, algoritmos de hashing, 

cifrado o técnicas de no-repudio) 

d) hacer que los usuarios sean más conscientes de las 

consecuencias de sus acciones al utilizar el correo 

electrónico 

Página 164 de 207





SM6.3.2 Control: Los servidores de correo deben estar 

configurados para prevenir que el sistema de mensajería 

está sobrecargado estableciendo limites en el tamaño de 

los mensajes o los buzones de usuario, restringiendo el 

uso de grandes listas de distribución e identificando y 

cancelando automáticamente los loops del correo 

electrónico 

SM6.3.3 Control: Los sistemas de correo electrónico deben 

revisarse periódicamente para garantizar que se 

satisfacen los requisitos de oportunidad y disponibilidad 

futura 

SM6.3.4 Control: Los mensajes de correo electrónico deben 

escanear: 

a) los archivos adjuntos que pueden contener código 

malicioso (por ejemplo, el código malicioso oculto en el 

auto-extracción de archivos zip o videoclips MPEG) 

b) las palabras prohibidas (por ejemplo, palabras que 

son racistas, ofensivas, difamatorias u obscenas) 

c) las frases asociadas con el malware (por ejemplo, las 

de uso común en los virus hoax o cadenas de mensajes) 

SM6.3.5 Control: Los sistemas de correo electrónico deben 

suministrar protección mediante: 

a) el bloqueo de los mensajes considerados indeseables 

b) el uso de firmas digitales para determinar si los 

mensajes de correo electrónico han sido modificados en 

el tránsito, y la encriptación de los mensajes de correo 

sensitivos o confidenciales 

c) la garantía de no repudio de origen para los mensajes 

de correo más importantes (por ejemplo, utilizando la 

firma digital) 

d) el suministro de no repudio en el recibo de mensajes 

importantes 

SM6.3.6 Control: Se debe proteger la integridad mediante: 

a) la inserción de información legal y detalles de la 

dirección de retorno para el correo empresarial 

b) la advertencia a los usuarios que el contenido de los 

mensajes de correo electrónico pueden ser contractual y 

jurídicamente vinculantes y que el uso del correo 

electrónico puede ser monitoreado 

SM6.3.7 Control: La organización debe prohibir: 

a) el uso del correo de los sitios web 

b) el desvío automático de correo electrónico a 

direcciones externas 

c) la publicidad no autorizada 

d) la encriptación privada del correo electrónico o 

archivos adjuntos 

e) la apertura de archivos adjuntos de fuentes 

desconocidas o no confiables 

Página 165 de 207





SM6.3.8 Control: El uso personal del correo electrónico de la 

empresa debe estar claramente etiquetado como 

personal y sujeto a los términos de los acuerdos para 

usuarios de correo 

SM6.4 Trabajo remoto 

SM4.6.1 Control: El trabajo remoto debe estar soportado por 

normas y procedimientos que cubran: 

a) los requisitos de seguridad asociados con el trabajo 

remoto 

b) los tipos de dispositivo que pueden ser utilizados por 

el personal que trabaja en lugares remotos (por ejemplo, 

computadores portátiles, dispositivos manuales como el 

PDA, los teléfonos inteligentes) 

c) la implementación y mantenimiento de equipos 

remotos 

d) el suministro de software para proteger las estaciones 

de trabajo (por ejemplo, herramientas de administración 

de sistemas, mecanismos de control de acceso, software 

de protección contra el malware y las capacidades de 

cifrado) 

e) la configuración del software 

f) la protección contra código móvil malicioso (por 

ejemplo, los applets de Java, ActiveX, JavaScript o 

VBScript que se han escrito deliberadamente para 

realizar funciones no autorizadas) 

g) la autorización de un representante del nivel 

apropiado para la persona que requiere trabajar 

remotamente 

SM4.6.2 Control: Al personal que requiere trabajar remotamente 

se le debe suministrar computadores que sean: 

a) adquiridos a partir de proveedores aprobados 

b) soportados por acuerdos de mantenimiento 

c) protegidos por controles físicos (por ejemplo, 

cerraduras, alarmas y marcas indelebles) 

SM4.6.3 Control: Los computadores utilizados por el personal 

que trabaja en lugares remotos se les debe instalar o 

aplicar: 

a) configuraciones técnicas estándar 

b) un conjunto completo de herramientas de 

administración del sistema (por ejemplo, utilidades de 

mantenimiento y copias de respaldo) 

c) mecanismos de control de acceso para restringir el 

acceso al equipo remoto 

d) el software de protección contra malware, para 

proteger contra virus, gusanos, troyanos, software espía 

y adware 

e) el software de encriptación para proteger la 

información almacenada en el computador (por ejemplo, 

utilizando cifrado del discos duro) 

o transmitida por el equipo (por ejemplo, utilizando una 

red privada virtual (VPN) para conectarse a la red de la 

organización) 

Página 166 de 207





SM4.6.4 Control: Se debe restringir el acceso a las 

computadoras utilizadas en lugares remotos mediante la 

encriptación de contraseñas y la prevención de acceso 

lógico a la capacidad de las computadoras personales 

desatendidas (por ejemplo, mediante el bloqueo de clave 

o contraseña) 

SM4.6.5 Control: El personal que trabaja en ubicaciones 

remotas, incluidas las zonas públicas (por ejemplo, 

hoteles, trenes, aeropuertos y cafés de Internet) o en el 

hogar, debe estar: 

a) autorizado para trabajar sólo en determinadas 

localidades 

b) equipados con las destrezas necesarias para realizar 

tareas de seguridad necesarias (por ejemplo, restringir el 

acceso, sacar copias de respaldo y la encriptación de 

archivos de claves) 

c) consciente de los riesgos adicionales relacionados con 

el trabajo remoto (incluido el aumento de la probabilidad 

de robo de los equipos o revelación de información 

confidencial) 

d) apoyado con soporte técnico adecuado (por ejemplo, 

a través de un servicio de mesa de ayuda) 

e) en cumplimiento con los requisitos legales y 


f) respaldado con acuerdos de trabajo alternativos en 

caso de emergencia 

SM4.6.6 Control: Los computadores y dispositivos portátiles 

deben estar protegidos contra robo mediante: 

a) el suministro a los usuarios con candados físicos o 

dispositivos de seguridad equivalente 

b) etiquetas de identificación 

c) el uso de marcas indelebles 

SM4.6.7 Control: Se deben implementar controles adicionales 

que deben aplicarse en las estaciones de trabajo con la 

capacidad de conectarse a la 

Internet mediante: 

a) el uso de navegadores web con una configuración 

estándar 

b) la prevención de los usuarios con la desactivación o 

modificación de las opciones de seguridad en los 

navegadores web 

c) la aplicación de las actualizaciones del software de 

navegador web con rapidez y eficacia 

d) la utilización de software tal como un firewall personal 

y protección contra malware 

e) la advertencia a los usuarios de los peligros de 

descargar código móvil y las consecuencias de aceptar o 

rechazar "Cookies" 

f) la restricción de descarga de código móvil para 

bloquear determinados tipos de ejecutables 

SM6.5 Acceso a terceros 

Página 167 de 207





SM6.5.1 Control: La prestación de acceso a terceros debe ser 

apoyado por las normas y procedimientos documentados 

que especifican 

que, antes de la conexión: 

a) se deben evaluar los riesgos del negocio asociados 

con el acceso a terceros 

b) se asigne la responsabilidad para la autorización de 

acceso a terceros al personal apropiado 

c) se realice la debida diligencia y se implementen los 

controles de seguridad acordados 

d) se efectúen pruebas 

e) se formalicen los acuerdos en los contratos 

SM6.5.2 Control: Se deben aplicar métodos para: 

a) garantizar que los controles de terceros sean 

proporcionales a los riesgos del negocio 

b) proteger los intereses de la organización en relación 

con la propiedad de la información y los sistemas 

c) limitar los pasivos de la organización a terceros (por 

ejemplo, mediante el uso de las condiciones 

contractuales y advertencias que aparecen en la 

pantalla) 

d) cumplir con las obligaciones legales 

e) hacer responsables a los terceros por sus acciones 

SM6.5.3 Control: Cuando se trata de conexiones individuales a 

terceros, se debe establecer un proceso para: 

a) lograr la compatibilidad técnica 

b) proteger la información sensible almacenada en los 

sistemas o en su tránsito hacia instalaciones de terceros 

c) mantener registros de actividades (por ejemplo, para 

ayudar a rastrear las transacciones individuales y hacer 

cumplir la rendición de cuentas) 

d) proporcionar un único punto de contacto para la 

atención de problemas (por ejemplo, un servicio de mesa 

de ayuda o centro de llamadas) 

SM6.5.4 Control: El acceso de terceros a través de las 

conexiones debe ser administrado mediante: 

a) la restricción de métodos de conexión (por ejemplo, 

define los puntos de entrada sólo a través de firewalls) 

b) la autenticación de usuarios alineado con la función 

que desempeñan 

c) la restricción de los tipos de acceso permitido (es 

decir, en términos de información, capacidades de la 

aplicación y privilegios de acceso) 

d) el otorgamiento de acceso a la información y los 

sistemas de la organización bajo el principio de "el 

mínimo acceso" 

e) la terminación de conexiones cuando no se necesitan 

SM6.5.5 Control: Las conexiones que proporcionan el acceso a 

terceros se deben identificar individualmente, deben ser 

aprobadas por el dueño del negocio, deben ser 

registradas y acordadas por las partes en un contrato 

documentado 

Página 168 de 207





SM6.5.6 Control: Las personas responsables por la 

administración de conexiones a terceros deben tener 

acceso a: 

a) la información sobre los riesgos asociados con el 

acceso a terceros 

b) las normas y procedimientos que ilustran las medidas 

que se deben adoptar para lograr conexiones seguras 

c) las herramientas de soporte (por ejemplo, listas de 

chequeo, muestras de contratos y acuerdos de niveles 

de servicio) 

d) las fuentes de conocimiento para obtener consejo y 

accesoria de especialistas (por ejemplo, la función de 

seguridad de la información) 

SM6.6 Comercio electrónico 

SM6.6.1 Control: Se debe responsabilizar a un gerente de alto 

nivel para todo lo relacionado con las iniciativas de 

comercio electrónico 

SM6.6.2 Control: Se debe establecer un comité directivo o grupo 

directivo para coordinar las iniciativas de comercio 

electrónico que incluya representantes de las áreas 

claves de la organización que participan en las iniciativas 

de comercio electrónico (por ejemplo, la alta dirección, 

los propietarios de negocio, el departamento jurídico, la 

administración de TI, y la función de seguridad de la 

información) 

SM6.6.3 Control: Los riesgos asociados con iniciativas de 

comercio electrónico deben ser objeto de un análisis de 

riesgos de información 


procedimientos para administrar las iniciativas de 

comercio electrónico las cuales requieren que: 

a) las buenas prácticas de seguridad de la información 

no se sacrifiquen en aras de la velocidad de entrega 

b) las iniciativas estén impulsadas por los requerimientos 

del negocio 

c) se minimice la dependencia de la tecnología inmadura 

d) se evalúen las implicaciones de seguridad al 

implementar las soluciones de proveedores 

SM6.6.5 Control: Se debe establecer un proceso para asegurar 

que los tomadores de decisiones: 

a) comprendan las necesidades de seguridad de los 

clientes 

b) sean conscientes de los riesgos asociados con el 

comercio electrónico y no pasen por alto las principales 

amenazas técnicas 

c) aprueban los riesgos residuales 

d) identifican las competencias necesarias de seguridad 

para apoyar las iniciativas de comercio electrónico y 

emplean al personal suficiente con las habilidades 

necesarias (por ejemplo, utilizando terceros que sean 

expertos o capacitando al personal interno) 

Página 169 de 207





SM6.6.6 Control: Antes de instalarse en producción, las 

iniciativas de comercio electrónico deben ser 

rigurosamente probadas, revisadas por un especialista 

en seguridad de la información y aprobadas por la 

dirección 

SM6.6.7 Control: Debe existir un proceso que garantice que: 

a) los registros importantes de nombres de dominio son 

renovados (por ejemplo, cada dos años) 

b) los nombres de dominio que pueden ser utilizado para 

ocultar la organización son registrados por la 

organización 

c) se monitorean los sitios web que pueden haber sido 

instalados usando los nombres de dominio similares a 

los utilizados por la organización 

d) los sitios web ilegítimos son cerrados con la mayor 

rapidez posible 

e) las relaciones con los proveedores de servicios de 

Internet están cubiertos por acuerdos de niveles de 

servicio (SLA) 

SM6.7 Outsourcing 

SM6.7.1 Control: Se debe establecer un procedimiento 

documentado para regular la selección de proveedores 

de outsourcing y la transferencia de las actividades hacia 

ellos 

SM6.7.2 Control: Al determinar los requisitos para el outsourcing, 

la organización debería: 

a) evaluar los riesgos de información asociados con los 

acuerdos de outsourcing y las funciones de la empresa 

que pueden ser contratadas 

b) Identificar los ambientes sensitivos o críticos 

c) evaluar las prácticas y normas de seguridad de la 

información de los posibles proveedores de outsourcing 

d) considerar las interdependencias entre la función a ser 

contratada y las otras funciones del negocio 

e) desarrollar estrategias para finalizar las relaciones 

ante la eventualidad de una terminación anticipada de 

los acuerdos 

SM6.7.3 Control: Antes de transferir la administración de un 

ambiente particular, el dueño del negocio debe aprobar 

la transferencia y se deben acordar los controles de 

seguridad de la información con el proveedor de 

outsourcing. 

Página 170 de 207





SM6.7.4 Control: Se deben establecer y documentar los 

acuerdos que obligan a los proveedores a : 

a) cumplir con las buenas prácticas para la seguridad de 


b) facilitar información sobre incidentes de seguridad de 


c) mantener la confidencialidad de la información 

obtenida a través del contrato de outsourcing 

d) proteger la integridad de la información utilizada en el 

desempeño de los trabajos 

e) garantizar la disponibilidad de la información y los 

sistemas 

SM6.7.5 Control: Los acuerdos deben exigir que los 

proveedores: 

a) limiten el acceso a los activos de la organización sólo 

para el personal autorizado 

b) protejan la información de identificación personal 

c) proporcionen los acuerdos de continuidad del negocio 

d) cumplan con los requisitos legales y reglamentarios 

e) garanticen la calidad y exactitud del trabajo realizado 

f) devolver o destruir la información, el software o equipo 

en una fecha convenida, o previa solicitud 

g) definir la forma en que el proveedor se le permite 

contratar con terceros 

h) seguir un proceso de gestión del cambio 

i) proporcionar una eficaz gestión de incidentes de 


SM6.7.6 Control: Se debe establecer un proceso para hacer 

frente a los problemas de seguridad mediante unos 

puntos de contacto del proveedor de outsourcing 

SM6.7.7 Control: Los acuerdos deben especificar: el derecho a 

auditar las actividades del proveedor, los detalles de los 

acuerdos de licenciamiento y la propiedad de la 

información y de los derechos de propiedad intelectual 

SM6.7.8 Control: Se deben implementar las medidas de 

contingencia para administrar los ambientes contratados 

en el evento en que el proveedor no esté disponible (por 

ejemplo, debido a un desastre o conflicto) 

SM6.8 Mensajería instantánea 


procedimientos para los servicios de mensajería 

instantánea que incluyan: 

a) guías para el uso en el trabajo y el uso personal 

b) los tipos de servicios de mensajería instantánea 

permitidos (por ejemplo, los servicios públicos, como 

AOL, Google Talk, Windows Messenger y Yahoo!, O los 

servicios internos tales como Lotus Sametime, Windows 

Meeting Space, Webex y Jabber) 

c) guías para usuarios sobre el uso aceptable (por 

ejemplo, la prohibición de las declaraciones ofensivas) 

d) detalles de cualquier actividad de seguimiento a 

realizar 

Página 171 de 207





SM6.8.2 Control: Se debe mejorar la seguridad de las 

aplicaciones de mensajería instantánea mediante: 

a) la desactivación de características no adecuadas (por 

ejemplo, el uso compartido de archivos, video y audio) 

b) el uso de la encriptación para proteger el contenido de 

los mensajes sensibles 

c) el chequeo de malware en las estaciones de trabajo 

d) el registro de eventos claves 

e) dirigir el tráfico de mensajería instantánea a través de 

un filtro de contenido 

SM6.8.3 Control: Se debe proteger la mensajería instantánea 

mediante: 

a) el empleo de un estándar de configuración del cliente 

para la aplicación de mensajería instantánea 

b) el aseguramiento de los servidores de mensajería 

instantánea 

c) la configuración de firewall para bloquear el tráfico no 

autorizado de mensajes instantáneos 

SM7 Revisión de la 

Gerencia 

SM7.1 Revisión y auditoria de 

seguridad 

SM7.1.1 Control: Se deben realizar periódicamente revisiones y 

auditorias de seguridad para ambientes críticos de la 

organización, que incluyan: 

a) aplicaciones de negocio 

b) instalaciones de computación y redes 

c) actividades de desarrollo de sistemas 

d) actividades de seguridad claves para la empresa (por 

ejemplo, la gestión de una arquitectura de seguridad, 

ejecutar programas de sensibilización o la supervisión de 

los acuerdos de seguridad de la información) 

e) entornos de usuario final 

Página 172 de 207





SM7.1.2 Control: Las auditorias y revisiones de seguridad deben 

ser: 

a) acordadas con los dueños de los ambientes sujetos a 

revisión 

b) realizadas por personas que poseen las habilidades y 

conocimiento técnico suficiente en seguridad de la 

información 

c) llevadas a cabo a profundidad (en términos de alcance 

y magnitud) para garantizar que los controles de 

seguridad funcionan como se espera 

d) orientadas a comprobar que los controles son lo 

suficientemente efectivos para reducir el riesgo a un nivel 

aceptable 

e) apoyadas por el uso automatizado de herramientas de 

software 

f) validados por las personas competentes 

g) complementada por revisiones realizados por terceros 

independientes. 

SM7.1.3 Control: Las revisiones y auditorias de seguridad deben 

ser administradas por: 

para acordar los requisitos especiales o rutinas de 

procesamiento de las pruebas (por ejemplo, pruebas de 

penetración) con los propietarios de la 

ambientes que se examina 

restringir el acceso a los sistemas de auditoria y los 

equipos 

seguimiento y registro de las actividades de auditoria y 

los equipos 

la eliminación de la copia de información empresarial a 

los efectos de las auditorias y exámenes tan pronto 

como ya no es 

requerido 

protección de software de herramientas utilizadas en la 

realización de auditorias y exámenes (por ejemplo, por 

mantenerlos separados de los instrumentos / 

los servicios públicos utilizados en el entorno, y la 

celebración en las instalaciones de almacenamiento 

seguro, como Restringido 

bibliotecas de software). 

SM7.1.4 Control: Las recomendaciones de seguridad que 

resulten de las revisiones o auditorias deben ser 

acordadas con los dueños de los ambientes sujetos a 

revisión y ser reportadas a la dirección 

SM7.2 Monitoreo de seguridad 

SM7.2.1 Control: Se deben establecer acuerdos documentados 

con la dirección para el monitoreo de la seguridad de la 

información en la organización. Los monitoreos deben 

realizarse periódicamente. 

Página 173 de 207





SM7.2.2 Control: El análisis desarrollado como parte de los 

acuerdos de monitoreo de la seguridad debe ser: 

a) basado en métricas de seguridad cuantitativas (por 

ejemplo, el número, la frecuencia y el impacto para el 

negocio de los incidentes de seguridad de la información, 

los hallazgos de la auditoria, las estadísticas de 

seguridad operacional, los costos asociados con las 

pérdidas financieras, multas, fraude etc.). 

b) presentados en un formato estándar (por ejemplo, el 

tablero balanceado de gestión u otra herramienta de 

gestión) 

SM7.2.3 Control: La información recopilada como parte de las 

medidas de vigilancia de seguridad deberá incluir 

detalles sobre todos los aspectos de los riesgos de 

información (por ejemplo, la criticidad de la información, 

las vulnerabilidades identificadas y el nivel de las 

amenazas, el impacto potencial para el negocio y el 

estado de los controles de seguridad implementados) 

SM7.2.4 Control: Se debe informar sobre la condición de 

seguridad de la organización a los principales tomadores 

de decisiones (incluida la 

la dirección, los miembros del comité directivo de 

seguridad, y los órganos externos) 

SM7.2.5 Control: Los acuerdos de monitoreo de las seguridad 

deberían proporcionar a los tomadores de decisiones 

una visión de: 

a) la eficacia y la eficiencia de los acuerdos de seguridad 


b) las áreas donde se requiere mejorar 

c) la información y los sistemas que están en un nivel 

inaceptable de riesgo 

d) el desempeño cuantitativo frente a los objetivos 

propuestos 

e) las medidas necesarias para ayudar a minimizar el 

riesgo 

SM7.2.6 Control: Los acuerdos para monitorear la seguridad 

deben proporcionar a los tomadores de decisiones 

información financiera que incluya: 

a) el costo de los controles de seguridad 

b) el impacto financiero de los incidentes de seguridad 


c) el retorno de la inversión en seguridad (ROSI), de los 

controles implementados (por ejemplo, los beneficios no 

financieros, los beneficios financieros y los costos) 

Página 174 de 207





SM7.2.7 Control: Los acuerdos para monitorear la seguridad 

deben permitir a los tomadores de decisiones: 

a) gestionar los riesgos de información de manera 

efectiva 

b) relacionar los riesgos de información con los riesgos 

operacionales y del negocio 

c) demostrar el cumplimiento de requisitos legales y 

reglamentarios, y las normas y procedimientos internos 


SM7.2.8 Control: La información generada como resultado del 

monitoreo de las condiciones de seguridad de la 

información de la organización debe ser 

utilizada para medir la eficacia de la estrategia, de la 

política y de la arquitectura de seguridad de la 

información 

SEGURIDAD DE LA 

RED 

NW1 Administración de 

la Red 

NW1.1 Roles y responsabilidades 

NW1.1.1 Control: Se debe designar un dueño para gestionar la 

red. Las responsabilidades por las principales tareas de 

gestión de red 

deben ser claramente asignados a una o más personas 

capaces, que deben aceptar las responsabilidades 

(incluidas las 

los de la seguridad de la información) relacionadas con 

estas funciones. 

NW1.1.2 Control: El personal de la red debería ser: 

a) competente para operar la red en condiciones 

normales 

b) capacitado para hacer frente a errores, las 

condiciones de excepción y de emergencia 

c) en número suficiente para manejar la carga normal y 

los picos de trabajo 

Página 175 de 207





NW1.1.3 Control: Se debe reducir el riesgo de que el personal 

interrumpa el funcionamiento de la red, ya sea por error 

o por mala intención mediante: 

a) la separación de funciones del personal que opera la 

red de las funciones del personal que diseña y desarrolla 

la red 

b) garantizar que el personal interno (por ejemplo, los 

operadores y administradores de la red) y las personas 

externas (por ejemplo, consultores, 

contratistas, ingenieros) firmen los acuerdos de 

confidencialidad y no divulgación 

c) minimizar la dependencia de personas clave (por 

ejemplo, mediante la automatización de procesos, 

garantizar que la documentación de apoyo esté completa 

y exacta, y las contingencias para cubrir los puestos 

clave) 

d) la organización de funciones de manera que se 

reduzca al mínimo el riesgo de robo, fraude, error y 

cambios no autorizados a la información 

e) la investigación de antecedentes de los solicitantes 

para puestos de operación y administración de la red 

NW1.1.4 Control: Se deben implementar y documentar las 

normas y procedimientos a ser aplicados en la red, los 

cuales deben ser: 

a) consistentes con las políticas de seguridad de la 

información que se aplican en toda la empresa 

b) comunicados al personal internos y externos que 

participa en la gestión de la red 

c) aprobados por un representante del negocio, 

revisados periódicamente y actualizados a la fecha 

NW1.1.5 Control: Las actividades de las personas que operan y 

administran la red deben ser controladas (por ejemplo, 

proporcionar supervisión, registrar las actividades y 

mantener las pistas de auditoria) 

NW1.2 Diseño de la red 

NW1.2.1 Control: El diseño de la red debe estar apoyado en 

normas y procedimientos que requieren: 

a) que el diseño tenga en cuenta los requisitos de los 

usuarios de los servicios (por ejemplo, tal como se 

definen los acuerdos de niveles del servicio) 

b) que la red sea compatible con otras redes utilizados 

por la organización 

c) que la red esté configurada para hacer frente a la 

evolución previsible del uso de las TI en la organización 

Página 176 de 207





NW1.2.2 Control: El diseño de la red deberia: 

a) incorporar un conjunto integrado y coherente de 

normas técnicas 

b) apoyarse en convenciones de nomenclatura 

coherente (por ejemplo, cuando se asignan las 

direcciones IP) 

c) incorporar el uso de dominios de seguridad para 

separar los sistemas de los requisitos de seguridad 

d) emplear firewalls de manera que impidan que sean 

pasados por alto 

e) minimizar los puntos de falla (por ejemplo, 

proporcionando balance de carga, duplicar o mantener 

redundancia en dispositivos críticos de la red 

f) restringir el número de puntos de entrada a la red 

g) permitir la gestión de red de extremo a extremo desde 

una ubicación principal 

h) permitir que la red se pueda configurar remotamente, 

y monitoreada automáticamente frente a los umbrales 

predefinidos 

i) permitir que los informes de gestión de la red y los 

registros de auditoria se mantengan 

j) cumplir con la reglamentación legal y las regulaciones 

de la industria 

k) evitar que los dispositivos no autorizados sean 

conectados a la red (por ejemplo, forzando la 

autenticación a nivel de la red) 

l) incluir el cifrado del acceso administrativo a los 

dispositivos de red (por ejemplo, firewalls y sensores de 

detección de intrusos) 

NW1.3.1 Resiliencia de la red 

NW1.3.1 Control: Se deben identificar las instalaciones de la red 

que son críticas para el funcionamiento de la red 

NW1.3.2 Control: Los puntos simples de falla deben ser 

minimizados mediante: 

a) re-enrutamiento automático del tráfico de la red 

cuando los nodos críticos o los enlaces fallan 

b) la provisión de sitios alternos a partir de los cuales se 

puede administrar la red 

c) la instalación de redundancia en los equipos de 

comunicaciones críticas tales como: firewall, filtros de 

tráfico de la red, switches principales, y las fuentes de 

suministro de energía 

f) crítica a los equipos de comunicaciones 

g) acuerdos con proveedores de servicios externos para 

disponer de puntos de conexión y enlaces alternos 

Página 177 de 207





NW1.3.3 Control: Se deben reducir los riesgos de mal 

funcionamiento de los equipos de comunicaciones 

críticas, el software, enlaces y servicios para : 

a) dar alta prioridad a la fiabilidad, compatibilidad y 

capacidad en el proceso de adquisición 

b) garantizar el cumplimiento de las normas comunes o 

de la industria 

c) utilizando equipos, software, enlaces y servicios 

probados y actualizados 

d) manteniendo versiones consistentes de equipos y 

software a través de la red 

e) garantizando que los principales componentes de la 

red puedan ser reemplazados dentro de los plazos 

críticos 

NW1.3.4 Control: Se debe proteger la disponibilidad de los 

servicios de red externos mediante: 

a) el suministro de puntos de conexión duplicados o 

alternos para los transportadores de las comunicaciones 

externas 

b) el enrutamiento de enlaces críticos a más de un centro 

de intercambio o switcheo externo 

c) acuerdos para el uso de un carrier de comunicaciones 

alterno 

NW1.3.5 Control: Se debe implementar un proceso para tratar las 

vulnerabilidades de los firewalls que incluya: 

a) monitoreo de vulnerabilidades en los firewalls 

b) la elaboración de guías para el personal de red sobre 

las medidas que deben adoptarse en caso de falla de 

algún firewall 

c) el re-enrutamiento automático del tráfico de la red a 

otro firewall alterno 

d) las pruebas a los parches para los firewalls y su 

aplicación en el momento oportuno 

NW1.4 Documentación de la red 

NW1.4.1 Control: Se deben implementar normas y 

procedimientos para la red que incluyan la 

documentación de: 

a) la configuración de la red, incluyendo todos los nodos 

y conexiones 

b) los equipo, el software, los enlaces y servicios de 


c) el cableado de red 

NW1.4.2 Control: La documentación de la red debe incluir: 

a) los diagramas de configuración de la red con los 

nodos y conexiones 

b) un inventario de equipos de comunicaciones, software 

y servicios suministrados por terceros 

c) uno o más diagramas de cableado de la red 

Página 178 de 207





NW1.4.3 Control: La documentación de la red debe ser: 

a) actualizada 

b) fácilmente accesible a las personas autorizadas 

c) sujeta a revisiones supervisadas 

d) generada automáticamente, utilizando herramientas 

de software 

NW1.4.4 Control: Se deben colocar etiquetas de identificación a 

los equipos y cables de comunicaciones 

NW1.5 Proveedores de servicios 

NW1.5.1 Control: Se deben establecer acuerdos documentados 

con todos los proveedores de servicios internos y 

externos 

NW1.5.2 Control: Los acuerdos con los proveedores de servicios 

deben especificar: 

a) las personas responsables del servicio dentro de las 

dos partes en el acuerdo 

b) los requisitos de capacidad, fechas y horarios de los 

servicios de red que son requeridos y los plazos de 

tiempo críticos de la red 

c) las restricciones en los métodos de conexión y el 

acceso a determinados servicios 

NW1.5.3 Control: Los acuerdos con los proveedores de servicios 

deben especificar los requisitos para: 

a) garantizar la continuidad del servicio 

b) el parcheo de los dispositivos de red 

c) la protección de la información confidencial en tránsito 

d) la separación de los componentes de la red, tales 

como líneas dedicadas para el tráfico de red sensitivo 

e) el desempeño de la gestión de cambios y la gestión 

de incidentes de seguridad de la información 

f) la detección de interrupciones de servicio y la 

recuperación de los mismos 

g) las actividades de instalación y mantenimiento de las 

actividades relacionadas con la red 

NW1.5.4 Control: Las condiciones de los acuerdos con los 

proveedores de servicios deben ser aplicadas y 

revisadas periódicamente 

NW1.5.5 Control: Se deberían adoptar medidas con el proveedor 

de servicios (s) para hacer frente a problemas de 

seguridad de la información a través de un punto de 

contacto definido y de una persona que sea competente 

para tratar los problemas de seguridad de manera eficaz 

NW1.5.6 Control: Se deben establecer acuerdos para: 

a) restringir el uso de los servicios aprobados a los 

proveedores de la red 

b) obtener una confirmación independiente de los 

controles de seguridad aplicados por los proveedores de 

servicios 

Página 179 de 207

NW2 Administración del 

tráfico 





NW2.1 Configurar dispositivos de red 

NW2.1.1 Control: Se deben implementar normas y 

procedimientos para configurar los dispositivos de red los 

cuales deben cubrir: 

a) la gestión de cambios de las tablas de enrutamiento y 

la configuración de dispositivos de red 

b) la restricción del acceso a los dispositivos de red 

c) la prevención de actualizaciones no autorizadas o 

incorrectas a las tablas de enrutamiento 

d) la revisión periódica de la configuración de 

dispositivos de red 

NW2.1.2 Control: Los dispositivos de red deben ser configurados 

para: 

a) negar el tráfico de red por defecto 

b) alertar sobre la sobrecarga de la red o las condiciones 

de excepción cuando se producen 

c) registrar los eventos en una forma adecuada para su 

revisión y grabarlos en sistemas separados 

d) copiar la información de control (por ejemplo, los 

registros de eventos y tablas) a medios de 

almacenamiento extraíbles (por ejemplo, CD o cinta 

magnética) 

e) integrar con mecanismos de control de acceso en 

otros dispositivos (por ejemplo, para proporcionar fuerte 

autenticación) 

f) usar una configuración segura predefinida antes de su 

puesta en operación 

g) cambiar los parámetros por defecto suministrados por 

los proveedores 

h) garantizar que las contraseñas no son enviadas en 

forma de texto claro 

i) desactivar el enrutamiento de origen (para mantener el 

control en los dispositivos de envío de paquetes) 

j) desactivar los servicios que no son necesarios para el 

funcionamiento normal de la red (por ejemplo, RPC, 

rlogin, rsh, rexec y NetBIOS) 

NW2.1.3 Control: Se debe restringir los dispositivos de red al 

personal autorizado utilizando los controles de acceso 

que soportan la contabilidad individual y la protección 

contra acceso no autorizado 

NW2.1.4 Control: Se deben configurar los routers para prevenir 

actualizaciones no autorizadas o incorrectas 

NW2.1.5 Control: Se deben revisar periódicamente los 

dispositivos de red para verificar los parámetros de 

configuración (por ejemplo, tablas y parámetros de 

enrutamiento) y evaluar las actividades realizadas a 

través de los dispositivos de red 

NW2.2 Firewall 

Página 180 de 207





NW2.2.1 Control: La red debe ser protegida de otras redes o subredes 

(internas o externas) mediante uno o más firewalls 

NW2.2.2 Control: Se deben establecer normas y procedimientos 

para administrar firewalls que cubran: 

a) el filtrado de tipos específicos o fuentes de tráfico de 

la red (por ejemplo, direcciones IP, puertos TCP o 

información sobre el estado de las comunicaciones y los 

usuarios) 

b) el bloqueo o la restricción de determinados tipos u 

otras fuentes de tráfico de la red 

c) el desarrollo de normas predefinidas (o tablas) para 

filtrar el tráfico de la red 

d) la protección de firewalls contra ataques o fallas 

e) limitar la revelación de información acerca de la red 

NW2.2.3 Control: Los firewalls deben ser utilizados para 

chequear: 

a) las direcciones de destino y los puertos 

b) la información sobre el estado de las comunicaciones 

asociadas 

c) la información sobre el estado de los usuarios 

d) la validez de un servicio de red 

NW2.2.4 Control: Los firewalls deben ser configurados para: 

a) negar el tráfico de red por defecto 

b) proteger los protocolos de comunicación que son 

propensos a los abusos (por ejemplo, DNS, FTP, NNTP, 

RIP, SMTP, Telnet, UUCP) 

c) bloquear los paquetes de red usados para la ejecutar 

ataques de "denegación del servicio" 

d) negar el tráfico entrante para la dirección fuente que 

ha sido suplantada 

e) negar el tráfico saliente para la dirección que han sido 

suplantada 

NW2.2.5 Control: Los firewalls debe configurarse para bloquear o 

restringir las comunicaciones basadas en una fuente o 

destino especifico (por ejemplo, direcciones IP o puertos 

tales como: 20 y 21 para FTP, 23 para Telnet) 

NW2.2.6 Control: El filtrado del tráfico de la red debe basarse en 

reglas predefinidas que: 

a) han sido desarrollados por personal de confianza y 

están sujetas a revisión 

b) se basan en el principio del "mínimo acceso" 

c) se documentan y se mantienen actualizadas 

d) son tenidas en cuenta en una política de seguridad de 

la información, en las normas y procedimientos de la red 

y en los requisitos de los usuarios 

NW2.2.7 Control: Antes que se apliquen nuevas reglas o se 

cambien otras, se debe verificar si son fuertes y 

correctas y deben ser aprobadas por el dueño de la red 

Página 181 de 207





NW2.2.8 Control: La revelación de información sobre la red se 

debe limitar: 

a) a nivel de la red mediante el uso de traslación de 

direcciones de red (NAT) 

b) a nivel de aplicación mediante el uso de la traslación 

de direcciones de puerto (PAT) 

NW2.3 Acceso externo 

NW2.3.1 Control: Se deben documentar normas y procedimientos 

para controlar el acceso externo a la red, los cuales 

especifican: 

a) que se deben identificar las conexiones externas 

b) que se debe configurar la red para restringir el acceso 

c) que sólo se permiten los tipos de dispositivos de 

conexión de acceso remoto autorizados 

d) que se deben documentar los detalles de las 

conexiones externas 

e) que se deben remover las conexiones externas 

cuando no sean necesarias 

NW2.3.2 Control: Las conexiones externas se deben identificar 

individualmente y ser aprobadas por el propietario de la 

red 

NW2.3.3 Control: Se debe mantener un registro de las 

conexiones externas que incluya: 

a) detalles de las personas externas autorizadas 

b) áreas de la infraestructura de TI a disposición de los 

usuarios externos 

NW2.3.4 Control: La red debe ser diseñada para: 

a) ocultar los nombres de red y topologías a partes 

externas 

b) restringir el tráfico de la red externa a sólo 

determinadas partes de la red 

c) restringir las conexiones a los puntos de entrada 

definidos 

d) verificar el origen de las conexiones externas 

NW2.3.5 Control: Se deben identificar las conexiones externas no 

autorizadas mediante: 

a) el desarrollo de auditorias de los equipos de la red y la 

documentación para identificar discrepancias con los 

registros de conexiones externas conocidas 

b) el uso de herramientas de gestión y de diagnóstico de 

la red 

c) el control de los registros contables de las facturas 

pagadas a los proveedores de telecomunicaciones y 

conciliación con las conexiones conocidas. 

Página 182 de 207





NW2.3.6 Control: Las conexiones de acceso telefónico deben ser 

protegidas mediante el uso de seguridad dial-back la 

cual debe implementarse mediante: 

a) la configuración dial-back obligatoria para todas las 

cuentas autorizadas a conectarse a través de un punto 

de acceso 

b) la desconexión de la línea en el host, en lugar de la 

del cliente 

c) desactivar el reenvío de llamadas para la línea dialback 

NW2.3.7 Control: El acceso externo debe ser suministrado 

utilizando un servidor de acceso remoto dedicado el cual: 

a) proporciona autenticación completa y confiable para 

las conexiones externas (por ejemplo, utilizando un 

sistema de autenticación tal como el Radius o 

TACACS+) 

b) proporciona información para solución de problemas 

c) registra todas las conexiones y sesiones incluyendo 

detalles de los tiempos de inicio y finalización de la 

llamada, duración, y seguimiento a usuarios 

d) ayuda a identificar posibles brechas de seguridad de 


NW2.3.8 Control: Las conexiones externas se deben eliminar 

cuando ya no se requieran y sus componentes deben 

desactivarse o eliminarse 

NW2.4 Acceso inalámbrico 

NW2.4.1 Control: El acceso inalámbrico a la red debe estar sujeto 

a un análisis de riesgos de información y ser aprobado 

por el dueño de la red antes de su implementación 

NW2.4.2 Control: Se deben establecer y documentar normas y 

procedimientos para controlar el acceso inalámbrico a la 

red los cuales incluyen: 

a) implementar métodos para limitar el acceso a usuarios 

autorizados en el proceso de instalación y configuración 

de los puntos de acceso inalámbrico 

b) usar la encriptación ( por ejemplo, WEP, WPA, WPA2) 

para proteger la información en tránsito 

c) la detección de puntos de acceso y dispositivos 

inalámbricos no autorizados 

NW2.4.3 Control: Los puntos de acceso inalámbrico deben ser: 

a) configurados al más bajo poder para limitar el rango 

b) instalados en sitios que minimicen el riesgo de 

interferencia 

c) configurados y administrados centralizadamente 

d) asignados a un conjunto de identificadores de servicio 

único (unique Service Set Identifier SSID) 

NW2.4.4 Control: Se debe proteger la red contra acceso 

inalámbrico no autorizado usando un dispositivo de 

filtrado (por ejemplo, un firewall o un edge server) 

Página 183 de 207





NW2.4.5 Control: El acceso inalámbrico debe estar protegido 

mediante el uso de: 

a) control de acceso a la red (por ejemplo, IEEE 802.1X) 

b) autenticación de dispositivo (por ejemplo, EAP-TLS) 

c) autenticación de usuario 

NW2.4.6 Control: El acceso inalámbrico debe estar protegido por: 

a) el uso de encriptación (por ejemplo, WEP, WPA y 

WPA2) entre dispositivos de computación puntos de 

acceso inalámbrico 

b) el cambio periódico de las claves de encriptación 

NW2.4.7 Control: Las conexiones de acceso inalámbrico críticas 

deben estar sujetas a controles de seguridad adicionales 

tales como redes virtuales privadas, VPNs 

NW3 Operación de la red 

NW3.1 Monitoreo de la red 

NW3.1.1 Control: El desempeño de la red debe ser monitoreado: 

a) frente a los objetivos acordados 

b) revisando la utilización actual de las facilidades de red 

en periodos normales y periodos pico o de mayor 

demanda 

c) usando software automatizado de monitoreo de red 

d) revisando periódicamente los registros de actividad de 

la red 

e) investigando problemas tales como cuellos de botella 

o sobrecarga 

NW3.1.2 Control: Se deben llevar a cabo actividades de 

planeación de la capacidad para permitir capacidad extra 

de la red antes de que ocurran incidentes como cuellos 

de botella y sobrecarga 

NW3.1.3 Control: Las actividades de monitoreo deben ser 

periódicas y debe incluir: 

a) el escaneo de vulnerabilidades para servidores y 

dispositivos de red usando productos especializados (por 

ejemplo, Nessus, Pingware o SATAN) 

b) la verificación de desactivación en los dispositivos de 

red de los comandos y utilitarios innecesarios 

c) la verificación de la existencia de redes inalámbricas 

no autorizadas (por ejemplo, usando productos de 

terceros tales como Netstumbler, KISMET y Airsnort) 

d) el descubrimiento de la existencia de sistemas no 

autorizados 

NW3.1.4 Control: Se deben utilizar mecanismos de detección e 

intrusión de manera que cubran: 

a) la detección de características de ataques conocidas 

b) un proceso para desarrollar actualizaciones periódicas 

al software de detección de intrusos 

c) la protección de los mecanismos de detección de 

intrusos contra ataques 

Página 184 de 207





NW3.1.5 Control: El uso de herramientas para análisis y 

monitoreo de la red debe estar restringido a personas 

autorizadas 

NW3.1.6 Control: Se deben revisar los reportes enviados por los 

proveedores de servicios para descubrir uso inusual de 

la red u otras facilidades de red 

NW3.1.7 Control: El dueño de la red debe revisar los resultados 

de las actividades de monitoreo y comunicarlos a los 

dueños de las aplicaciones e instalaciones para quienes 

se prestan los servicios 

NW3.2 Administración de cambios 

NW3.2.1 Control: Se debe establecer un proceso de gestión de 

cambios que cubra todos los tipos de cambios en la red 

(por ejemplo, actualizaciones de equipos de 

comunicaciones y software, la introducción de nuevos 

servicios de los proveedores de servicios y 

ajustes temporales o de emergencia a la red) 

NW3.2.2 Control: El proceso de gestión de cambios debe estar 

documentado e incluir: 

a) la aprobación de los cambios y las pruebas para 

asegurarse de que no pongan en peligro los controles de 

seguridad 

b) la realización de cambios y su aprobación para 

asegurarse de que se realizan correctamente y de forma 

segura 

c) la revisión de los cambios realizados para garantizar 

que no se aplican cambios no autorizados 

NW3.2.3 Control: Antes de que sean aplicados los cambios al 

ambiente productivo de la red se debe considerar: 

a) la documentación de las solicitudes de cambio y la 

aceptación por parte de las personas autorizadas 

b) los cambios deben ser aprobados por el representante 

del negocio apropiado 

c) se debe evaluar el impacto potencial para el negocio 

de los cambios a ser realizados 

d) los cambios deben ser probados 

e) los cambios deben ser revisados para garantizar que 

no comprometan los controles de seguridad 

f) se debe realizar un copia de respaldo de manera que 

se pueda restaurar la red después de cambios fallidos o 

resultados inesperados 

NW3.2.4 Control: Los cambios en la red deben ser: 

a) realizados por personal capacitado y competente 

b) supervisados por un especialista de la red 

c) aprobados por el representante del negocio apropiado 

Página 185 de 207





NW3.2.5 Control: Se deben establecer acuerdos para garantizar 

que una vez se apliquen los cambios: 

a) se mantiene un control de versiones 

b) se lleva un registro de los cambios que muestra lo que 

fue cambiado, cuándo y por quién 

c) se comunican los detalles de los cambios a las 

personas pertinentes 

d) se realizan verificaciones para confirmar que sólo se 

han hecho cambios autorizados 

e) se actualiza la documentación de la red 

NW3.3 Administración de incidentes 


NW3.3.1 Control: Se debe establecer y documentar un proceso 

de gestión de incidentes de seguridad para la red 

NW3.3.2 Control: El proceso de gestión de incidentes de 

seguridad debe incluir 

a) la identificación de incidentes de seguridad de la 

información 

b) la respuesta a los incidentes de seguridad de la 

información 

c) la recuperación de los incidentes de seguridad de la 

información 

d) el seguimiento de los incidentes de seguridad de la 

información. 

NW3.3.3 Control: Los incidentes de seguridad de la información 

deberían ser: 

a) reportados previamente a un contacto (por ejemplo, 

un servicio de asistencia, línea telefónica o equipo de 

especialistas de TI) 

b) grabados en un registro, o equivalente 

c) categorizados y clasificados 

NW3.3.4 Control: el impacto de los incidentes graves de 

seguridad relacionados con la red debe ser evaluado por 

parte de especialistas de la red, de los dueños de la red, 

de los dueños de las aplicaciones soportadas por la red y 

por parte de especialistas de seguridad de la información 

NW3.3.5 Control: La respuesta a incidentes de seguridad de la 

información relacionados con la red debe incluir: 

a) el análisis de la información disponible 

b) el manejo seguro de la evidencia necesaria 

c) la investigación de las causas del incidente de 


d) la contención y erradicación del incidente de 


Página 186 de 207





NW3.3.6 Control: La recuperación de los incidentes de seguridad 

relacionados con la red debe involucrar: 

a) la reconstrucción de las redes a un estado seguro 

antes conocido (es decir, el mismo estado que 

se encontraban antes del incidente de seguridad de la 

información) 

b) la restauración a partir de la información que no ha 

sido comprometida por el incidente de seguridad de la 

información 

c) el cierre del incidente de seguridad de la información 

NW3.3.7 Control: Después de la recuperación del incidente de 

seguridad de la información relacionada con la red se 

debe: 

a) investigar la causa y el efecto del incidente de 

seguridad y las correspondientes medidas de 

recuperación 

b) realizar la investigación forense si es necesario 

c) revisar los controles de seguridad para determinar si 

son adecuados 

d) se deben emprender las acciones correctivas para 

reducir al mínimo la probabilidad de ocurrencia de 

incidentes similares 

e) se deben documentar los detalles de los incidentes de 

seguridad de la información en un informe posterior al 

incidente 

NW3.4 Seguridad fisica 

NW3.4.1 Control: Se debe restringir el acceso físico a las áreas 

críticas de la red sólo a personas autorizadas. El 

personal externo (por ejemplo, consultores, contratistas, 

ingenieros) debe ser supervisado cuando tiene acceso a 

equipos de comunicaciones 

NW3.4.2 Control: Se debe proteger el acceso a las áreas críticas 

de la red de: 

a) las amenazas naturales (por ejemplo, incendios e 

inundaciones) 

b) las fallas de suministro de energía (por ejemplo, 

mediante el uso de sistemas de alimentación 

ininterrumpida (UPS) y baterías) 

c) los intrusos (por ejemplo, mediante la instalación de 

cerraduras en las puertas y persianas en las ventanas). 

NW3.4.3 Control: Los cables de red deben ser protegidos 

mediante: 

a) su instalación oculta 

b) sus conductos blindados 

c) inspecciones bloqueadas y puntos de terminación 

d) el enrutamiento 

e) evitar las rutas a través de zonas de acceso público 

Página 187 de 207





NW3.4.4 Control: Los puntos de acceso a la red deben ser 

protegidos mediante: 

a) la ubicación en entornos seguros 

b) la desactivación en el dispositivo de red hasta que se 

requiera 

NW3.5 Copias de respaldo 

NW3.5.1 Control: Las copias de respaldo de la información y el 

software importante se deben realizar con la frecuencia 

necesaria para satisfacer los requerimientos del negocio 

NW3.5.2 Control: Las copias de respaldo deben ser: 

a) realizadas utilizando un software de administración de 

copias para reforzar la seguridad de la información 

b) cifradadas para proteger la información importante 

c) grabados en un registro (o equivalente), que incluye 

detalles acerca de los datos contenidos en la copia de 

seguridad, la fecha y hora, y el medio utilizado 

d) verificadas para comprobar su restauración exitosa 

NW3.5.3 Control: Los acuerdos para las copias de seguridad 

deben permitir que la red sea restaurada dentro de los 

plazos críticos 

NW3.5.4 Control: Las copias de respaldo deben ser protegidas 

contra pérdida, daño y acceso no autorizado mediante: 

a) su almacenamiento en sitios seguros a prueba de 

fuego 

b) la disposición de copias alternas fuera de las 

instalaciones 

c) la restricción de acceso a personas autorizadas 

NW3.6 Continuidad del servicio 

NW3.6.1 Control: Se debe verificar si la continuidad de los 

servicios de red se incluye en los planes de contingencia 

de TI y en los pñanes de continuidad del negocio 

relacionados con las actividades apoyadas por los 

servicios de red 

NW3.6.2 Control: Se deben adoptar medidas para asegurar la 

prestación continua de los servicios críticos de la red en 

caso de una prolongada 

falta de disponibilidad de: 

a) el centro de operaciones de la red (s) 

b) los equipos de red críticos 

c) los enlaces de red en las instalaciones de la empresa 

d) el software de comunicaciones, los datos de control y 

la documentación 

e) el personal de la red 

f) los edificios, salas de equipo, energía y otros servicios 

vitales 

Página 188 de 207





NW3.6.3 Control: Los acuerdos de continuidad del servicio deben 

ser: 

a) documentados 

b) revisados por los representantes de los usuarios 

c) aprobados por el propietario de la red 

d) sujetos a un proceso de gestión del cambio 

e) probados periódicamente utilizando simulaciones 

realistas, y con la participación de personal de la red 

f) actualizados después de cambios importantes 

NW3.6.4 Control: Los generadores de copias de respaldo deben: 

a) estar disponibles para manejar una interrupción 

prolongada de energía en los equipos de 

comunicaciones críticas 

b) ser probados periódicamente 

NW3.7 Mantenimiento remoto 

NW3.7.1 Control: El acceso a la red de personas externas para 

fines de mantenimiento remoto debe ser administrado de 

manera que incluya: 

a) definir y acordar los objetivos y el alcance de trabajo 

previsto 

b) autorizar sesiones individuales 

c) restringir los derechos de acceso al mínimo necesario 

de acuerdo con los objetivos y el alcance del trabajo 

planeado 

d) registrar todas las actividades realizadas 

e) revocar los derechos de acceso y el cambio de 

contraseñas inmediatamente después de completar las 

tareas de mantenimiento 

f) desarrollar una revisión independiente de las 

actividades de mantenimiento remoto 

NW3.7.2 Control: Se deben proteger los puertos de diagnostico 

de la red implementando controles de acceso 

NW4 Administración de 

la seguridad local 

NW4.1 Coordinación 

NW4.1.1 Control: El propietario de la red debe tener la 

responsabilidad general de la seguridad de la 

información en relación con la red. 

Se debe nombrar uno más coordinadores locales de 

seguridad de la información, quienes son responsables 

de coordinar los acuerdos de seguridad de la información 

para la red y actuar como un único punto de contacto en 

asuntos sobre seguridad de la información 

Página 189 de 207





NW4.1.2 Control: Los coordinadores locales de seguridad deben 

tener: 

a) una buena comprensión de los roles y 

responsabilidades de la seguridad de la información 

b) suficientes conocimientos técnicos, el tiempo, las 

herramientas y la autoridad para llevar a cabo su rol 

asignado 

c) acceso a expertos internos o externos en seguridad de 


d) procedimientos y normas documentadas para apoyar 

las actividades diarias de seguridad 

e) información actualizada relacionada con seguridad de 


f) un canal de comunicación con la función de seguridad 


NW4.1.3 Control: El coordinador local de la seguridad de la 

información debe reunirse periódicamente con el 

propietario de la red para examinar la situación de 

seguridad de la información y acordar las actividades de 

seguridad a ser desarrolladas 

NW4.2 Conciencia de seguridad 

NW4.2.1 Control: Se debe establecer una política de seguridad 

de la información para la red. El personal de la red debe 

ser consciente y cumplir con la política de seguridad de 

la información. 

NW4.2.2 Control: El personal de la red debe: 

a) participar en un programa de sensibilización de 

seguridad 

b) estar capacitado y entrenado en seguridad de la 

información 

c) ser dotado con material de sensibilización en 

seguridad 

NW4.2.3 Control: El personal de la red debe ser conciente de: 

a) el significado de la seguridad de la información 

b) la necesidad de la seguridad de la información para 

proteger la red 

c) la importancia de cumplir con las políticas de 

seguridad de la información y la aplicación de las 

correspondientes normas y procedimientos 

d) sus responsabilidades con relación a la seguridad de 


Página 190 de 207





NW4.2.4 Control: El personal de la red debe ser consciente de 

que está prohibido: 

a) el uso no autorizado de cualquier parte de la red 

b) el uso de la red para fines que no están relacionados 

con el trabajo 

c) hacer declaraciones sexuales, racistas que pueden 

ser ofensivos (por ejemplo, al utilizar el correo 

electrónico, mensajería instantánea, la 

Internet o el teléfono) 

d) hacer declaraciones obscenas, discriminatorias, o de 

acoso 

e) la descarga de material ilegal 

f) la utilización no autorizada de los componentes de la 

red (por ejemplo, utilizando software de terceros no 

autorizados o módems) 

g) la copia no autorizada de información o software 

h) la revelación de información confidencial a personas 

no autorizadas 

i) comprometer las contraseñas 

j) utilizar la información de identificación personal a 

menos que sea explícitamente autorizada 

k) la manipulación de evidencia en el caso de incidentes 

de seguridad de la información que puedan requerir la 

investigación forense 

NW4.2.5 Control: El personal de la red debe estar advertido de 

los peligros de ser escuchados cuando se discute sobre 

la información del negocio por teléfono o en lugares 

públicos 

NW4.3 Clasificación de información 

NW4.3.1 Control: La información transmitida sobre la red debe 

ser objeto de un método de clasificación de la 

información 

NW4.3.2 Control: El método de clasificación de la información 

debe: 

a) tener en cuenta el impacto potencial para la empresa 

de la pérdida de confidencialidad de la información 

b) ser utilizado para determinar distintos niveles de 

confidencialidad de la información 

NW4.3.3 Control: El método de clasificación de la información 

debe ser usado para clasificar: 


contratos, planos y documentación del sistema, 

celebrada en forma impresa) 

b) la información transmitida a través de la red (por 

ejemplo, las transacciones comerciales, financieras, el 

diseño de productos detalles de clientes y archivos) 

c) la comunicación electrónica (por ejemplo, correo 

electrónico y mensajería instantánea) 

Página 191 de 207





NW4.3.4 Control: Las clasificaciones de la información asociadas 

con la red deben: 

a) aprobados por un representante del negocio 

b) revisadas periódicamente y cuando se realizan 

cambios a la red 

NW4.3.5 Control: Los detalles de clasificación de la información 

asociadas con la red deben ser registrados en: 

a) un inventario, o equivalente (por ejemplo, una base de 

datos, software especializado, o en papel) 

b) acuerdos con los proveedores de servicios (por 

ejemplo, acuerdos de nivel de servicio). 

NW4.3.6 Control: Los detalles de la clasificación de información 

deben incluir: 

a) la clasificación de la información (por ejemplo, 

altamente secreta, en confianza y pública) 

b) la identidad del propietario de la información 

c) una breve descripción de la información clasificada 

NW4.4 Análisis de riesgos de 

información 

NW4.4.1 Control: La red debe estar sujeta a un análisis de 

riesgos de información desarrollado según las normas y 

procedimientos para análisis de riesgos de la empresa y 

utilizando una metodología de análisis de riesgos 

NW4.4.2 Control: El análisis de riesgos de información debe 

tomar en consideración las aplicaciones críticas de 

negocio soportadas por la red y los acuerdos de nivel de 

servicio asociados 

NW4.4.3 Control: El análisis de riesgos debe involucrar: 

a) los propietarios de las aplicaciones críticas de negocio 

soportadas en la red 

b) el propietario de la red 

c) los especialistas de la red 

d) los principales representantes de los usuarios 

e) un experto en análisis de riesgos 

f) un especialista en seguridad de la información 

NW4.4.4 Control: El análisis de riesgos debe determinar los 

riesgos evaluando: 

a) el nivel del impacto potencial de las amenazas 

asociadas con la red 

b) las amenazas accidentales y deliberadas a la 

confidencialidad, integridad y disponibilidad de la 

información 

c) las vulnerabilidades debidas a deficiencias de control 

d) las vulnerabilidades debidas a las circunstancias que 

aumentan la probabilidad de ocurrencia de un grave 


Página 192 de 207





NW4.4.5 Control: El análisis de riesgos de seguridad de la 

información debe tener en cuenta: 

a) el cumplimiento de requisitos 

b) los objetivos de la organización 

c) los requisitos de clasificación de la información 

d) el análisis de riesgos realizado en las instalación de 

computación a ser evaluados 

e) las características del entorno operativo de la 

aplicación y las instalaciones de computación y de la red 

a ser evaluadas 

NW4.4.6 Control: Se deben documentar los resultados del 

análisis de riesgos de información e incluir: 

a) una clara identificación de los principales riesgos 

b) una evaluación del impacto potencial para la empresa 

de cada riesgo 

c) las recomendaciones para las acciones requeridas 

para reducir los riesgos a un nivel aceptable. 

NW4.4.7 Control: El análisis de riesgos de información debe ser 

utilizado para ayudar: 

a) a seleccionar los controles de seguridad la 

información que reduzcan la probabilidad de ocurrencia 

de graves incidentes de seguridad de la información 

b) a seleccionar los controles de seguridad de la 

información que satisfagan los requisitos de 

cumplimiento 

c) a determinar los costos de la aplicación de controles 

de seguridad 

d) a evaluar las fortalezas y debilidades de los controles 

de seguridad 

e) a identificar los controles de seguridad especializados 

requeridos por la red 

NW4.4.8 Control: Los resultados del análisis de riesgos de 

información deberían ser: 

a) comunicados al dueño de la red y a la dirección 

b) aprobados por un representante del negocio 

NW4.4.9 Control: El análisis de riesgos de Información de la red 

debe realizarse periódicamente y antes de introducir 

cambios importantes en la red 

NW4.5 Revisiones de auditoria de 

seguridad 

NW4.5.1 Control: Las auditorias y revisiones de seguridad de la 

red deben ser independientes y realizarse 

periódicamente 


red deben: 

a) evaluar los riesgos de negocio asociados con la red 

b) considerar los requisitos de seguridad de la 

información de las aplicaciones de negocios soportados 

por la red 

Página 193 de 207






red deben evaluar la situación de los acuerdos de 

seguridad de la información en áreas claves (por 

ejemplo, la gestión de la red, gestión del tráfico, 

operaciones de red y gestión de la seguridad local) 

NW4.5.4 Control: Las revisiones y auditorias de seguridad deben 

ser: 

a) acordadas con el propietario de la red 

b) definidas en su alcance y documentadas 

c) realizadas por personas competentes y con las el 

suficiente conocimiento y habilidades técnicas en 


d) llevadas a cabo con frecuencia y en profundidad (en 

términos de alcance y magnitud) para garantizar que los 

controles de seguridad 

funcionan según lo dispuesto 

e) centradas en garantizar que los controles son lo 

suficientemente efectivos para reducir los riesgos a 

niveles aceptables 

f) complementados por el uso de herramientas 

automatizadas de software 

g) validados por las personas competentes 

h) complementada por revisiones realizados por terceros 

independientes 

NW4.5.5 Control: Las auditorias y revisiones de seguridad deben 

ser administradas para: 

a)acordar con el dueño de la red los requisitos 

especiales para las pruebas o rutinas de procesamiento 

especial 

b) restringir el acceso a la red para el equipo de auditoria 

c) hacer seguimiento y registro de las actividades del 

equipo de auditoria 

d) la eliminación de la información copiada para 

propósitos de la auditoria tan pronto como ya no sea 

necesario 

e) la protección de las herramientas de software 

utilizadas en la ejecución de las auditorias 

f) la protección de documentos y archivos del sistema 

relacionados con la auditoria 

NW4.5.6 Control: Las recomendaciones resultantes de las 

revisiones y auditorias de seguridad de la red deben ser 

acordadas con el propietario de la red e informadas a la 

dirección 

NW5 Redes de voz 

NW5.1 Documentación de las redes de 

voz 

Página 194 de 207





NW5.1.1 Control: Se deben establecer normas y procedimientos 

para las redes de voz que cubran: 

a) el uso de los teléfonos de la empresa 

b) los movimientos y cambios de los teléfonos de los 

usuarios 

c) registro y autenticación de usuarios con acceso al 

buzón de voz 

d) manejo de llamadas telefónicas amenazantes y 

abusivas 

e) protección del sistema de correo de voz contra el 

acceso no autorizado 

NW5.1.2 Control: La configuración y ajustes para el intercambio 

de teléfonos internos deben ser soportados por 

documentación exacta y completa 

NW5.1.3 Control: Teléfonos de cable e inalámbricos deben estar 

documentados en un inventario actualizado 

NW5.2 Resiliencia de las redes de voz 

NW5.2.1 Control: El intercambio telefónico debe tener: 

a) suficiente capacidad para hacer frente a picos de 

trabajo 

b) las capacidades de expansión y actualización para 

hacer frente a la demanda proyectada 

c) las fuentes de alimentación alternativas, como las 

baterías para hacer frente a las breves cortes de energía 

d) un mecanismo de control y de seguimiento capaz de 

proporcionar informes sobre estadísticas de uso y el 

tráfico 

NW5.2.2 Control: El intercambio telefónico debe ser protegido 

para: 

a) duplicación de los procesadores y tarjetas de función 

b) bypass de emergencia, a fin de que puedan regresar a 

las llamadas directas 

c) duplicar grupos de intercambio de líneas 

el acceso a intercambios principales alternos operados 

por los proveedores de servicios 

f) una fuente de poder capaz de hacer frente a fallas 

prolongadas del suministro eléctrico 

NW5.2.3 Control: Se debe asegurar en los contratos de 

mantenimiento la reparación oportuna para los switches 

telefónicos, consolas de operador y los teléfonos de 

cableado e inalámbricos 

NW5.2.4 Control: Los switches críticos y las consolas de 

operador debe ser alojados en ambientes físicamente 

seguros 

NW5.2.5 Control: El cableado telefónico e inalámbrico debe ser 

etiquetado y protegido de daño accidental o 

interceptación 

Página 195 de 207





NW5.2.6 Control: Se deben llevar a cabo revisiones para 

garantizar que la continuidad de las comunicaciones de 

voz esté contempladas en: 

a) Los planes de contingencia de TI y los acuerdos 

relacionados con las instalaciones de TI accesibles por la 

red 

b) los planes de continuidad del negocio y los acuerdos 

asociados con las actividades de negocio apoyadas por 

la red 

NW5.3 Controles para las redes de voz 

NW5.3.1 Control: El acceso a las consolas de operador 

asociados con los switches debe ser restringido 

mediante el uso de contraseñas las cuales deben ser: 

a) cambiados en la instalación, para garantizar que las 

contraseñas por defecto establecidas por el proveedor 

no pueden ser explotadas por 

personas no autorizadas 

b) aplicados a los puertos de acceso utilizado para el 

diagnóstico remoto 

NW5.3.2 Control: Los cambios a la configuración de los switches 

telefónicos deben ser realizadas por personas 

autorizadas 

NW5.3.3 Control: Los patrones de uso del teléfono deben ser 

monitoreados para determinar lo adecuado de la 

capacidad de la central telefónica y los requisitos de 

personal para evitar sobrecargas del operador 

NW5.3.4 Control: Las facturas para las redes de voz facturas 

deben ser inspeccionadas para identificar patrones 

inusuales de uso lo que puede indicar fraude 

comportamiento impropio 

NW5.4 Redes de voz sobre IP 

NW5.4.1 Control: Se deben establecer y documentar normas y 

procedimientos para las redes de VoIP, que: 

a) cubran los controles generales de la red para VoIP 

b) Incluyan controles específicos para VoIP (por 

ejemplo, la separación de tráfico de voz utilizando redes 

virtuales de área local (LAN), el aseguramiento de 

dispositivos de VoIP, tales como teléfonos IP, IP PBX y 

routers, redes de exploración de vulnerabilidades de 

VoIP, encriptación 

sensibles del tráfico de VoIP, VoIP y monitoreo a 

registros de eventos de VoIP 

c) prohíban el uso no autorizado de la tecnología VoIP 

(por ejemplo, las conexiones no autorizadas a los 

servicios de VoIP externos, tales 

como Skype, utilizando un software telefónico) 

Página 196 de 207





NW5.4.2 Control: Los controles generales para la seguridad de 

VoIP deben incluir: 

a) el monitoreo del ancho de banda utilizando 

herramientas que son capaces de reconocer el tráfico de 

VoIP 

b) instalar los componentes de la red para proporcionar 

resistencia y redundancia 

c) implementar firewalls que pueden filtrar el tráfico de 

VoIP 

d) restringir el acceso a la red VoIP a dispositivos 

autorizados 

NW5.4.3 Control: Los controles específicos de VoIP deben incluir: 

a) la separación de tráfico de voz utilizando redes 

virtuales de área local (VLAN) 

b) el aseguramiento de los dispositivos de VoIP (por 

ejemplo, teléfonos IP, IP PBX y routers) 

c) la exploración de vulnerabilidades de redes VoIP 

d) la encriptación de tráfico VoIP sensitivo 

e) el monitoreo de los registros de eventos de VoIP 

Tabla 17: Controles de seguridad recomendados para las entidades del Grupo 3. 

Página 197 de 207





6.6. Metodología de Clasificación y Control de Activos. 

La consultoría elaboró el documento Metodología de Clasificación de Activos, ver documento “Entregable 3 

- Anexo 1: Metodología de Clasificación de Activos”, el cual puede ser adoptado por las entidades 

proveedoras de servicios para la Estrategia de Gobierno en Línea. 

6.7. Enfoque para la Gestión del Riesgo. 

La gestión del riesgo es un proceso fundamental en todo el ciclo de gestión de la seguridad de la 

información. Las entidades del estado, mediante la implantación del sistema integrado de gestión y control 

han logrado mejorar el proceso. Por lo tanto, cada entidad puede aplicar la metodología que tiene 

establecida. La consultoría sin embargo, elaboró una Metodología de Gestión de Riesgos propuesta, ver 

documento “Entregable 4 - Anexo 2: Metodología de Gestión del riesgo”, el cual puede ser utilizado por las 

entidades que lo requieran. 

6.8. Recomendaciones Generales para la Gestión de Continuidad del Negocio. 

Asegurar la continuidad de los servicios de Gobierno en Línea es un requerimiento del presente Modelo de 

seguridad SGSI, por lo tanto, la consultoría elaboró una Guía para la Gestión de Continuidad del Negocio, 

ver documento “Entregable 4 - Anexo 3: recomendaciones generales continuidad negocio para las 

entidades del estado”. Adicionalmente, el ICONTEC generó la guía técnica GTC 176, Sistema de Gestión 

de Continuidad del Negocio, para establecer, implementar, operar, hacer seguimiento, revisar, mantener y 

mejorar, un sistema de gestión de la continuidad del negocio (SGCN). Estas guías se constituyen en apoyo 

y consejo para asegurar la continuidad de los servicios y trámites de Gobierno en Línea en las entidades 

públicas y privadas. 

6.9. Definición del Sistema de Gestión Documental 

Para orientar a las entidades en la implementación de la gestión documental para el Modelo de seguridad 

de la información SGSI, se elaboró el siguiente cuadro resumen, basado en los requisitos de 

documentación de la Norma Técnica Colombiana NTC-ISO/IEC 27001 y de la Norma Técnica de Calidad 

para la Gestión Pública NTCGP 1000:2004: 

Página 198 de 207

La documentación del Modelo SGSI debe incluir: 

• El alcance del SGSI 





CONTENIDO DEL SGSI 

• La declaración documentada de la política y objetivos del SGSI 

• Los procedimientos y controles que apoyan el SGSI 

• La descripción de la metodología de evaluación de riesgos 

• El informe de evaluación de riesgos resultante de aplicar la metodología de evaluación de riesgos a 

los activos de información de los servicios de Gobierno en Línea 

• El plan de tratamiento de riesgos 

• Los registros del SGSI (tener en cuenta el requisito 4.2.4 de la norma NTCGP 1000:2004) 

• La declaración de aplicabilidad (SOA) que contiene los objetivos de control y los controles 

contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento 

de riesgos, justificando inclusiones y exclusiones. 

CONTROL DE DOCUMENTOS 

Se debe establecer un procedimiento que defina las acciones de gestión necesarias para: 

• Aprobar los documentos antes de su publicación. 

• Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente. 

• Asegurar que se identifican los cambios y el estado de revisión actual de los documentos. 

• Asegurar que las versiones más recientes de los documentos pertinentes están disponibles en los 

puntos de uso. 

Página 199 de 207





• Asegurar que los documentos permanecen legibles y fácilmente identificables. 

• Asegurar que los documentos estén disponibles para quienes los necesiten y que se apliquen los 

procedimientos pertinentes de acuerdo con su clasificación, para su transferencia, almacenamiento 

y disposición final. 

• Asegurar que los documentos de origen externo estén identificados. 

• Asegurar que la distribución de documentos esté controlada. 

• Prevenir el uso no intencionado de documentos obsoletos y aplicarles una identificación adecuada 

en el caso de que se mantengan por cualquier razón. 

• Identificar e implementar las disposiciones legales aplicables sobre el control de documentos (Ley 

594 de 2000). 

CONTROL DE REGISTROS 

Se deben controlar los registros de acuerdo con los siguientes requisitos: 

• Los registros deben establecerse y mantenerse para proporcionar evidencia de la conformidad con 

los requisitos así como de la operación eficaz, eficiente y efectiva del SGSI 

• Los registros deben permanecer legibles, fácilmente identificables y recuperables. 

• Se debe establecer un procedimiento documentado para la identificación, almacenamiento, 

protección, recuperación, tiempo de retención y disposición de los registros acorde con las 

disposiciones legales vigentes sobre la materia, por ejemplo, la Ley 594 de 2000. 

• Se deben llevar registros del desempeño de los procesos, y de todos los casos de incidentes de 

seguridad significativos relacionados con el SGSI. 

Página 200 de 207





6.10. Recomendaciones para la Implementación del Modelo de Seguridad de la 

Información 

Para una efectiva implementación del modelo de seguridad de la información para la Estrategia de 

Gobierno en Línea, se recomienda tener en cuenta los siguientes factores críticos de éxito que plantea la 

norma ISO27002, los cuales son aplicables para este contexto y se presentan a continuación: 

6.10.1. Apoyo por parte de la Alta Dirección 

La Alta Dirección de la entidad es quién debe liderar el proceso de implantación y mejora continua del SGSI 

en cada entidad. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en 

primera instancia, riesgos para el negocio, es la Alta Dirección quien debe tomar decisiones sobre estos y 

su tratamiento o aceptación. Además, la implantación del modelo SGSI implicará cambios de mentalidad, 

de sensibilización, de procedimientos y planes de acción a corto, mediano y largo plazo. La Alta Dirección 

es la única responsable de apoyar y facilitar la implementación, gestión y mejora del Modelo SGSI en la 


Sin el apoyo decidido de la Alta Dirección, no es posible la implantación exitosa del Modelo de Seguridad 

de la Información para la Estrategia de Gobierno en Línea en la entidad. 

6.10.2. Compromiso de la Alta Dirección 

La Alta Dirección de cada entidad debe comprometerse con el establecimiento, implementación, 

operación, monitoreo, revisión, mantenimiento y mejora del modelo SGSI propuesto. Para ello, debe tomar 

las siguientes iniciativas: 

• Establecer y apoyar la política de seguridad de la información. 

• Asegurarse de que se establecen objetivos y planes del SGSI en su entidad. 

• Establecer roles y responsabilidades de seguridad de la información. 

• Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la 

información y de cumplir con la política de seguridad, como sus responsabilidades legales, 

contractuales y la necesidad de mejora continua. 

• Asignar suficientes recursos al Modelo SGSI en todas sus fases. 

• Decidir los criterios de aceptación de riesgos y sus correspondientes niveles. 

Página 201 de 207





• Asegurar que se realizan auditorias internas (seguimiento) y externas (autoridades de vigilancia y 

control). 

• Realizar revisiones periódicas al Modelo SGSI. 

• Asignación de recursos: Para el correcto desarrollo de todas las actividades relacionadas con 

el Modelo SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la alta 

dirección garantizar que se asignan los suficientes para: 

o Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el Modelo SGSI. 

o Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos 

de seguridad para la Estrategia de Gobierno en Línea. 

o Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones 

contractuales de seguridad. 

o Aplicar correctamente todos los controles implementados, manteniendo de esa forma la 

seguridad adecuada. 

o Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de 

las mismas. 

o Mejorar la eficacia del SGSI donde sea necesario. 

6.10.3. Formación y sensibilización 

La formación y la sensibilización en seguridad de la información son elementos básicos para el 

éxito del Modelo SGSI para la Estrategia de Gobierno en Línea. Por ello, la alta dirección de cada 

entidad deberá asegurar que todo el personal de su organización, al que se le asignen 

responsabilidades definidas en el Modelo SGSI, esté suficientemente capacitado y culturizado. Se deberá: 

• Determinar las competencias necesarias para el personal que realiza tareas en la implementación 

del Modelo SGSI. 

• Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej., 

contratación de personal ya capacitado. 

• Evaluar la eficacia de las acciones realizadas. 

• Mantener registros de estudios, formación, habilidades, experiencia y calificación. Además, la alta 

dirección debe asegurar que todo el personal relevante esté sensibilizado de la importancia de 

Página 202 de 207





sus actividades para la seguridad de la información y de cómo contribuye a la consecución de 

los objetivos del Modelo SGSI y por ende, a los de la organización. 

6.10.4. Revisión (Auditorias) del SGSI 

A la alta dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el 

Modelo SGSI, para asegurar que continúe siendo adecuado y eficaz y demuestre evolución. Para ello, debe 

recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: 

• Resultados de auditorias y revisiones del Modelo SGSI. 

• Observaciones de las partes interesadas. 

• Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia 

del SGSI. 

• Información sobre el estado de acciones preventivas y correctivas. 

• Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos 

anteriores. 

• Resultados de las mediciones de eficacia / métricas de seguridad. 

• Estado de las acciones iniciadas a raíz de revisiones anteriores de la alta dirección. 

• Cualquier cambio que pueda afectar al SGSI. 

• Recomendaciones de mejora. 

Basándose en toda esta información, la alta dirección debe revisar el cumplimiento actual del Modelo 

SGSI y tomar decisiones y acciones relativas a: 

• Mejora de la eficacia del SGSI –mejora de la madurez de los controles. 

• Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos. 

• Modificación de los procedimientos y controles que afecten a la seguridad de la información, en 

respuesta a cambios internos o externos en los requisitos normativos, requerimientos de seguridad, 

procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de 

aceptación de riesgos. 

Página 203 de 207





• Necesidades de recursos, implementación de controles recomendados. 

• Apoyar la implementación del plan de acción. 

• Disponer de políticas, objetivos y actividades de seguridad que reflejen la función misional de las 

entidades. 

• Disponer de un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar 

la seguridad de la información, que sean consistentes con la cultura de la organización. Apoyarse 

en el software de auto-evaluación para identificar aspectos por mejorar. 

• Asegurar soporte y compromiso visibles en toda la organización. 

• Asegurar un buen entendimiento de los requisitos de seguridad de la información apoyándose en 

metodologías para gestión de riesgos. Las entidades del estado disponen de la Guía de 

Administración de Riesgos del DAFP. Existe la norma técnica NTC 5244 Gestión del riesgo. 

Adicionalmente, la presente consultoría pone a disposición el documento: “Entregable 4, Anexo 2: 

Metodología de gestión del riesgo”. En el documento “Diagnóstico de la Situación Actual” se 

identifican otros documentos que se relacionan con la gestión de riesgos. 

• Realizar un mercadeo eficaz de la seguridad de la información para todos los directores, empleados 

y otras partes para lograr la sensibilización adecuada. 

• Distribuir guías sobre la política y las normas de seguridad de la información para todos los 

directores, empleados y otras partes. 

• Obtener provisión de fondos para las actividades de gestión de seguridad de la información. 

• Mantener programas continuos y adecuados de formación, educación y sensibilización. Apoyarse en 

el material de capacitación y sensibilización entregado por la presente consultoría (ver documento 

“Capacitación y sensibilización para el Modelo de Seguridad”. 

• Establecer un proceso eficaz para la gestión de incidentes de seguridad de la información. Se 

dispone de la guía técnica GTC 169 Gestión de Incidentes de Seguridad de la Información. Así 

mismo, apoyarse en el CSIRT para una efectiva respuesta a incidentes (ver documento “Diseño de 

un CSIRT Colombiano”). 

• Implementar un sistema de medición para evaluar el desempeño en la gestión de seguridad de la 

información y retroalimentar sugerencias para la mejora. Apoyarse en el software de autoevaluación, 

así como en guías internacionales tales como el documento NIST SP 800-55 

Performance Measuring Guide For Information Security. 

Por otra parte, la implementación de la seguridad de la información en los servicios de Gobierno en 

Línea requiere que se contemplen los requisitos de seguridad desde la fase de inicio de la concepción 

Página 204 de 207





del servicio. Se recomienda tener en cuenta los siguientes pasos, adoptados del documento e- 

Government Strategy Framework Policy and Guidelines 19 : 

• Desarrollo del concepto del servicio. Se identifican los elementos claves del servicio y cómo se 

va a prestar el servicio. Se identifican los dominios de seguridad que intervienen en la prestación 

del servicio (dominio del cliente, dominio de los servicio de Gobierno en Línea, dominio del 

prestador de servicios de Internet, etc.). Se identifican los requisitos de seguridad para el servicio 

basado en un análisis y evaluación de riesgos. Se evalúa si el concepto de servicio es posible desde 

la perspectiva de seguridad. Se considera qué tan bien trabajará el servicio con otros servicios de 

Gobierno en Línea. 

• Especificación de los requisitos del servicio y revisión del cumplimiento. La revisión 

detallada de los requisitos de seguridad se realiza paralelamente con el desarrollo y revisión de las 

especificaciones del servicio. Esta fase incluye un examen detallado de la información y la 

prestación de servicios activos, y un análisis de las amenazas y las vulnerabilidades. Los niveles de 

riesgo se determinan mediante la evaluación del impacto de amenazas tales como: la apropiación 

indebida de identidad del mundo real 20 ; la apropiación indebida de identidad electrónica 21 o 

credenciales de acceso; el incumplimiento de los compromisos contraídos; la divulgación de 

información privada; las fallas accidentales del servicio y / o de infraestructura; un ataque 

electrónico malicioso o involuntario. Se deben incluir requisitos para la retención y almacenamiento 

seguro de la información y cumplimiento de reglamentación vigente. 

• Diseño, implementación y pruebas del servicio. El diseño, la implementación y prueba de los 

requisitos de seguridad se realiza paralelamente al diseño, implementación y prueba del servicio. El 

diseño de la seguridad debe tener en cuenta la mitigación de riesgos seleccionando los controles 

más apropiados, limitando la arquitectura de manera que cubra sólo los servicios requeridos, se 

evalúe el riesgo residual y se consideren más controles hasta que el riesgo residual sea aceptable. 

La implementación del servicio incluye: el desarrollo y configuración de las medidas de seguridad, el 

establecimiento de los procesos de seguridad para el funcionamiento y la gestión del servicio 

incluyendo la auditoria y rendición de cuentas, el desarrollo y aprobación de la documentación de 

seguridad, la elaboración y aprobación de las guías para el manejo de la información asociada con 

el servicio específico, el desarrollo de declaraciones de seguridad y consejo para los clientes del 

19 http://www.govtalk.gov.uk/policydocs/policydocs_document.asp?docnum=649 último acceso 08/12/05 

20 Identidad del mundo real: conjunto de atributos (nombre, fecha de nacimiento, cedula de ciudadanía) que permite identificación única entre usuarios. 

21 Identidad electrónica: conjunto de atributos (nombre de usuario, identificador de certificado digital) que identifica a un único usuario en un sistema de 

computador. 

Página 205 de 207





servicio. Las pruebas de seguridad incluyen la comprobación de que la configuración del sistema es 

compatible con la política de seguridad. 

• Aceptación del servicio. Paralelo a la aceptación del servicio se realiza una acreditación de 

seguridad. 

• Prestación del servicio. Se debe garantizar la fiabilidad y disponibilidad del servicio en el 

mantenimiento rutinario del software. Se deben realizar auditorias periódicas para evaluar la 

efectividad de los controles e implementar las mejoras solicitadas. Se debe garantizar que se tenga 

en cuenta la seguridad en los cambios incrementales en el servicio. 

• Cierre del servicio. Se debe asegurar que los activos de información se transfieren a un nuevo 

servicio o se destruyen o se almacenan de forma segura de conformidad con las políticas 

específicas del servicio. 

Página 206 de 207






7. ANEXOS

MODELO DE SEGURIDAD - Gobierno en línea.

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?