CHECK LIST Ley 1581 de 2012 Página 1 de 11

Seguridad de la Información

1. Evaluación de la Política de Seguridad.

2. Organización de la Seguridad de la información.
3. Seguridad de los Recursos Humanos.
4. Gestión de Activos.
5. Control de Acceso.
6. Controles Criptográficos.
7. Seguridad Física y Ambiental.
8. Operaciones de Seguridad.
9. Seguridad de las Comunicaciones.
10. Información de Gestión de Incidentes de Seguridad.
 CHECK LIST Ley 1581 de 2012 Página 2 de 11

Área de auditoria, objetivo y pregunta Resultado

Ref.
Sección Evaluar los siguientes aspectos Si No Observaciones
1. Política de seguridad
1.1
Dirección de Gestión de la seguridad de la información.
¿Existe una Política de Seguridad de la Información, que es aprobada por la dirección,
Políticas para obtener
1.1.1 publicada y comunicada según proceda, a todos los empleados?
información de
¿Establecen las políticas un compromiso de la Gerencia con relación al método de la
seguridad
organización para la gestión de la seguridad de la información?
¿Las políticas de seguridad son revisadas a intervalos regulares, o cuando hay cambios
significativos para asegurar la adecuación y efectividad?
¿Las políticas de Seguridad de la Información tienen un propietario, que ha aprobado la
responsabilidad de la gestión para el desarrollo, revisión y evaluación de la política de
seguridad?
¿Los resultados de la revisión de la gestión son tenidos en cuenta?

¿Se obtiene la aprobación de la alta gerencia con relación a las políticas revisadas?
¿Existen procedimientos de revisión de las políticas de seguridad y estos incluyen
requerimientos para el manejo de su revisión?
¿Existe un documento de política de seguridad?
Revisión de las ¿La política de seguridad es coherente con la realidad de la organización?
1.1.2 políticas para obtener
información de ¿Los objetivos de seguridad están de acuerdo a las directrices de la política?
seguridad ¿La comunicación de la política es adecuada y se evidencia que es entendida por el
personal de la organización?
¿Los objetivos son medibles y están asociados a un indicador?

¿Existe un documento de los objetivos de seguridad?

¿Existe un manual de procedimientos y controles?

¿El documento de la política de seguridad incluye el alcance del sistema?

¿Los documentos son legibles e identificables?

¿Los documentos del sistema de seguridad se encuentran actualizados?
 CHECK LIST Ley 1581 de 2012 Página 3 de 11

2. Organización de la Seguridad de la información.

2.1 Organización de la seguridad de la información
La gerencia demuestra soporte activo a las medidas de seguridad dentro de la
organización. Esto puede ser realizado por direcciones claras, compromiso demostrado,
asignaciones explícitas y conocimiento de las responsabilidades de la seguridad de
información.
¿La alta dirección comunica a la organización la importancia de satisfacer los requisitos
de seguridad y los requisitos legales?
Seguridad de la
2.1.1
información funciones ¿La alta dirección establece la política de seguridad?
y responsabilidades.
¿Asegura el establecimiento de objetivos de la seguridad?
¿Asegura la disponibilidad de recursos para el aseguramiento del sistema?
¿Existe planes de concientización del sistema de seguridad a los empleados?

2.1.2 Segregación de Las actividades de seguridad de información son coordinadas por representantes de
funciones. distintas partes de la organización, con sus roles pertinentes y responsabilidades.
Asignación de ¿Están establecidas las responsabilidades de protección de activos individuales y llevar a
2.1.3 Responsabilidades de cabo procesos de seguridad específicos que estén claramente identificados y definidos?
Seguridad de
Información
la organización necesita de confidencialidad o Acuerdos de no Divulgación para
2.1.4 Acuerdos de protección de información que estén claramente definidos y revisados periódicamente
Confidencialidad ¿Tiene esta dirección la exigencia de proteger la información confidencial utilizando
términos legales exigibles?
3. Seguridad de los Recursos Humanos.
3.1 Antes del empleo
Existen controles de verificación de antecedentes de todos los candidatos a empleo y se
llevan a cabo de conformidad con las leyes, regulaciones y la ética, además deberán ser
3.1.1 Screening
proporcionales a los requerimientos del negocio, la clasificación de la información para ser
accedido y los riesgos.
Términos y
Existen acuerdos contractuales con los empleados y contratistas sobre sus
3.1.2 condiciones del
responsabilidades en la organización con la seguridad de la información.
empleo
3.2 Durante el empleo
 CHECK LIST Ley 1581 de 2012 Página 4 de 11

Responsabilidad de
3.2.1 Existe educación, sensibilización y formación en seguridad de la información.
gestión
Proceso disciplinario Existen sanciones o procesos disciplinarios formal y comunicado contra los empleados
3.2.2
que hayan cometido una violación de la seguridad de la información.
3.3 Terminación y cambio de empleo
La terminación o el
cambio de las Cuando un empleado tiene terminación de contrato o cambio de puesto, las
3.3.1
responsabilidades de responsabilidades de seguridad de la información son comunicadas.
empleo
4. Gestión de Activos.
4.1 Responsabilidad para los activos
Los activos relacionados con la información y el procesamiento en las instalaciones son
4.1.1 Inventario de activos
identificados y se elabora y mantiene un inventario de estos activos
La propiedad de los
4.1.2 Los activos conservados en el inventario son de propiedad de la organización.
activos.
4.2 Clasificación de la información
Clasificación de la La información se clasifica en función de los requisitos legales, criticidad y sensibilidad a
4.2.1
información. la divulgación o modificación no autorizada.
Etiquetado de la Existen procedimientos apropiados para el etiquetado de la información de acuerdo a la
4.2.2
información. clasificación adoptada por la empresa.
Manejo de activos. En la organización se realizan procedimientos para el manejo de los activos son
4.2.3 desarrollados e implementados de acuerdo con el esquema de clasificación de la
información adoptado por la empresa.
4.3 Manejo de medios
Gestión de los medios
Se aplican procedimientos para la gestión de medios extraíbles, de conformidad con el
4.3.1 de comunicación
sistema de clasificación adoptado por la organización.
extraíbles.
Eliminación de los
4.3.2 medios de Se utilizan procedimiento seguros para desechar los medios cuando ya no se requieran.
comunicación.
Transferencia de Los medios que contienen información están protegidos contra el acceso no autorizado, el
4.3.3
medios físicos uso indebido o la corrupción durante el transporte.
5. Control de Acceso
5.1
Requerimientos del negocio para control de acceso
 CHECK LIST Ley 1581 de 2012 Página 5 de 11

¿Los controles de acceso físico y lógico son tenidos en cuenta en las políticas de control
5.1.1 Política de control de de acceso?
acceso ¿Tanto a los usuarios como a los proveedores de servicios se les dio una clara
manifestación de los requisitos de la empresa en cuanto a control de acceso?
Acceso a las redes y ¿Los usuarios tienen acceso solo a la red y a los servicios que se les ha autorizados?
5.1.2
servicios de re
5.2
Administración de acceso de usuarios
¿Existe algún procedimiento formal de ingreso/retiro de usuarios para acceder a los
5.2.1
Registro de usuarios sistemas?
¿Para registrar un usuario en el sistema debe tener algún tipo de privilegio?
¿La asignación y uso de privilegios en los sistemas de información, es restringida y
5.2.2 Gestión de privilegios controlada con base a las necesidades de uso y dichos privilegios son solo otorgados bajo
un esquema formal de autorización?
Administración de La asignación y reasignación de contraseñas debe controlarse a través de un proceso de
5.2.3
contraseñas de gestión formal.
usuarios ¿Se les solicita a los usuarios que firmen un acuerdo de confidencialidad del password?
¿Existe un proceso de revisión de privilegios y derechos de acceso a intervalos
5.2.4 Revisión de roles de
regulares? Por ejemplo: Privilegios especiales cada 3 meses, privilegios normales cada 6
usuarios
meses.
5.3
Responsabilidad de usuarios
¿Existe alguna práctica de seguridad en el sitio para guiar a la selección y mantenimiento
5.3.1
Uso de contraseñas de contraseñas seguras?

5.4
Control de acceso a la red

5.4.1 Políticas sobre ¿Se les autoriza a los usuarios acceso únicamente a los servicios de red permitidos?
servicios de red ¿Existen políticas de seguridad relacionadas con la red y los servicios de la misma?
Autenticación de ¿Existen mecanismos apropiados de autenticación para controlar el acceso remoto de los
5.4.2
usuarios para usuarios?
conexiones externas
La red es segregada utilizando mecanismos de seguridad perimetral como firewalls?
5.4.3
Segregación en la red ¿En la segregación de la red son hechas las consideraciones para separar las redes
Wireless en internas y privadas?
¿Existen políticas de control de acceso que establezcan los controles que deben ser
5.4.4 Control de ruteo de realizados a los ruteos implementados en la red?
Red
¿Los controles de ruteo, están basados en mecanismos de identificación positiva de
 CHECK LIST Ley 1581 de 2012 Página 6 de 11

origen y destino?
5.5
Controles de acceso a Sistemas Operativos
5.5.1 Procedimientos de ¿Los accesos a sistemas operativos son controlados por procedimientos de log-on
Log-on seguro seguro?
¿Un único identificador de usuario (user ID) es suministrado a cada usuario incluyendo
operadores, administradores de sistemas y otros técnicos?
Identificación y
5.5.1 ¿Se eligen adecuadas técnicas de autenticación para demostrar la identidad declarada de
autenticación de
los usuarios?
usuarios
El uso de cuentas de usuario genéricas son suministradas sólo en circunstancias
especiales excepcionales, donde se especifican los beneficios claros de su utilización.
¿Existe un sistema de gestión de contraseñas que obliga al uso de controles como
5.5.2 Gestión de
contraseña individual para auditoría, periodicidad de caducidad, complejidad mínima,
contraseñas
almacenamiento encriptado, no despliegue de contraseñas por pantalla, etc.?
5.5.3 Utilidades de uso de ¿En caso de existir programas para saltarse los controles de aplicaciones de los sistemas,
sistemas estos están restringidos y bien controlados?
5.5.4 Expiración de ¿Las aplicaciones son cerradas luego de un periodo determinado de inactividad?
sesiones
Limitación de tiempo ¿Existen restricciones limitando el tiempo de conexión de aplicaciones de alto riesgo?
5.5.5
de conexión
6. Controles Criptográficos.
Política sobre el uso Existe una política para la implementación de controles criptográficos para la protección
6.1.1 de controles de información.
criptográficos.
Existe una política o procedimientos sobre el uso, la protección y el tiempo de vida de las
6.1.2 Gestión de claves.
claves criptográficas.
7. Seguridad Física y Ambiental
7.1 Áreas seguras
Controles físicos de ¿El acceso al área de procesamiento de información es controlada o puede ingresar
7.1.1
entrada cualquier persona ajena a la organización?
Aseguramiento de ¿Las salas de servidores u otros equipos de procesamiento (routers, switches, etc.), están
Oficinas, Salas de apropiadamente resguardadas bajo llave o en cabinas con llave?
7.1.2
Servidores e
Instalaciones
Protección contra ¿Tienen implementadas protecciones o resguardos contra fuego, inundaciones,
7.1.3 amenazas exteriores temblores, explosiones, manifestaciones y otras formas de desastres naturales o
y provocadas por el hombre?
 CHECK LIST Ley 1581 de 2012 Página 7 de 11

ambientales/climática
s
¿El área de procesamiento de información cuenta con áreas seguras que ayuden a
7.1.4 Trabajando en áreas preservar la seguridad de la información?
seguras ¿Se tienen procedimientos designados e implementados sobre cómo trabajar en las áreas
seguras?
Zonas de acceso ¿Con respecto a las zonas de acceso público, entrega, descarga donde personas no
7.1.5 público, entrega y autorizadas pueden acceder, las zonas de procesamiento de información y equipos
descarga delicados son aislados y asegurados para prevenir el acceso no autorizado?
7.2 Seguridad de equipos
Localización y ¿Los equipos son protegidos para reducir los riesgos de daños ambientales y
7.2.1
protección de equipos oportunidades de acceso no autorizado?
¿Los equipos son protegidos contra fallas eléctricas y otras fallas que pudieran tener
7.2.2 Utilidades soportadas (redundancia)?
¿Qué mecanismos de protección eléctrica son utilizados?
¿Los cables de suministro eléctrico y comunicaciones son debidamente protegidos contra
Cableado de intercepción y/o daños?
7.2.3
seguridad ¿Existen controles adicionales de seguridad con respecto al transporte de información
crítica?
Mantenimiento de A los equipos se les realiza mantenimiento correctivo y preventivo que asegura la
7.2.4
equipos continua disponibilidad e integridad.
Eliminación de ¿Para sacar un equipo, información o software fuera de la organización se requiere de
7.2.5
activos. previa autorización?
Seguridad de los Tiene seguridad los activos que se manipulan fuera de las instalaciones de la
equipos y los activos organización.
7.2.6
fuera de las
instalaciones.
Eliminación segura o Los artículos de aparatos que contienen soportes de almacenamiento son verificados para
7.2.7 reutilización de los asegurar que los datos sensibles y el software con licencia han sido eliminados o
equipos. sobrescrito de forma segura antes de su eliminación o reutilización.
Equipos con usuarios Los usuarios aseguran que los equipos sin vigilancia poseen una adecuada protección.
7.2.8
desatendidos.
Escritorio limpio y la Los escritorios mantienen libres de papeles y soportes de almacenamiento extraíbles.
7.2.9 política de pantalla
limpia.
8. Operaciones de Seguridad
8.1
Procedimientos y responsabilidades operacionales.
 CHECK LIST Ley 1581 de 2012 Página 8 de 11

Procedimientos Los procedimientos de operación deberán ser documentados y puestos a disposición de

8.1.1 operacionales los usuarios que los necesitan.
adecuadamente
documentados.
Los cambios en la organización, los procesos del negocio, procesamiento de la
8.1.2
Gestión del cambio información, instalaciones y sistemas que afectan la seguridad de la información son
controlados.
8.1.3 Gestión de la El uso de recursos esta supervisado y se ajusta a futuras necesidades que aseguran el
capacidad. rendimiento requerido del sistema.
8.2 Protección de malware
¿Existen controles para detección, prevención y recuperación contra código malicioso y
existen procedimientos apropiados de advertencia a los usuarios?
¿Se tiene software antivirus instalados?
Controles contra
8.2.1 ¿Los equipos cuentan con antivirus actualizado?
malware
¿Se realizan capacitaciones sobre la seguridad de la información?
¿En caso daños de información por causa de virus tienen algún procedimiento para su
recuperación y restablecimiento de la misma?
8.3
Copia de seguridad.
¿Se realizan copias de respaldo de la información y son testeados regularmente en
concordancia con las políticas de backup?
8.3.1 Copia de seguridad de ¿Existen procedimientos para la realización de las copias de seguridad?
la información. ¿Las copias de seguridad se realizan con periodicidad?
¿Las copias de seguridad se encuentran en diferentes ubicaciones?
¿Se realiza la restauración de copias de seguridad?
8.4
Manejo de medios
¿Existen procedimientos para el manejo de medios removibles como cintas, diskettes,
8.4.1 Manejo de medios tarjetas de memoria, lectores de CD, etc.?
removibles ¿Los procedimientos y niveles de autorización están claramente definidos y
documentados?
8.4.2 ¿En caso de que los medios ya no sean requeridos, estos son eliminados de forma
Disposición de medios
segura bajo procedimientos formalmente establecidos?
Procedimientos de ¿Existen procedimientos para el manejo del almacenamiento de la información?
8.4.3
manejo de la ¿La documentación de los sistemas está protegida contra acceso no autorizado?
información ¿Utilizan algunos medios de almacenamiento específicos?
 CHECK LIST Ley 1581 de 2012 Página 9 de 11

8.5
Intercambio de información
Políticas y ¿Existe una política formal, procedimientos y/o controles aplicados para asegurar la
procedimientos de protección a la información?
8.5.1
intercambio de ¿Estos procedimientos y controles cubren el uso de equipos de comunicación electrónica
información en el intercambio de información?
¿Existen acuerdos de intercambio de información y software entre la organización y
8.5.2 Acuerdos de partes externas?
intercambio ¿El contenido de los acuerdos con respecto a la seguridad refleja la sensibilidad y
criticidad de la información de negocio envuelta en el proceso?
8.5.3 Medios físicos en ¿Los medios físicos que contengan información es protegida contra acceso no
transito autorizado, mal uso o corrupción de datos durante el transporte entre las organizaciones?
8.5.4
Mensajería electrónica ¿La información que se envía por mensajería electrónica se encuentra protegida?
Sistema de
8.5.5 información ¿Manejan algún procedimiento o protocolo de seguridad cuando transportan información?
empresarial
8.6 Control del software operativo
La instalación de
Existen procedimientos implementados para controlar la instalación de software en los
8.6.1 software en los
sistemas operativos en la empresa.
sistemas operativos
9. Seguridad de las Comunicaciones
9.1
Gestión de la seguridad de red.
¿La red es administrada y controlada adecuadamente para protegerse de fraudes?
9.1.1
Controles de red ¿Existen controles implementados para asegurar el tránsito de la información en la red y
evitar que esta sea leída sin autorización?
¿Las características de seguridad, niveles de servicio y requerimientos de administración
Seguridad en los de todos los servicios de red son identificados e incluidos en cualquier acuerdo de
9.1.2
servicios de red servicio de red?
¿Los servicios de red cuentan con algún tipo de protección?
9.2
Transferencia de información
Políticas y ¿Existe procedimientos de seguridad para la transferencia de la información?
9.2.1 procedimientos para la ¿Para registrar un usuario en el sistema debe tener algún tipo de privilegio?
transferencia de
información.
 CHECK LIST Ley 1581 de 2012 Página 10 de 11

Acuerdos de Existen acuerdos sobre la transferencia segura de información empresarial entre la

9.2.2 transferencia de organización y las partes externas.
información.
9.2.3 Mensajería La información que se envía por mensajería electrónica está protegida contra
electrónica. interceptaciones.
Acuerdos de Existen requisitos para los acuerdos de confidencialidad o no divulgación que refleja las
9.2.4
confidencialidad o no necesidades de la organización para la protección de la información.
divulgación.
10. Información de Gestión de Incidentes de Seguridad
10.1
Reporte de eventos de seguridad y vulnerabilidades
¿Los eventos de seguridad de información, son reportados a través de los canales
Reportando eventos
10.1.1 correspondientes?
de seguridad de la
¿Son desarrollados e implementados procedimientos formales de reporte, respuesta y
información.
escalación en incidentes de seguridad?
Reportando ¿Existen procedimientos que aseguren que todos los empleados deben reportar cualquier
10.1.2
vulnerabilidades de la vulnerabilidad en la seguridad en los servicios o sistemas de información?
seguridad.
10.2 Gestión de incidentes de seguridad de la información y proceso de mejoras.
¿Están claramente establecidos los procedimientos y responsabilidades de gestión para
asegurar una rápida, efectiva y ordenada respuesta a los incidentes de seguridad de
Responsabilidades y
10.2.1
información?
procedimientos.
¿Es utilizado el monitoreo de sistemas, alertas y vulnerabilidades para detectar incidentes
de seguridad?
¿Existen mecanismos establecidos para identificar y cuantificar el tipo, volumen y costo
Aprendiendo de los
de los incidentes de seguridad?
10.2.2 incidentes de
¿La información obtenida de la evaluación de incidentes de seguridad que ocurrieron en
seguridad de la
el pasado, es utilizada para determinar el impacto recurrente de incidencia y corregir
información.
errores?
Si las medidas de seguimiento contra una persona u organización después de un
incidente de seguridad de la información implica una acción legal (ya sea civil o penal)
10.2.3 ¿Las evidencias relacionadas con incidentes, son recolectadas, retenidas y presentadas
Recolección de
conforme las disposiciones legales vigentes en las jurisdicciones pertinentes?
evidencia
¿Los procedimientos internos son desarrollados y seguidos al pie de la letra cuando se
debe recolectar y presentar evidencia para propósitos disciplinarios dentro de la
organización?
CHECK LIST Ley 1581 de 2012 Página 11 de 11