Control de versiones y aprobaciones

Versión Fecha Autor Estado Revisado Por Aprobado por

Adriana Restrepo
Noviembre 02,
1.0 Diana Giraldo Aprobado Sandra Marcela Núñez Sandra Marcela Núñez
2015
Richard Ocampo
Adriana Restrepo
2.0 Mayo 18, 2016 Diana Giraldo Aprobado Sandra Marcela Núñez Sandra Marcela Núñez
Richard Ocampo

Sandra Marcela Núñez

3.0 Junio 23, 2016 Adriana Restrepo Aprobado Alejandro Urrea Sandra Marcela Núñez
Diana Giraldo

Alejandro Urrea
4.0 Marzo 08, 2017 Adriana Restrepo Aprobado Juan David Zuluaga
Diana Giraldo
Alejandro Urrea
5.0 28-Feb-18 Diana Giraldo Aprobado Juan David Zuluaga
Adriana Restrepo
Diana Giraldo
6.0 6-May-19 Maria Fernanda Aprobado Adriana Restrepo Juan David Zuluaga
Cuartas

7.0 Mayo 07 2020 Yenifer Giraldo Aprobado Yenifer Giraldo Eduardo Restrepo

8.0 Mayo 19 2020 Yenifer Giraldo Aprobado Yenifer Giraldo Eduardo Restrepo

9.0 Mayo 20 2020 Yenifer Giraldo Aprobado Yenifer Giraldo Eduardo Restrepo
10.0 Mayo 21 2020 Yenifer Giraldo Aprobado Yenifer Giraldo Eduardo Restrepo
11.0 Junio 01 2020 Yenifer Giraldo Aprobado Yenifer Giraldo Eduardo Restrepo
12.0 Junio 04 2020 Yenifer Giraldo Aprobado Yenifer Giraldo Eduardo Restrepo
13.0 Junio 08 2020 Yenifer Giraldo Aprobado Yenifer Giraldo Eduardo Restrepo
GSI.G-06/V 6.0/Junio 08 de 2020
Documento Confidencial
 Descripción Modificación

Creación del documento

Se actualiza la justificación de los controles

Se actualizan los tiempos verbales de las

justificaciones de los controles
Se actualiza el control de mantenimientos de
equipos se coloca como si aplica
Se hace revisión de la declaración y actualización
de las rutas de las evidencias.
Revisión de los ítems de aplicabilidad y
modificación de logos corporativos.

Actualización de rutas de backoffice por las nuevas

de la intranet corporativa.

Actualización de rutas en general

Actualización de rutas en general

Actualización de rutas en general

Actualización de rutas en general
Actualización de rutas en general
Actualización de rutas en general
Actualización de rutas en general
 La Alta Gerencia se Compromete a:
Cumplir con el mantenimiento, mejora, sostenibilidad y aplicación del Sistema de Gestión de la información, jun
sus políticas, procedimientos con la finalidad de proteger la organización de amenazas internas y externas y garan
cumplimiento de la confidencialidad, integridad y disponibilidad de la información.

Asegurar que se estén aplicando los controles de seguridad definidos por la política de seguridad de la informació
estos sean adecuados con las necesidades de la empresa y del mercado.

Asignar un responsable para auditar el Sistema de Gestión de la Seguridad y las actividades vinculadas con tecnolo
la información.

Garantizar que la política de seguridad de la información haya sido difundida a toda la compañía y que se
conocimiento de las implicaciones que tiene el no cumplimento de esta y sus anexos.

GSI.G-06/V 6.0/Junio 08 de 2020

Documento Confidencial
Alta Gerencia se Compromete a:
ora, sostenibilidad y aplicación del Sistema de Gestión de la información, junto con
finalidad de proteger la organización de amenazas internas y externas y garantizar el
integridad y disponibilidad de la información.

controles de seguridad definidos por la política de seguridad de la información, que

dades de la empresa y del mercado.

el Sistema de Gestión de la Seguridad y las actividades vinculadas con tecnologías de

dad de la información haya sido difundida a toda la compañía y que se tenga

e tiene el no cumplimento de esta y sus anexos.
 Caso 1

Un ex-empleado utiliza su antiguo acceso al correo electrónico para espiar y obtener una ventaja competitiva. Un hombre fue acusado de acc
informático de su anterior patrón y de leer mensajes del e-mail de los ejecutivos de la compañía, con el fin de obtener una ventaja comercial
competidor. El culpable había sido empleado de una empresa constructora. Después de dejar la firma para ir a trabajar para un competidor, u
la oficina de su patrón anterior para acceder a los sistemas informáticos en más de 20 ocasiones. Leyó mensajes del e-mail de los ejecutivos p
oportunidades de negocio que adelantaban y dárselas a conocer a su nuevo patrón, con la consiguiente ventaja competitiva. El patrón origina
dinero en negocios antes de que las autoridades pudieran frenar su actividad ilegal.

Objetivos

Control

Objetivos
Control

Caso 2

El fuerte impacto del gusano MyDoom en miles de pequeñas empresas. El gusano conocido como MyDoom y sus variantes se propagaron mu
en su momento más crítico (a principios de febrero del 2004), cerca del 30% de todo el tráfico de e-mail. El gusano llegó como adjunto de cor
abría, instalaba una “puerta trasera” para permitir el acceso no autorizado a la máquina afectada, lo que podría utilizarse de diversas y peligr
investigaciones adelantadas demostraron que cerca del 30% de las pequeñas empresas fue afectado por MyDoom, lo mismo que el 15% de la
Además, MyDoom podía propagarse a través de las conocidas redes de intercambio de archivos como Kazaa. El costo total de los efectos de M
estima en varios miles de millones de dólares y todavía sigue subiendo.

Objetivos

Caso 3
El consultor que no pudo mantener actualizado su software e infectó - y perdió -rápidamente a muchos de sus clientes. Un consultor indepen
computador para manejar mejor su próspero y creciente negocio. El vendedor del equipo le dijo que éste venía con un poderoso anti-virus ya
Desafortunadamente, el consultor no imaginó que tuviera que actualizarlo regularmente. Sin las definiciones de virus actualizadas, su sistema
libreta de direcciones para propagarse a todos sus clientes. El resultado final fue muy elocuente para el desinformado consultor: la pérdida d

Control
 Caso 1

Un ex-empleado utiliza su antiguo acceso al correo electrónico para espiar y obtener una ventaja competitiva. Un hombre fue acusado de acceder ilegalmente al sistem
informático de su anterior patrón y de leer mensajes del e-mail de los ejecutivos de la compañía, con el fin de obtener una ventaja comercial en su nuevo trabajo con un
competidor. El culpable había sido empleado de una empresa constructora. Después de dejar la firma para ir a trabajar para un competidor, utilizó su acceso a Internet
la oficina de su patrón anterior para acceder a los sistemas informáticos en más de 20 ocasiones. Leyó mensajes del e-mail de los ejecutivos para conocer las
oportunidades de negocio que adelantaban y dárselas a conocer a su nuevo patrón, con la consiguiente ventaja competitiva. El patrón original perdió una gran suma de
dinero en negocios antes de que las autoridades pudieran frenar su actividad ilegal.

A.9.2. Gestión de Acceso de Usuarios.

Objetivo. Asegurar el acceso de los usuarios autorizados e impedir el acceso no autorizado a sistemas y servicios.

"A 9.1.1
POLÍTICA DE CONTROL DE ACCESO
"A 9.1.2
ACCESO A REDES Y A SERVICIOS EN RED
"A 9.2.1
REGISTRO Y CANCELACIÓN DEL REGISTRO DE USUARIOS"
"A 9.2.2
SUMINSITRO DE ACCESO DE USUARIOS
"A 9.2.3
GESTIÓN DE DERECHOS DE ACCESO PRIVILEGIADO
"A 9.2.4
GESTIÓN DE LA INF. DE AUTENTICACIÓN SECRETA DE USUARIOS
"A 9.2.5
REVISIÓN DE LOS DERECHOS DE ACCESO DE USUARIOS
"A 9.2.6
RETIRO O AJUSTE DE LOS DERECHOS DE ACCESO.
A 5.1.1 POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
5.2 Política
7.5.3 Control de la información documentada
10.2 Mejora continua

A.7.3. Terminación y cambio de empleo.

Objetivo. Proteger los intereses de la organización como parte del proceso de cambio o terminación del empleo.
 A.7.3.1. Terminación o cambio de responsabilidades de empleo. Las responsabilidades y los deberes de seguridad de la
información que permanecen válidos después de la terminación o cambio de empleo se deben definir, comunicar al empleado
contratista y se deben hacer cumplir.

Caso 2

El fuerte impacto del gusano MyDoom en miles de pequeñas empresas. El gusano conocido como MyDoom y sus variantes se propagaron muy rápidamente, alcanzand
en su momento más crítico (a principios de febrero del 2004), cerca del 30% de todo el tráfico de e-mail. El gusano llegó como adjunto de correo electrónico que, si se
abría, instalaba una “puerta trasera” para permitir el acceso no autorizado a la máquina afectada, lo que podría utilizarse de diversas y peligrosas maneras en el futuro.
investigaciones adelantadas demostraron que cerca del 30% de las pequeñas empresas fue afectado por MyDoom, lo mismo que el 15% de las empresas más grandes.
Además, MyDoom podía propagarse a través de las conocidas redes de intercambio de archivos como Kazaa. El costo total de los efectos de MyDoom en las empresas s
estima en varios miles de millones de dólares y todavía sigue subiendo.

A 5.1.1 POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN

A 12.2
PROTECCION
CONTRA CODIGOS MALICIOSOS
A.12.2.1
CONTROLES CONTRA CÓDIGOS MALICIOSOS

Objetivo. Asegurarse de que la información y las instalaciones de procesamiento de información estén protegidas contra
códigos maliciosos.

A 16.1 GESTION DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA INFORMACIÓN

A.13.2.3 MENSAJERIA ELECTRÓNICA

5.2 Política
7.3 Toma de conciencia
10.2 Mejora continua

Caso 3
El consultor que no pudo mantener actualizado su software e infectó - y perdió -rápidamente a muchos de sus clientes. Un consultor independiente compró un modern
computador para manejar mejor su próspero y creciente negocio. El vendedor del equipo le dijo que éste venía con un poderoso anti-virus ya instalado.
Desafortunadamente, el consultor no imaginó que tuviera que actualizarlo regularmente. Sin las definiciones de virus actualizadas, su sistema se infectó. El virus usó su
libreta de direcciones para propagarse a todos sus clientes. El resultado final fue muy elocuente para el desinformado consultor: la pérdida de varios de sus clientes.

A 5.1.1 POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN

5.2 Política
10.2 Mejora continua
Control de ambientes
A 16.1 GESTION DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA INFORMACIÓN
A.12.6. Gestión de vulnerabilidad técnica.
Medios extraíbles
7.3 toma de conciencia
 Análisis

Se debe garantizar que las personas que ya no hagan parte de la

compañía no cuenten con usuarios, contraseñas y no tengan
acceso a ningún tipo de información y así cumplir con la
confidencialidad de la seguridad de la información, estos
accesos deben ser cancelados y revisados por los dueños de los
activos en intervalos regulares.

Debe existir y cumplirse con un procedimiento y una política que

garantice el cumplimiento del retiro de una persona de la
compañía de forma segura a nivel del SGSI.
Se debe garantizar que al momento de un retiro de un
colaborador se retiren los privilegios con los que cuente y así
evitar el acceso a la información de la organización

Análisis

Se debe garantizar que los empleados tomen conciencia de la

política de seguridad de la información, así como los eventos
que puedan vulnerar la política, estos deben ser informados por
parte de los colaboradores a los responsables del SGSI

Análisis
Se debe garantizar por la actualización del antivirus, que este sea
el autorizado por la organización y por ninguna Circunstancia
desinstalado de los equipos