actividades Responsables

Macroprocesos INDICADORES
Establecer la situación actual de la Porcentaje de objetivos de áreas funcionales que
organización, identificar su se alinean con los objetivos corporativos de la
direccionamiento estratégico que empresa
PLANEACIÓN ESTRATÉGICA permitan establecerse como insumo Numero de informes de resultados de consultoría
DE TI para la construcción de un buen en direccionamiento estratégico
esquema de gobierno de ti Número de planes estratégicos formulados por
áreas funcionales
Porcentaje de tiempo asignado a labores de
Definir el plan estratégico de TI donde se seguimiento y control a los planes de
plasme el nivel deseado de la direccionamiento estratégico
organización y la definición de proyectos Porcentaje de empleados informados y
encaminados al logro de los objetivos sensibilizados sobre los planes de
planteados, además que defina, en direccionamiento estratégico
cooperación con los interesados Número de alianzas con firmas auditoras y
relevantes, cómo TI contribuirá a los consultoras en procesos de direccionamiento
objetivos estratégicos de la empresa estratégico
(metas) así como los costos y riesgos Porcentaje de roles con puestos documentados y
relacionados. descripciones de autoridad
Porcentaje de iniciativas/proyectos de TI dirigidos
Analizar y conocer la situación inicial de por propietarios del negocio.
la organización en relación al gobierno
de las TI, mediante el uso de modelos Número de horas de capacitación por año de
de madurez. cada empleado relevante de TI
Comprender la cultura empresarial Nuero de miembros del consejo directivo con
de la toma de decisiones y entrenamiento o experiencia en gobierno de TI
determinar un modelo óptimo en la
toma de decisiones para TI.

Definir las políticas, lineamientos y

directrices que hacen parte de la
estrategia de Gobierno de TI, de
acuerdo con las políticas
institucionales.

Conformación de un comité de TI
donde se atribuyan funciones con
respecto a aspectos relacionados
con TI, que tenga participación en
todas las actividades de decisión de
TIC y se asegure de suministrar a
la alta dirección reportes de
rendimiento sobre el desempeño de
planes, políticas y actividades de
las TI.

Definir los roles y responsabilidades

en la estructura de TI, que tienen
 responsabilidades en la toma de
decisiones de TI

Determinar la relevancia de TI y su
papel con respecto al negocio.

Evaluar periódicamente si los Número de riesgos evaluados,

mecanismos para el gobierno de TI documentados
acordados (estructuras, principios, Porcentaje de personal de TI con
procesos, etc.) están establecidos conocimientos de los planes de seguridad y
y operando efectivamente. de los mecanismos para mitigar incidentes
Porcentaje de los controles de evaluación
Supervisar los mecanismos llevados a cabo
rutinarios y regulares para Nivel de implementación de normativas o
garantizar que el uso de TI cumple marcos de referencia para la gestión de
con las obligaciones relevantes seguridad informática
(regulatorias, legislación, leyes Nivel de idoneidad del personal de TI
comunes, contractuales), destinado a la seguridad de la información
GESTIÓN DE SEGURIDAD DE estándares y directrices. Porcentaje de activos de información que
INFORMACIÓN hacen parte del proceso de gestión de
Evaluar la efectividad del diseño seguridad informática
del gobierno e identificar las Porcentaje de iniciativas empresariales
acciones para rectificar cualquier apoyadas por el SGSI
desviación. Porcentaje de las iniciativas de seguridad
de la información que contiene estimación
Evaluar la efectividad de la coste/beneficio
integración y alineamiento de las Porcentaje de acuerdos con cláusulas se
estrategias de TI con los objetivos seguridad de la información
institucionales para asegurar si
este aportar valor.
Se deben identificar los activos
asociados con información e
instalaciones de procesamiento de
información y se deben elaborar y
mantener un inventario de estos activos.
Cada activo de información debe tener
su propietario, quienes son los
responsables del uso durante todo el
ciclo de vida
Se deben identificar, documentar e
implementar reglas para el uso
aceptable de información y de activos
asociados con información e
instalaciones de procesamiento de
información.
Se deben devolver los activos de la
organización que están a su cargo, una
vez terminado la contratación laboral. Se
debe formalizar la entrega
Se debe clasificar la información en
función de los requisitos legales, valor,
criticidad y susceptibilidad a divulgación
o modificación autorizada
Se debe desarrollar e implementar un
conjunto de procedimientos
para el
etiquetado de la información de acuerdo
con el esquema de clasificación de
información adoptado por la
organización
Se debe desarrollar e implementar
procedimientos para el manejo de
activos de acuerdo con el esquema de
clasificación de información adoptado
por la organización.
Se debe implementar procedimientos
para la gestión de medios removibles ya
que estos podrían almacenar
información confidencial
Los medios que contienen información
se deben proteger contra el acceso no
autorizado, uso indebido o corrupción
durante el transporte
Las redes se deben gestionar y
controlar para proteger la información
en sistemas y aplicaciones
Se deben identificar los mecanismos
de seguridad, los niveles de servicio y
los requisitos de gestión de todos los
servicios de red.
Los grupos de servicios de
información, usuarios y sistemas de
información se deben separar de las
redes.
Se debe contar con políticas,
procedimientos y controles de
transferencias formales para proteger
la transferencia de información
mediante el uso de todo tipo de
instalaciones de comunicación
Se debe proteger adecuadamente la
información incluida en la mensajería
electrónica
Se debe identificar, revisar
regularmente y documentar los
requisitos para los acuerdos de
confidencialidad o no divulgación que
reflejen las necesidades de la
organización para proteger la
información.
Se debe establecer, documentar y
revisar una política de control de acceso
con base en los requisitos del negocio y
de seguridad de la información
Sólo se debe permitir acceso a los
usuarios a la red y a los servicios de red
para los que hayan sido autorizados
específicamente
Se debe implementar un proceso formal
de
registro y de cancelación de registro
deusuarios, para posibilitar la asignación
de los derechos de acceso
Se debe implementar un proceso de
suministro de acceso formal de usuarios
para asignar o revocar los derechos de
acceso para todo tipo de usuarios para
todos los sistemas y servicios.
Se debe restringir y controlar la
asignación y uso de derechos de acceso
privilegiado.
La asignación de información de
autenticación secreta se debe controlar
por medio de un proceso de gestión
formal.
Los derechos de acceso de todos los
empleados y de usuarios externos a la
información y a las instalaciones de
procesamiento de información se deben
retirar al terminar su empleo, contrato o
acuerdo, o se deben ajustar cuando se
hagan cambios.
Se debe exigir a los usuarios que
cumplan con las prácticas de la
organización para el uso de información
de autenticación secreta.
El acceso a la información y a las
funciones de los sistemas de las
aplicaciones se debe restringir de
acuerdo con la política de control de
acceso.
Se debe restringir y controlar
estrictamente el uso de programas
utilitarios que podrían tener la capacidad
de anular el sistema y los controles de
las aplicaciones.
Se debe restringir el acceso a los
códigos fuentes de los programas.
Se debe desarrollar e implementar una
política sobre el uso de controles
criptográficos para la protección de la
información.
Se debe desarrollar e implementar una
política sobre el uso, protección y tiempo
de vida de las llaves criptográficas,
durante todo su ciclo de vida.
Se deben acordar y se deben
documentar los requisitos de seguridad
de la información para mitigar los riesgos
asociados con el acceso de proveedores
a los activos de la organización
Se deben establecer y acordar
todos los
requisitos de seguridad de la información
pertinentes con cada proveedor que
pueda tener acceso, procesar,
almacenar, comunicar o suministrar
componentes de infraestructura de TI
para la información de la organización.
Los acuerdos con los proveedores
deben incluir requisitos para tratar los
riesgos de seguridad de información
asociados con la cadena de suministro
de productos y servicios de tecnología
de información y comunicación.
Las organizaciones deben hacer
seguimiento, revisar y auditar con la
regularidad la prestación de servicios de
los proveedores.
Se deben gestionar los cambios en el
suministro de servicios por parte de los
proveedores, incluido el mantenimiento y
la mejora de las políticas,
procedimientos y controles de seguridad
de la información existentes, teniendo en
cuenta la criticidad de la información,
sistemas y procesos del negocio
involucrados y la reevaluación de
riesgos.
La organización debe determinar sus
requisitos para la seguridad de la
información y la continuidad de la
gestión de la seguridad de la información
en situaciones adversas, por ejemplo,
durante una crisis o desastre.
La organización debe establecer,
documentar, implementar y mantener
procesos, procedimientos y controles
para asegurar el nivel de continuidad
requerido para la seguridad de la
información durante una situación
adversa.
La organización debe verificar a
intervalos regulares los controles de
continuidad de la seguridad de la
información establecidos e
implementados, con el fin de asegurar
que son válidos y eficaces durante
situaciones adversas.
Los requisitos relacionados con
seguridad de la información se deben
incluir en los requisitos para nuevos
sistemas de información o para
mejoras a los sistemas de
información existentes.
La información involucrada en los
servicios de las aplicaciones que
pasan sobre redes públicas se debe
proteger de actividades fraudulentas,
disputas contractuales y divulgación y
modificación no autorizadas.
Se deben establecer y aplicar las
reglas para el desarrollo de software
y de sistemas, a los desarrollos
dentro de la organización.
Los cambios de sistemas dentro del
ciclo de vida de desarrollo se deben
controlar mediante el uso de
procedimientos formales de control
de cambios.
Se deben desalentar las
modificaciones de los paquetes de
software, los cuales se deben limitar
a los cambios necesarios, y todos los
cambios se deben controlar
estrictamente.
Se deben establecer, documentar y
mantener principios para la
construcción de sistemas seguros, y
aplicarlos a cualquier actividad de
implementación de sistemas de
información.
Las organizaciones deben establecer
y proteger adecuadamente los
ambientes de desarrollo seguros para
las actividades de desarrollo e
integración de sistemas que
comprendan todo el ciclo de vida de
desarrollo de sistemas.
La organización debe supervisar y
hacer seguimiento de la actividad de
desarrollo de sistemas contratados
externamente.
Durante el desarrollo se deben llevar
a cabo pruebas de funcionalidad de
seguridad.
Se debe realizar pruebas de
seguridad en base a los
requerimientos de seguridad de la
organización.
Los procedimientos de operación se
deben documentar y poner a
disposición de todos los usuarios
que los necesitan.
Se deben controlar los cambios en
la organización, en los procesos de
negocio, en las instalaciones y en
los sistemas de procesamiento de
información que afectan la
seguridad de la información
Se debe hacer seguimiento al uso
de recursos, hacer los ajustes, y
hacer proyecciones de los requisitos
de capacidad futura, para asegurar
el desempeño requerido por el
sistema.
Se deben separar los ambientes de
desarrollo, prueba y operación, para
reducir los riesgos de acceso o
cambios no autorizados al ambiente
de operación.
Se deben implementar controles de
detección,
de prevención y de recuperación,
combinados con la toma de
conciencia apropiada de los
usuarios, para proteger contra
códigos maliciosos.
Se debe hacer copias de respaldo
de información, software e
imágenes de los sistemas, y
ponerlos a prueba regularmente de
acuerdo con una política de copias
de respaldo acordadas
Se deben elaborar, conservar y
revisar regularmente los registros
acerca de actividades del usuario,
excepciones, fallas y eventos de
seguridad de la información.
Los registros de eventos deben ser
custodiados para prevenir
modificación no autorizada.
Las actividades del administrador y
del operador del sistema se deben
registrar, y los registros se deben
proteger y revisar con regularidad.
Se deben implementar
procedimientos para controlar la
instalación de software en sistemas
operativos.
Se debe obtener oportunamente
información acerca de las
vulnerabilidades técnicas de los
sistemas de información que se
usen; evaluar la exposición de la
organización a estas
vulnerabilidades, y tomar las
medidas apropiadas para tratar el
riesgo asociado.
Se debe establecer e implementar
las reglas para la instalación de
software por parte de los usuarios.
Las auditorías de los sistemas
deben ser acordadas, planeadas y
controladas sin interferir en el
desarrollo normal de los procesos.
Se debe desarrollar e implementar una
política sobre el uso de controles
criptográficos para la protección de la
información.
Se debe desarrollar e implementar una
política sobre el uso, protección y tiempo
de vida de las llaves criptográficas,
durante todo su ciclo de vida.
Se debe utilizar una gestión clave para
dar soporte al uso de las técnicas de
criptografía en la organización
Se debe implementar auditorías
internas en tiempos definidos.
Se debe realizar revisiones periódicas
del SGSI por la Dirección para
asegurar que el alcance sigue siendo
adecuado y que se han identificado
mejoras en el proceso del SGSI.
La oficina de control interno debe velar
por el estricto cumplimiento de los
planes de mejoramiento de los
procesos
Establecer los métodos para realizar el
seguimiento, medición, análisis y
evaluación de los procesos y controles
de seguridad del SGSI.
Definir un plan de auditoría interna que
permita medir el estado de la
seguridad de la información en base al
estándar ISO 27001:2013.
Determinar un plan de seguimiento
continuo de los procesos que lideran
las áreas de tecnología en base a la
seguridad de la información para
identificar su cumplimiento o en caso
contrario implementar acciones
correctivas necesarias para su buen
desempeño
Determinar y documentar las causas
de las no conformidades con el SGSI e
implementar acciones correctivas
identificando la vulnerabilidad.