Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

ANEXOS IV: Propuestas De Proyectos

ID PROYECTO DESCRIPCIÓN BENEFICIOS PRIORIDAD TIEMPO INDICADOR COSTE

ESTIMADO
P01 ASPECTOS UN MIEMBRO DEL EL CONOCIMIENTO DE VULNERABILIDADES A NIVELES DE SISTEMAS Y MEDIA CORTO ELABORACIÓN DE $ 105.000
ORGANIZATIVOS DEPARTAMENTO DE APLICATIVOS, PERMITIRÁ A PLAZO INFORMES
DE LA SEGURIDAD, INGENIERO LA ENTIDAD DETECTAR POSIBLES INFECCIONES LOS SUS SISTEMAS, FUGAS SEMANALES.
SEGURIDAD INFORMÁTICO Y MÁSTER DE INFORMACIÓN, QUE AFECTAN ENTRE OTROS LOS SISTEMAS DE BACKUP, NOTIFICACIÓN DE
EN SEGURIDAD DE LA SERVIDOR, ETC. PUEDEN OCASIONAR LA PÉRDIDA DE INFORMACIÓN O NO VULNERABILIDADES
INFORMACIÓN, HARÁ DISPONIBILIDAD DE SERVICIO. MÁS RELEVANTES
SEGUIMIENTO DE LAS * CUMPLIR CON LOS CONTROLES 6.1.6-6.1.7. EL DIRECTOR DE
WEBS DE * CONOCER VULNERABILIDADES LOS PROGRAMAS POR ACTUAR EN SISTEMAS.
VULNERABILIDADES Y CONSECUENCIA
ATAQUES 0-DAY Y
MANTENDRÁ EL
CONTACTO CON EL
CERT Y CSIRT. LAS
VULNERABILIDADES QUE
PUEDAN AFECTAR LOS
TRABAJADORES /
USUARIOS SERÁN
COMUNICADAS A ESTOS
POR EMAIL, POR TAL
DE QUE ESTÉN ALERTA
DE POSIBLES MAL
FUNCIONAMIENTOS EN
EL SUS EQUIPOS Y
SISTEMAS.

1
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

P02 DOCUMENTAR EN LA POLÍTICA DE USO * REDUCIR EL MAL USO LOS EQUIPOS Y ERRORES DE USUARIO ALTA CORTO CONFIRMACIÓN $ 35.000
UNA DE MEDIOS RESULTADOS DE LA IGNORANCIA Y PLAZO POR PARTE DE
POLÍTICA DE TECNOLÓGICOS SE DESCONOCIMIENTO. CADA
USO DE MEDIOS DEFINIRÁN LOS * EVITAR INFECCIONES DE SW MALICIOSO MEDIANTE EL USO INDEBIDO DEL TRABAJADOR DE
TECNOLÓGICOS ASPECTOS SIGUIENTES: CORREO ELECTRÓNICO E INTERNET, LA DEGRADACIÓN DEL SERVICIO DE HABER REVISADO
* PROHIBICIONES DE CORREO ELECTRÓNICO Y LA SATURACIÓN DE LAS BUZONES DE CORREO. EL DOCUMENTO
USO, NORMAS DE UN GOLPE AL AÑO.
SEGURIDAD A NIVEL DE
ACCESO,
CONFIGURACIÓN Y
CUSTODIA LOS MEDIOS
TECNOLÓGICOS,
INSTALACIONES DE
SOFTWARE,
COMUNICACIONES, USO
DEL CORREO
ELECTRÓNICO Y EL
ACCESO A INTERNET.
NOTIFICACIÓN DEL
DERECHO / OBLIGACIÓN
DE PARQUES
NACIONALES NATURALES
DE COLOMBIA DE
CUSTODIAR EL USO LOS
EQUIPOS. EL OBJETIVO
DEL MISMO ES DAR A
CONOCER LOS
TRABAJADORES /
USUARIOS LA
IMPORTANCIA DEL
CORRECTO USO LOS
ACTIVOS DE LA
INFORMACIÓN DE LA
ENTIDAD.

2
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

P03 DOCUMENTAR LA SE DOCUMENTARÁ UN * EVITAR / REDUCIR EL ABUSO DE PRIVILEGIOS Y ACCESOS NO AUTORIZADOS ALTA CORTO REGISTROS DE $ 105.000
POLÍTICA DE PROCEDIMIENTO DONDE PLAZO SEGUIMIENTO LOS
GESTIÓN DE SE DEFINA EL ACCESO CONTROLES
ACCESO LOS DIFERENTES DE ACCESO.
PERFILES A LA
INFORMACIÓN. ESTE
ACCESO SE
HARÁ EN FUNCIÓN DE
LA SU NECESIDAD DE
SABER. POR A
CONTROLAR EL ACCESO
LOS ACTIVOS DE
INFORMACIÓN
ESTABLECERÁN LAS
SIGUIENTES
DIRECTRICES:
* ESTABLECER
REQUISITOS DE ACCESO
INDIVIDUALES POR A
CADA APLICACIÓN.
* VERIFICACIÓN DE LA
CONSISTENCIA ENTRE
EL CONTROL DE
ACCESO Y LA
CLASIFICACIÓN DE LA
INFORMACIÓN LOS
DIFERENTES SISTEMAS
Y REDES.
* GESTIÓN LOS
DERECHOS DE ACCESO
A TODOS LOS
ENTORNOS.
* REVISIÓN PERIÓDICA
LOS CONTROLES DE
AUTORIZACIÓN DE
ACCESO.

3
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

* ELIMINACIÓN LOS
DERECHOS DE ACCESO
CUANDO SEA
NECESARIO.
P04 DOCUMENTAR EN LA POLÍTICA DE * EVITAR / REDUCIR FUGAS DE INFORMACIÓN, INFECCIONES DE SW ALTA MEDIO REGISTRO DE $ 105.000
UNA INTERCAMBIO DE MALICIOSO, PÉRDIDA DE INFORMACIÓN. PLAZO TODOS LOS
POLÍTICA DE INFORMACIÓN SE ASÍ COMO SE PODRÁN REDUCIR ERRORES DE USUARIO POR INTERCAMBIOS
INTERCAMBIO DE DEFINIRÁ COMO TODO DESCONOCIMIENTO DEL CORRECTO PROCESO DE INTERCAMBIO. FÍSICOS
INFORMACIÓN INTERCAMBIO QUE SE * DETECTAR ACCESOS NO AUTORIZADOS QUE SE LLEVEN
REALICE, A NIVEL EN CONDE Y
INTERNO Y EXTERNO, REGISTRO DE
HA DE COMUNICACIONES
GARANTIZAR LA ELECTRÓNICAS.
CONFIDENCIALIDAD Y LA
INTEGRIDAD DE LA
TRANSMISIÓN. A TAL
EFECTO LOS
RESPONSABLES DEL
SGSI Y LOS SUS
USUARIOS DEBERÁN DE
EMPLEAR:
* TÉCNICAS
CRIPTOGRÁFICAS POR A
PROTEGER LA
CONFIDENCIALIDAD,
INTEGRIDAD Y
AUTENTICIDAD DE LA
INFORMACIÓN.
* GARANTIZAR EL USO
ACEPTABLE LOS
RECURSOS DE
COMUNICACIÓN POR
PARTE LOS USUARIOS,
TANTO A NIVEL
INTERNO COMO
EXTERNO, DEFINIDOS EN

4
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

EL PROCEDIMIENTO
USO ACEPTABLE DE
ACTIVOS ' .
* UTILIZAR UN SW
ANTIVIRUS ACTUALIZADO
QUE EVITE LA
APARICIÓN DE CÓDIGOS
MALICIOSOS DURANTE
LOS INTERCAMBIOS DE
INFORMACIÓN.
P05 DOCUMENTAR SIEMPRE QUE AÑADA * EVITAR / REDUCIR ERRORES ENCAMINAMIENTO, USO NO PREVISTO ALTA MEDIO DOCUMENTO $ 35.000
POLÍTICA UNA NUEVA RED LOS DERIVADO DE ERRORES DE PLAZO ACTUALIZADO CON
DE SISTEMAS Y SERVICIOS, COMUNICACIONES, ETC. LOS CAMBIOS
ENCAMINAMIENTO EL RESPONSABLE DEL SOBRE LA RED Y
SGSI, DEBERÁ DE LOS SISTEMAS.
IDENTIFICAR LAS
NECESIDADES DE
CONEXIÓN CON OTROS
SISTEMAS O REDES, ASÍ
COMO LAS
CARACTERÍSTICAS QUE
PERMITAN DETERMINAR
EL PERÍMETRO DE
SEGURIDAD
PERTINENTE. EL
ENCAMINAMIENTO DE LA
RED SE LLEVARÁ A
CABO DESPUÉS DE UN
ANÁLISIS DE ESTAS
CARACTERÍSTICAS Y
REQUISITOS, A TRAVÉS
DE LAS MEDIDAS DE
CONTROL DE TRÁFICO
DE RED ESTABLECIDAS
POR CORTAFUEGOS. EN
CASO DE QUE SEA

5
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

NECESARIO, SE PODRÁN
ABRIR REGLAS EL
CORTAFUEGOS QUE
PERMITAN LA
CORRECTA
INTERCONEXIÓN DE LA
NUEVA RED CON OTROS
SISTEMAS CON LOS
CUALES SEA NECESARIA
LA COMUNICACIÓN.
P06 DOCUMENTAR A TRAVÉS DE ESTA * EVITAR / REDUCIR EL USO NO PREVISTO DE SOPORTES FÍSICOS Y ALTA CORTO INVENTARIO / $ 105.000
POLÍTICA POLÍTICA SE DEFINIRÁ GARANTIZAR SU LA SU CORRECTA PLAZO REGISTRO DE
DE ELIMINACIÓN EL PROCEDIMIENTO DE ELIMINACIÓN GESTIÓN DE
SEGURA DE GESTIÓN DE SOPORTES SOPORTES
SOPORTES DE Y ELIMINACIÓN DEL DE INFORMACIÓN
INFORMACIÓN CONTENIDO DE
SOPORTES
EXTRAÍBLES, LLEVANDO
UN CONTROL /
REGISTRO DE LA
ENTRADA / SALIDA DE
ESTOS SOPORTES
HACIENDO USO DEL
FORMULARIO
PERTINENTE. ASIMISMO
LA ENTIDAD
ACTUALIZARÁ LOS
EQUIPOS Y SOPORTES
OBSOLETOS
PERIÓDICAMENTE Y
SOLICITARÁ
CERTIFICADOS DE
DESTRUCCIÓN DE
SOPORTES QUE
VERIFIQUEN LA
ELIMINACIÓN DE ÉSTOS.

6
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

P07 POLÍTICA DE APARTE DE CLASIFICAR * EVITAR / REDUCIR ERRORES A LA INFORMACIÓN ALTA CORTO CORRECTA $ 35.000
TRATAMIENTO LA INFORMACIÓN, QUE * REDUCIR ACCESOS NO AUTORIZADOS PLAZO CLASIFICACIÓN
DE LA YA LO HACE PARQUES DOCUMENTAL Y
INFORMACIÓN NACIONALES NATURALES REGISTRO DE
DE COLOMBIA, SE MANIPULACIÓN
CONSIDERA
IMPORTANTE DEFINIR
UN PROCEDIMIENTO
RELATIVO EL
TRATAMIENTO DE LA
INFORMACIÓN POR TAL
DE EVITAR QUE LA
INFORMACIÓN SEA
UTILIZADA POR A FINES
NO AUTORIZADAS. A TAL
EFECTO, ESTABLECERÁN
LAS SIGUIENTES
DIRECTRICES:
* MANIPULAR Y
ETIQUETAR LOS
SOPORTES TAL Y COMO
INDICA EL SU NIVEL DE
CLASIFICACIÓN
* RESTRINGIR EL
ACCESO A PERSONAL
AUTORIZADO
* ASEGURAR QUE LA
ENTRADA DE DATOS
ESTÁ COMPLETA Y QUE
TAMBIÉN LO ESTÁ EL
SU PROCESADO Y
VALIDACIÓN
* DISTRIBUIR LAS
DATOS EL MENOR
NÚMERO DE
DESTINATARIOS POSIBLE

7
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

* ALMACENAR LOS
SOPORTES DE ACUERDO
CON LAS
ESPECIFICACIONES DEL
FABRICANTE.
P08 POLÍTICA DE SE DOCUMENTARÁ UN * GARANTIZAR QUE EL PERSONAL ES INFORMADO DE LAS SUS FUNCIONES ALTA CORTO REGISTROS $ 35.000
FORMACIÓN PROCEDIMIENTO POR Y RESPONSABILIDADES PLAZO RELATIVOS A
EN MATERIA DE TAL DE GARANTIZAR * IDENTIFICAR LAS NECESIDADES DE FORMACIÓN LOS EMPLEADOS FORMACIÓN
SEGURIDAD QUE TODO EL * GARANTIZAR LOS NIVELES DE FORMACIÓN, CONCIENCIACIÓN, RECIBIDA
PERSONAL DE PARQUES SENSIBILIZACIÓN Y EXPERIENCIA NECESARIOS POR A LLEVAR A CABO LAS
NACIONALES NATURALES SUS FUNCIONES
DE COLOMBIA ESTÁ * DOCUMENTAR Y MANTENER LOS REGISTROS RELATIVOS A LA
FORMATO EN FORMACIÓN RECIBIDA POR CADA UN LOS TRABAJADORES.
MATERIA DE * REDUCIR INCIDENTES POR INGENIERÍA SOCIAL
SEGURIDAD. LOS
RESPONSABLES DEL
SGSI EN
COLABORACIÓN CON
RRHH DEFINIRÁN LOS
PLANES DE FORMACIÓN
ADECUADOS, TENÍAN EN
CUENTA:
* CAMBIOS EN
SISTEMAS Y SERVICIOS
* CAMBIOS DE SITIO DE
TRABAJO
* ACCIONES
CORRECTIVAS /
PREVENTIVAS
P09 CRITERIOS DE SE DOCUMENTARÁ UN * GARANTIZAR LA SEGURIDAD A NIVEL DE RRHH Y CONTRACCIÓN DE MEDIA CORTO REGISTRO DE $ 35.000
SELECCIÓN DE PROCEDIMIENTO CON PERSONAL. PLAZO ENTREVISTAS,
PERSONAL EL OBJETIVO DE DATOS
DEFINIR LOS CRITERIOS CURRICULARES,
APLICAR EN EL ETC.
PROCESO DE
SELECCIÓN DE

8
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

PERSONAL. DURANTE
EL PROCESO DE
SELECCIÓN RELATIVO A
LAS INCORPORACIONES
DE NUEVOS
CANDIDATOS,
DICIEMBRE DE RRHH SE
COMPROBARÁN Y
VERIFICARÁN LAS
REFERENCIAS DEL
CANDIDATO.
P10 SOPORTE Y SE PROTEGERÁ EL * EVITAR LA MANIPULACIÓN DE CABLES Y AVERÍAS. ALTA MEDIO CERTIFICADO DE $ 210.000
SEGURIDAD DEL CABLEADO DE ENERGÍA PLAZO CORRECTA
CABLEADO Y TELECOMUNICACIONES INSTALACIÓN
QUE MUJER APOYO LOS
ACTIVOS DEL SGSI
CONTRA
INTERFERENCIAS,
INTRUSIONES Y DAÑOS,
APLICANDO LAS
MEDIDAS SIGUIENTES:
* LA RED DE
CABLEADO SE
PROTEGERÁ MEDIANTE
LA INSTALACIÓN EN EL
TECHO DEL CABLEADO
CORRESPONDIENTE A
LA DETECCIÓN DE
INCENDIOS,
ILUMINACIÓN Y
SEGURIDAD, LA
INSTALACIÓN POR
TIERRA DEL CABLEADO
CORRESPONDIENTE A
LA TENSIÓN ELÉCTRICA
Y LAS COMUNICACIONES.

9
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

LOS CABLES SE
DESPLEGARÁN A
TRAVÉS DE CONDUCTAS
PROTECTORES Y SE
GUIARÁN HASTA A LAS
PRESAS DE CORRIENTE
DE MANERA ADECUADA,
EVITANDO DEJAR
CABLES A EL AIRE.
* TODOS LOS CABLES
IRÁN CORRECTAMENTE
ETIQUETADOS, POR
DIFERENCIAR LOS
CORRESPONDIENTES EL
SUMINISTRE DE VOZ,
DATOS Y ELECTRICIDAD.
P11 SISTEMATIZACIÓN EL EQUIPO DE EVITAR LA PÉRDIDA DE EQUIPOS, DOCUMENTOS Y EN CONSECUENCIA MEDIA MEDIO SISTEMA DE $ 175.000
DEL INVENTARIO INNOVACIÓN POSIBLES FUGAS PLAZO ALERTAS QUE
DE ACTIVOS DESARROLLARÁ UNA DOCUMENTALES. INDICA
HERRAMIENTA ANOMALÍAS O NO
INFORMÁTICA POR EL DEVOLUCIÓN DE
REGISTRO INTERNO DE ACTIVOS.
ACTIVOS.

P12 EL EQUIPO DE EVITAR FUGAS DE INFORMACIÓN Y DETECCIÓN DE ENVÍOS SOSPECHOSOS. MEDIA MEDIO ALERTAS DE $ 175.000
SISTEMATIZACIÓN INNOVACIÓN PLAZO ENVÍOS / COPIA
DEL DESARROLLARÁ UNA MASIVA
REGISTRO DE HERRAMIENTA DE DOCUMENTOS
INTERCAMBIOS INFORMÁTICA POR
DE INFORMACIÓN CONTROLE EL
INTERCAMBIO DE
INFORMACIÓN,
PERMITIENDO LA
MONITORIZACIÓN DEL
EQUIPOS Y LA

10
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

GENERACIÓN DE
ALERTAS EN CASO DE
DETECTAR ENVÍOS
SOSPECHOSOS.
P13 SISTEMA DE EL ACCESO LOS IDENTIFICAR LOS RESPONSABLES DE: MEDIA MEDIO REGISTRO DE $ 105.000
ACCESO EL PC ORDENADORES SE * DESTRUCCIONES DE INFORMACIÓN PLAZO EQUIPOS CON SW
POR LECTURA HARÁ MEDIANTE LA * ALTERACIÓN DE INFORMACIÓN DE LECTURA
TARJETA TARJETA DE EVITAR / REDUCIR LA SUPLANTACIÓN DE IDENTIDADES DE TARJETA
EMPLEADO + TRABAJADOR Y UNA INTEGRADO
CONTRASEÑA CONTRASEÑA. LOS PCS
YA ESTABAN
PREPARADOS POR
ESTO, SIMPLEMENTE SE
HA IMPLEMENTADO UN
SOFTWARE INTERNO DE
COMUNICACIONES.
TODOS LOS ACCESOS
Y CAMBIOS EN EL
SISTEMA DE GESTIÓN
DE PROYECTOS SERÁN
TRAZABLES CON EL
NÚMERO DE
TRABAJADOR.
P14 SEGUIMIENTO Y POR A LLEVAR A CABO TENER CONOCIMIENTO ACTUALIZADO DE EL ESTADO DEL SGSI MEDIA LARGO CUADRO DE $ 175.000
MEDICIÓN LA MEDICIÓN Y PLAZO MANDOS
LOS OBJETIVOS SEGUIMIENTO LOS
Y CONTROLES OBJETIVOS Y
CONTROLES DEL SGSI,
EL EQUIPO DE
INNOVACIÓN
IMPLEMENTARÁ UN
CUADRO DE MANDO
POR PERMITIRÁ
DEMOSTRAR EL AVANCE
Y MEJORAS OBTENIDAS.
LOS INDICADORES POR

11
 Código: SGSI_01

Versión: 1
ANEXOS -4 - PROPUESTAS DE PROYECTOS -
Vigente desde: 01/01/2016

A MEDIR LOS OBJETIVOS

Y CONTROLES SERÁN
AQUELLOS QUE
PERMITAN ANALIZAR LA
EVOLUCIÓN O
TENDENCIA EN EL
DESARROLLO DE ESTOS.
LOS INDICADORES
CONTARÁN CON UNA
DESCRIPCIÓN, CRITERIO
DE MEDICIÓN, VALOR
MÍNIMO / MÁXIMO / REAL,
RESPONSABLES,
OBJETIVO,
PERIODICIDAD. TAMBIÉN
SE DISTINGUIRÁ
ENTRAS INDICADORES
DE GESTIÓN O DE
CONTROL. LAS
INSTRUCCIONES
INDICADORES SE HARÁN
DE MANERA PERIÓDICA
(COMO A MÍNIMO UN
GOLPE AL AÑO) O
ESPECÍFICA EN
RESPUESTA A
CUALQUIER
CIRCUNSTANCIA QUE
PUEDA AFECTAR EL
SGSI.

12