Académique Documents
Professionnel Documents
Culture Documents
Seguridad de la Información
¿Se obtiene la aprobación de la alta gerencia con relación a las políticas revisadas?
¿Existen procedimientos de revisión de las políticas de seguridad y estos incluyen
requerimientos para el manejo de su revisión?
¿Existe un documento de política de seguridad?
Revisión de las ¿La política de seguridad es coherente con la realidad de la organización?
1.1.2 políticas para obtener
información de ¿Los objetivos de seguridad están de acuerdo a las directrices de la política?
seguridad ¿La comunicación de la política es adecuada y se evidencia que es entendida por el
personal de la organización?
¿Los objetivos son medibles y están asociados a un indicador?
2.1.2 Segregación de Las actividades de seguridad de información son coordinadas por representantes de
funciones. distintas partes de la organización, con sus roles pertinentes y responsabilidades.
Asignación de ¿Están establecidas las responsabilidades de protección de activos individuales y llevar a
2.1.3 Responsabilidades de cabo procesos de seguridad específicos que estén claramente identificados y definidos?
Seguridad de
Información
la organización necesita de confidencialidad o Acuerdos de no Divulgación para
2.1.4 Acuerdos de protección de información que estén claramente definidos y revisados periódicamente
Confidencialidad ¿Tiene esta dirección la exigencia de proteger la información confidencial utilizando
términos legales exigibles?
3. Seguridad de los Recursos Humanos.
3.1 Antes del empleo
Existen controles de verificación de antecedentes de todos los candidatos a empleo y se
llevan a cabo de conformidad con las leyes, regulaciones y la ética, además deberán ser
3.1.1 Screening
proporcionales a los requerimientos del negocio, la clasificación de la información para ser
accedido y los riesgos.
Términos y
Existen acuerdos contractuales con los empleados y contratistas sobre sus
3.1.2 condiciones del
responsabilidades en la organización con la seguridad de la información.
empleo
3.2 Durante el empleo
CHECK LIST Ley 1581 de 2012 Página 4 de 11
Responsabilidad de
3.2.1 Existe educación, sensibilización y formación en seguridad de la información.
gestión
Proceso disciplinario Existen sanciones o procesos disciplinarios formal y comunicado contra los empleados
3.2.2
que hayan cometido una violación de la seguridad de la información.
3.3 Terminación y cambio de empleo
La terminación o el
cambio de las Cuando un empleado tiene terminación de contrato o cambio de puesto, las
3.3.1
responsabilidades de responsabilidades de seguridad de la información son comunicadas.
empleo
4. Gestión de Activos.
4.1 Responsabilidad para los activos
Los activos relacionados con la información y el procesamiento en las instalaciones son
4.1.1 Inventario de activos
identificados y se elabora y mantiene un inventario de estos activos
La propiedad de los
4.1.2 Los activos conservados en el inventario son de propiedad de la organización.
activos.
4.2 Clasificación de la información
Clasificación de la La información se clasifica en función de los requisitos legales, criticidad y sensibilidad a
4.2.1
información. la divulgación o modificación no autorizada.
Etiquetado de la Existen procedimientos apropiados para el etiquetado de la información de acuerdo a la
4.2.2
información. clasificación adoptada por la empresa.
Manejo de activos. En la organización se realizan procedimientos para el manejo de los activos son
4.2.3 desarrollados e implementados de acuerdo con el esquema de clasificación de la
información adoptado por la empresa.
4.3 Manejo de medios
Gestión de los medios
Se aplican procedimientos para la gestión de medios extraíbles, de conformidad con el
4.3.1 de comunicación
sistema de clasificación adoptado por la organización.
extraíbles.
Eliminación de los
4.3.2 medios de Se utilizan procedimiento seguros para desechar los medios cuando ya no se requieran.
comunicación.
Transferencia de Los medios que contienen información están protegidos contra el acceso no autorizado, el
4.3.3
medios físicos uso indebido o la corrupción durante el transporte.
5. Control de Acceso
5.1
Requerimientos del negocio para control de acceso
CHECK LIST Ley 1581 de 2012 Página 5 de 11
¿Los controles de acceso físico y lógico son tenidos en cuenta en las políticas de control
5.1.1 Política de control de de acceso?
acceso ¿Tanto a los usuarios como a los proveedores de servicios se les dio una clara
manifestación de los requisitos de la empresa en cuanto a control de acceso?
Acceso a las redes y ¿Los usuarios tienen acceso solo a la red y a los servicios que se les ha autorizados?
5.1.2
servicios de re
5.2
Administración de acceso de usuarios
¿Existe algún procedimiento formal de ingreso/retiro de usuarios para acceder a los
5.2.1
Registro de usuarios sistemas?
¿Para registrar un usuario en el sistema debe tener algún tipo de privilegio?
¿La asignación y uso de privilegios en los sistemas de información, es restringida y
5.2.2 Gestión de privilegios controlada con base a las necesidades de uso y dichos privilegios son solo otorgados bajo
un esquema formal de autorización?
Administración de La asignación y reasignación de contraseñas debe controlarse a través de un proceso de
5.2.3
contraseñas de gestión formal.
usuarios ¿Se les solicita a los usuarios que firmen un acuerdo de confidencialidad del password?
¿Existe un proceso de revisión de privilegios y derechos de acceso a intervalos
5.2.4 Revisión de roles de
regulares? Por ejemplo: Privilegios especiales cada 3 meses, privilegios normales cada 6
usuarios
meses.
5.3
Responsabilidad de usuarios
¿Existe alguna práctica de seguridad en el sitio para guiar a la selección y mantenimiento
5.3.1
Uso de contraseñas de contraseñas seguras?
5.4
Control de acceso a la red
5.4.1 Políticas sobre ¿Se les autoriza a los usuarios acceso únicamente a los servicios de red permitidos?
servicios de red ¿Existen políticas de seguridad relacionadas con la red y los servicios de la misma?
Autenticación de ¿Existen mecanismos apropiados de autenticación para controlar el acceso remoto de los
5.4.2
usuarios para usuarios?
conexiones externas
La red es segregada utilizando mecanismos de seguridad perimetral como firewalls?
5.4.3
Segregación en la red ¿En la segregación de la red son hechas las consideraciones para separar las redes
Wireless en internas y privadas?
¿Existen políticas de control de acceso que establezcan los controles que deben ser
5.4.4 Control de ruteo de realizados a los ruteos implementados en la red?
Red
¿Los controles de ruteo, están basados en mecanismos de identificación positiva de
CHECK LIST Ley 1581 de 2012 Página 6 de 11
origen y destino?
5.5
Controles de acceso a Sistemas Operativos
5.5.1 Procedimientos de ¿Los accesos a sistemas operativos son controlados por procedimientos de log-on
Log-on seguro seguro?
¿Un único identificador de usuario (user ID) es suministrado a cada usuario incluyendo
operadores, administradores de sistemas y otros técnicos?
Identificación y
5.5.1 ¿Se eligen adecuadas técnicas de autenticación para demostrar la identidad declarada de
autenticación de
los usuarios?
usuarios
El uso de cuentas de usuario genéricas son suministradas sólo en circunstancias
especiales excepcionales, donde se especifican los beneficios claros de su utilización.
¿Existe un sistema de gestión de contraseñas que obliga al uso de controles como
5.5.2 Gestión de
contraseña individual para auditoría, periodicidad de caducidad, complejidad mínima,
contraseñas
almacenamiento encriptado, no despliegue de contraseñas por pantalla, etc.?
5.5.3 Utilidades de uso de ¿En caso de existir programas para saltarse los controles de aplicaciones de los sistemas,
sistemas estos están restringidos y bien controlados?
5.5.4 Expiración de ¿Las aplicaciones son cerradas luego de un periodo determinado de inactividad?
sesiones
Limitación de tiempo ¿Existen restricciones limitando el tiempo de conexión de aplicaciones de alto riesgo?
5.5.5
de conexión
6. Controles Criptográficos.
Política sobre el uso Existe una política para la implementación de controles criptográficos para la protección
6.1.1 de controles de información.
criptográficos.
Existe una política o procedimientos sobre el uso, la protección y el tiempo de vida de las
6.1.2 Gestión de claves.
claves criptográficas.
7. Seguridad Física y Ambiental
7.1 Áreas seguras
Controles físicos de ¿El acceso al área de procesamiento de información es controlada o puede ingresar
7.1.1
entrada cualquier persona ajena a la organización?
Aseguramiento de ¿Las salas de servidores u otros equipos de procesamiento (routers, switches, etc.), están
Oficinas, Salas de apropiadamente resguardadas bajo llave o en cabinas con llave?
7.1.2
Servidores e
Instalaciones
Protección contra ¿Tienen implementadas protecciones o resguardos contra fuego, inundaciones,
7.1.3 amenazas exteriores temblores, explosiones, manifestaciones y otras formas de desastres naturales o
y provocadas por el hombre?
CHECK LIST Ley 1581 de 2012 Página 7 de 11
ambientales/climática
s
¿El área de procesamiento de información cuenta con áreas seguras que ayuden a
7.1.4 Trabajando en áreas preservar la seguridad de la información?
seguras ¿Se tienen procedimientos designados e implementados sobre cómo trabajar en las áreas
seguras?
Zonas de acceso ¿Con respecto a las zonas de acceso público, entrega, descarga donde personas no
7.1.5 público, entrega y autorizadas pueden acceder, las zonas de procesamiento de información y equipos
descarga delicados son aislados y asegurados para prevenir el acceso no autorizado?
7.2 Seguridad de equipos
Localización y ¿Los equipos son protegidos para reducir los riesgos de daños ambientales y
7.2.1
protección de equipos oportunidades de acceso no autorizado?
¿Los equipos son protegidos contra fallas eléctricas y otras fallas que pudieran tener
7.2.2 Utilidades soportadas (redundancia)?
¿Qué mecanismos de protección eléctrica son utilizados?
¿Los cables de suministro eléctrico y comunicaciones son debidamente protegidos contra
Cableado de intercepción y/o daños?
7.2.3
seguridad ¿Existen controles adicionales de seguridad con respecto al transporte de información
crítica?
Mantenimiento de A los equipos se les realiza mantenimiento correctivo y preventivo que asegura la
7.2.4
equipos continua disponibilidad e integridad.
Eliminación de ¿Para sacar un equipo, información o software fuera de la organización se requiere de
7.2.5
activos. previa autorización?
Seguridad de los Tiene seguridad los activos que se manipulan fuera de las instalaciones de la
equipos y los activos organización.
7.2.6
fuera de las
instalaciones.
Eliminación segura o Los artículos de aparatos que contienen soportes de almacenamiento son verificados para
7.2.7 reutilización de los asegurar que los datos sensibles y el software con licencia han sido eliminados o
equipos. sobrescrito de forma segura antes de su eliminación o reutilización.
Equipos con usuarios Los usuarios aseguran que los equipos sin vigilancia poseen una adecuada protección.
7.2.8
desatendidos.
Escritorio limpio y la Los escritorios mantienen libres de papeles y soportes de almacenamiento extraíbles.
7.2.9 política de pantalla
limpia.
8. Operaciones de Seguridad
8.1
Procedimientos y responsabilidades operacionales.
CHECK LIST Ley 1581 de 2012 Página 8 de 11
8.5
Intercambio de información
Políticas y ¿Existe una política formal, procedimientos y/o controles aplicados para asegurar la
procedimientos de protección a la información?
8.5.1
intercambio de ¿Estos procedimientos y controles cubren el uso de equipos de comunicación electrónica
información en el intercambio de información?
¿Existen acuerdos de intercambio de información y software entre la organización y
8.5.2 Acuerdos de partes externas?
intercambio ¿El contenido de los acuerdos con respecto a la seguridad refleja la sensibilidad y
criticidad de la información de negocio envuelta en el proceso?
8.5.3 Medios físicos en ¿Los medios físicos que contengan información es protegida contra acceso no
transito autorizado, mal uso o corrupción de datos durante el transporte entre las organizaciones?
8.5.4
Mensajería electrónica ¿La información que se envía por mensajería electrónica se encuentra protegida?
Sistema de
8.5.5 información ¿Manejan algún procedimiento o protocolo de seguridad cuando transportan información?
empresarial
8.6 Control del software operativo
La instalación de
Existen procedimientos implementados para controlar la instalación de software en los
8.6.1 software en los
sistemas operativos en la empresa.
sistemas operativos
9. Seguridad de las Comunicaciones
9.1
Gestión de la seguridad de red.
¿La red es administrada y controlada adecuadamente para protegerse de fraudes?
9.1.1
Controles de red ¿Existen controles implementados para asegurar el tránsito de la información en la red y
evitar que esta sea leída sin autorización?
¿Las características de seguridad, niveles de servicio y requerimientos de administración
Seguridad en los de todos los servicios de red son identificados e incluidos en cualquier acuerdo de
9.1.2
servicios de red servicio de red?
¿Los servicios de red cuentan con algún tipo de protección?
9.2
Transferencia de información
Políticas y ¿Existe procedimientos de seguridad para la transferencia de la información?
9.2.1 procedimientos para la ¿Para registrar un usuario en el sistema debe tener algún tipo de privilegio?
transferencia de
información.
CHECK LIST Ley 1581 de 2012 Página 10 de 11