Proyecto: FE Gestión de Seguridad de la Información Cuestionario Análisis de Brechas- orma IS! "#$$% )
&escri'ción
Control
()%) Pol0tica de seguridad de la información La gerencia debe aprobar un documento de ()%)%) &ocumentar 'ol0tica de Seguridad política, este se debe publicar y comunicar de la Información a todos los empleados y entidades e ntidades externas relevantes.
()%)") /e1isión de la 'ol0tica de Seguridad de la Información
2)
La política de seguridad de la información debe ser revisada regularmente a intervalos planeados, si ocurren cambios signicativos para asegurar la continua idoneidad.
!/GAI3ACI4 &E +A SEG./I&A& &E +A IF!/5ACI4
2)%) !rgani6ación Interna
La gerencia debe apoyar activamente la 2)%)%) Com'romiso de la gerencia con la seguridad dentro de la organización a través de una dirección clara, compromiso seguridad de la información demostrado de las responsabilidades de la seguridad de la información.
Las actividades de seguridad de la información deben ser coordinadas por 2)%)") Coordinación de la Seguridad de la representantes de las diferentes partes de Información la organización con las funciones y roles laborales relevantes.
2)%)7) &e8nición de las res'onsa9ilidades de Seguridad de la Información
Se deben denir claramente las responsabilidades responsabilidades de la seguridad s eguridad de la información.
2)%)) Procesos de autori6ación 'ara el uso de la infraestructura infraestructura de información
Se debe denir e implementar un proceso de autorización gerencial para los nuevos medios de procesamiento de información
2)%)()
Acuerdos de con8dencialidad
Se deben identicar y revisar regularmente los requerimiento de condencialidad o los acuerdos de no divulgación para la protección de la información
2)%)2)
Contacto con autoridades
Se debe mantener contactos apropiados con las autoridades relevantes.
Contacto con gru'os de inter;s
Se deben mantener contactos apropiados con los grupos de interés especial y otros foros de seguridad especializados y asociaciones profesionales.
2)%)#)
2)%)<) /e1isión Inde'endiente de la Seguridad de la Información
l enfoque de la organización para mane!ar la seguridad de la información y su implementación "es decir# ob!etivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información$ se debe revisar independientemente a intervalos planeados, o cuando ocurran cambios signicativos para la implementación de la seguridad.
2)") Entidades e=ternas
Se deben identicar los riesgos que corre la información y los medios de procesamiento 2)")%) Identi8cación de riesgos asociados de información de la organización y se a terceras 'artes deben implementar los controles apropiados antes de otorgar acceso.
2)")") Enfo>ue de la seguridad al interactuar con clientes
Se deben tratar todos los requerimientos de seguridad identicados antes de otorgar a los clientes acceso a la información o activos de la organización.
2)")7) Enfo>ue de la seguridad en acuerdos con terceras 'artes
Los acuerdos que involucran acceso, procesamiento, comunicación o mane!o por parte de terceras personas a la información o los medios de procesamiento de información de la organización# agregar productos o servicios a los medios de procesamiento de la información deben abarcar los requerimientos de seguridad necesarios relevantes.
#)
GESI! &E ACI?!S
#)%) /es'onsa9ilidad de los los acti1os
#)%)%)
In1entario de acti1os
%odos %odos los activos deben estar claramente identicados# y se debe elaborar y mantener un inventario de todos los activos importantes.
#)%)")
#)%)7)
Pro'iedad de acti1os
%oda %oda la información y los activos activos asociados con los medios de procesamiento de la información deben ser &propiedad& ' de una parte designada de la organización.
.so adecuado de acti1os
Se deben identicar, documentar e implementar las reglas para el uso aceptable de la información y los activos asociados con los medios de procesamiento de la información.
#)") Clasi8cación de la Información
#)")%)
Gu0a 'ara la clasi8cación
#)")") Identi8cación y mane@o de la información
<)
La información debe ser clasicada en términos de su valor, requerimientos legales, condencialidad y grado crítico para la organización. organización.
Se debe desarrollar e implementar un apropiado con!unto de procedimiento para etiquetar y mane!ar la información en concordancia concordancia con el esquema de clasicación adoptado por la organización. organización.
SEG./I&A& &E +!S /EC./S!S .5A!S
<)%) Pre1io al em'leo
<)%)%)
Funciones y /oles de seguridad
<)%)") Selección y 1eri8cación de candidatos
<)%)7)
Se deben denir y documentar los roles y responsabilidades de seguridad de los empleados, contratistas y terceros en concordancia con la política de la seguridad de información de la organización.
Se deben llevar a cabo c(equeos de vericación de antecedentes de todos los candidatos a empleados, contratistas y terceros en concordancia con las leyes, regulaciones y ética relevante, y deben ser proporcionales a los requerimientos comerciales, la clasicación de la información a la cual se va a tener acceso y los riesgos percibidos.
)omo parte de su obligación contractual# los empleados, contratistas y terceros deben aceptar y rmar los términos y condiciones ;rminos y condiciones de em'leo de su contrato de empleo, el cual debe establecer sus responsabilidades y las de la organización para la seguridad de la información.
<)") &urante el em'leo
<)")%)
La gerencia debe requerir que los empleados, contratistas y terceros apliquen /es'onsa9ilidades de la gerencia la seguridad en concordancia con las políticas y procedimientos establecidos de la organización.
<)")") Concienti6ación educación y entrenamiento en la seguridad de la información)
%odos los empleados de la organización y, cuando sea relevante, los contratistas y terceros, deben recibir el apropiado conocimiento, capacitación y actualizaciones regulares de las políticas y procedimientos organizacionales, conforme sean relevantes para su función laboral.
<)")7)
*ebe existir un proceso disciplinario formal para los empleados que an cometido una violación en la seguridad.
Proceso disci'linario
<)7) Finali6ación o cam9io de em'leo
<)7)%)
<)7)")
Se deben denir y asignar claramente las Finali6ación de res'onsa9ilidades responsabilidades para realizar la terminación o cambio de empleo.
&e1olución de acti1os
%odos los empleados, contratistas y terceros deben devolver todos los activos de la organización que estén en su posesión a la terminación de su empleo, contrato o acuerdo.
<)7)7)
)
/etiro de los 'ermisos de acceso
Los derec(os de acceso de todos los empleados, contratistas y terceros a la información y medios de procesamiento de la información deben ser eliminados a la terminación de su empleo, contrato o acuerdo, o se deben a!ustar al cambio.
SEG./I&A& F,SICA D A5BIEA+
)%) reas seguras
)%)%)
)%)")
Controles de seguridad f0sica
Se debe utilizar perímetros de seguridad "barreras tales como paredes y puertas de ingreso controlado o recepcionista$ para proteger +reas que contienen información y medios de procesamiento de información.
Controles f0sicos de entrada
Se deben proteger las +reas seguras mediante controles de entrada apropiados para asegurar que sólo se permita acceso al personal autorizado.
)%)7) Seguridad en o8cinas cuartos y edi8cios
Se debe disear y aplicar seguridad física en las ocinas, (abitaciones y medios.
)%)) Protección contra amena6as e=ternas y am9ientales
Se debe disear y aplicar protección física contra dao por fuego, inundación, terremoto, explosión, disturbios civiles y otras formas de desastre natural o creado por el (ombre.
)%)()
ra9a@o en áreas seguras
Se debe disear y aplicar protección física y lineamientos para traba!ar en +reas seguras.
)%)2) reas de acceso '9lica carga y entrega
Se deben controlar los puntos de acceso como las +reas de entrega y descarga y otros puntos donde personas no autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislar de los medios de procesamiento de la información para evitar un acceso no autorizado.
)") Seguridad de los e>ui'os )")%) .9icación y 'rotección de e>ui'amiento
l equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales, y las oportunidades para el acceso no autorizado.
)")")
Suministros de so'orte
l equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en los servicios p-blicos.
Seguridad en el ca9leado
l cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de información deben ser protegidos de la interrupción o dao.
)")7)
)"))
5antenimiento de e>ui'os
l equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad.
Se debe aplicar seguridad al equipo fuera )")() Seguridad de los e>ui'os fuera de del local tomando en cuenta los diferentes las instalaciones riesgos de traba!ar fuera del local de la organización
%odos lo ítems de equipo que contengan medios de almacena!e deben ser )")2) &esecho yo Hreutili6ación seguro c(equeados para asegurar que se (aya de los e>ui'os removido o sobreescrito de manera segura cualquier data condencial y soft/are con licencia antes de su eliminación.
)")#)
/etiro de 'ro'iedad
quipos, información o soft/are no deben ser sacados fuera de la propiedad sin previa autorización.
%$) GESI4 &E +AS C!5.ICACI!ES D +AS !PE/ACI!ES %$)%)
/es'onsa9ilidad y 'rocedimientos o'eracionales
%$)%)%) Procedimientos o'eracionales documentados
Se deben documentar y mantener los procedimientos de operación, y se deben poner a disposición de todos los usuarios que los necesiten.
%$)%)") Administración de cam9ios
Se deben controlar los cambios en los medios y sistemas de procesamiento de la información.
%$)%)7) Segregación de funciones
Se deben segregar los deberes y +reas de responsabilidad para reducir las oportunidades de una modicación no autorizada o no intencionada o un mal uso de los activos de la organización.
%$)%)) Se'aración de am9ientes JHfacilitiesK
Se deben separar los medios de desarrollo, prueba y operaciones para reducir los riesgos de accesos no autorizados o cambios en el sistema de operación.
%$)")
Gestión de ser1icios 'or terceras 'artes
%$)")%) Entrega de ser1icios
Se debe asegurar que los terceros implementen, operen y mantengan los controles de seguridad, deniciones de servicio y niveles de entrega incluidos en el contrato de entrega del servicio de terceros.
%$)")") 5onitoreo y re1isión de los ser1icios de terceros
Los servicios, reportes y registros provistos por terceros deben ser monitoreados y revisados regularmente, y las auditorías se deben llevar a cabo regularmente.
Se deben mane!ar los cambios en la provisión de servicios, incluyendo el mantenimiento y me!oramiento de las %$)")7) Administración de cam9ios en los políticas, procedimientos y controles de ser1icios de terceros seguridad existentes, tomando en cuenta el grado crítico de los sistemas y procesos comerciales involucrados y la reevaluación de los riesgos.
%$)7)
Plani8cación y ace'tación del sistema
%$)7)%) Gestión de la Ca'acidad
Se deben monitorear, anar y realizar proyecciones del uso de los recursos para asegurar el desempeo del sistema requerido.
%$)7)") Ace'tación de sistemas
Se deben establecer los criterios de aceptación para los sistemas de información nuevos, actualizaciones y versiones nuevas y se deben llevar a cabo pruebas adecuadas del "los$ sistema"s$ durante su desarrollo y antes de su aceptación.
%$))
Protección contra código mó1il y malicioso
%$))%) Controles contra softLare malicioso
Se deben implementar controles de detección, prevención y recuperación para protegerse de códigos maliciosos y se deben implementar procedimientos de conciencia apropiados.
%$))") Controles contra código mó1il
)uando se autoriza el uso de un código móvil, a conguración debe asegurar que el código móvil autorizado opere de acuerdo a una política de seguridad claramente denida, y se debe evitar que se e!ecute un código no autorizado.
%$)()
BacM-u'
Se deben realizar copias de bac0 up o %$)()%) Co'ia de res'aldo de información respaldo de información comercial y soft/are esencial y se deben probar regularmente de acuerdo a la política.
%$)2)
Gestión de seguridad en la red
%$)2)%) Controles de red
Las redes deben ser adecuadamente mane!adas y controladas para poderlas proteger de amenazas, y para mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la información en tr+nsito.
%$)2)") Seguridad de ser1icios de red
Se deben identicar los dispositivos de seguridad, niveles de servicio y los requerimientos e incluirlos en cualquier contrato de servicio de red, ya sea que estos servicios sean provistos en casa o sean abastecidos externamente.
%$)#)
Gestión de so'ortes
%$)#)%) Gestión de los medios remo1i9les
*eben existir procedimientos para la gestión de medios removibles.
%$)#)") Eliminación de medios
Los medios deben ser eliminados utilizando procedimientos formales de una manera segura cuando ya no se les requiere.
Se deben establecer los procedimientos para el mane!o y almacena!e de la %$)#)7) Procedimientos 'ara el mane@o de información para proteger dic(a información información de una divulgación no autorizada o un mal uso.
%$)#)) Seguridad de la documentación de Se debe proteger la documentación de una los sistemas acceso no autorizado.
%$)<)
Intercam9io de información
%$)<)%) Pol0ticas y 'rocedimientos de intercam9io de información
Se deben establecer política, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación.
%$)<)") Acuerdos de intercam9io
Se deben establecer acuerdos para el intercambio de información y soft/are entre la organización y entidades externas.
%$)<)7) 5edios f0sicos en transito
Los medios de contienen información deben ser protegidos contra un acceso no autorizado, mal uso o corrupción durante el transporte m+s all+ de los límites físicos de una organización.
%$)<)) 5ensa@er0a electrónica
Se debe proteger adecuadamente los mensa!es electrónicos.
%$)<)() Sistemas de información de negocio
%$))
Se deben desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión interconexión de los sistemas de información comercial.
Ser1icios de comercio electrónico
%$))%) Comercio electrónico
Se debe proteger la información involucrada involucrada en el comercio electrónico que se transmite a través de redes p-blicas de cualquier actividad fraudulenta, disputa contractual y divulgación y modicación no autorizada.
%$))") ransacciones en l0nea
Se debe proteger la información involucrada involucrada en las transacciones en línea para evitar la transmisión no autorizada del mensa!e, divulgación no autorizada, y duplicación o re envío no autorizado del mensa!e.
%$))7) Información de acceso 'u9lico
Se debe proteger la integridad de la información disponible p-blicamente para evitar la modicación no autorizada.
%$)%$) 5onitoreo
%$)%$)%)/egistro de e1entos
Se deben producir registros de las actividades de auditoría, excepciones y eventos de seguridad de la información y se deben mantener durante un período acordado para ayudar en investigaciones futuras y monitorear el control de acceso
Se deben establecer procedimientos para monitorear el uso de los medios de %$)%$)")5onitoreo del uso de los sistemas procesamiento de información y el resultado de las actividades de monitoreo se debe revisar regularmente
%$)%$)7)Protección de la información de registros
Se deben proteger los medios de registro y la información del registro contra alteraciones y acceso no autorizado
%$)%$))/egistros del administrador y o'erador
Se deben registrar las actividades del administrador y operador del sistema
%$)%$)()/egistro de fallas
Las fallas se deben registrar, analizar y se debe tomar la acción apropiada
%$)%$)2)Sincroni6ación de relo@es
Los relo!es de los sistemas de procesamiento de información relevantes de una organización o dominio de seguridad deben estar sincronizados con una fuente de tiempo exacta
%%) C!/!+ &E ACCES! %%)%)
/e>uerimientos de negocio 'ara el control del acceso
%%)%)%) Pol0tica de control de acceso
%%)")
Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos de seguridad y comerciales
Gestión de accesos de usuarios
%%)")%) /egistro de usuarios
*ebe existir un procedimiento formal para la inscripción y desinscripción para otorgar acceso a todos los sistemas y servicios de información
%%)")") Gestión de 'ri1ilegios
Se debe restringir y controlar la asignación y uso de los privilegios
%%)")7) Gestión de contraseNas de usuarios
La asignación de claves se debe controlar a través de un proceso de gestión formal
%%)")) /e1isión de los derechos de acceso de los usuarios
La gerencia debe revisar los derec(os de acceso de los usuarios a intervalos regulares utilizando un proceso formal
%%)7)
/es'onsa9ilidades de usuario
%%)7)%) .so de contraseNas
Se debe requerir que los usuarios sigan buenas pr+cticas de seguridad en la selección y uso de claves
Se debe requerir que los usuarios se %%)7)") E>ui'os de usuarios desatendidos aseguren de dar la protección apropiada al equipo desatendido
%%)7)7) Pol0tica de escritorio y 'antalla lim'ia
%%))
Se debe adoptar una política de escritorio limpio para los documentos y medios de almacenamiento removibles y una política de pantalla limpia para los medios de procesamiento de la información
Control de acceso a redes
Los usuarios deben tener acceso a los %%))%) Pol0tica 'ara el uso de ser1icios de servicios para los cuales (an sido red especícamente autorizados a usar
%%))") Autenticación del usuario 'ara cone=iones e=ternas
Se debe utilizar métodos de autenticación para controlar el acceso de usuarios remotos
%%))7) Identi8cación de e>ui'os en las redes
Se debe considerar la identicación autom+tica del equipo como un medio para autenticar las conexiones desde equipos y ubicaciones especícas
%%))) Protección de 'uerto de diagnóstico y con8guración remota
Se debe controlar el acceso físico y lógico a los puertos de diagnóstico y conguración
%%))() Segregación en redes
Los servicios de información, usuarios y sistemas de información se deben segregar en las redes
%%))2) Control de cone=iones a la red
Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas, especialmente aquellas que se extienden a través de los límites organizacionales, en concordancia con la política de control de acceso y los requerimientos de aliaciones comerciales "ver 11.1$
Se deben implementar controles de enrutamiento para las redes para asegurar que las conexiones de cómputo y los 2u!os %%))#) Control de enrutamiento en la red de información no infrin!an la política de control de acceso de las aplicaciones comerciales
%%)()
Control de acceso al sistema o'erati1o
%%)()%) Procedimientos de inicio seguro de sesión
Se debe controlar el acceso a los servicios operativos mediante un procedimiento de registro seguro
%%)()") Identi8cación y autenticación de usuarios
%odos los usuarios deben tener un identicador singular "3* de usuario$ para su uso personal y exclusivo, se debe elegir una técnica de autenticación adecuada para vericar la identidad del usuario
%%)()7) Sistema de gestión de contraseNas
Los sistemas de mane!o de claves deben ser interactivos y deben asegurar la calidad de las claves
%%)()) .so de las utilidades del sistema
Se deben restringir y controlar estrictamente el uso de programas de utilidad que podrían superar al sistema y los controles de aplicación
%%)()() Jime-outK Control de tiem'o 'ara terminales
Las sesiones inactivas deben cerrarse después de un período de inactividad denido
%%)()2) +imitación en el tiem'o de cone=ión
Se debe utilizar restricciones sobre los tiempos de conexión para proporcionar seguridad adicional a las aplicaciones de alto riesgo
%%)2)
Control de acceso a la información y las a'licaciones
%%)2)%) /estricción de acceso a la información
Se deben restringir el acceso de los usuarios y personal de soporte al sistema de información y aplicación en concordancia con la política de control de acceso denida
%%)2)") Aislamiento de los sistemas sensi9les
Los sistemas sensibles deben tener un ambiente de cómputo dedicado "aislado$
%%)#)
Informática mó1il y teletra9a@o
%%)#)%) Com'utación y comunicación mó1il
Se debe establecer una política formal y adoptar las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar medios de computación y comunicación móviles
%%)#)") eletra9a@o
Se debe desarrollar e implementar políticas, planes operacionales y procedimientos para actividades de teletraba!o
%") A&O.ISICI4 &ESA//!++! D 5AEI5IE! &E +!S SISE5A %")%)
/e>uerimientos de seguridad de los sistemas de información
Los enunciados de los nuevos requerimientos comerciales para sistemas %")%)%) Análisis y re>uisitos de seguridad nuevos, o me!orar los sistemas existentes deben especicar los requerimientos de los controles de seguridad
%")")
Procesamiento correcto en las a'licaciones
l insumo de la data en las aplicaciones %")")%) ?alidación de los datos de entrada debe ser validado para asegurar que esta data sea correcta y apropiada
Se deben incorporar c(equeos de validación en las aplicaciones para detectar cualquier %")")") Control del 'rocesamiento interno corrupción de la información a través de errores de procesamiento o actos deliberados
%")")7) Integridad de mensa@es
Se deben identicar los requerimientos para asegurar la autenticidad y protección de la integridad de mensa!e en las aplicaciones, y se deben identicar e implementar los controles apropiados
%")")) ?alidación de datos de salida
Se debe validar el output de data de una aplicación para asegurar que el procesamiento de la información almacenada sea correcto y apropiado para las circunstancias
%")7)
Controles cri'tográ8cos
Se debe desarrollar e implementar una %")7)%) Pol0tica en el uso de controles de política sobre el uso de controles encri'tación criptogr+cos para la protección de la información
%")7)") Administración de cla1es
%"))
Se debe utilizar una gestión clave para dar soporte al uso de las técnicas de criptografía en la organización
Seguridad de los archi1os del sistema
%"))%) Control del softLare o'eracional
Se debe contar con procedimientos para controlar la instalación de soft/are en los sistemas operacionales
%"))") Protección de los datos de 'rue9a Se debe seleccionar cuidadosamente, del sistema proteger y controlar la data de prueba
%"))7) Control de acceso al código fuente Se debe restringir el acceso al código fuente de 'rogramas del programa
%")()
Seguridad en el desarrollo y so'orte de 'rocesos
%")()%) Procedimiento de control de cam9ios
La implementación de cambios se debe controlar mediante el uso de procedimientos formales de control de cambios
%")()") /e1isión t;cnica de a'licaciones des'u;s de cam9ios al sistema o'erati1o
)uando se cambian los sistemas operativos, se deben revisar y probar las aplicaciones críticas del negocio para asegurar que no exista un impacto adverso en las operaciones o seguridad organizacional
4o se deben fomentar las modicaciones a %")()7) /estricciones en los cam9ios a los los paquetes de soft/are, se deben limitar a 'a>uetes de softLare los cambios necesarios y todos los cambios deben ser controlados estrictamente
%")()) Fuga de información
Se deben evitar las oportunidades de fuga de información
%")()() &esarrollo de softLare en outsourcing
l desarrollo de soft/are que (a sido outsourced debe ser supervisado y monitoreado por la organización
%")2)
Gestión de 1ulnera9ilidades t;cnicas
Se debe obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información en uso# se debe %")2)%) Control de de9ilidades t;cnicas de evaluar la exposición de la organización seguridad ante esas vulnerabilidades# y se deben tomar las medidas apropiadas para tratar el riesgo asociado
%7) GESI4 &E ICI&EES &E SEG./I&A& &E +A IF!/5ACI4 %7)%)
Informes de los e1entos de seguridad de la información y 1ulnera9
Los eventos de seguridad de la información %7)%)%) /e'orte de e1entos de seguridad deben reportarse a través de los canales de la información gerenciales apropiados lo m+s r+pidamente posible
%7)%)") /e'orte de de9ilidades de seguridad
%7)")
Se debe requerir que todos los empleados, contratistas y terceros usuarios de los sistemas y servicios de información tomen nota y reporten cualquier debilidad observada o sospec(ada en la seguridad de los sistemas o servicios
Gestión de incidentes y me@oras de seguridad de la información
%7)")%) /es'onsa9ilidades y 'rocedimientos
Se deben establecer las responsabilidades y procedimientos gerenciales para asegurar una respuesta r+pida, efectiva y ordenada a los incidentes de seguridad de la información
%7)")") A'render de los incidentes de seguridad de la información
*eben existir mecanismos para permitir cuanticar y monitorear los tipos, vol-menes y costos de los incidentes en la seguridad de la información
%7)")7) /ecolección de e1idencia
)uando la acción de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra una acción legal "sea civil o criminal$, se debe recolectar, mantener y presentar evidencia para cumplir las reglas de evidencia establecidas en la"s$ !urisdicción"es$ relevantes
%) GESI4 &E C!I.I&A& &E+ EG!CI! %)%)
Gestión de los as'ectos de seguridad de la continuidad del negocio
Se debe desarrollar y mantener un proceso gerencial para la continuidad del negocio a %)%)%) Inclusión de la información de través de toda la organización para tratar seguridad en el 'roceso de administración los requerimientos de seguridad de la de la continuidad del negocio información necesarios para la continuidad comercial de la organización
%)%)") Continuidad del negocio y e1aluación de riesgos
Se deben identicar los eventos que causan interrupciones en los procesos comerciales, !unto con la probabilidad e impacto de dic(as interrupciones y sus consecuencias para la seguridad de la información
%)%)7) &esarrollo e im'lementación de 'lanes de continuidad incluyendo seguridad de la información
Se deben desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción o falla en los procesos comerciales críticos
%)%)) 5odelo 'ara la 'laneación de la continuidad del negocio
Se debe mantener un solo marco referencial de planes de continuidad comercial para asegurar que todos los planes sean consistentes y para tratar consistentemente los requerimientos de la seguridad de la información e identicar las prioridades de pruebas y mantenimiento
%)%)() Prue9a mantenimiento y ree1aluación de los 'lanes de continuidad del negocio
Los planes de continuidad comercial se deben probar y actualizar regularmente para asegurar que estén actualizados y sean efectivos
%() C.5P+I5IE! %()%)
Cum'limiento de los re>uerimientos legales
%()%)%) Identi8cación de la legislación a'lica9le
Se deben denir explícitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales y el enfoque de la organización relevante para cada sistema de información y la organización
Se deben implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, %()%)") &erechos de 'ro'iedad intelectual reguladores y contractuales sobre el uso de JIP/K material con respecto a los derec(os de propiedad intelectual y sobre el uso de los productos de soft/are patentados
%()%)7) Protección de los registros de la organi6ación
Se deben proteger los registros importantes de una organización de pérdida, destrucción y falsicación, en concordancia con los requerimientos estatutarios, reguladores, contractuales y comerciales
%()%)) Protección y 'ri1acidad de la información 'ersonal
Se deben asegurar la protección y privacidad tal como se requiere en la legislación relevante, las regulaciones y, si fuese aplicable, las cl+usulas contractuales
%()%)() Pre1ención del mal uso de la infraestructura 'ara el 'rocesamiento de información
Se debe desanimar a los usuarios de utilizar los medios de procesamiento de la información para propósitos no autorizados
%()%)2) /egulación de controles cri'tográ8cos
%()")
Se deben utilizar controles en cumplimiento con los acuerdos, leyes y regulaciones relevantes
Cum'limiento de las 'ol0ticas y estándares de seguridad y cum'lim
%()")%) Cum'limiento de 'ol0ticas y estándares de seguridad
Los gerentes deben asegurar que todos los procedimientos de seguridad dentro de su +rea de responsabilidad sean realizados correctamente en cumplimiento con las políticas y est+ndares de seguridad
%()")") ?eri8cación del cum'limiento t;cnico
Los sistemas de información deben c(equearse regularmente para el cumplimiento con los est+ndares de implementación de seguridad.
%()7)
Consideraciones de auditoria de sistemas de información
%()7)%) Controles de auditor0a de los sistemas de información
Se deben planear cuidadosamente los requerimientos y actividades de las auditorías que involucran c(equeo de los sistemas operacionales y se debe acordar minimizar el riesgo de interrupciones en los procesos comerciales.
%()7)") Protección de herramientas de auditoria de los sistemas de información
Se debe proteger el acceso a las (erramientas de auditoría de los sistemas de información para evitar cualquier mal uso o compromiso posible.
Pregunta
Si
Parcial
o
56a sido aprobado por la dirección un documento que contenga la política de seguridad de la información, y (a sido publicado y comunicado a todos los empleados y terceras partes relevantes7
=
5La política de seguridad de la información se revisa en intervalos planicados, o si ocurren cambios signicativos, para asegurar que sigue siendo conveniente, suciente y efectiva7
=
5La dirección apoya, de forma activa y clara, la seguridad dentro de la organización, con un compromiso demostrado, asignaciones explícitas, y reconocimiento de las responsabilidades de la seguridad de la información7 8or e!emplo, tiene 9cial de Seguridad7, %iene comite de Seguridad7
=
5Las actividades de seguridad de la información se coordinan con representantes de cada una de las diferentes +reas de la organización, quienes tienen roles y puestos de traba!o relevantes7 8or e!emplo, el comité quién lo conforma7 %ienen que involucrar varias aristas.
=
5Se (an denido claramente todas las responsabilidades de seguridad de la información7 8or e!emplo, tiene que ver con las responsabilidades que tiene el ocial de seguridad y el comité.
=
5Se (a denido y puesto en e!ecución un proceso administrativo de autorizaciones para las nuevas infraestructuras utilizadas en el procesamiento de información7 8or e!emplo, (ay proceso formal para autorizar nuevas implementaciones o lo realizan de palabra o por correo. 6ay control de cambios7
5Los requerimientos de condencialidad o los acuerdos de no divulgación, que re2e!an las necesidades de protección de la información que tiene la organización, son identicados y revisados de forma regular7 8or e!emplo, 6ay acuerdos de condencialidad con el personal7 (ay acuerdo de condencialidad con las socias, con los proveedores7
5Se mantiene una relación apropiada con las autoridades relevantes7 8or e!emplo, tienen contacto con )arabineros, :omberos7
=
=
=
5La organización mantiene contacto con grupos de interés, foros de especialistas en seguridad o con asociaciones profesionales7 8or e!emplo, el encargado de seguridad participa con grupos de Seguridad de información7 ;rupos de internet enfocados seguridad7 %odo esto con el ob!etivo de estar a la vanguardia con los temas de seguridad de información.
=
5l enfoque de la organización para la gestión de seguridad de la información y su implementación "p. e!. ob!etivos de control, controles, políticas, procesos y procedimientos de seguridad de la información$, son revisados de forma independiente, en intervalos planeados o cuando ocurren cambios signicativos en la implementación de la seguridad7 8or e!emplo, viene un tercero a vericar que se cumplan todos los controles de seguridad7 Si viene un experto 3%3L a revisar
=
5Se (an identicado los riesgos asociados a la información de la organización y la infraestructura para el procesamiento de la información, relacionados con los procesos de negocio que involucran terceros, y se (an implementado los controles apropiados antes de tener acceso a estas7 8or e!emplo, se eval-a el riesgo al darle acceso a tercero a misfe e!
=
5%odos los requisitos de seguridad identicados, (an sido tratados antes de dar a los clientes el acceso a la información o a los activos de la organización7 8or e!emplo, est+ documentado como se incorpora una socia a =7 La socia puede entregar un poder simple y retira dinero un tercero.
=
5Los acuerdos con terceros relacionados con acceso, procesamiento, comunicación o mane!o de la información o infraestructura para el procesamiento de información, o adición de productos o servicios a la infraestructura para el procesamiento de la información, cubren todos los requerimientos de seguridad relevantes7 8or e!emplo, el proveedor se alinea con los nuevos est+ndares de seguridad que tiene =7 Se van me!orando los acuerdos7
=
5%odos los activos est+n identicados de forma clara, y se (a elaborado y mantenido un inventario de todos los activos importantes7
=
5%oda la información y activos asociados con la infraestructura para el procesamiento de la información, (an sido asignados a un +rea especíca de la organización7 8or e!emplo, est+ claro quién es el dueo y responsable de cada activo "s/, (/, manuales procedimientos$
5Las reglas para el uso correcto de la información y de los activos asociados a la infraestructura para el procesamiento de la información, (an sido identicadas, documentadas e implementadas7 8or e!emplo, tenemos al dueo de servidor, y alguien a!eno a la gerencia que quiere acceder, existe un procedimiento que permita autorizar el acceso7.... debe existir un control para el uso adecuado de los activos. 9tro e!emplo, si se quiere acceder al ambiente productivo o para ingresar al *), quién puede tener acceso7
=
=
5Se (a clasicado la información con base en su valor, requerimientos legales vigentes, sensibilidad y que tan crítica es para la organización7 8or e!emplo, esto tiene que ver con la gestión de riesgo de activos de la información. 5tienen evaluados los documentos de contratos de las socias, si tienen evaluado si la socia puede pagar o no.
=
5Se (a desarrollado e implantado un con!unto de procedimientos apropiado para el etiquetado y mane!o de la información, de acuerdo con el esquema de clasicación adoptado por la organización7 8or e!emplo, tienen código de inventario los activos7 "los equipos, los documentos, s/, licencias,redes, ups$
=
5Las funciones y responsabilidades de los empleados, contratistas y terceras partes, est+n denidos y documentados de acuerdo con la política de seguridad de la organización7 s necesario tener roles, actualmente tienen los obe!tivos y requisitos.
=
5Se realizan las vericaciones oportunas de los antecedentes de todos los candidatos para un empleo, de los contratistas y terceras partes, siempre de acuerdo a las leyes y regulaciones vigentes, la ética y siempre de manera proporcional a los requerimientos del negocio, la clasicación de la información a la que acceder+ y los riesgos percibidos7 >evisan los antecedentes de las personas7 solicitan los títulos7 ex+men sicológico7 Se encuentra documentado7
=
5Se les exige a los empleados, contratistas y terceras partes estar de acuerdo y rmar los términos y condiciones de su contrato de empleo, y este contrato establece las responsabilidades tanto del empleado como las de la organización, en materia de seguridad de la información7 8or e!emplo, rman los contratos con los traba!adores antes de ingresar a traba!ar7
=
5La dirección exige a los empleados, contratistas y terceras partes aplicar seguridad de acuerdos con las políticas y procedimientos establecidos por la organización7
=
5Los empleados y, cuando es relevante, contratistas y terceras partes, reciben el entrenamiento adecuado sobre concientización en seguridad de la información y se les mantiene actualizados sobre las políticas y procedimientos de la organización que son relevantes para el cumplimiento de las funciones de su traba!o7 8or e!emplo, (ay c(arlas7 despliegan la información7
5xiste alg-n proceso disciplinario formal para tratar con los empleados que infringen la seguridad de la organización7 8or e!emplo, existen amonestaciones por falta a la seguridad7
=
=
56an sido claramente denidas y asignadas las responsabilidades para realizar la nalización de un contrato de traba!o o cambios en el empleo7
=
5Se requiere que todos los empleados, contratistas y usuarios de terceras partes, devuelvan todos los activos de la organización que se encuentren en su posesión en el momento de la terminación del empleo, contrato o acuerdo7 8or e!emplo, existe un formulario que indique todos los activos que tiene un traba!ador asociados, est+ documentado7
=
5?na vez que se termina el contrato, se retiran inmediatamente todos los derec(os de acceso a la información y a la infraestructura para el procesamiento de la información de los empleados, contratistas y terceras partes, o si fuese el caso, se a!ustan si (ay cambios7 cómo saben que le bloquearon el correo7, reciben de vuelta una conrmación.
5Se utilizan perímetros de seguridad "barreras como< paredes, puertas de acceso controladas por tar!etas de identidad, puestos de recepción, etc.$ para proteger +reas que contengan información e infraestructura para el procesamiento de la información7
=
=
5st+n protegidas las +reas seguras por los controles de entrada apropiados para asegurarse de que solamente permiten el acceso de personal autorizado7 8or e!emplo (ay registro de quien ingresa al *)7
=
5Se (a diseado e implantado un sistema de seguridad física para las ocinas, salas y resto de instalaciones7 8or e!emplo las personas andan con la credencial7
=
5Se (a diseado y aplicado un sistema de protección física en contra de daos causados por incendios, inundaciones, terremotos, explosiones, ataques provocados por personas y@o otras formas de desastre natural o articial7 8or e!emplo tienen plan de evacuación7
=
5Se (an diseado y aplicado las guías y medidas de protección adecuadas para traba!ar en las +reas seguras7 8or e!emplo, tiene procedimientos para traba!o supervisado, seguridad, para realizar traba!os en sus depencias7
=
5Los puntos de acceso, tales como +reas de entrega y@o carga, y otros puntos donde personas no autorizadas puedan tener acceso, son controlados y, si es posible, aislados de las instalaciones para el procesamiento de la información, con el n de evitar accesos no autorizados7
=
5Los equipos est+n aislados o protegidos con la nalidad de reducir el riesgo de daos, amenazas y accesos no autorizados7
=
5Los equipos se encuentran protegidos ante los posibles fallos de electricidad y otras perturbaciones causadas por los fallos en los sistemas de soporte "?8S, 8lanta eléctrica$7
=
5l cableado eléctrico y el de telecomunicaciones, que transmiten datos o soportan servicios de información, est+n protegidos contra la intercepción o dao7 8or e!emplo, existe redundacia de enlace7
=
5Se (ace un mantenimiento correcto de los equipos para asegurar su continua disponibilidad e integridad7
=
5Se aplica la seguridad adecuada a los equipos que se encuentran fuera de las +reas pertenecientes a la organización, considerando los riesgos que implica traba!ar fuera de las instalaciones de la organización7
=
5Se revisan todos los equipos que tengan capacidad de almacenamiento, para asegurarse que ning-n tipo de dato sensible y@o soft/are licenciado (aya sido eliminado o sobrescrito con seguridad antes del desec(o o reutilización del equipo7
=
5Se requiere autorización previa para sacar de la organización equipos, información o soft/are7 8or e!emplo, existe un documento que indique qué personas pueden salir de = con su equipo7 )ómo nos aseguramos que sea el note personal y no el del gerente7
5Los procedimientos operativos est+n documentados, mantenidos y puestos a disposición de todos los usuarios que los necesitan7
5Se controlan los cambios a la infraestructura para el tratamiento de la información y los sistemas7 8or e!emplo, existen controles formales de cambios que esté documentado7
=
=
=
5Los deberes y +reas de responsabilidad est+n segregados para reducir las oportunidades de modicación o uso indebido, no autorizado o no intencional, de los activos de la organización7 8or e!emplo, es f+cil acceder a información sensible7
=
5Las instalaciones de desarrollo, producción y pruebas est+n separadas para reducir los riesgos de accesos o cambios en los sistemas operativos no autorizados7
=
5La organización se asegura que los controles de seguridad, las deniciones de servicio y la distribución de niveles incluida en el acuerdo de prestación de servicios con terceras partes est+n implantados, operados y mantenidos por las terceras partes7 8or e!emplo, el contrato marco tienen niveles de servicios7 responsables7 SLA7
=
5Los servicios, informes y registros proporcionados por terceras partes, se monitorizan y revisan de forma regular, y se llevan a cabo auditorias de forma regular7 8or e!emplo se realizan mediciones sobre los SLA&s y acuerdos de servicios7 Bonitorean la cuadratura de control de cambio7
=
5Se gestionan los cambios de provisión de los servicios "incluyendo el mantenimiento y me!ora de las políticas existentes, procedimientos y controles de seguridad de la información$ tomando en cuenta la criticidad de los sistemas y procesos del negocio implicados y la reevaluación del riesgo7 8or e!emplo, cómo lo (acen cuando existe un control de cambio con un tercero7 se a!usta al proceso de control de cambios de =7
=
5l uso de recursos es monitoreado, anado y se realizan proyecciones de futuros requisitos de capacidad para asegurar el rendimiento del sistema7 l servidor da para abastecer a todas las personas de =7 )ómo sabe que el servidor puede soportar 4 sistemas7
56ay criterios de aceptación establecidos para nuevos sistemas de información, actualizaciones y nuevas versiones y se realizan pruebas del sistema durante el desarrollo y previamente a la aceptación7 8or e!emplo, de!an registro de los )887 %ienen documentadas las pruebas realizadas en testing7
=
=
5Se (an implementado controles de detección, prevención y recuperación para protegerse de código malicioso, así como procedimientos apropiados para la concientización de los usuarios sobre éste7 8or e!emplo, tienen personas monitoreando la red ante ataques7 tienen bloqueados sitios peligrosos7"face, youtube no es peligroso$
=
5)uando el uso del código móvil est+ autorizado, la conguración asegura que éste código opera de acuerdo a una política de seguridad claramente denida y se impide su uso si es un código móvil no autorizado7 8or e!emplo, las tablet se controlan aleatoriamente si tienen virus o (an descargado s/ peligrosos7
=
5Se realizan las copias de seguridad y se comprueban regularmente conforme a lo establecido en la política acordada7 8or e!emplo, tiene la política de respaldo, cada cuanto, lo comprueba para ver si se puede recuperar7
=
5La red est+ adecuadamente administrada y controlada, con el n de protegerla de las amenazas y mantener la seguridad de los sistemas y aplicaciones que usa la red, incluida la información en tr+nsito7 8or e!emplo, la red se encuentra segmentada7 son mane!ados adecuadamente los re/alls, quién los administra, est+n documentados7
5Las características de seguridad, los niveles de servicio, y los requerimientos de administración de todos los servicios de red, est+n identicados e incluidos en los acuerdos con los diferentes proveedores de servicios de red, bien sean internos o externos7 8or e!emplo, conocen diagrama de red7 cu+l es el uptime7 existe alg-n control7
=
=
5xisten procedimientos para la administración de los medios removibles7 8or e!emplo, como saco información en pendrive, tar!etas7 Se puede controlar con una política que autorice solo a ciertos cargos
=
5Los soportes que no se vayan a utilizar m+s, son eliminados de forma segura y sin inconvenientes por medio de procedimientos formales7 8or e!emplo, cómo elimino o destruyo las cintas, discos u otro medio donde (aya respaldado.
=
56ay procedimientos establecidos para el mane!o y el almacenamiento de la información de forma que se prote!a de la divulgación no autorizada o del uso inapropiado7 8or e!emplo, dónde almaceno la información, las cintas7
=
5Se encuentra protegida la documentación del sistema contra accesos no autorizados7 8or e!emplo, %engo procedimiento que indique quién las manipula7 Cueda un registro7
=
56ay establecida una política formal de intercambio, procedimientos y controles para proteger el intercambio de información a través de los servicios de comunicación7 8or e!emplo, tiene una política que diga quienes son los autorizadores del envío de la :ase
=
5Se (an establecido acuerdos para el intercambio de información y soft/are dentro de la organización y con organizaciones externas7 8or e!emplo, dicen los acuerdos que la información no puede ser utilizada para otros nes7
=
5Los medios que contienen información, est+n protegidos en contra del acceso no autorizado, el mal uso o su alteración durante el transporte m+s all+ de los límites físicos de la organización7 5st+ adecuadamente protegida la información involucrada en la mensa!ería electrónica7 8or e!emplo, los arc(ivos van encriptados7
=
=
5Se (an desarrollado e implementado políticas y procedimientos para proteger la información asociada a la interconexión de los sistemas de información del negocio7
5La información relacionada con el comercio electrónico, que pasa a través de redes p-blicas, est+ protegida de las actividades fraudulentas, disputas contractuales, y la divulgación y modicación no autorizada7
5La información involucrada en transacciones online, est+ protegida para prevenir transmisiones incompletas, desvío, modicación no autorizada del mensa!e, divulgación no autorizada y para evitar la duplicación o reproducción7
5La información disponible a través de un sistema p-blico, se encuentra protegida para asegurar su integridad y prevenir modicaciones no autorizadas7 8or e!emplo, la información que se publica en la Deb y la intranet p-blica la autoriza un gerente7
5Los logs de auditoría registran y mantienen las actividades de los usuarios, las excepciones y los eventos de seguridad de la información, durante un periodo de tiempo acordado, con el n de ser utilizados en investigaciones futuras y monitorear el control de acceso7 8or e!emplo, existen log en los procesos.
=
=
5Se (an establecido procedimientos para monitorear la infraestructura para el procesamiento de la información y los resultados de estas actividades son revisados regularmente7 8or e!emplo, se realiza monitoreo de los sistemas, se genera un informe de lo que se est+ procesando, qué +rea consume m+s recursos7
=
5La infraestructura para los registros y la información de estos registros, son protegidos en contra de acceso forzoso o no autorizado7 8or e!emplo, cómo garantizamos que no alteren un registro maliciosamente en Bis=e7 La idea es tener un proceso de monitoreo para asegurar que no sean alterados los registros.
=
5Las actividades del administrador y del operador del sistema, son registradas7 8or e!emplo, tienen un bit+cora de actividades, tienen cuentas que los distingan7
=
5Se registran y almacenan los fallos y se toman las medidas oportunas7 8or e!emplo, quedan registro de las incidencias, se encuentran categorizadas7
=
5Se encuentran sincronizados todos los relo!es de todos los sistemas relevantes de procesamiento de información en la organización o contenidos en el dominio de seguridad, conforme a una fuente de tiempo de conanza7 8or e!emplo, todos los sevidores est+n sincronizados con la (ora7 cómo lo realizan7 utilizan un domain controller7
=
5Se (a establecido y documentado una política de control de acceso con base en los requisitos de seguridad y del negocio, y ésta política (a sido revisada de forma regular7 8or e!emplo, existe política de control a las +reas de acceso, al control de la información
5xiste un procedimiento formal de registro y de salida del registro para los usuarios de la organización con el n de garantizar o revocar el acceso a todos los sistemas de información y servicios7 8or e!emplo, (ay procedimientos que permitan entregar y quitar accesos a usuarios7
=
=
5Se restringe y controla la asignación y uso de privilegios7 8or e!emplo, (ay roles distintos de cambiar, borrar. 8or e!emplo, si alguien es cambiado de cargo o función le cambian los privilegios7
=
5La asignación de contraseas se realiza conforme a un proceso formal de gestión7 8or e!emplo, cuando alguien ingresa a = o pide un cambio de contrasea, existe un procedimiento formal7 s con documento, correo, por teléfono
=
5Los derec(os de acceso de los usuarios, se revisan en intervalos regulares de tiempo siguiendo un proceso formal7 8or e!emplo, cuando el usuario se cambió de función, supongamos que se quedó con mas privilegios, 5se realizan revisiones periódicas que permitan regularizar los accesos7
=
5existe buenas pr+cticas para el mane!o de contraseas7 8or e!emplo, los usuarios comparten las claves, colocan claves f+ciles como la dirección de =.
=
5Se requiere que los usuarios se aseguren que los equipos desatendidos tengan la protección adecuada7 8or e!emplo, bloquean los equipos cada vez que se levantan del puesto de traba!o7 l usuario sabe que tiene que (acerlo
5Se (a adoptado una política de Eescritorio despe!adoE para los papeles, medios de almacenamiento removibles y una política de Epantalla limpiaE en la infraestructura para el procesamiento de información7 8or e!emplo, la secretaria guarda toda la información condencial ba!o llave7 se de!a documentación en la impresora7 (ay destrucción de material condencial7
=
=
5Los usuarios tienen acceso exclusivamente a los servicios a los que se les (a autorizado especícamente7 8or e!emplo, los usuarios que desarrollan tienen acceso sólo al servidor de desarrollo y no a las redes productivas7
=
5Se usan métodos de autenticación adecuados para controlar el acceso de usuarios remotos7 8or e!emplo, cuando se conectan por F84 tienen los mismos controles7 )ualquiera tiene F847
=
5Se (a considerado la identicación autom+tica de equipos como una forma de autenticar conexiones desde equipos y localizaciones especícas7
=
5st+ controlado el acceso a los puertos de diagnostico y conguración física y lógica7 8or e!emplo, cuando me conecto desde otro puerto, ingreso usuario y pass/ord7 G si se conecta en forma remota7
=
5Los controles para segregar grupos de dispositivos de información, usuarios y sistemas de información son adecuados7 8or e!emplo, la red de producción, respaldo es la misma red de desarrollo para acceder a las diferentes redes.
=
5La capacidad de los usuarios de conectarse a la red, es restringida para las redes compartidas "especialmente aquellas que est+n fuera de la organización$ y, esta restricción, es aplicada en con!unto con los requerimientos de las políticas de control de acceso de las aplicaciones de negocio7 "Fer control 11.1$ 8or e!emplo, la red detecta cuando est+ el mismo usuario desde dos puntos distintos7
=
5Se (an establecido en las redes controles de enrutamiento para asegurar que las conexiones de los computadores y el 2u!o de información no vulnere la política de control de acceso de las aplicaciones del negocio7 8or e!emplo, cómo tienen los enrutamientos de la red7
=
5l acceso a los sistemas operativos, est+ controlado por un procedimiento de inicio de sesión seguro7 8or e!emplo, el sistema operativo solicita usuario y contrasea7
5Se provee a los usuarios con identicador -nico "?ser 3*$ para su uso personal y se (a seleccionado una técnica de autenticación adecuada para exigir la identidad del usuario7 8or e!emplo, cada usuario utiliza su porpio user 3*7 xisten usuarios genéricos7
=
=
5Los sistemas de gestión de contraseas son interactivos y aseguran igualmente la calidad de las contraseas7 8or e!emplo, las claves son alfanuméricas7 8ide el sistema que cambie las claves7 *e!a repetir claves7
=
5l uso de programas de usuario capaces de modicar el sistema y los controles de las aplicaciones, est+ restringido y fuertemente controlado7
=
56ay controles y procedimientos para desactivar las sesiones después de un periodo de tiempo predeterminado de inactividad7
=
5xisten restricciones en el tiempo de conexión de las aplicaciones con riesgos m+s elevados para proporcionar seguridad adicional7 8or e!emplo, eval-an los tiempos de traba!o y cuanto tardan un aplicativo7 s importante que (orarios de conexión a los sistemas sensibles sean restringidos.
=
5l acceso a las funciones del sistema de información y aplicación, es restringido para los usuarios y personal de soporte, de acuerdo con la política de control de acceso7 8or e!emplo, tenemos controlado que los usuarios que traba!an en S.9. no accesen a la base de dato productiva para alterar datos7
=
5Los sistemas m+s sensibles, tienen un ambiente de cómputo dedicado "aislado$7 8or e!emplo, se encuentran los servidores resguardados7 Bis=e se encuentra aislado7 >emuneraciones es sensible, se encuentra aislado7
=
5xiste una política formal y se (an adoptado las medidas de seguridad necesarias para protegerse en contra de los riesgos de utilizar computadores móviles e infraestructura de comunicaciones7 8or e!emplo, los note tienen seguridad7 Los gerentes tienen la misma seguridad7 existe respaldo de los pc.
=
5Se (a desarrollado una política, unos planes operativos, y unos procedimientos para regular las actividades de teletraba!o7
=
&E IF!/5ACI4
5Las declaraciones de los requerimientos del negocio para nuevos sistemas de información o para la me!ora de los ya existentes, especican los requerimientos de los controles de seguridad7 8or e!emplo, cuando realizo un cambio al sistema, se valida ante comité, que este cambio no afecte la seguridad de los sistemas7
5Los datos de entrada de las aplicaciones, se validan para asegurar que son correctos y apropiados7 8or e!emplo, cuando ingreso un rut en Bis=e el sistema reconoce si es que ingreso letras7 5Se (an incorporado pruebas de validación en las aplicaciones para detectar cualquier información errónea causada por errores de procesamiento o por acciones deliberadas7
=
=
=
5Se (an identicado los requerimientos para asegurar la autenticidad y proteger la integridad de los mensa!es en las aplicaciones, y se (an identicado e implementado los controles apropiados7 8or e!emplo, cuando ingreso una nueva socia, el sistema reconoce e indica si es que quedó un campo sin llenar7 o si el rut es no v+lido7
=
5Los datos de salida de las aplicaciones, se validan para asegurar que el procesamiento de información almacenada es correcto y adecuado a las circunstancias7 8or e!emplo, cuando entregan la query a los funcionarios, se valida que entregue datos y resultados dedignos7
=
5Se (a desarrollado e implementado una política sobre el uso de controles criptogr+cos para la protección de la información7
=
5Se encuentra implantada una gestión de claves para soportar el uso de técnicas criptogr+cas por parte de la organización7
=
5xisten procedimientos para el control de la instalación de soft/are sobre sistemas operacionales7 8or e!emplo, existe un procedimiento para cambiar la versión del s/, cosa de asegurarse si falla permita volver atr+s y tener respladoH. xiste control de cambio7
=
5Los datos de prueba del sistema est+n seleccionados cuidadosamente, protegidos y controlados7 8or e!emplo, cuando pasa los datos de en sistema productivo al de prueba se borran los datos del primero7
=
5st+ restringido el acceso al código fuente de los programas7 8or e!emplo, los accesos deben ser restringidos para tener un control de versiones que est+n corriendo, esto tiene que ir de la mano con el control de cambios.
=
5Se utilizan procedimientos de control de cambios formales para controlar la implementación de cambios7
=
5)uando los sistemas operativos son cambiados, todas las aplicaciones críticas del negocio son revisadas y comprobadas para asegurar que no (aya un impacto adverso en las operaciones y@o la seguridad de la organización7 8or e!emplo, si en = las aplicaciones corren en Dindo/s I y quiero subir de versión, tenemos que realizar una revisión de los aplicativos. existe un rol encargado de la revisión7
=
5Las modicaciones de los paquetes de soft/are, son desincentivadas, limitadas a los cambios necesarios y todos los cambios son estrictamente controlados7 8or e!emplo, cuando venden un paquete de s/ a = les realizan cambios7 Lo ideal es no (acerlo porque si compran la nueva versión se pueden perder estos cambios.
=
5Se (an prevenido las oportunidades de fuga de información7 8or e!emplo, existe un control para prevenir la fuga de información cuando instalan un s/ pirata 7
=
5l desarrollo de soft/are realizado en outsourcing, est+ siendo supervisado y monitoreado por la organización7 8or e!emplo, el contrato indica que = es dueo propiedad de códigos, derec(os de propiedad intelectual7
=
5Se obtiene oportunamente información sobre las vulnerabilidades técnicas de los sistemas de información que est+n en uso, la exposición a dic(as vulnerabilidades es evaluada y se toman las medidas oportunas para tratar el riesgo asociado7 8or e!emplo, se idencan las vulnerabilidades técnicas de colocar un parc(e a un desarrollo7 se identican riesgos asociados a estas vulnerabilidades7
=
ilidades 5Los eventos de seguridad de la información est+n siendo reportados a los canales de gestión adecuados tan pronto como sea posible7 8or e!emplo, existe un procedimiento de reporte de que indique la falta de seguridad en la cual se incurrió, y cual ser+ la amonestación, y que adem+s sea conocida por =7 esto no tiene nada que ver con los incidentes de problemas técnico
=
5Se requiere que los empleados contratistas y terceras partes, usuarios de sistemas de información, tomen nota y denuncien cualquier vulnerabilidad de seguridad en los sistemas o en los servicios, que observen o sospec(en7 8or e!emplo, existe un alineamiento con casa central de =, ocinas, Lin0 6umano y terceros de la existencia del reporte7
=
5Se encuentran establecidos las responsabilidades y los procedimientos necesarios para establecer una respuesta r+pida, efectiva y ordenada cuando se presentan incidentes de seguridad de la información7 8or e!emplo, se encuentran categorizados los incidentes y responsabilidades7 se realiza gestión de incidencias7
=
5xisten mecanismos para establecer los tipos, vol-menes y costos referidos a incidentes de seguridad de la información, que deban ser cuanticados y monitorizados7 8or e!emplo, tenemos identicados los incidentes recurrentes y de alto impacto7 Se realiza gestión7 )uando se presenta una acción de seguimiento en contra de una persona u organización después que un incidente de seguridad de la información implica una acción legal "ya sea criminal o civil$< 8or e!emplo, cuando se comete una falta a la seguridad, se recolecta evidencias75La evidencia, es recogida, retenida y presentada conforme a las reglas para la evidencia colocada en la !urisdicción relevante7
5Se (a desarrollado y mantenido un proceso de gestión para la continuidad del negocio de toda la organización que trate los requerimientos de seguridad de la información que se necesitan para la continuidad del negocio de la organización7 8or e!emplo, la idea es que = tenga interiorizado que est+ en riesgo de seguridad de información, que tenga los activos idencados, que contemple seguros, incluya controles preventivos, garantizar la seguridad de los traba!adores. Asegurar la continuidad del negocio.
=
=
=
5Se (an identicados todos los eventos que pueden causar interrupciones a los procesos de negocio, !unto con la probabilidad y el impacto de dic(as interrupciones, y sus consecuencias para la seguridad de la información7 8or e!emplo, se eval-an los riesgos asociados a la continuidad de =, se (an categorizados y priorizados7 se realiza un :)8 "plan de continuidad del negocio$. Si falla o se incendia casa central, 5cu+nto cuesta continuar el negocio en otro lugar7
=
5Se (an desarrollado e implantado planes para mantener o recuperar las operaciones y asegurar la disponibilidad de la información al nivel y en la escala de tiempo requeridos ante una interrupción o fallo de los procesos críticos de negocio7 8or e!emplo, se desarrolla lo anterior incorporando seguridad de información "recuperación, restaruración, educación de las personas, entre otros$
=
5Se mantiene un solo marco de planes de continuidad de negocio que asegure que todos los planes son consistentes, para tratar los requerimientos de la seguridad de la información consistentemente, y para identicar las prioridades para las pruebas y el mantenimiento7 8or e!emplo, tienen :)8, existe una denición de roles y responsabilidades, acciones, educación, activos.
=
5Los planes de continuidad de negocio son probados y modicados para asegurar que son efectivos y se encuentran al día7 8or e!emplo, esto apunta a que todas las personas de =, Lin0 6umano y terceros esté en conocimiento del :)8.
=
5%odos los requerimientos estatutarios, regulatorios y contractuales, y el enfoque de la organización para cumplir con estos requerimientos, se encuentran explícitamente denidos, documentados y mantenidos al día para cada uno de los sistemas de información y para la organización7 8or e!emplo,... esto apunta a denir controles y responsabilidades individuales...xiste un asesor legal externo que nos indique si estamos ba!o un incuplimiento de propiedad intelectual y delitos inform+ticos7
=
5Se (an implementado los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legales, regulatorios y contractuales respecto al uso de materiales que pudieran estar protegidos por los derec(os de propiedad intelectual, e igualmente respecto al uso de productos soft/are propietario7 8or e!emplo, se realizan c(equeos para que se instalen sólo s/ autorizados y productos con licencias7... existen políticas para eliminar y transferir s/7
=
5Los registros importantes est+n protegidos de pérdida, destrucción y falsicación, de acuerdo con los requerimientos estatutarios, regulatorios, contractuales y del negocio7
=
5Se est+n aplicando controles para asegurar la protección y la privacidad de los datos, tal y como se requiere por la legislación, regulaciones aplicables y, si fuera el caso, cl+usulas contractuales7 8or e!emplo,
=
5Se (a disuadido a los usuarios de utilizar la infraestructura de procesamiento de la información para propósitos no autorizados7
=
5Se est+n utilizando controles criptogr+cos de acuerdo con las leyes, regulaciones y acuerdos relevantes7
=
iento t;cnico 5Los directivos se aseguran de que todos los procedimientos de seguridad dentro de su +rea de responsabilidad, se realizan correctamente para asegurar el cumplimiento con los est+ndares y políticas de seguridad de la organización7
=
5Los sistemas de información son revisados regularmente en cumplimiento de los est+ndares de implementación de la seguridad7
=
5Los requerimientos y las actividades de auditoría sobre los sistemas operativos, que involucran revisiones, son cuidadosamente planeados y acordados para minimizar el riesgo de perturbar los procesos del negocio7
=
5l acceso a las (erramientas de auditoría de los sistemas de información, est+ protegido para prevenir cualquier uso inadecuado o el compromiso de su seguridad7
=
!9ser1aciones
n el Banual 3nterno de =, existe una política general de Lugares Limpios de %raba!o. %raba!o. 4o existe documento de 8olíticas 8olíticas de Seguridad de la 3nformación aprobado por la gerencia en =. Al no existir 8olíticas de Seguridad de la 3nformación formales, no es posible poder analizar el cumplimiento de su revisión periódica.
=ondo speranza no tiene asignado un rol que cumpla las responsabilidades de seguridad seguri dad de información. informació n. %ampoco existe un comité de seguridad.
J
Las actividades referente a la seguridad de la información no son evaluadas ni coordinadas frente a un comité o una persona encargada de este rol.
J Al no existir un rol encargado de la seguridad de la información, no es posible identicar las responsabilidades de los encargados de esta.
4o existe evidencia de un procedimiento administrativo formalmente escrito para la aprobación de nuevos sistemas de información. Se realiza a través de un )omité de 8royectos pero, el comité no cuestiona el cómo se va a realizar, sólo ve los presupuestos.
n el contrato marco de *iseo y *esarrollo de Soft/are, se identican acuerdos de condencialidad con los proveedores. proveedo res. %ambién en otros contratos contrato s con terceros est+n presentes. xiste un acuerdo de condencialidad con las socias y en el e l contrato que rman, ellas autorizan a = a entregar sus datos a =9S3S. n el Banual 3nterno, artículo IK, I' y I se menciona acuerdo de condencialidad del traba!ador con =.
xiste evidencia que se mantiene comunicación con :omberos, con otros servicios p-blicos no (ay contacto en caso de ser requeridos ante una emergencia. e mergencia.
Ante la falta de un )omité de Seguridad resulta la falta de contacto o intercambio de información con entidades o asociaciones que traten temas de seguridad de la información.
4o existe un control y revisión de un tercero ni tampoco de alguien de = que vele por un buen mane!o de la seguridad de la información.
4o existe un proceso de gestión de riesgos de los activos de la información.
l proceso de incorporación de socia se encuentra documentado en donde se nombran los requerimientos y se verica el control de ingreso. ingreso. Los procesos procesos se encuentran documentados, y en proceso de actualización a excepción del proceso de desembolso, el cual se encuentra plasmado en una presentación.
La seguridad est+ dada por los proveedores mediante un contrato. xiste una falsa sensación de seguridad, ya que los proveedores tienen me!ores est+ndares de seguridad que =.
4o existe un proceso formal de inventario de activos de información. Sólo se lleva un un registro de los activos de (ard/are y de soft/are. xiste un proyecto para levantamiento y valorización de activos en función de la importancia para =.
Si bien es sabido quienes son los responsables de los activos, este no se encuentra documentado por lo tanto no (ay responsables.
n el Banual 3nterno de =, se identica un lineamiento sobre el uso de algunos activos como el correo electrónico. electrónico. 4o existe documentación sobre el mane!o de internet ni tampoco sobre el uso de dispositivos móviles.
4o existe una clasicación de la información que indique cual es de uso interno, p-blico y condencial.
4o existe un diseo para la identicación y etiquetado "Labelling Approac($ que permita clasicar la información ya sea impresa o en formato electrónico e lectrónico..
Si bien existen un perl, indenticación, ob!etivos y requisitos del cargo para todos los funcionario no se indica roles y responsabilidad relacionadas con seguridad de la información. Los roles para las empresas de desarrollo se encuentran denidos.
Se solicitan antecedentes nancieros, certicado de antecedentes, examen psicológico, certicado de título, entre otros. l proceso se encuentra en revisión por parte del ncargado de )ompensaciones de =. 8ara terceros no tiene procedimientos establecidos al respecto.
n el Artículo MN del >eglamento 3nterno "que es parte del contrato de traba!o$ se encuentran los términos y condiciones de empleo en cuanto a seguridad de la información. Los terceros que tienen acceso a la información también tienen un acuerdo condencialidad a no divulgación de información.
n la revisión del contrato modelo de traba!o, se menciona como parte del contrato el Banual 3nterno, el cual en el Artículo MN dice Etodo traba!ador es responsable de la seguridad de la información que mantiene...E n el contrato marco de proveedores en el capítulo décimo tercero detalla el acuerdo de condencialidad de la información.
4o (ay lineamiento ni conciencia organizacional sobre la seguridad. Se realiza inducción la cual no contempla c(arla sobre la protección de información tampoco se realizan capacitaciones, la mayoría de los temas relacionados con la seguridad de la información se conoce por comunicaciones informales entre !efes y compaeros de traba!o.
n el reglamento interno se (ace mención sobre el proceso disciplinario al incumplimiento de la seguridad de la información "Artículo I'$ La ;erencia de >iesgo est+ traba!ando en categorizar los tipos de faltas.
n el reglamento interno "Art. '$ existe el procedimiento para la devolución de materiales y de información, sin embargo no existe contrato o niquito que indique que la condencialidad tiene que seguir un tiempo determinado "OP a M meses$ después de terminado el traba!o.
xiste un directriz en el Banual 3nterno sobre la devolución de los activos de información. %ambién existe un registro que indica los activos asociados a cada traba!ador, sin embargo, no existe un procedimiento ni evidencia de devolución.
4o existe un procedimiento que indique esta actividad de se realiza. 4o se (ace retiro de las cuentas de correo y de sistema inmediatamente, en casos excepcionales se conservan a-n las cuentas pero, se realiza un cambio de clave. Actualmente se est+ traba!ando en el 8rocedimiento de )reación y *esactivación de )uentas y )laves.
4o existe un procedimiento de control de acceso que permita identicar la trazabilidad de las personas que ingresan, restricción de acceso a alguna ocina de acuerdo a nivel de seguridad. 4o se observa controles de acceso controlado como tar!etas de acercamiento, biométricos u otros. Solamente existe un vigilante para control de visitas en casa central.
4o existe componentes de acceso biométrico para acceso a *ata )enter ni ingreso por tar!eta a +reas seguras en =. Sólo existe un vigilante en casa central.
4o existe componentes de acceso biométrico para acceso a *ata )enter ni a ocinas de acuerdo a su nivel de seguridad.
= posee un plan de evacuación y de incendios para casa central y ocinas. Sin embargo el *ata )enter no cuenta con detectores de (umo, no tiene sistema para extinción de incendios, tampoco el *) tiene ))%F, el sistema de aire acondicionado y la ?8S no tiene redundancia y no posee grupo generador. Sólo poseen extintores y un plan de evacuación por parte del edicio en que se encuentra ubicado el *).
4o existe una guía para la realización de traba!os en zonas que requieren seguridad "*), +rea de sistemas$.
4o existe +rea de carga y descarga de equipos o de material donde se revise su contenido antes de ser introducido a =.
4o est+n todos los equipos productivos aislados, algunos equipos se encuentran en *) y otros en casa matriz.
4ing-n equipo tiene sistema de redundancia y sólo en *), tienen ?8S sin redundancia y no cuenta con grupo electrógeno.
4o existe redundancia de enlaces. n *) no cuenta con identicación de los cables "inventario de cables$.
4o existe un plan de mantenimiento para los equipos productivos. n ocina central tienen un plan que no est+ formalizado y para las sucursales no tienen plan. n el *) sólo tienen un plan de mantenimiento del aire acondicionado.
4o existe seguros comprometidos para el traslado de equipo entre dependencias de =, al *) y a casa.
Se revisan todos los equipos que van a desec(o o reutilización. Sin embargo no est+ documentado el procedimiento para esta actividad.
4o existe un procedimiento para retiro e ingreso de equipos de la organización. )uando (ay retiro para desec(o, existe un documento formal.
xisten un con!unto de procedimientos aprobados y publicados en la intranet, otros se encuentran elaborados con estado de revisión y otros no existen. 4o existen 3nstrucciones relacionados con seguridad de información.
4o existe un documento de control de cambios formalmente escrito. Los cambios en algunas oportunidades se determinan por correo o por minuta.
xisten algunos privilegios por cargo para acceder a algunos activos, el cual no est+ formalizado. =alta un manual de funciones claras en término de responsabilidades de seguridad de los activos de información que permita resguardar la información sensible. xiste un ambiente de desarrollo en cada equipo de desarrollador, un ambiente de test y productivo que se encuentra en el servidor del *). Si esto se encuentra en el mismo servidor no est+ en la misma m+quina.
n el contrato marco de )onsultoría, *iseo, *esarrollos, )apacitaciones e 3mplementación de Aplicaciones y 8lataformas de Soft/are y contempla en varios artículos niveles de servicio.
Si bien se (a detectado que tienen claridad de los servicios que est+n prestando terceros no existe evidencia que sean monitoreados y auditados.
Se realiza un control informal ya que no existe un procedimiento especíco para )ontrol de )ambios.
4o existe el monitoreo de los recursos del sistema. Adem+s el servidor no entrega alertas de capacidad.
8ara el desarrollo de Bis=e si existe los ambientes de prueba y producción. Actualmente tienen buenas pr+cticas, de!an evidencias de aceptacióncuando pasa de un ambiente a otro. 4o se eval-an temas de seguridad ni de carga de información, adem+s los criterios no se encuentran formalizados.
4o se (an implementado controles en la red, en las computadoras y tablet para protegerse de códigos maliciosos. ?tilizan SD AF; la versión (ogar. 4o existe un rol que esté monitoreando la red ante ataques. n = se encuentran bloqueados algunos sitios.
4o se eval-a si existe alg-n riesgo de seguridad sobre código transportable "móvil$, es decir, cualquier usuarios est+ autorizado a instalar una aplicación.
= no cuenta con política de respaldo. 8ero, tienen buenas pr+cticas ya que Se realizan respaldo de ::** SCL diferencial y total, y los nes de semana se lleva a cinta, adem+s realizan una prueba diaria que se realizó en conformidad el respaldo.
La red no se encuentra segmentada, actualmente no pueden mane!ar la saturación de la red ni ver donde se encuentra un punto caído. Los re/alls son administrados por el 6d) y en casa central no tienen.
Se tiene identicado los dispositivos de red y la seguridad en ellos, tanto interno como con proveedores "envío de informe mensual de disponibilidad de enlaces$.
4o existe procedimiento para la gestión y eliminación segura de medios removibles "documentos, cintas, discos$. 4o se lleva un control de la información sensible y condencial que se (a eliminado. Se identicó una gerencia que tiene buenas pr+cticas. 4o existe procedimiento para la gestión y eliminación segura de medios removibles "documentos, cintas, discos$. 4o se lleva un control de la información sensible y condencial que se (a eliminado. Se identicó una gerencia que tiene buenas pr+cticas.
xisten directrices "en los procedimientos$ de almacenamiento de documentación física el cual es vulnerable. ;ran parte de la información se almacena en formato electrónico y la mayor parte de ella no cumple controles, ya que existe muc(a información en computadoras personales de los usuarios que son sensibles a la organización. La información se encuentra segura en el sistema, se realiza control por usuario y pass/ord pero, no cuenta un log de auditoría que permita identicar a los usuarios que (an tenido acceso al sistema.
4o existe una política de intercambio de información. A pesar que existe un control de los usuarios que pueden acceder a la base de datos, se pierde el control de cómo, dónde y a quién la va a enviar.
xiste acuerdo por contrato con distintas entidades para que no (agan mal uso de la información. Sin embargo la información no va encriptada, tampoco tiene etiquetado de condencial. )uando se transmite la información correo electrónico debiera tener una leyenda (aciendo alusión a su grado de sensibilidad. 4o existe lineamientos de parte de la gerencia sobre los medios de transportes para la información importante. l transporte y mane!o de cintas lo administra el 6d). xiste respaldo diario de correo electrónico "por medio de 6d)$, adem+s se utiliza encriptación para los accesos vía /eb.
4o aplica este control porque no (ay intercambio de información por sistema entre = y otros. n un futuro la comunicación ser+ con Servipag.
4o aplica este control para los servicios que ofrece =.
4o aplica este control porque no (ay intercambio de información por sistema entre = y otros. n un futuro la comunicación ser+ con Servipag.
La información publicada en los sistemas de información p-blica como la Deb se realiza por medio de ;)9B y la autoriza la gerente, pero no existe una autorización o un procedimiento formal escrito. Los contenidos que se publican en la intranet se encuentran a cargo de ;8 y se tiene claro quien autoriza y quien accede, pero tampoco existe un procedimiento.
l sistema Bis=e no tiene logs de auditoría, lo que no (ace posible monitorear el control de acceso. Los servicios contratados a terceros como Servipag poseen logs.
4o se realiza monitoreo al sistema "accesos, operaciones con privilegios, intentos fallidos, alertas$ y por lo tanto el sistema no presenta anormalidades de este tipo. sto no permite evaluar su riesgo.
xiste un control sólo por funcionalidades. 4o existe una garantía que alguien no modique un registro maliciosamente, ya que no (ay logs de auditoría.
xiste un acceso diferenciado el cual indica el operador involucrado, pero no (ay bit+cora de registros de eventos.
xisten registros de incidencias y se encuentran categorizadas en el sistema "9pen Source$.
xiste *omain )ontroller "por parte de 6d)$ y todos los servidores de la red se sincronizan vía 4%8.
4o existe una política de control de acceso "identicación, perl de acceso, autorización, retiro de permisos, entre otros$
4o existe documentación formal para ninguno de los sistemas de información. = cuenta con un borrador del procedimiento que se encuentra en estado de revisión. xiste una buena pr+ctica cuando ingresa un traba!ador y est+n claras las actividades, pero no así cuando el traba!ador se retira. xiste una falsa sensación de uso de privilegios, ya que el sistema permite congurar por perl y por persona, para el primero se puede tener control y para el segundo no. xiste proceso claro para asignación de contrasea el cual no se encuentra documentado. l sistema no obliga al usuario a cambiar la clave temporal y en ocinas se almacena la clave en arc(ivadores desprotegidos.
4o se realiza revisiones periódicas que permitan regularizar de los privilegios de los usuarios.
4o existe un adecuado uso de contraseas va a depender muc(o de la persona. 6ay contraseas que se comparten entre usuarios y otras son f+ciles de adivinar como la dirección de casa central de =.
4o existen políticas de pantalla ni bloqueo de estaciones. Algunos usuarios tienen buenas pr+cticas. 6ay equipos que no tienen clave para ingreso a Dindo/s.
n el Banual 3nterno se detalla la 8olítica de Lugares de %raba!o Limpios.
4o existe una política sobre el uso de las redes que permita delimitar el acceso de acuerdo a las funciones. Sin embargo tienen separación de funciones a través de Active *irectory.
4o existen métodos formales de autenticación, se utiliza una buena pr+ctica. 4o se encuentra documentado que personas tienen acceso a F84.
4o existen controles por BA) Address y FLA4Qs. Se puede conectar cualquier dispositivo a la red sin la debida conguración.
4o existe evidencia del control de puertos en la red.
l proveedor "6d)$ realiza la segmentación de la red.
4o existe un control de límite de sesiones para conectarse a la red.
4o se (a establecido controles de enrutamiento para asegurar las conexiones, sólo en casa se encuentran bloqueadas algunas redes.
4o existe un procedimiento formal que permita identicar y controlar los accesos "auditoría para identicar intentos fallidos, usuarios intrusos, limitación de tiempo para acceder al S9$
)ada persona tiene su usuario y clave. 4o existen usuarios genéricos.
4o existe gestión de contraseas. ?n usuario puede pasar toda su vida laboral con la misma contrasea, el sistema no obliga al cambio de esta y son f+ciles de descubrir$. 4o se realiza control en el est+ndar de las utilidades del sistema. ?tilizan Cuery de consulta y pueden e!ecutar varias al mismo tiempo degradando el sistema. 4o se realiza control ni bloqueo de las estaciones de traba!o luego de un período de inactividad.
4o existe restricción de tiempo de conexión a las aplicaciones "restricción para utilizar los sistemas sólo en (orario laboral$
4o existe una política de control de acceso por lo cual no se puede identicar ni distinguir los perles de los usuarios que accesan al sistema. 8or e!emplo, a la base productiva se puede llegar por acceso remoto y por pin. xisten servidores en el *), sin embargo existen algunos en casa central sin seguridad, adicionalmente no se observa que existan evaluaciones cuando se instalan en un servidor mas de una aplicación de las cuales una de ellas es sensible.
4o existe una política que prote!a los medios de comunicación móvil. Los noteboo0 no tienen seguros comprometidos, no se realiza respaldo con regularidad, no se realizan capacitaciones de concientización de seguridad de información.
Se debe establecer un proceso formal de autorización para denir que usuarios pueden desarrollar actividades remotas accediendo a las redes de datos de =.
4o existe declaración de requerimientos, no est+ presente la gura de seguridad por lo cual no se realiza vericación desde el punto de vista de seguridad y protección de la información. Sólo se valida presupuesto y prioridad.
st+ presente en el desarrollo la validación de errores en el ingreso de datos.
Se realizan pruebas de validación a nivel de funcionalidad. 4o existe una metodología para el desarrollo de validación y falta documentar los resultados de los c(equeos.
l sistema Bis= entrega alertas adecuadas a la operación.
Se realizan controles y pruebas de datos de salida, adem+s se de!a evidencia de esto.
4o existe una política de encriptación en =. = no traba!a con encriptación de claves, tampoco se puede realiza una gestión de estas. 4o (ay política para el uso de (erramientas de encriptación.
4o existe un procedimiento de control de cambios, por lo tanto se realizan instalaciones de cambio de versión sin control.
4o se realiza un adecuado control de los datos que se llevan del sistema productivo a test, los datos quedan en ambos ambientes atentado contra la seguridad de la información.
4o existe un procedimiento de control de versiones que permita garantizar que los cambios que se realizan al código fuente (acen de manera ordenada y segura.
4o existe formalmente un procedimiento de control de cambios.
4o se controla la correcta funcionalidad antes de realizar el cambio de S9. 6an ocurrido problemas con el cambio de versión de xplorer.
4o existe un proceso de gestión de cambio para la actualizaciones de soft/are.
4o existe una política o control que impidan la fuga de información propia y sensible de =. 4o se realiza un monitoreo de los recursos de sistema. n el contrato marco de )onsultoría, *iseo, *esarrollos, )apacitaciones e 3mplementación de Aplicaciones y 8lataformas de Soft/are, indica que = es dueo de códigos y derec(os de propiedad intelectual.
4o se evidencia que se realicen pruebas de vulnerabilidad y de evaluación de riesgo sobre la plataforma tecnológica.
4o existe un procedimiento conocido por la organización para el reporte de indicentes de seguridad, en el reglamento interno sólo existe un lineamiento.
xiste un reporte informal "verbal$, pero est+ presente un procedimiento para denunciar incidentes de seguridad.
4o existe un procedimiento formal de incidentes de seguridad de la información, por lo tanto, no se encuentran categorizados.
4o existe un procedimiento formal de incidentes de seguridad de la información, por lo cual, no se puede establecer un registro general que permita establecer estadísticas de incidentes y aprender de los incidentes ocurridos con anterioridad.
Se (a evidenciado que se realizado denuncias de seguridad de información, las que son asesoradas con abogado. Sin embargo no existe un procedimiento formal para realizar la denuncia.
4o se encuentra formalmente establecido e implementado un 8lan de )ontinuidad del 4egocio ":)8$ para =, por lo tanto los aspectos de disponibilidad y seguridad de la información no est+n siendo contemplados. = cuenta con un plan de continuidad en 8revención de >iesgo solamente.
Se realiza evaluación de riesgo a la continuidad del negocio a nivel operativo en un RJ aproximadamente el resto se encuentra en carpeta y la prioridad (a sido entregada por el directorio. 4o (ay plan de continuidad de negocio :)8, este se encuentra en carpeta.
4o se encuentra formalmente establecido e implementado un 8lan de )ontinuidad del 4egocio ":)8$ para =, se encuentra en carpeta.
4o se encuentra formalmente establecido e implementado un 8lan de )ontinuidad del 4egocio ":)8$ para =, se encuentra en carpeta.
4o se encuentra formalmente establecido e implementado un 8lan de )ontinuidad del 4egocio ":)8$ para =, se encuentra en carpeta.
4o existe un asesor externo que responda a las necesidades y requerimientos legales de =. *e todos modos, no se lleva un registro de control de licencias de soft/are instalados, lo cual implica incumplimiento de Ley 1I''M de 8ropiedad 3ntelectual o Ley 1TKK' sobre *elitos 3nform+ticos.
4o existe un procedimiento regulatorio que revise que sólo se instalen soft/are autorizados y productos con licencias, lo cual implica incumplimiento de Ley 1I''M de 8ropiedad 3ntelectual o Ley 1TKK' sobre *elitos 3nform+ticos.
xiste una buena pr+ctica que no cumple a cabalidad con el marco de la norma. =alta un procedimiento formal que regule los respaldos y custodia de la data de las socias. xiste una buena pr+ctica de privacidad y resguardo de la información del personal de =. Ga que muc(a información que se encuentra en arc(ivadores "sistema de almacena!e$ sin respaldo, lo cual genera un riesgo a la pérdida de información ante un incidente mayor. xiste una mención en el Banual 3nterno vigente, aunque se detecta que la mayoría de los usuarios no son conscientes de la aplicación de esta política en su actividad diaria.
4o se (ace mención a la legislación aplicable como la Ley 1TITT de =irma lectrónica y =irma *igital donde se tratan aspectos relacionados con certicados digitales.
4o existen políticas ni est+ndares de seguridad, los gerentes realizan una supervisión y toman acciones de sentido com-n. 4o existen est+ndares. 8or lo cual no se realizan controles para asegurar que se mantienen los est+ndares de seguridad para las plataformas tecnológicas y sistemas de =.
xiste y un cumplen con auditorías de terceros, pero no existen auditorías a los sistemas de información.
4o existen auditorías a los sistemas de información.
" "
$
$
$
$
$
%% <
%)(
$
$
$
$
$
$
$
$
%
$
$
$)(
$
$
$
$
7
%
$
$
$
$)(
$
$)(
( 7
$)(
$
$
$
$
$
$)(
"
$
$
$
$
$
7
"
$
$)(
$
$)(
%
$
7
"
%
$
$
$
%
$
7
"
%
$)(
$
$)(
$
$
%7 2
$)(
$
$
$
$
$
$
$
$)(
$
$
$
$
#
%
$
$)(
$
$
$
$
$
$
$
$
$
$)(
$
$
"
%)(
$
$)(
$
$
$
$
%
$
7
%
%
$
$
$
$
$
"
$)(
$
$
$
$)(
"
$
$
$
$
$
%
$)(
$
$)(
"
%
$
$
%
$
$)(
$
$
$
$
$
$
$
$)(
%)(
$
$
$
$)(
$
$
%
$
$
$
%
$)(
$
$
$
$
$
$)(
2
"
$
$
$
$
$
$
$
$
%
$
%
$
"( %
$
$
$
%)(
$
$)(
$
$)(
$
$)(
$
$
7
%
$
$
$
$
%
$
#
"
$
$)(
$
$)(
$
$
$
$
%
$
$
$
$
$
2
%
$
$
%
$
$
$
$
$
$
$
$
$
"
$)(
$
$
$
$)(
"
$
$
$
$
$
%2 %
$
$
$
7)(
%
$
$
$)(
%
$
%
$
"
$
$
$
$
$
7
$
$
$
$
$
$
$
(
%
$
$
$
$
$
$
$
$
%
$
%
$
$
$
( "
$
$
$
$
$
7
$)(
$
$
$
$
$
$)(
( (
$)(
$
$
$
$)(
$
$
$
$
$
$
%$ 2
%
$
$
$
$
$
$)(
$
$)(
$
$
$
$
"
$
$
$
$
$
"
$
$
$
$
$
$)$$ $)$$
$)$$
$
$
")($ $)%
$
$
$
%)($
$
$
$
$
$
$)77
%
$
$
$
$)( $)%22222222#
$
$)(
$
$
$
$
$
$
2 $)222222222#
"
$
$
$
$)222222222#
$
"
$
$
$)222222222#
$
$
"
$
%)( $)$<77777777
$
$
$
$)(
$
$
$
$)%"<(#%" $
$
$
%
$
$
$
$
$)7#(
$
$
%)(
$
$
$)7777777777
%
$
$
$
$)"(
$)(
$
$
$
$
$
$
$)(
$)(
$
$)(
%
$
$
$)%"(
$
$
$)(
$
$
$)7#(
$
$
$
$
%)(
$
$)(
$)(
$
$
$
$)7777777777
$
"
$
$
$
$
$
2 $
$
$
$)7#(
%)(
$
$
$
$
$)7777777777
$
%
$
$
$)"<(#%"<(#
$
$
$
$
"
$
$
$
$)%22222222#
$
$
%
$
$
$
$
$)"(
$)(
$
$
$
$
$
$
)( $
$
$
$)<#(
$
$
7)(
$
$
$
$
$
$
$
$
$
$
$
$)"
%
$
$
$
$
$
$
$
$
$)( $
$
$
$
$)%22222222#
$
$)(
$
$
$)( $)%
$
$)(
$
$
$
$
% $)%22222222#
%
$
$
$
$
$
$
$
$
$
$
$
$
$
$
$
"7 $)$$
%$
2#
%"
7%
"
"<
%$
%$
%$
Proyecto: FE Gestión de Seguridad de la Información i1el de madure6 'or dominios de seguridad /esultados 'or o9@eti1os () P!+,ICA &E SEG./I&A& R.1. 8olítica de seguridad de la información
2)
!/GAI3ACI4 &E +A SEG./I&A& &E +A IF!/5ACI4 M.1. 9rganización 3nterna M.K. ntidades externas
#)
GESI! &E ACI?!S I.1. >esponsabilidad de los activos I.K. )lasicación de la 3nformación
<)
SEG./I&A& &E +!S /EC./S!S .5A!S N.1. 8revio al empleo N.K. *urante el empleo N.'. =inalización o cambio de empleo
)
SEG./I&A& F,SICA D A5BIEA+ T.1. Vreas seguras T.K. Seguridad de los equipos
%$) GESI4 &E +AS C!5.ICACI!ES D +AS !PE/ACI!ES 1J.1. 1J.K. 1J.'. 1J.. 1J.R. 1J.M. 1J.I. 1J.N. 1J.T. 1J.1J.
>esponsabilidad y procedimientos operacionales ;estión de servicios por terceras partes 8lanicación y aceptación del sistema 8rotección contra código móvil y malicioso :ac0up ;estión de seguridad en la red ;estión de soportes 3ntercambio de información Servicios de comercio electrónico Bonitoreo
%%) C!/!+ &E ACCES! 11.1. 11.K. 11.'. 11.. 11.R. 11.M. 11.I.
>equerimientos de negocio para el control del acceso ;estión de accesos de usuarios >esponsabilidades de usuario )ontrol de acceso a redes )ontrol de acceso al sistema operativo )ontrol de acceso a la información y las aplicaciones 3nform+tica móvil y teletraba!o
%") A&O.ISICI4 &ESA//!++! D 5AEI5IE! &E +!S SISE5AS &E IF!/5 1K.1.
>equerimientos de seguridad de los sistemas de información
1K.K. 1K.'. 1K.. 1K.R. 1K.M.
8rocesamiento correcto en las aplicaciones )ontroles criptogr+cos Seguridad de los arc(ivos del sistema Seguridad en el desarrollo y soporte de procesos ;estión de vulnerabilidades técnicas
%7) GESI4 &E ICI&EES &E SEG./I&A& &E +A IF!/5ACI4 1'.1. 1'.K.
3nformes de los eventos de seguridad de la información y vulnerabilidades ;estión de incidentes y me!oras de seguridad de la información
%) GESI4 &E C!I.I&A& &E+ EG!CI! 1.1.
;estión de los aspectos de seguridad de la continuidad del negocio
%() C.5P+I5IE! 1R.1. 1R.K. 1R.'.
)umplimiento de los requerimientos legales )umplimiento de las políticas y est+ndares de seguridad y cumplimiento técnico )onsideraciones de auditoria de sistemas de información
$)$$ J.JJ "")#7 1N.IR ''.''
%$)$$ 1M.MI J.JJ
22)2# MM.MI MM.MI MM.MI
%%)( N.'' 1.KT
7%)$7 'I.RJ ''.'' KR.JJ J.JJ RJ.JJ RJ.JJ 1K.RJ 'I.RJ RJ.JJ ''.''
")$$ J.JJ 'I.RJ ''.'' KN.RI 1M.MI KR.JJ J.JJ
"<)%7 J.JJ
NI.RJ J.JJ J.JJ KJ.JJ J.JJ
%$)$$ J.JJ 1M.MI
%$)$$ 1J.JJ
%$)$$ 1M.MI J.JJ J.JJ
Proyecto: FE Gestión de Seguridad de la Información i1el de madure6 'or dominios de seguridad i1el de cum'limiento 'or dominio- Análisis de 9rech &ominio R. 89LW%3)A * S;?>3*A* M. 9>;A43XA)3Y4 * LA S;?>3*A* * LA 34=9>BA)3Y I. ;S%394 * A)%3F9S N. S;?>3*A* * L9S >)?>S9S 6?BA49S T. S;?>3*A* =WS3)A G AB:34%AL 1J. ;S%3Y4 * LAS )9B?43)A)394S G LAS 98>A)394 11. )94%>9L * A))S9 1K. A*C?3S3)3Y4, *SA>>9LL9 G BA4%43B34%9 * L9S 1'. ;S%3Y4 * 34)3*4%S * S;?>3*A* * LA 34=9> 1. ;S%3Y4 * )94%34?3*A* *L 4;9)39 1R. )?B8L3B34%9
otal i1el de madure6 de la Institución /esultado Escala &escri'ción
i1el de cum'limiento 'or dominio- Análisis de 9rech
1. ;
1'. ;S%3Y4 * 34)3*4%S *
1K. A*C?3S3)3Y4, *SA>>9LL9 G BA4%43
as res'ecto a los controles re>ueridos 'or el estándar /esultado J.JJ KK.I' 1J.JJ MM.MI 11.R '1.J' K.JJ KN.1' 1J.JJ 1J.JJ 1J.JJ
S
S3S%BAS * 34=9>BA)3Y4 A)3Y4
"2
KM >epetible Los procesos y los controles siguen un patrón regular. Los procesos se (an desa diferentes personas. 8ero no est+n formalizados, ni (ay comunicación formal s conocimientos de cada persona.
as res'ecto a los controles re>ueridos 'or el estándar
FE- Gestión de Seguridad de la Información i1el de cum'limiento 'or dominio R. 1R. )?B8L3B34%9
89LW%3)A * S;?>3*A* M.
9
%3Y4 * )94%34?3*A* *L 4;9)39
KK.I' 1J.JJ 1J.JJ 1J.JJ J.JJ 1J.JJ 11.R S;?>3*A* * LA 34=9>BA)3Y4
MM.MI
KN.1' K.JJ '1.J'
34%9 * L9S S3S%BAS * 34=9>BA)3Y4
11. 1J. )94%>9L ;S%3Y4 * A))S9 * LAS )9B?43)A)394S G LAS
rrollado (asta el punto en que diferentes procedimientos son seguidos por bre los procedimientos desarrollados. 6ay un alto grado de conanza en los
;A43XA)3Y4 * LA S;?>3*A* * LA 34=9>BA)3Y4
I.
;S%394 * A)%3F9S
N.
T.
S;?>3*A* * L9S >)?>S9S 6?BA49S
S;?>3*A* =WS3)A G AB:34%AL
8>A)394S