Ítem | Cuenta Con: | SI / NO | Descripción del Procedimiento |
1 | Sistema de Gestión de Seguridad Informática | SI | - Programas Antivirus y antispyware
- VPN
- Firewalls
|
2 | Qué nivel de certificación de estudios posee el Líder de Gerencia de la Información | SI | - Gerente de seguridad informática
- Gerente de proyectos
|
3 | Inventario de activos informáticos | SI | - Infraestructura
- Equipos de computo
- Cableado
- Dispositivos de red
- Antenas
- Servidores
|
4 | Matriz de riesgos de Seguridad Informática | SI | - Matriz que identifica el riesgo de acuerdo con la probabilidad de amenaza por la magnitud del daño, donde se representan 3 niveles de riesgos:
- Bajo riesgo
- Medio riesgo
- Alto riesgo
|
5 | Planes de mejoramiento de Seguridad Informática | SI | - Verificación en los sistemas de gestión de la información cada día.
|
6 | Plan de contingencia Seguridad de la Información | SI | - Copias de respaldo en la información más importante de la organización.
|
7 | Procedimiento de asignación de credenciales a los usuarios | SI | - Se manejan permisos para acceso a ciertos contenidos de la organización según los rangos de posición empresarial.
|
8 | Procedimiento de asignación de contraseñas a la red WIFI | NO | - Se utilizan varias redes WIFI pero, no diferentes contraseñas.
|
9 | Procedimiento de ingreso del personal a la Institución | SI | - Identificación de registro de entrada y salido con sistema de huella dactilar.
|
10 | Procedimiento de egreso del personal a la Institución | SI | |
11 | Procedimiento de generación de contraseñas | NO | - No se manejan contraseñas diferentes para cada persona de la empresa.
|
12 | Procedimiento de generación y restauración de Back Up | SI | - se realiza procedimiento de respaldo para la información.
|
13 | Procedimiento de Manejo de discos extraíbles | SI | - se cuenta con acceso restringido solo para personal autorizado en la gestión de la seguridad de la información.
|
14 | Procedimiento de control de acceso a internet | SI | |
15 | Cronograma de mantenimiento de activos informáticos | SI | - Se realizan mantenimientos cada semana en la verificación de los activos.
|
16 | Reportes de mantenimiento de activos informáticos | SI | - Informes físicos y digitales de cada mantenimiento
|
17 | Hojas de vida de activos informáticos | SI | - Se mantiene un archivo actualizado de los activos para identificar durabilidad, mantenimientos, cambios, entre otros…
|
18 | Compromiso de confidencialidad firmado por los funcionarios | SI | - Solo en el personal que tiene acceso a los activos informáticos y a la información.
|
19 | Actas de capacitación a los usuarios internos en Seguridad Informática | Si | - Trazabilidad de los seguimientos en proceso.
|
20 | Evidencias de capacitación a los usuarios internos en Seguridad Informática | SI | - Se realizan controles de seguimiento para su posterior evidencia.
|
21 | Política de escritorio limpio | SI | - Se exige a todo el personal asignado con acceso a los dispositivos una organización en sus labores y control de recursos.
|
22 | Manuales del Software de Gestión si se cuenta con él | NO | |
23 | Manual de funciones del personal de TIC (Si no lo hay describa las actividades de cada uno) | NO | - Se establecen funciones al personal de acuerdo con el cargo asignado y los permisos de acceso, se realiza por medio de contrato desde el primer momento de ingreso a la empresa.
|
24 | Programa de capacitaciones del área de sistemas al personal de la Institución | SI | - Se realizan capacitaciones establecidas y confirmadas por el área de talento humano.
|
25 | Procedimiento de asignación de credenciales a los usuarios que hacen uso del software de gestión | SI | - Se realizan asignaciones de credenciales para realizar el seguimiento de los procesos y actividades realizadas por el personal.
|
26 | Procedimiento de bloqueo de páginas de uso no institucional (Facebook, Twitter, YouTube, emisoras online, etc.) | SI | - Se bloquean o se niegan permisos para el acceso a ciertos sitios web no identificados para el buen desarrollo de la empresa.
|
27 | Procedimiento de acceso al centro de cómputo o servidores, infraestructura de red del área de tecnologías de la Información | Si | - Cada personal de la empresa se enfoca en cumplir ciertas actividades dentro del rango de permisos asignados por el área de gestión de seguridad informática.
|
28 | Procedimientos para el mantenimiento de Software | Si | - Se realizan actualizaciones de software siempre en las ultimas versiones o en ciertos casos en las versiones más estables.
- Cambio de contraseñas
- Eliminación de programas sin uso.
|
29 | Procedimientos de adquisición de nueva tecnología | SI | - Son tareas que cumple el área de gerencia comercial de la organización, con supervisión del área de seguridad informática.
|
30 | Procedimientos de actualización de la página web de la entidad | Si | - Se realizan actualizaciones diarias de la pagina de la empresa por requerimientos de los cambios en los procesos diarios.
|
31 | Procedimiento de acceso a la página web de la entidad | SI | - Cada personal de la empresa tiene asignado un usuario para realizar el correspondiente acceso a la página.
- Por otro lado, el acceso a la pagina desde la vista del cliente se determina con acceso a cierto contenido de la pagina que solo es publicitario.
|
32 | Procedimiento de conexión de dispositivos móviles al wifi de la Institución (Si se permite) | NO | |
33 | Procedimiento de conexión de unidades de memoria (USB) extraíbles a los equipos de cómputo | No | - no se restringe la conexión de unidades de memoria.
- Se realiza un seguimiento de las actividades, consultas o cualquier tipo de proceso que realice el personal en los equipos de cómputo.
|
34 | Procedimiento de uso aceptable de los activos informáticos | SI | - Se restringe al personal el mal uso tanto de la información como también de los sistemas informáticos.
|
35 | Procedimiento de documentación de pérdidas de información por parte de los usuarios | NO | - Se realizan copias de seguridad en los equipos generando un informe diario de la documentación
|
36 | Procedimiento de instalación de software en equipos y restricciones de instalación de software no institucional | Si | - Se deben proporcionar permisos para cualquier tipo de instalación dentro del sistema.
- Se requiere contraseña para permisos de acceso.
|
37 | Procedimiento de encriptación de mensajes de correo electrónico con información confidencial | SI | |
38 | Procedimiento de desarrollo de software seguro | SI | - Se implementan buenas prácticas de programación.
- Se establecen estructuras de programación con restricción a <Scripts>
|
39 | Procedimiento de establecimiento de proceso disciplinario contra empleados que de alguna u otra manera rompan la disponibilidad, confidencialidad e integridad de la información | Si | - Se recurre directamente a terminación de contrato, seguido de procesos penales.
- Se aplica la ley 1273
|
40 | Procedimiento de asignación de turnos para la atención de la unidad funcional de tecnologías de la Información | NO | - Se realiza procedimiento de la unidad de acuerdo a los casos establecidos para establecer estrategias inmediatas.
|
41 | Política de protección de datos personales | Si | - Se establece principalmente la ley de protección de los datos de la información (Ley 1273)
|
42 | Política o procedimientos para la protección de derechos de autor | Si | - Se establece Ley 23 de 1982
|
43 | Modelo de Seguridad y Privacidad de la Información | SI | - Planeación
- Plan de comunicaciones
- Plan de transición de ipv4 a ipv6
- Soporte
- Implementación
- Evaluación
- Mejora continua
|
44 | Procedimiento de Seguridad de la Información | SI | - Fase de evaluación del modelo de seguridad y privacidad de la información
|
45 | Procedimiento para establecer Roles y responsabilidades | Si | - La responsabilidad completa la debe asumir cada persona en la empresa de acuerdo con el área donde este asignado, ya que se involucra todo acto de mal procedimiento de actividades o mal uso de las tecnologías.
|
46 | Procedimiento para la Gestión Clasificación de Activos | Si | - Se realizan en la matriz de riesgos identificando los niveles de clasificación cada uno por aparte.
|
47 | Procedimiento para el manejo de la documentación (Gestión Documental) | Si | - La realiza el área encargada de calidad donde el personal preparado se hace responsable de la gestión de la información.
|
48 | Procedimiento para establecer y/o Gestionar los Riesgos del área de TIC | Si | - Se establecen estrategias que van ligadas con los parámetros establecidos por las áreas de las competencias y las actividades diarias.
|
49 | Enumere los controles implementados para garantizar la Seguridad de la Información | Si | - Políticas de seguridad
- Organización de los procesos
- Seguridad ligada al RRHH
- Gestión de los activos
- Controles de acceso
- Criptografías
- Seguridad de las comunicaciones
- Seguridad de la información de la relación con los proveedores.
- Cumplimiento legal.
|
50 | Cuales Indicadores Gestión de Seguridad de la Información posee la entidad, Descríbalos | Si | - Gestión del riesgo
- Control de la seguridad
- Ciclo de vida de los sistemas
- Seguridad en recursos humanos
- Protección de los activos
- Control de información saliente o entrante
- Mantenimiento y actualizaciones del hardware y el software
- Concienciación de los empleados
- Respuesta efectiva ante incidentes
|
51 | Procedimiento para Continuidad de Negocio | Si | - Por medio de capacitaciones que se realicen con el fin de responder al cualquier evento para mantener la continuidad de los niveles de negocio planeado.
|
52 | Procedimiento para realizar un análisis de Impacto de Negocio (Enfocado en las actividades del área de TIC) | Si | - Proceso del cual se encarga el área de gestión de calidad junto con el área de recursos humanos con el fin de generar impacto en la organización incentivando a crear buen clima organizacional para un buen proceso evolutivo.
|
53 | Procedimiento para establecer Seguridad en la Nube | Si | - Limitar la clasificación de la información
- Encriptación de datos
- Saber establecer contraseñas seguras.
|
54 | Plan de comunicación, sensibilización, capacitación | NO | |
55 | Programa, Plan y Procedimiento para la realización de Auditoria informática | Si | - Identificar los recursos técnicos necesarios
- Pruebas con diagramas de flujo para las pruebas funcionales.
|
56 | Procedimiento para establecer la evaluación de desempeño | Si | - Se realizan informes diarios que son enviados al área de calidad para evaluar los procesos realizados por cada personal.
|
57 | Procedimiento para establecer Mejora continúa alineada con los procesos de calidad de la organización (Planes de Mejora) | Si | - Se evalúan dentro del desempeño de cada empleado justificando las actividades en los procedimientos realizados.
|
58 | Lineamientos para las terminales de áreas financieras de la entidad (Áreas que manejen dinero) | Si | - Se encarga directamente el área financiera que implementa la selección de opciones mas convenientes para la empresa.
|
59 | Aseguramiento y/o Transición de protocolo IPv4_IPv6 (Avances en la transición) | Si | - Por cantidades de procesamiento, actualización y seguridad de la protección de los datos.
|
60 | Procedimiento para Gestión de Incidentes | SI | - Reporte y registro de eventos e incidentes
- Detección y análisis
- Contención
- Erradicación
- Recuperación
- Actividades post incidentes
|
61 | Normograma del área de gerencia de la información | Si | - Se realiza cumplimiento del ministerio de tecnologías de la información y las comunicaciones.
|
62 | Estado de Cumplimiento a la ley 1712 de 2014 | Si | - Se cumple con totalidad la transparencia de datos públicos en el manejo de la información e los datos.
|
63 | Control de cambios al software de la organización | SI | - Siempre que se realiza un cambio en el software se debe realizar informe con el daño el proceso y el aporte del cambio.
|
64 | Caracterización del área de TIC | Si | - Se generan soluciones y estrategias que involucran los diferentes puntos de vista de todas las áreas de la empresa.
|
65 | Política para el tratamiento de datos personales | Si | - Ley estatutaria 1581 del 17 de octubre de 2012
|
66 | Diseño topológico de la red | Si | |
67 | Plan de desarrollo tecnológico y de renovación de tecnología | NO | - Se contemplan actualizaciones de software, hardware, redes, bases de datos y costos del desarrollo.
|
68 | PETIC | SI | - Se crean estrategias de mejora para un logro a corto plazo y evolución en los procesos de la organización.
|
69 | Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información | Si | - Asegurando un control de cambios en la seguridad para la protección de los riegos que surgen en el tratamiento de datos.
|
70 | Plan Desarrollo Informático | Si | - Se mantienen el cumplimiento del uso y tratamiento de las tecnologías para hacer efectiva la misión y visión de la empresa.
|
71 | Manual de manejo de Residuos tecnológicos | Si | - Se realiza el respectivo proceso para el desecho de los residuos tecnológicos o residuos electrónicos.
|
72 | Sistema de Control de Acceso | SI | - Se establecen sistemas de seguridad par el control de acceso a los usuarios como:
- Autenticación de usuarios
- Gestión de privilegios
- Cifrado de información
|
73 | Manual de Sistemas de información | NO | - Hasta el momento no se cuenta con un manual para el uso de los sistemas de información.
|
74 | Registro nacional de base de datos | SI | - Administrado por la superintendencia de industria y comercio.
|
75 | | | |
76 | | | |
77 | | | |
78 | | | |
79 | | | |
80 | | | |
81 | | | |
82 | | | |
83 | | | |
84 | | | |
