Controles de Seguridad y

Privacidad de la Información

Guía No. 8
 HISTORIA

VERSIÓN FECHA CAMBIOS INTRODUCIDOS

1.0.0 15/12/2010 Versión inicial del documento

2.0.0 30/09/2011 Restructuración de forma
2.0.1 30/11/2011 Actualización del documento
3.0.0 08/01/2015 Actualización según restructuración del modelo
3.0.1 14/03/2016 Revisión y actualización
 TABLA DE CONTENIDO

PÁG.

HISTORIA.......................................................................................................................... 2
TABLA DE CONTENIDO ................................................................................................... 3
1. DERECHOS DE AUTOR ............................................................................................ 4
2. AUDIENCIA ................................................................................................................ 5
3. INTRODUCCIÓN ........................................................................................................ 6
4. OBJETIVO .................................................................................................................. 7
5. ALCANCE .................................................................................................................. 8
6. TABLA DE CONTROLES ........................................................................................... 9
7. DECLARACIÓN DE APLICABILIDAD....................................................................... 18
 1. DERECHOS DE AUTOR

Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de

TI, con derechos reservados por parte del Ministerio de Tecnologías de la
Información y las Comunicaciones, a través de la estrategia de Gobierno en Línea.

Todas las referencias a las políticas, definiciones o contenido relacionado,

publicadas en la norma técnica colombiana NTC ISO/IEC 27001:2013, así como a
los anexos con derechos reservados por parte de ISO/ICONTEC.
 2. AUDIENCIA

Entidades públicas de orden nacional y entidades públicas del orden territorial, así
como proveedores de servicios de Gobierno en Línea, y terceros que deseen
adoptar el Modelo de Seguridad y Privacidad de TI en el marco de la Estrategia de
Gobierno en Línea.
 3. INTRODUCCIÓN

El Modelo de Seguridad y Privacidad de la Información en la fase de Planificación

se realiza la selección de controles, y durante la fase Implementación se ejecuta la
implementación de controles de seguridad de la información, por lo cual se cuenta
con el anexo de controles del estándar ISO 27002.

El documento presenta los objetivos de control del estándar ISO 27002.

La información es un recurso que, como el resto de los activos, tiene valor para el
organismo y por consiguiente debe ser debidamente protegida. Las políticas de
seguridad y privacidad de la información protegen a la misma de una amplia gama
de amenazas, a fin de garantizar la continuidad de los sistemas de información,
minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos
de las entidades del Estado.

Es importante que los principios de la política de seguridad y privacidad descritos

en el presente documento se entiendan y se asimilen al interior de las entidades
como una directriz de Gobierno que será exitosa en la medida que se cuente con
un compromiso manifiesto de la máxima autoridad en cada entidad.
 4. OBJETIVO

Proteger la información de las entidades del Estado, los mecanismos utilizados para
el procesamiento de la información, frente a amenazas internas o externas,
deliberadas o accidentales, con el fin de asegurar el cumplimiento de la
confidencialidad, integridad, disponibilidad y confiabilidad de la información.

OBJETIVO DE LAS ENTIDADES:

Establecer, implementar, operar, monitorear, revisar, mantener y mejorar un

sistema de gestión de seguridad de la información dentro de las entidades del
Estado, que reporte a nivel central su estado de avance.

Fomentar la consulta y cooperación con organismos especializados para la

obtención de asesoría en materia de seguridad de la información.

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos a la

información propiedad de las entidades del Estado.
 5. ALCANCE

Este documento de políticas aplica a todas las entidades del Estado que estén
vinculadas de alguna manera, como usuarios o prestadores de servicios de la
estrategia de Gobierno en línea, a sus recursos, a sus procesos y al personal interno
o externo vinculado a la entidad a través de contratos o acuerdos.

TERCEROS:

Las entidades pueden requerir que terceros accedan a información interna, la

copien, la modifiquen, o bien puede ser necesaria la tercerización de ciertas
funciones relacionadas con el procesamiento de la información. En estos casos, los
terceros deben tener y las entidades les deben exigir, que se establezcan las
medidas adecuadas para la protección de la información de acuerdo a su
clasificación y análisis de riesgo.
 6. TABLA DE CONTROLES

La siguiente tabla, muestra la organización de los controles detallando los dominios

definidos en el componente de Planificación. SIEMPRE se deben mencionar los
controles correspondientes al Anexo A de la norma NTC: ISO/IEC 27001, cual trata
de los objetivos de control, y se estructurarán tal como lo muestra la Tabla 1:
Tabla 1. Estructura de controles

Política general

Seleccionado
Núm. Nombre Descripción / Justificación
/ Excepción

Nombre Control

Cada campo se define así:

 Núm.: Este campo identifica cada uno de los controles correspondientes al

Anexo A de la norma NTC: ISO/IEC 27001.
 Nombre: Este campo hace referencia al nombre del control que se debe
aplicar para dar cumplimiento a la política definida.
 Control: Este campo describe el control que se debe implementar con el fin
de dar cumplimiento a la política definida.
 Dominio: Este campo describe si el control aplica para uno o múltiples
dominios.
 Seleccionado / Excepción: El listado de controles además debe ser utilizado
para la generación de la declaración de aplicabilidad, donde cada uno de los
controles es justificado tanto si se implementa como si se excluye de ser
implementado, lo cual ayuda a que la entidad tenga documentado y de fácil
acceso el inventario de controles.
 Descripción / Justificación: El listado de controles cuenta con la descripción
de cada control en la tabla. Adicionalmente, es posible utilizarlo para la
generación de la declaración de aplicabilidad, donde cada uno de los
controles es justificado tanto si se implementa como si se excluye de ser
implementado.
 Tabla 2 – Controles del Anexo A del estándar ISO/IEC 27001:2013 y dominios a los que pertenece

Selección /
Núm. Nombre Descripción / Justificación
pción

xe
c
E
Objeto y campo de Seleccionar los controles dentro del proceso de implementación del
1
aplicación Sistema de Gestión de Seguridad de la Información - SGSI
La ISO/IEC 27000, es referenciada parcial o totalmente en el
2 Referencias normativas
documento y es indispensable para su aplicación.
Para los propósitos de este documento se aplican los términos y
3 Términos y definiciones
definiciones presentados en la norma ISO/IEC 27000.
La norma ISO/IEC 27000, contiene 14 numérales de control de
4 Estructura de la norma seguridad de la información que en su conjunto contienen más de 35
categorías de seguridad principales y 114 controles.
Políticas de seguridad de la
A.5
información
Directrices establecidas por Objetivo: Brindar orientación y apoyo por parte de la dirección, para la
A.5.1 la dirección para la seguridad de la información de acuerdo con los requisitos del negocio
seguridad de la información y con las leyes y reglamentos pertinentes.
Control: Se debería definir un conjunto de políticas para la seguridad
Políticas para la seguridad
A.5.1.1 de la información, aprobada por la dirección, publicada y comunicada
de la información
a los empleados y partes externas pertinentes.
Revisión de las políticas Control: Las políticas para seguridad de la información se deberían
A.5.1.2 para seguridad de la revisar a intervalos planificados o si ocurren cambios significativos,
información para asegurar su conveniencia, adecuación y eficacia continuas.
Organización de la
A.6
seguridad de la información
Objetivo: Establecer un marco de referencia de gestión para iniciar y
A.6.1 Organización interna controlar la implementación y la operación de la seguridad de la
información dentro de la organización.
Roles y responsabilidades
Control: Se deberían definir y asignar todas las responsabilidades de
A.6.1.1 para la seguridad de
la seguridad de la información.
información
Control: Los deberes y áreas de responsabilidad en conflicto se
deberían separar para reducir las posibilidades de modificación no
A.6.1.2 Separación de deberes
autorizada o no intencional, o el uso indebido de los activos de la
organización.
Contacto con las Control: Se deberían mantener los contactos apropiados con las
A.6.1.3 autoridades autoridades pertinentes.
Control: Es conveniente mantener contactos apropiados con grupos
Contacto con grupos de
A.6.1.4 de interés especial u otros foros y asociaciones profesionales
interés especial especializadas en seguridad.
Seguridad de la información Control: La seguridad de la información se debería tratar en la gestión
A.6.1.5
en la gestión de proyectos de proyectos, independientemente del tipo de proyecto.
Dispositivos móviles y Objetivo: Garantizar la seguridad del teletrabajo y el uso de
A.6.2 teletrabajo dispositivos móviles.
Control: Se deberían adoptar una política y unas medidas de
Política para dispositivos
A.6.2.1 seguridad de soporte, para gestionar los riesgos introducidos por el
móviles uso de dispositivos móviles.
Control: Se deberían implementar una política y unas medidas de
seguridad de soporte, para proteger la información a la que se tiene
A.6.2.2 Teletrabajo
acceso, que es procesada o almacenada en los lugares en los que se
realiza teletrabajo.
Seguridad de los recursos
A.7
humanos
Objetivo: Asegurar que los empleados y contratistas comprenden sus
A.7.1 Antes de asumir el empleo responsabilidades y son idóneos en los roles para los que se
consideran.
 Control: Las verificaciones de los antecedentes de todos los
candidatos a un empleo se deberían llevar a cabo de acuerdo con las
A.7.1.1 Selección leyes, reglamentos y ética pertinentes, y deberían ser proporcionales
a los requisitos de negocio, a la clasificación de la información a que
se va a tener acceso, y a los riesgos percibidos.
Control: Los acuerdos contractuales con empleados y contratistas,
Términos y condiciones del
A.7.1.2 deberían establecer sus responsabilidades y las de la organización en
empleo cuanto a la seguridad de la información.
Objetivo: Asegurarse de que los empleados y contratistas tomen
Durante la ejecución del
A.7.2 conciencia de sus responsabilidades de seguridad de la información y
empleo
las cumplan.
Control: La dirección debería exigir a todos los empleados y
Responsabilidades de la
A.7.2.1 contratistas la aplicación de la seguridad de la información de acuerdo
dirección
con las políticas y procedimientos establecidos por la organización.
Control: Todos los empleados de la organización, y en donde sea
Toma de conciencia, pertinente, los contratistas, deberían recibir la educación y la
A.7.2.2 educación y formación en la formación en toma de conciencia apropiada, y actualizaciones
seguridad de la información regulares sobre las políticas y procedimientos pertinentes para su
cargo.
Control: Se debería contar con un proceso disciplinario formal el cual
A.7.2.3 Proceso disciplinario debería ser comunicado, para emprender acciones contra empleados
que hayan cometido una violación a la seguridad de la información.
Terminación o cambio de Objetivo: Proteger los intereses de la organización como parte del
A.7.3
empleo proceso de cambio o terminación del contrato.
Control: Las responsabilidades y los deberes de seguridad de la
Terminación o cambio de
información que permanecen validos después de la terminación o
A.7.3.1 responsabilidades de
cambio de contrato se deberían definir, comunicar al empleado o
empleo
contratista y se deberían hacer cumplir.
A.8 Gestión de activos
Responsabilidad por los Objetivo: Identificar los activos organizacionales y definir las
A.8.1
activos responsabilidades de protección apropiadas.
Control: Se deberían identificar los activos asociados con la
A.8.1.1 Inventario de activos información y las instalaciones de procesamiento de información, y se
debería elaborar y mantener un inventario de estos activos.
Control: Los activos mantenidos en el inventario deberían tener un
A.8.1.2 Propiedad de los activos
propietario.
Control: Se deberían identificar, documentar e implementar reglas
A.8.1.3 Uso aceptable de los activos para el uso aceptable de información y de activos asociados con
información e instalaciones de procesamiento de información.
Control: Todos los empleados y usuarios de partes externas deberían
A.8.1.4 Devolución de activos devolver todos los activos de la organización que se encuentren a su
cargo, al terminar su empleo, contrato o acuerdo.
Objetivo: Asegurar que la información recibe un nivel apropiado de
Clasificación de la
A.8.2 protección, de acuerdo con su importancia para la organización.
información
Control: La información se debería clasificar en función de los
Clasificación de la
A.8.2.1 requisitos legales, valor, criticidad y susceptibilidad a divulgación o a
información modificación no autorizada.
Control: Se debería desarrollar e implementar un conjunto adecuado
de procedimientos para el etiquetado de la información, de acuerdo
A.8.2.2 Etiquetado de la información
con el esquema de clasificación de información adoptado por la
organización.
Control: Se deberían desarrollar e implementar procedimientos para el
A.8.2.3 Manejo de activos manejo de activos, de acuerdo con el esquema de clasificación de
información adoptado por la organización.
Control: Se deberían implementar procedimientos para la gestión de
Gestión de medios
A.8.3.1 medios removibles, de acuerdo con el esquema de clasificación
removibles
adoptado por la organización.
Control: Se debería disponer en forma segura de los medios cuando
A.8.3.2 Disposición de los medios
ya no se requieran, utilizando procedimientos formales.
Control: Los medios que contienen información se deberían proteger
Transferencia de medios
A.8.3.3 contra acceso no autorizado, uso indebido o corrupción durante el
físicos
transporte.
A.9 Control de acceso
Requisitos del negocio para Objetivo: Limitar el acceso a información y a instalaciones de
A.9.1
control de acceso procesamiento de información.
Control: Se debería establecer, documentar y revisar una política de
control de acceso con base en los requisitos del negocio y de
A.9.1.1 Política de control de acceso
seguridad de la información.

Control: Solo se debería permitir acceso de los usuarios a la red y a

Política sobre el uso de los
A.9.1.2 los servicios de red para los que hayan sido autorizados
servicios de red
específicamente.
Gestión de acceso de Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el
A.9.2
usuarios acceso no autorizado a sistemas y servicios.
Control: Se debería implementar un proceso formal de registro y de
Registro y cancelación del
A.9.2.1 cancelación de registro de usuarios, para posibilitar la asignación de
registro de usuarios
los derechos de acceso.
Control: Se debería implementar un proceso de suministro de acceso
Suministro de acceso de
A.9.2.2 formal de usuarios para asignar o revocar los derechos de acceso a
usuarios
todo tipo de usuarios para todos los sistemas y servicios.
Gestión de derechos de Control: Se debería restringir y controlar la asignación y uso de
A.9.2.3 acceso privilegiado derechos de acceso privilegiado.
Gestión de información de
Control: La asignación de la información secreta se debería controlar
A.9.2.4 autenticación secreta de
por medio de un proceso de gestión formal.
usuarios
Revisión de los derechos de Control: Los propietarios de los activos deberían revisar los derechos
A.9.2.5
acceso de usuarios de acceso de los usuarios, a intervalos regulares.
Control: Los derechos de acceso de todos los empleados y de
usuarios externos a la información y a las instalaciones de
Retiro o ajuste de los
A.9.2.6 procesamiento de información se deberían retirar al terminar su
derechos de acceso
empleo, contrato o acuerdo, o se deberían ajustar cuando se hagan
cambios.
Responsabilidades de los Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de
A.9.3
usuarios su información de autenticación.
Uso de la información de Control: Se debería exigir a los usuarios que cumplan las prácticas de
A.9.3.1 autenticación secreta la organización para el uso de información de autenticación secreta.
Control de acceso a
A.9.4 Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.
sistemas y aplicaciones
Control: El acceso a la información y a las funciones de los sistemas
Restricción de acceso
A.9.4.1 de las aplicaciones se debería restringir de acuerdo con la política de
Información
control de acceso.
Control: Cuando lo requiere la política de control de acceso, el acceso
Procedimiento de ingreso
A.9.4.2 a sistemas y aplicaciones se debería controlar mediante un proceso
seguro de ingreso seguro.
Sistema de gestión de Control: Los sistemas de gestión de contraseñas deberían ser
A.9.4.3
contraseñas interactivos y deberían asegurar la calidad de las contraseñas.
Control: Se debería restringir y controlar estrictamente el uso de
Uso de programas utilitarios programas utilitarios que pudieran tener capacidad de anular el
A.9.4.4
privilegiados sistema y los controles de las aplicaciones.

Control de acceso a códigos Control: Se debería restringir el acceso a los códigos fuente de los
A.9.4.5 fuente de programas programas.
A.10 Criptografía
Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para
A.10.1 Controles criptográficos proteger la confidencialidad, la autenticidad y/o la integridad de la
información.
Política sobre el uso de Control: Se debería desarrollar e implementar una política sobre el
A.10.1.1
controles criptográficos uso de controles criptográficos para la protección de la información.
Control: Se debería desarrollar e implementar una política sobre el
A.10.1.2 Gestión de llaves uso, protección y tiempo de vida de las llaves criptográficas durante
todo su ciclo de vida.
Seguridad física y del
A.11 entorno
 Objetivo: Prevenir el acceso físico no autorizado, el daño y la
A.11.1 Áreas seguras interferencia a la información y a las instalaciones de procesamiento
de información de la organización.
Control: Se deberían definir y usar perímetros de seguridad, y usarlos
Perímetro de seguridad
A.11.1.1 para proteger áreas que contengan información sensible o critica, e
física
instalaciones de manejo de información.
Control: Las áreas seguras se deberían proteger mediante controles
A.11.1.2 Controles físicos de entrada de entrada apropiados para asegurar que solamente se permite el
acceso a personal autorizado.
Seguridad de oficinas, Control: Se debería diseñar y aplicar seguridad física a oficinas,
A.11.1.3
recintos e instalaciones recintos e instalaciones.
Protección contra amenazas Control: Se debería diseñar y aplicar protección física contra
A.11.1.4 externas y ambientales desastres naturales, ataques maliciosos o accidentes.
Control: Se deberían diseñar y aplicar procedimientos para trabajo en
A.11.1.5 Trabajo en áreas seguras
áreas seguras.
Control: Se deberían controlar los puntos de acceso tales como áreas
de despacho y de carga, y otros puntos en donde pueden entrar
A.11.1.6 Áreas de despacho y carga
personas no autorizadas, y si es posible, aislarlos de las instalaciones
de procesamiento de información para evitar el acceso no autorizado.
Objetivo: Prevenir la perdida, daño, robo o compromiso de activos, y
A.11.2 Equipos
la interrupción de las operaciones de la organización.
Control: Los equipos deberían estar ubicados y protegidos para
Ubicación y protección de
A.11.2.1 reducir los riesgos de amenazas y peligros del entorno, y las
los equipos
oportunidades para acceso no autorizado.
Control: Los equipos se deberían proteger contra fallas de energía y
A.11.2.2 Servicios de suministro otras interrupciones causadas por fallas en los servicios de
suministro.
Control: El cableado de potencia y de telecomunicaciones que porta
A.11.2.3 Seguridad del cableado datos o soporta servicios de información debería estar protegido
contra interceptación, interferencia o daño.
Control: Los equipos se deberían mantener correctamente para
A.11.2.4 Mantenimiento de equipos
asegurar su disponibilidad e integridad continuas.
Control: Los equipos, información o software no se deberían retirar de
A.11.2.5 Retiro de activos su sitio sin autorización previa.
Control: Se deberían aplicar medidas de seguridad a los activos que
Seguridad de equipos y
se encuentran fuera de las instalaciones de la organización, teniendo
A.11.2.6 activos fuera de las
en cuenta los diferentes riesgos de trabajar fuera de dichas
instalaciones
instalaciones.
Control: Se deberían verificar todos los elementos de equipos que
Disposición segura o contengan medios de almacenamiento, para asegurar que cualquier
A.11.2.7
reutilización de equipos dato sensible o software con licencia haya sido retirado o sobrescrito
en forma segura antes de su disposición o reutilización.
Equipos de usuario Control: Los usuarios deberían asegurarse de que a los equipos
A.11.2.8 desatendidos desatendidos se les dé protección apropiada.
Control: Se debería adoptar una política de escritorio limpio para los
Política de escritorio limpio y
A.11.2.9 papeles y medios de almacenamiento removibles, y una política de
pantalla limpia
pantalla limpia en las instalaciones de procesamiento de información.
Seguridad de las
A.12
operaciones
Procedimientos
Objetivo: Asegurar las operaciones correctas y seguras de las
A.12.1 operacionales y
responsabilidades instalaciones de procesamiento de información.
Procedimientos de Control: Los procedimientos de operación se deberían documentar y
A.12.1.1
operación documentados poner a disposición de todos los usuarios que los necesiten.
Control: Se deberían controlar los cambios en la organización, en los
procesos de negocio, en las instalaciones y en los sistemas de
A.12.1.2 Gestión de cambios
procesamiento de información que afectan la seguridad de la
información.
Control: Para asegurar el desempeño requerido del sistema se
A.12.1.3 Gestión de capacidad debería hacer seguimiento al uso de los recursos, hacer los ajustes, y
hacer proyecciones de los requisitos sobre la capacidad futura.
Separación de los Control: Se deberían separar los ambientes de desarrollo, prueba y
A.12.1.4 ambientes de desarrollo, operación, para reducir los riesgos de acceso o cambios no
pruebas y operación autorizados al ambiente de operación.
 Objetivo: Asegurarse de que la información y las instalaciones de
Protección contra códigos procesamiento de información estén protegidas contra códigos
A.12.2 maliciosos.
maliciosos

Control: Se deberían implementar controles de detección, de

Controles contra códigos
A.12.2.1 prevención y de recuperación, combinados con la toma de conciencia
maliciosos apropiada de los usuarios, para proteger contra códigos maliciosos.
A.12.3 Copias de respaldo Objetivo: Proteger contra la perdida de datos.
Control: Se deberían hacer copias de respaldo de la información, del
Respaldo de información software e imágenes de los sistemas, y ponerlas a prueba
A.12.3.1
regularmente de acuerdo con una política de copias de respaldo
aceptada.
A.12.4 Registro y seguimiento Objetivo: Registrar eventos y generar evidencia.
Control: Se deberían elaborar, conservar y revisar regularmente los
A.12.4.1 Registro de eventos registros acerca de actividades del usuario, excepciones, fallas y
eventos de seguridad de la información.
Protección de la información Control: Las instalaciones y la información de registro se deberían
A.12.4.2
de registro proteger contra alteración y acceso no autorizado.
Control: Las actividades del administrador y del operador del sistema
Registros del administrador
A.12.4.3 se deberían registrar, y los registros se deberían proteger y revisar
y del operador
con regularidad.
Control: Los relojes de todos los sistemas de procesamiento de
información pertinentes dentro de una organización o ámbito de
A.12.4.4 sincronización de relojes
seguridad se deberían sincronizar con una única fuente de referencia
de tiempo.
Control de software
A.12.5 Objetivo: Asegurar la integridad de los sistemas operacionales.
operacional
Instalación de software en Control: Se deberían implementar procedimientos para controlar la
A.12.5.1 sistemas operativos instalación de software en sistemas operativos.
Gestión de la vulnerabilidad Objetivo: Prevenir el aprovechamiento de las vulnerabilidades
A.12.6
técnica técnicas.
Control: Se debería obtener oportunamente información acerca de las
Gestión de las vulnerabilidades técnicas de los sistemas de información que se usen;
A.12.6.1
vulnerabilidades técnicas evaluar la exposición de la organización a estas vulnerabilidades, y
tomar las medidas apropiadas para tratar el riesgo asociado.
Restricciones sobre la Control: Se deberían establecer e implementar las reglas para la
A.12.6.2 instalación de software instalación de software por parte de los usuarios.
Consideraciones sobre
Objetivo: Minimizar el impacto de las actividades de auditoría sobre
A.12.7 auditorias de sistemas de
información los sistemas operacionales.
Control: Los requisitos y actividades de auditoría que involucran la
Información controles de verificación de los sistemas operativos se deberían planificar y
A.12.7.1
auditoría de sistemas acordar cuidadosamente para minimizar las interrupciones en los
procesos del negocio.
Seguridad de las
A.13
comunicaciones
Gestión de la seguridad de Objetivo: Asegurar la protección de la información en las redes, y sus
A.13.1
las redes instalaciones de procesamiento de información de soporte.
Control: Las redes se deberían gestionar y controlar para proteger la
A.13.1.1 Controles de redes
información en sistemas y aplicaciones.
Control: Se deberían identificar los mecanismos de seguridad, los
Seguridad de los servicios niveles de servicio y los requisitos de gestión de todos los servicios de
A.13.1.2
de red red, e incluirlos en los acuerdos de servicios de red, ya sea que los
servicios se presten internamente o se contraten externamente.
Control: Los grupos de servicios de información, usuarios y sistemas
A.13.1.3 Separación en las redes
de información se deberían separar en las redes.
Transferencia de Objetivo: Mantener la seguridad de la información transferida dentro
A.13.2 información de una organización y con cualquier entidad externa.
Control: Se debería contar con políticas, procedimientos y controles
Políticas y procedimientos
de transferencia formales para proteger la transferencia de
A.13.2.1 de transferencia de
información mediante el uso de todo tipo de instalaciones de
información
comunicación.
 Control: Los acuerdos deberían tener en cuenta la transferencia
Acuerdos sobre
A.13.2.2 segura de información del negocio entre la organización y las partes
transferencia de información
externas.
Control: Se debería proteger adecuadamente la información incluida
A.13.2.3 Mensajería electrónica en la mensajería electrónica.
Control: Se deberían identificar, revisar regularmente y documentar
Acuerdos de
los requisitos para los acuerdos de confidencialidad o no divulgación
A.13.2.4 confidencialidad o de no
que reflejen las necesidades de la organización para la protección de
divulgación
la información.
Adquisición, desarrollo y
A.14
mantenimientos de sistemas
Objetivo: Asegurar que la seguridad de la información sea una parte
Requisitos de seguridad de integral de los sistemas de información durante todo el ciclo de vida.
A.14.1.1
los sistemas de información Esto incluye también los requisitos para sistemas de información que
prestan servicios en redes públicas.
Análisis y especificación de Control: Los requisitos relacionados con seguridad de la información
A.14.1.1 requisitos de seguridad de la se deberían incluir en los requisitos para nuevos sistemas de
información información o para mejoras a los sistemas de información existentes.
Control: La información involucrada en los servicios de aplicaciones
Seguridad de servicios de
que pasan sobre redes públicas se debería proteger de actividades
A.14.1.2 las aplicaciones en redes
fraudulentas, disputas contractuales y divulgación y modificación no
publicas
autorizadas.
Control: La información involucrada en las transacciones de los
Protección de transacciones servicios de las aplicaciones se debería proteger para evitar la
A.14.1.3 de los servicios de las transmisión incompleta, el enrutamiento errado, la alteración no
aplicaciones autorizada de mensajes, la divulgación no autorizada, y la duplicación
o reproducción de mensajes no autorizada.
Objetivo: Asegurar de que la seguridad de la información esté
Seguridad en los procesos
A.14.2 diseñada e implementada dentro del ciclo de vida de desarrollo de los
de desarrollo y soporte
sistemas de información.
Control: Se deberían establecer y aplicar reglas para el desarrollo de
A.14.2.1 Política de desarrollo seguro software y de sistemas, a los desarrollos que se dan dentro de la
organización.
Control: Los cambios a los sistemas dentro del ciclo de vida de
Procedimientos de control
A.14.2.2 desarrollo se deberían controlar mediante el uso de procedimientos
de cambios en sistemas formales de control de cambios.
Revisión técnica de las Control: Cuando se cambian las plataformas de operación, se
aplicaciones después de deberían revisar las aplicaciones críticas del negocio, y ponerlas a
A.14.2.3
cambios en la plataforma de prueba para asegurar que no haya impacto adverso en las
operación operaciones o seguridad de la organización.
Restricciones en los Control: Se deberían desalentar las modificaciones a los paquetes de
A.14.2.4 cambios a los paquetes de software, que se deben limitar a los cambios necesarios, y todos los
software cambios se deberían controlar estrictamente.
Control: Se deberían establecer, documentar y mantener principios
Principios de construcción
A.14.2.5 para la construcción de sistemas seguros, y aplicarlos a cualquier
de sistemas seguros actividad de implementación de sistemas de información.
Control: Las organizaciones deberían establecer y proteger
Ambiente de desarrollo adecuadamente los ambientes de desarrollo seguros para las tareas
A.14.2.6
seguro de desarrollo e integración de sistemas que comprendan todo el ciclo
de vida de desarrollo de sistemas.
Desarrollo contratado Control: La organización debería supervisar y hacer seguimiento de la
A.14.2.7
externamente actividad de desarrollo de sistemas contratados externamente.
Pruebas de seguridad de Control: Durante el desarrollo se deberían llevar a cabo pruebas de
A.14.2.8 sistemas funcionalidad de la seguridad.
Control: Para los sistemas de información nuevos, actualizaciones y
Prueba de aceptación de
A.14.2.9 nuevas versiones, se deberían establecer programas de prueba para
sistemas aceptación y criterios de aceptación relacionados.
A.14.3 Datos de prueba Objetivo: Asegurar la protección de los datos usados para pruebas.
Control: Los datos de ensayo se deberían seleccionar, proteger y
Protección de datos de controlar cuidadosamente.
A.14.3.1
prueba
 Relación con los
A.15
proveedores

Seguridad de la información Objetivo: Asegurar la protección de los activos de la organización que

A.15.1 en las relaciones con los sean accesibles a los proveedores.
proveedores
Control: Los requisitos de seguridad de la información para mitigar los
Política de seguridad de la
riesgos asociados con el acceso de proveedores a los activos de la
A.15.1.1 información para las
organización se deberían acordar con estos y se deberían
relaciones con proveedores
documentar.
Control: Se deberían establecer y acordar todos los requisitos de
Tratamiento de la seguridad seguridad de la información pertinentes con cada proveedor que
A.15.1.2 dentro de los acuerdos con pueda tener acceso, procesar, almacenar, comunicar o suministrar
proveedores componentes de infraestructura de TI para la información de la
organización.
Control: Los acuerdos con proveedores deberían incluir requisitos
Cadena de suministro de
para tratar los riesgos de seguridad de la información asociados con
A.15.1.3 tecnología de información y
la cadena de suministro de productos y servicios de tecnología de
comunicación
información y comunicación.
Gestión de la prestación de Objetivo: Mantener el nivel acordado de seguridad de la información y
A.15.2 servicios con los de prestación del servicio en línea con los acuerdos con los
proveedores proveedores.
Seguimiento y revisión de
Las organizaciones deberían hacer seguimiento, revisar y auditar con
A.15.2.1 los servicios de los
proveedores regularidad la prestación de servicios de los proveedores.
Control: Se deberían gestionar los cambios en el suministro de
servicios por parte de los proveedores, incluido el mantenimiento y la
Gestión de cambios en los mejora de las políticas, procedimientos y controles de seguridad de la
A.15.2.2
servicios de proveedores información existentes , teniendo en cuenta la criticidad de la
información, sistemas y procesos del negocio involucrados, y la
revaloración de los riesgos.
Gestión de incidentes de
A.16
seguridad de la información
Gestión de incidentes y Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de
A.16.1 mejoras en la seguridad de incidentes de seguridad de la información, incluida la comunicación
la información sobre eventos de seguridad y debilidades.
Control: Se deberían establecer las responsabilidades y
Responsabilidad y
A.16.1.1 procedimientos de gestión para asegurar una respuesta rápida, eficaz
procedimientos y ordenada a los incidentes de seguridad de la información.
Control: Los eventos de seguridad de la información se deberían
Reporte de eventos de
A.16.1.2 informar a través de los canales de gestión apropiados, tan pronto
seguridad de la información
como sea posible.
Control: Se debería exigir a todos los empleados y contratistas que
Reporte de debilidades de usan los servicios y sistemas de información de la organización, que
A.16.1.3
seguridad de la información observen e informen cualquier debilidad de seguridad de la
información observada o sospechada en los sistemas o servicios.
Evaluación de eventos de Control: Los eventos de seguridad de la información se deberían
A.16.1.4 seguridad de la información evaluar y se debería decidir si se van a clasificar como incidentes de
y decisiones sobre ellos seguridad de la información.
Respuesta a incidentes de Control: Se debería dar respuesta a los incidentes de seguridad de la
A.16.1.5
seguridad de la información información de acuerdo con procedimientos documentados.
Aprendizaje obtenido de los Control: El conocimiento adquirido al analizar y resolver incidentes de
A.16.1.6 incidentes de seguridad de seguridad de la información se debería usar para reducir la posibilidad
la información o el impacto de incidentes futuros.
Control: La organización debería definir y aplicar procedimientos para
A.16.1.7 Recolección de evidencia la identificación, recolección, adquisición y preservación de
información que pueda servir como evidencia.
Aspectos de seguridad de la
A.17 información de la gestión de
continuidad de negocio
Objetivo: La continuidad de seguridad de la información se debería
Continuidad de seguridad de
A.17.1 incluir en los sistemas de gestión de la continuidad de negocio de la
la información
organización.
 Control: La organización debería determinar sus requisitos para la
Planificación de la
seguridad de la información y la continuidad de la gestión de la
A.17.1.1 continuidad de la seguridad
seguridad de la información en situaciones adversas, por ejemplo,
de la información
durante una crisis o desastre.
Control: La organización debería establecer, documentar,
Implementación de la
implementar y mantener procesos, procedimientos y controles para
A.17.1.2 continuidad de la seguridad
asegurar el nivel de continuidad requerido para la seguridad de la
de la información
información durante una situación adversa.
Verificación, revisión y Control: La organización debería verificar a intervalos regulares los
evaluación de la continuidad controles de continuidad de la seguridad de la información
A.17.1.3
de la seguridad de la establecidos e implementados, con el fin de asegurar que son validos
información y eficaces durante situaciones adversas.
Objetivo: Asegurar la disponibilidad de instalaciones de
A.17.2 Redundancias
procesamiento de información.
Disponibilidad de
Control: Las instalaciones de procesamiento de información se
instalaciones de
A.17.2.1 deberían implementar con redundancia suficiente para cumplir los
procesamiento de
requisitos de disponibilidad.
información.
A.18 Cumplimiento
Objetivo: Evitar el incumplimiento de las obligaciones legales,
Cumplimiento de requisitos
A.18.1 estatutarias, de reglamentación o contractuales relacionadas con
legales y contractuales
seguridad de la información, y de cualquier requisito de seguridad.
Control: Todos los requisitos estatutarios, reglamentarios y
Identificación de la contractuales pertinentes, y el enfoque de la organización para
A.18.1.1 legislación aplicable y de los cumplirlos, se deberían identificar y documentar explícitamente y
requisitos contractuales mantenerlos actualizados para cada sistema de información y para la
organización.
Control: Se deberían implementar procedimientos apropiados para
Derechos de propiedad asegurar el cumplimiento de los requisitos legislativos, de
A.18.1.2
intelectual reglamentación y contractuales relacionados con los derechos de
propiedad intelectual y el uso de productos de software patentados.
Control: Los registros se deberían proteger contra perdida,
destrucción, falsificación, acceso no autorizado y liberación no
A.18.1.3 Protección de registros
autorizada, de acuerdo con los requisitos legislativos, de
reglamentación, contractuales y de negocio.
Control: Cuando sea aplicable, se deberían asegurar la privacidad y la
Privacidad y protección de
A.18.1.4 protección de la información de datos personales, como se exige en la
datos personales
legislación y la reglamentación pertinentes.
Reglamentación de Control: Se deberían usar controles criptográficos, en cumplimiento de
A.18.1.5 controles criptográficos todos los acuerdos, legislación y reglamentación pertinentes.
Objetivo: Asegurar que la seguridad de la información se implemente
Revisiones de seguridad de
A.18.2 y opere de acuerdo con las políticas y procedimientos
la información organizacionales.
Control: El enfoque de la organización para la gestión de la seguridad
de la información y su implementación (es decir, los objetivos de
Revisión independiente de la control, los controles, las políticas, los procesos y los procedimientos
A.18.2.1
seguridad de la información para seguridad de la información) se deberían revisar
independientemente a intervalos planificados o cuando ocurran
cambios significativos.
Control: Los directores deberían revisar con regularidad el
Cumplimiento con las
cumplimiento del procesamiento y procedimientos de información
A.18.2.2 políticas y normas de
dentro de su área de responsabilidad, con las políticas y normas de
seguridad
seguridad apropiadas, y cualquier otro requisito de seguridad.
Control: Los sistemas de información se deberían revisar
Revisión del cumplimiento
A.18.2.3 periódicamente para determinar el cumplimiento con las políticas y
técnico normas de seguridad de la información.
 7. DECLARACIÓN DE APLICABILIDAD

La Declaración de Aplicabilidad, por sus siglas en ingles Statement of Applicability

(SoA), es un elemento fundamental para la implementación del Modelo de
Seguridad y Privacidad de la Información.

 La declaración de aplicabilidad se debe realizar luego del tratamiento de riesgos,

y a su vez es la actividad posterior a la evaluación de riesgos.
 La declaración de aplicabilidad debe indicar si los objetivos de control y los
controles se encuentran implementados y en operación, los que se hayan
descartado, de igual manera se debe justificar por qué algunas medidas han sido
excluidas (las innecesarias y la razón del por qué no son requerías por la
Entidad).

Dentro de las actividades a seguir, después de la selección de los controles de

seguridad, se procede a crear el plan de tratamiento de riesgos, esto con la finalidad
de definir las actividades necesarias para la aplicación de los controles de
seguridad.

A continuación se presenta un ejemplo de formato de Declaración de aplicabilidad:

Aprobado
Objetivo de Objetivo de
por la alta
control o Razón de control o Justificación
dirección
control la control de Referencia
Firma
seleccionado Selección Implementado exclusión
director de
Si/No Si/No
la entidad

Dominio A.5 Políticas de seguridad de la información

A. 5.1 Directrices
Objetivo establecidas por la
de dirección para la
control seguridad de la
información
A. 5.1.1 Políticas
Control para la seguridad de
la información
A. 5.1.2 Revisión de
las políticas para
Control
seguridad de la
información

Tabla 3. Formato Ejemplo Declaración de Aplicabilidad.