en cuesta trabajadores
TRANSCRIPT
-
8/17/2019 En Cuesta Trabajadores
1/18
CONTROL
ISOREQUERIMIENTO
La empresa D’bodegas
aplica este control(Si No !arcialmenteNo sabe"
#$ !OLITIC% DE SE&URID%D
5.1 POLITICA DE SEGURIDAD DE LA INFORMACION
5.1.1
¿Existe una Política de Seguridad de la Información, que es aprobada por la dirección,
publicada comunicada seg!n proceda, a todos los empleados"
¿Establecen las políticas un compromiso de las #erencias con relación al m$todo de la
organi%ación para la gestión de la seguridad de la información"
5.1.&
¿'as políticas de seguridad son re(isadas a inter(alos regulares, o cuando )a cambios
significati(os para asegurar la adecuación efecti(idad"
¿'as políticas de Seguridad de la Información tiene un propietario, que )a aprobado la
responsabilidad de la gestión para el desarrollo, re(isión e(aluación de la política de
seguridad"
¿Existen procedimientos de re(isión de las políticas de seguridad estos incluen
requerimientos para el mane*o de su re(isión"¿'os resultados de la re(isión de la gestión son tenidos en cuenta"
¿Se obtiene la aprobación de la alta gerencia con relación a las políticas re(isadas"
'$ %S!ECTOS OR&%NI%TI)OS DE L% SE&URID%D DE L% IN*ORM%CION
6.1 ORGANIZACIÓN INTERNA
+.1.1
Si la gerencia demuestra soporte acti(o a las medidas de seguridad dentro de la organi%ación.
Esto puede ser reali%ado por direcciones claras, compromiso demostrado, asignaciones
explícitas conocimiento de las responsabilidades de la seguridad de información.
+.1.&Si las acti(idades de seguridad de información son coordinadas por representantes de
distintas partes de la organi%ación, con sus roles pertinentes responsabilidades.
+.1.
¿Est-n establecidas las responsabilidades de protección de acti(os indi(iduales lle(ar a
cabo procesos de seguridad específicos que est$n claramente identificados definidos"
+.1.Si el proceso de gestión de autori%ación est- definido e implementado para cada nue(o equipo
de procesamiento de información dentro de la organi%ación.
+.1.5 Si la organi%ación necesita de confidencialidad o /cuerdos de no 0i(ulgación para protección
de información que est$n claramente definidos re(isados periódicamente.
-
8/17/2019 En Cuesta Trabajadores
2/18
¿iene esta dirección la exigencia de proteger la información confidencial utili%ando t$rminos
legales exigibles"
+.1.+¿Existe algún procedimiento que describa cuando y quienes deben contactar a las autoridades
competentes, departamento de bomberos, etc. y cómo deben reportarse los incidentes?
+.1.2¿Existen los contactos apropiados con grupos especiales de inter$s, foros de seguridad o
asociaciones profesionales relacionadas con la seguridad"
+.1.3
¿iene la organi%ación un enfoque sobre la gestión de la seguridad de información, su
implementación, re(isión independiente a inter(alos regulares o cuando ocurran cambios
significati(os"
6.2 TERCEROS
+.&.1¿'os riesgos in)erentes a equipos o sistemas de información de terceros son identificados
luego implementadas medidas de control apropiadas antes de permitir el acceso"
+.&.&¿Son identificados todos los requerimientos de seguridad sean cumplidos antes de conceder
acceso a los clientes a los acti(os de la organi%ación"
+.&.
¿'os acuerdos con terceros incluen accesos, procesamiento, comunicaciones, mane*o de la
información o equipos que in(olucren almacenamiento de información que cumplan con todos
los requerimientos de seguridad"
+$ &ESTION DE %CTI)OS
7.1 RESPONSABILIDAD SOBRE LOS ACTIVOS
2.1.1¿Son los acti(os debidamente identificados e in(entariados o se mantiene un registro de los
acti(os importantes"
2.1.&
¿'os acti(os tienen identificados a sus respecti(os propietarios definidas con ellos
clasificaciones de datos restricciones de acceso en base a la criticidad, estas restricciones
re(isadas periódicamente"
2.1.
¿Son identificadas, documentadas e implementadas todas las regulaciones existentes con
respecto al uso aceptable de información acti(os asociados con el procesamiento de
información"7.2 CLASIFICACION DE LA INFORMACION
2.&.1 ¿'a información es clasificada en t$rminos de su (alor, requerimientos legales, sensibilidad
criticidad para la organi%ación"
2.&.& ¿Son definidos con*untos de procedimientos para etiquetado mane*o de la información en
-
8/17/2019 En Cuesta Trabajadores
3/18
concordancia con el esquema de clasificación adoptado por la organi%ación"
,$ SE&URID%D LI&%D% % LOS RECURSOS -UM%NOS
8.1 ANTES DEL EMPLEO
3.1.1
¿Est-n claramente definidos documentados de acuerdo a las políticas de seguridad de
información de la organi%ación los roles responsabilidades de los empleados, contratistas terceros"
¿Son los roles responsabilidades definidos pre(iamente, comunicados claramente a los
candidatos a empleo durante el proceso de pre empleo"
3.1.&
¿'os controles de (erificación de antecedentes para todos los candidatos a empleo,
contratistas terceros, son lle(ados a cabo de acuerdo a las regulaciones rele(antes"
¿Inclue la (erificación referencias sobre el car-cter, confirmación de títulos acad$micos,
cualidades profesionales c)equeos independientes de identidad"
3.1.
¿Son firmados con los empleados, contratistas terceros, contratos de confidencialidad
acuerdos de no di(ulgación como parte inicial de los t$rminos condiciones de contratos de
traba*o"
¿Estos acuerdos contratos cubren las responsabilidades de seguridad de información de laorgani%ación, los empleados, contratistas terceros"
8.2 DURANTE EL EMPLEO
3.&.1¿'a gestión requiere a los empleados, contratistas terceros a que apliquen la seguridad en
concordancia con las Políticas Procedimientos establecidos en la 4rgani%ación"
3.&.&
¿'os empleados, contratistas terceros reciben la apropiada sensibili%ación, educación
formación permanente sobre la Seguridad de Información con respecto a sus funciones
laborales específicas"
3.&.¿Existe un proceso disciplinario para aquellos empleados que incumplen las políticas de
seguridad"
8.3 CESE DEL EMPLEO O CAMBIO DE PUESTO DE TRABAJO
3..1 ¿'as responsabilidades de procedimiento de terminación o cambio de empleo est-nclaramente definidas asignadas"
3..&
¿Existe un procedimiento a seguir con respecto a asegurar que los empleados, contratistas
terceros de(uel(an los acti(os de la organi%ación que est$n en su poder al terminar el contrato
de empleo"
-
8/17/2019 En Cuesta Trabajadores
4/18
3..
¿Son remo(idos los derec)os de acceso de todos los empleados, contratistas terceros a los
sistemas de información al termino de empleo o adecuación en caso de que cambien de
función"
.$ SE&URID%D *ISIC% / %M0IENT%L9.1 AREAS SEGURAS
.1.1
¿Existen mecanismos de control de acceso implementados con respecto al acceso a los sitios
de procesamiento de información" /lgunos e*emplos son controles biom$tricos, tar*etas de
acceso, separación por muros, control de (isitantes, etc.
.1.&¿Existen controles de acceso de tal modo a que solo las personas autori%adas puedan
ingresar a las distintas -reas de la organi%ación"
.1.¿'as salas de ser(idores u otros equipos de procesamiento 67euters, s8itc)s, etc.9, est-n
apropiadamente resguardadas ba*o lla(e o en cabinas con lla(e"
.1.
¿Se tienen implementadas protecciones o resguardos contra fuego, inundaciones, temblores,
explosiones, manifestaciones otras formas de desastres naturales o pro(ocadas por el
)ombre"¿Existe alguna amena%a potencial en los locales (ecinos del lugar donde se encuentran las
instalaciones"
.1.5¿Se tienen procedimientos designados e implementados sobre cómo traba*ar en las -reas
seguras"
.1.+
¿:on respecto a las %onas de acceso p!blico, entrega, descarga donde personas no
autori%adas pueden acceder, las %onas de procesamiento de información equipos delicados
son aislados asegurados para pre(enir el acceso no autori%ado"9.2 EUIPAMIENTO DE SEGURIDAD
.&.1¿'os equipos son protegidos para reducir los riesgos de da;os ambientales oportunidades
de acceso no autori%ado"
.&.&
¿'os equipos son protegidos contra fallas el$ctricas otras fallas que pudieran tener 6redundancia9"
¿
-
8/17/2019 En Cuesta Trabajadores
5/18
intercepción ?o da;os"
¿Existen controles adicionales de seguridad con respecto al transporte de información crítica"
Por e*. Encriptado en las comunicaciones.
.&.
¿Se reali%a mantenimiento periódico de los equipos de modo a asegurar la continua
disponibilidad e integridad"¿En la reali%ación de mantenimientos, son respetados los inter(alos recomendaciones de los
fabricantes"
¿'os mantenimientos son reali%ados !nicamente por personal capacitado autori%ado"
¿'os logs de alertas de los equipos, son re(isados periódicamente para detectar corregir
posibles fallas en los mismos" 6principalmente fallas en discos9
¿Se aplican los controles adecuados cuando se en(ían los equipos fuera de la organi%ación"
¿odos los equipos est-n cubiertos por póli%as de seguro los requerimientos de la :ompa;ía
de Seguros est-n apropiadamente reali%ados"
.&.5
¿Existen mecanismos de control mitigación de riesgos implementados con relación a
equipos utili%ados fuera de la organi%ación" 6encripción de discos de las noteboo>s, seguro,
etc.9¿En caso de utili%ación de equipos fuera de la organi%ación, estos cuentan con la autori%ación
respecti(a de las gerencias"
.&.+
¿:u-ndo se disponga la reutili%ación de equipos o cuando sean dados de ba*a, son
(erificados los medios de almacenamiento con respecto a datos soft8are licenciado luego
destruidos totalmente antes de su entrega"
.&.2¿Existen controles implementados con respecto a que ning!n equipo, información soft8are
sea sacado de la organi%ación sin la autori%ación respecti(a"
12$ &ESTION DE COMUNIC%CIONES / O!ER%CIONES
1!.1 RESPONSABILIDADES " PROCEDIMIENTOS DE OPERACION
¿'os procedimientos operati(os son documentados, actuali%ados est-n disponibles para
todos los usuarios que puedan necesitarlos"¿0ic)os procedimientos son tratados como documentos formales cualquier cambio en los
mismos necesita la autori%ación pertinente"
[email protected].&¿Son controlados todos los cambios en los sistemas equipos de procesamiento de
información"
-
8/17/2019 En Cuesta Trabajadores
6/18
[email protected].¿Son separadas las tareas responsabilidades de modo a reducir las oportunidades de
modificación o mal uso de los sistemas de información"
¿'os equipos de desarrollo pruebas est-n separados de los equipos operacionales" Por
e*emplo, desarrollo de soft8are debe estar en un equipo separado del de producción. :uando
sea necesario, incluso deben estar en segmentos de red distintos unos del otro.1!.2 GESTION DE LA PROVISION DE SERVICIOS POR TERCEROS
1@.&.1¿Existen medidas que son tomadas para asegurar que los controles de seguridad, ni(eles de
ser(icio entrega sean incluidos (erificados en los contratos de ser(icios con terceros, así
como su re(isión periódica de cumplimiento"
1@.&.&
¿Son los ser(icios, reportes registros pro(eídos por terceros regularmente monitoreados
re(isados"
¿Existen controles de auditoría que son reali%ados a inter(alos regulares sobre los ser(icios,
reportes registros suministrados por terceros"
1@.&.
¿Se gestionan los cambios en la pro(isión de ser(icios, incluendo mantenimiento la me*ora
en las políticas de seguridad de información existentes, procedimientos controles"
¿Se tienen en cuenta sistemas de negocio críticos, procesos in(olucrados reAe(aluación deriesgos"
1!.3 PLANIFICACION " ACEPTACION DEL SISTEMA
¿'a capacidad de procesamiento de los sistemas son monitoreados en base a la demanda
proectados en base a requerimientos futuros, de modo a asegurar que la capacidad de
proceso almacenamiento est$n disponibles"
E*emploB Conitoreo de espacio en disco, Cemoria 7/C, :P= en los ser(idores críticos.
1@..&
¿Son establecidos criterios de aceptación para nue(os sistemas de información,
actuali%aciones nue(as (ersiones" ¿Son reali%adas pruebas antes de la aceptación de los
mismos"
1!.# PROTECCION CONTRA CODIGO MALICIOSO " DESCARGABLE
[email protected] ¿Existen controles para detección, pre(ención recuperado contra código malicioso sondesarrollados e implementados procedimientos apropiados de ad(ertencia a los usuarios"
1@..& En caso de necesitarse código mó(il, este solo debe utili%arse una (e% que )aa sido
autori%ado. 'as configuraciones del código mó(il autori%ado deben reali%arse operarse de
acuerdo a las Políticas de Seguridad. 'a e*ecución del código mó(il no autori%ado, debe
-
8/17/2019 En Cuesta Trabajadores
7/18
pre(enirse.
6:ódigo Có(il es código de soft8are que se transfiere de una computadora a otra que se
e*ecuta autom-ticamente. 7eali%a una función específica con mu poca o casi ninguna
inter(ención del usuario. El código mó(il est- asociado a un gran n!mero de ser(icios de
middle8are91!.5 COPIAS DE SEGURIDAD
¿Se reali%an copias de respaldo de la información soft8are son testeados regularmente en
concordancia con las políticas de bac>up"
¿oda la información el soft8are esencial puede ser recuperado en caso de ocurrencia de un
desastre o fallo de medios"
1!.6 GESTION DE LA SEGURIDAD DE LAS REDES
1@.+.1
¿'a red es adecuadamente administrada controlada para protegerse de tretas en orden a
mantener la seguridad de los sistemas aplicaciones en uso a tra($s de la red, incluendo la
información en tr-nsito"
¿Existen controles implementados para asegurar el tr-nsito de la información en la red e(itar
que esta sea leída o accesada de forma no autori%ada"
1@.+.&
¿'as características de seguridad, ni(eles de ser(icio requerimientos de administración de
todos los ser(icios de red son identificados e incluidos en cualquier acuerdo de ser(icio de
red"
¿'a capacidad del pro(eedor de ser(icios de red de proporcionar los ser(icios de forma
segura, es determinada regularmente monitoreada se tienen derec)os de auditoría
acordada para medir ni(eles de ser(icio"
1!.7 MANIPULACION DE LOS SOPORTES
¿Existen procedimientos para el mane*o de medios remo(ibles como cintas, dis>ettes, tar*etas
de memoria, lectores de :0, pendri(es, etc."
¿'os procedimientos ni(eles de autori%ación est-n claramente definidos documentados"
[email protected].& ¿En caso de que los medios a no sean requeridos, estos son eliminados de forma seguraba*o procedimientos formalmente establecidos"
¿Existen procedimientos para el mane*o del almacenamiento de la información"
¿/borda este procedimiento temas comoB protección de la información contra acceso no
autori%ado o mal uso"
-
8/17/2019 En Cuesta Trabajadores
8/18
[email protected]. ¿'a documentación de los sistemas est- protegida contra acceso no autori%ado"
1!.8 INTERCAMBIO DE INFORMACION
¿Existe una política formal, procedimientos ?o controles aplicados para asegurar la protección
a la información"
¿Estos procedimientos controles cubren el uso de equipos de comunicación electrónica en elintercambio de información"
¿Existen acuerdos de intercambio de información soft8are entre la organi%ación partes
externas"
¿El contenido de los acuerdos con respecto a la seguridad refle*a la sensibilidad criticidad de
la información de negocio en(uelta en el proceso"
[email protected].¿'os medios físicos que contengan información es protegida contra acceso no autori%ado, mal
uso o corrupción de datos durante el transporte entre las organi%aciones"
¿'a información que se en(ía por mensa*ería electrónica es bien protegida"
6Censa*ería Electrónica inclue pero no es restringida solamente a email, intercambio
electrónico de datos, mensa*ería instant-nea, etc.9
[email protected] ¿'as políticas procedimientos son desarrolladas tendientes a fortalecer la protección deinformación asociada con la interconexión de sistemas de negocio"
1!.9 SERVICIOS DE COMERCIO ELECTRONICO
¿'a información en(uelta en el comercio electrónico cru%a a tra($s de redes p!blicas est-
protegida contra acti(idades fraudulentas, posibles disputas contractuales o cualquier acceso
no autori%ado que permita lectura o manipulación de esos datos"
Do aplicable
¿En los controles de seguridad son tenidos en cuenta la aplicación de controles criptogr-ficos" Do aplicable
¿El comercio electrónico entre los socios comerciales incluen un acuerdo, que compromete a
ambas partes a la negociación de los t$rminos con(enidos, incluidos los detalles de las
cuestiones de seguridad"
Do aplicable
1@..&
¿'a información en(uelta en transacciones en línea est- protegida contra transmisiones
incompletas, mal ruteo, alteración de mensa*ería, di(ulgación no autori%ada, duplicación noautori%ada o replicación"
Do aplicable
1@..¿'a integridad de la información disponible p!blicamente est- protegida contra modificación
no autori%ada"Do aplicable
1!.1! SUPERVISION
-
8/17/2019 En Cuesta Trabajadores
9/18
¿'os registros de auditoría que guardan la acti(idad de los usuarios, excepciones, e(entos de
seguridad de información que ocurren, se guardan por un periodo ra%onable de tiempo de tal
modo a poder reali%ar in(estigaciones futuras monitoreo de acceso"
¿Se tienen en consideración medidas de protección a la pri(acidad en el mantenimiento deregistros de auditoría"
¿Son desarrollados procedimientos de monitoreo de equipos de procesamiento de datos"
¿El resultado de la acti(idad de monitoreo es re(isada regularmente de forma periódica"
¿'os ni(eles de monitoreo requeridos por los equipos de procesamiento de información son
determinados por un an-lisis de riesgos"
[email protected]@.¿'os equipos que contienen los registros logs de auditoría son bien protegidos contra
posibles manipulaciones acceso no autori%ado"
¿'as acti(idades de los /dministradores 4peradores de sistemas son registradas en los
logs"
¿Son re(isados regularmente los logs"
[email protected]@.5¿'as fallas son registradas en logs, luego anali%adas acciones apropiadas reali%adas enconsecuencia"
¿'os ni(eles de registros en logs requeridos para cada sistema indi(idual son determinados en
base a an-lisis de riesgos la degradación de performance es tenida en cuenta"
¿'os relo*es de todos los sistemas de información est-n sincroni%ados en base a una misma
fuente de tiempo exacta acordada"
6'a correcta sincroni%ación de los relo*es es importante para asegurar la cronología de e(entos
en los logs9
11$ CONTROL DE %CCESO
11.1 REUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO 11.1.1 ¿'as políticas de control de acceso son desarrolladas re(isadas basadas en los
requerimientos de seguridad del negocio"
¿'os controles de acceso tanto físico como lógico son tenidos en cuenta en las políticas de
control de acceso"
¿anto a los usuarios como a los pro(eedores de ser(icios se les dio una clara declaración de
-
8/17/2019 En Cuesta Trabajadores
10/18
los requisitos de la empresa en cuanto a control de acceso"
11.2 GESTIÓN DE ACCESO DE USUARIO 11.&.1 ¿Existe alg!n procedimiento formal de altas?ba*as de usuarios para acceder a los sistemas"
11.&.&
¿'a asignación uso de pri(ilegios en los sistemas de información, es restringida controlada
en base a las necesidades de uso dic)os pri(ilegios son solo otorgados ba*o un esquemaformal de autori%ación"
11.&.
'a asignación reasignación de contrase;as debe controlarse a tra($s de un proceso de
gestión formal.
¿Se les solicita a los usuarios que firmen un acuerdo de confidencialidad del pass8ord"
11.&.¿Existe un proceso de re(isión de pri(ilegios derec)os de acceso a inter(alos regulares" Por
e*emploB Pri(ilegios especiales cada meses, pri(ilegios normales cada + meses.
11.3 RESPONSABILIDADES DE USUARIO
11..1¿Existe alguna pr-ctica de seguridad en el sitio para guiar a la selección mantenimiento de
contrase;as seguras"
11..&
¿'os usuarios terceros son concientes de los requisitos de seguridad procedimientos para
proteger los equipos desatendidos"Por e*emploB Salir del sistema cuando las sesiones son terminadas o configurar terminación
autom-tica de sesiones por tiempo de inacti(idad, etc.
11..
¿'a organi%ación )a adoptado una política de escritorio limpio con relación a los papeles
dispositi(os de almacenamiento remo(ibles"
¿'a organi%ación )a adoptado una política de pantalla limpia con relación a los equipos de
procesamiento de información"
11.# CONTROL DE ACCESO A LA RED
11..1
¿Se le pro(ee a los usuarios acceso !nicamente a los ser(icios de red a los cuales )an sido
autori%ados específicamente"
¿Existen políticas de seguridad relacionadas con la red los ser(icios de red"
11..& ¿Son utili%ados mecanismos apropiados de autenticación para controlar el acceso remoto delos usuarios"
11..¿Son considerados equipos de identificación autom-tica para autenticar conexiones desde
equips direcciones específicas"
11.. ¿'os accesos físicos lógicos a puertos de diagnóstico est-n apropiadamente controlados
-
8/17/2019 En Cuesta Trabajadores
11/18
protegidos por mecanismos de seguridad"
11..5
¿'os grupos de ser(icios de información, usuarios sistemas de información son segregados
en la red"
¿'a red 6desde donde asociados de negocios o terceros necesitan acceder a los sistemas de
información9 es segregada utili%ando mecanismos de seguridad perimetral como fire8alls"¿En la segregación de la red son )ec)as las consideraciones para separar las redes 8ireles
en internas pri(adas"
11..+
¿Existe una política de control de acceso que (erifique conexiones pro(enientes de redes
compartidas, especialmente aquellas que se extienden m-s all- de los límites de la
organi%ación"
11..2
¿Existen políticas de control de acceso que estable%can los controles que deben ser
reali%ados a los ruteos implementados en la red"
¿'os controles de ruteo, est-n basados en mecanismos de identificación positi(a de origen
destino"
11.5 CONTROL DE ACCESO AL SSTEMA OPERATIVO
11.5.1 ¿'os accesos a sistemas operati(os son controlados por procedimientos de logAon seguro"
11.5.&
¿=n !nico identificador de usuario 6user I09 es pro(eído a cada usuario incluendo
operadores, administradores de sistemas otros t$cnicos"
¿Se eligen adecuadas t$cnicas de autenticación para demostrar la identidad declarada de los
usuarios"
'os usos de cuentas de usuario gen$ricas son suministrados sólo en circunstancias
especiales excepcionales, donde se especifican los beneficios claros de su utili%ación.
:ontroles adicionales pueden ser necesarios para mantener la seguridad.
11.5.
¿Existe un sistema de gestión de contrase;as que obliga al uso de controles como contrase;a
indi(idual para auditoría, periodicidad de caducidad, comple*idad mínima, almacenamiento
encriptado, no despliegue de contrase;as por pantalla, etc."
11.5. ¿En caso de existir programas utilitarios capaces de saltarse los controles de aplicaciones delos sistemas, estos est-n restringidos bien controlados"
11.5.5 ¿'as aplicaciones son cerradas luego de un periodo determinado de inacti(idad"
6=n tiempo determinado de inacti(idad puede ser determinado por algunos sistemas, que
limpian la pantalla para pre(enir acceso no autori%ado, pero no cierra la aplicación o las
-
8/17/2019 En Cuesta Trabajadores
12/18
sesiones de red9
11.5.+
¿Existen restricciones limitando el tiempo de conexión de aplicaciones de alto riesgo" Este
tipo de configuraciones debe ser considerada para aplicaciones sensiti(as cuas terminales de
acceso se encuentran en lugares de riesgo.
11.6 CONTROL DE ACCESO A LAS APLICACIONES " A LA INFORMACION 11.+.1
¿El acceso a la información los sistemas de aplicaciones por parte los usuarios personal
de soporte, est- restringido en concordancia con las políticas de control de acceso definidas"
11.+.&
¿/quellos sistemas considerados sensibles, est-n en ambientes aislados, en computadoras
dedicadas para el efecto, con recursos compartidos con aplicaciones seguras confiables,
etc"
11.7 ORDENADORES PORTATILES " TELETRABAJO
11.2.1
¿Existe una política formal medidas apropiadas de seguridad adoptadas para protegerse
contra riesgo de utili%ación de computación mó(il equipos de comunicación"
¿/lgunos e*emplos de computación mó(il equipos de telecomunicación incluenB
¿noteboo>s, palmtops, laptops, smart cards, celulares"¿Son tenidos en cuenta los riesgos tales como traba*ar en ambientes no protegidos en cuanto
a las políticas de computación mó(il"
11.2.&
¿Se desarrollan e implementan políticas, planes operati(os procedimientos con respecto a
tareas de teletraba*o"
¿'as acti(idades de teletraba*o, son autori%adas controladas por las gerencias existen
mecanismos adecuados de control para esta forma de traba*o"
13$ %DQUISICION4 DES%RROLLO / M%NTENIMIENTO DE LOS SISTEM%S DE N*ORM%CION
12.1 REUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION
1&.1.1
¿'os requerimientos de seguridad para nue(os sistemas de información fortalecimiento de
los sistemas existentes, especifican los requerimientos para los controles de seguridad"
¿'os requerimientos controles identificados refle*an el (alor económico de los acti(os deinformación en(ueltos las consecuencias de un fallo de seguridad"
¿'os requerimientos para la seguridad de información de los sistemas procesos para
implementar dic)a seguridad, son integrados en las primeras etapas de los proectos de
sistemas"
-
8/17/2019 En Cuesta Trabajadores
13/18
12.2 TRATAMIENTO CORRECTO DE LAS APLICACIONES
1&.&.1
¿'os datos introducidos a los sistemas, son (alidados para asegurar que son correctos
apropiados"
¿'os controles tales comoB ¿0iferentes tipos de mensa*es de error para datos mal ingresados,
¿Procedimientos para responder a los errores de (alidación, definición de responsabilidadespara todo el personal en(uelto en la carga de datos, etc. son considerados"
1&.&.&
¿Son incorporadas (alidaciones en las aplicaciones para detectar?pre(enir que puedan ser
ingresados datos no (-lidos por error o deliberadamente"
¿Se tiene en cuenta en el dise;o la implementación de las aplicaciones que el riesgo de
fallas en el procesamiento que condu%can a perdida de integridad de datos sea minimi%ado"
1&.&.
¿'os requerimientos para aseguramiento protección de la integridad de los mensa*es en las
aplicaciones, son debidamente identificados e implementados los controles necesarios"
¿Si una e(aluación de riesgos de seguridad se lle(ó a cabo para determinar si es necesaria la
integridad del mensa*e, para determinar el m$todo m-s apropiado de aplicación"
1&.&.¿'os sistemas de aplicaciones de salida de datos, son (alidados para asegurar que el
procesamiento de información almacenada sea correcta apropiada a las circunstancias"12.3 CONTROLES CRIPTOGRAFICOS
1&..1
¿'a organi%ación posee políticas de uso de controles criptogr-ficos para protección de la
información" ¿Estas políticas son implementadas con $xito"
¿'a política criptogr-fica considera el enfoque de gestión )acia el uso de controles
criptogr-ficos, los resultados de la e(aluación de riesgo para identificar ni(el requerido de
protección, gestión de cla(es m$todos de di(ersas normas para la aplicación efecti(a"
1&..&
¿'a administración de cla(es se utili%a efecti(amente para apoar el uso de t$cnicas
criptogr-ficas en la organi%ación"
¿'as cla(es criptogr-ficas est-n protegidas correctamente contra modificación, p$rdida ?o
destrucción"
¿'as cla(es p!blicas pri(adas est-n protegidas contra di(ulgación no autori%ada"¿'os equipos utili%ados para generar o almacenar cla(es, est-n físicamente protegidos"
¿'os sistemas de administración de cla(es, est-n basados en procedimientos estandari%ados
seguros"
12.# SEGURIDAD DE LOS ARC$IVOS DE SISTEMA
-
8/17/2019 En Cuesta Trabajadores
14/18
1&..1Existen procedimientos para controlar la instalación de soft8are en los sistemas operati(os
6Esto es para minimi%ar el riesgo de corrupción de los sistemas operati(os9
1&..&
¿'os sistemas de testeo de datos, est-n debidamente protegidos controlados"
¿'a utili%ación de información personal o cualquier información sensiti(a para propósitos de
testeo, est- pro)ibida"1&..
¿Existen controles estrictos de modo a restringir el acceso al código fuente" 6esto es para
pre(enir posibles cambios no autori%ados912.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO " SOPORTE
1&.5.1
¿Existen procedimientos de control estricto con respecto a cambios en los sistemas de
información" 6Esto es para minimi%ar la posible corrupción de los sistemas de información9
¿Estos procedimientos aborda la necesidad de e(aluación de riesgos, an-lisis de los impactos
de los cambios"
1&.5.&
¿Existen procesos a seguir o procedimientos para re(isión testeo de las aplicaciones críticas
de negocio seguridad, luego de cambios en el Sistema 4perati(o" Periódicamente, esto es
necesario cada (e% que )aa que )acer un parc)eo o upgrade del sistema operati(o.
1&.5. ¿'as modificaciones a los paquetes de soft8are, son desalentadas o limitadas estrictamente alos cambios mínimos necesarios"
¿odos los cambios son estrictamente controlados"
1&.5.
¿Existen controles para pre(enir la fuga de información"
¿:ontroles tales como escaneo de dispositi(os de salida, monitoreo regular del personal
acti(idades permitidas en los sistemas ba*o regulaciones locales, monitoreo de recursos, son
considerados"
1&.5.5
¿El desarrollo de soft8are terceri%ado, es super(isado monitoreado por la organi%ación"
¿Puntos comoB ¿/dquisición de l icencias, acuerdos de garantía, requerimientos contractuales
de calidad asegurada, testeo antes de su instalación definiti(a, re(isión de código para
pre(enir troanos, son considerados"
12.6 GESTION DE LA VULNERABILIDAD TECNICA
1&.+.1
¿Se obtiene información oportuna en tiempo forma sobre las (ulnerabilidades t$cnicas de los
sistemas de información que se utili%an"Do aplicable
¿'a organi%ación e(al!a e implementa medidas apropiadas de mitigación de riesgos a las
(ulnerabilidades a las que est- expuesta"Do aplicable
-
8/17/2019 En Cuesta Trabajadores
15/18
15$ &ESTION DE INCIDENTES EN L% SE&URID%D DE L% IN*ORM%CION
13.1 NOTIFICACION DE EVENTOS " PUNTOS DEBILES DE LA SEGURIDAD DE LA INFORMACION
1.1.1
¿'os e(entos de seguridad de información, son reportados a tra($s de los canales
correspondientes lo m-s r-pido posible"
¿Son desarrollados e implementados procedimientos formales de reporte, respuesta escalación en incidentes de seguridad"
1.1.&¿Existen procedimientos que aseguren que todos los empleados deben reportar cualquier
(ulnerabilidad en la seguridad en los ser(icios o sistemas de información"
13.2 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION " MEJORAS
1.&.1
¿Est-n claramente establecidos los procedimientos responsabilidades de gestión para
asegurar una r-pida, efecti(a ordenada respuesta a los incidentes de seguridad de
información"
¿Es utili%ado el monitoreo de sistemas, alertas (ulnerabilidades para detectar incidentes de
seguridad"
¿'os ob*eti(os de la gestión de incidentes de seguridad de información, est-n acordados con
las gerencias"
1.&.&
¿Existen mecanismos establecidos para identificar cuantificar el tipo, (olumen costo de los
incidentes de seguridad"
¿'a información obtenida de la e(aluación de incidentes de seguridad que ocurrieron en el
pasado, es utili%ada para determinar el impacto recurrente de incidencia corregir errores"
1.&.
Si las medidas de seguimiento contra una persona u organi%ación despu$s de un incidente de
seguridad de la información implican una acción legal 6a sea ci(il o penal9
¿'as e(idencias relacionadas con incidentes, son recolectadas, retenidas presentadas
conforme las disposiciones legales (igentes en las *urisdicciones pertinentes"
¿'os procedimientos internos son desarrollados seguidos al pie de la letra cuando se debe
recolectar presentar e(idencia para propósitos disciplinarios dentro de la organi%ación"
16$ &ESTION DE L% CONTINUID%D DEL NE&OCIO1#.1 ASPECTOS DE LA SEGURIDAD DE LA INFORMACION EN LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 1.1.1 ¿Existen procesos que direccionan los requerimientos de seguridad de información para el
desarrollo mantenimiento de la :ontinuidad del Degocio dentro de la 4rgani%ación"
¿Estos procesos, entienden cu-les son los riesgos que la organi%ación enfrenta, identifican los
-
8/17/2019 En Cuesta Trabajadores
16/18
acti(os críticos, los impactos de los incidentes, consideran la implementación de controles
pre(enti(os adicionales la documentación de los Planes de :ontinuidad del Degocio
direccionando los requerimientos de seguridad"
1.1.&¿'os e(entos que puedan causar interrupción al negocio, son identificados sobre la base de
probabilidad, impacto posibles consecuencias para la seguridad de información"
1.1.
¿Son desarrollados planes para mantener restaurar las operaciones de negocio, asegurar
disponibilidad de información dentro de un ni(el aceptable en el rango de tiempo requerido
siguiente a la interrupción o falla de los procesos de negocio"
¿:onsidera el Plan, la identificación acuerdo de responsabilidades, identificación de p$rdida
aceptable, implementación de procedimientos de recuperación restauración, documentación
de procedimientos testeo periódico reali%ado regularmente"
1.1.
¿Existe un marco !nico del Plan de :ontinuidad de Degocios"
¿Este marco, es mantenido regularmente para asegurarse que todos los planes son
consistentes e identifican prioridades para testeo mantenimiento"
¿El Plan de :ontinuidad del Degocio direccionan los requerimientos de seguridad de
información identificados"
1.1.5
¿'os Planes de :ontinuidad del Degocio, son probados regularmente para asegurarse de que
est-n actuali%ados son efecti(os"
¿'os tests de planes de continuidad de negocio, aseguran que todos los miembros del equipo
de recuperación otros equipos rele(antes sean ad(ertidos del contenido sus
responsabilidades para la continuidad del negocio la seguridad de información, son
concientes de sus roles funciones dentro del plan cuando este se e*ecuta"
1#$ CUM!LIMIENTO15.1 CMPLIMIENTO DE LOS REUISITOS LEGALES
15.1.1
¿odas las lees rele(antes, regulaciones, requerimientos contractuales organi%acionales
son tenidos en cuenta de modo a que est$n documentados para cada sistema de información
en la organi%ación"¿'os controles específicos responsabilidades indi(iduales de modo a cumplir con estos
requerimientos, son debidamente definidos documentados"
15.1.& ¿Existen procedimientos para asegurar el cumplimiento de los requerimientos legales,
regulatorios contractuales sobre el uso de materiales soft8are que est$n protegidos por
-
8/17/2019 En Cuesta Trabajadores
17/18
derec)os de propiedad intelectual"
¿Estos procedimientos, est-n bien implementados"
¿:ontroles tales comoB ¿Política de :umplimiento de 0erec)os de Propiedad Intelectual,
¿Procedimientos de /dquisición de Soft8are, ¿Política de concienti%ación, ¿Cantenimiento de
Prueba de la Propiedad, ¿:umplimiento con $rminos :ondiciones, son consideradas"
15.1.
¿'os registros importantes de la organi%ación est-n protegidos contra p$rdida, destrucción
falsificación en concordancia con los requerimientos legales, regulatorios, contractuales de
negocio"
¿Est-n pre(istas las consideraciones con respecto al posible deterioro de medios de
almacenamiento utili%ados para almacenar registros"
¿'os sistemas de almacenamiento son elegidos de modo a que los datos requeridos puedan
ser recuperados en un rango de tiempo aceptable en el formato necesario, dependiendo de
los requerimientos a ser cumplidos"
15.1.¿'a protección de los datos la pri(acidad, est-n asegurados por legislaciones rele(antes,
regulaciones si son aplicables, por cl-usulas contractuales"
15.1.5
¿El uso de instalaciones de proceso de información para cualquier propósito no autori%ado oque no sea del negocio, sin la aprobación pertinente, es tratada como utili%ación impropia de
las instalaciones"
¿'os mensa*es de alerta de ingreso, son desplegados antes de permitir el ingreso a la red o a
los sistemas" ¿El usuario tiene conocimiento de las alertas reacciona apropiadamente al
mensa*e en pantalla"
¿Es reali%ado un asesoramiento *urídico, antes de aplicar cualquier procedimiento de
monitoreo control"
15.1.+¿'os controles criptogr-ficos son usados en cumplimiento de los acuerdos contractuales
establecidos, lees regulaciones"
15.2 CUMPLIMIENTO DE LAS POLITICAS " NORMAS DE SEGURIDAD " CUMPLIMIENTO TECNICO
15.&.1 ¿'os /dministradores se aseguran que todos los procedimientos dentro de su -rea deresponsabilidad, se lle(an a cabo correctamente para lograr el cumplimiento de las normas
políticas de seguridad"
Do aplicable
¿'os /dministradores, re(isan regularmente el cumplimiento de las instalaciones de
procesamiento de información dentro del -rea de su responsabilidad de modo a cumplir con
Do aplicable
-
8/17/2019 En Cuesta Trabajadores
18/18
los procedimientos políticas de seguridad pertinentes"
15.&.&
¿'os sistemas de información son regularmente re(isados con respecto al cumplimiento de
est-ndares de seguridad"Do aplicable
¿'a (erificación t$cnica es lle(ada a cabo por, o ba*o la super(isión de, personal t$cnico
competente autori%ado"
Do aplicable
15.3 CONSIDERACIONES DE LAS AUDITORIAS DE LOS SISTEMAS DE INFORMACION
15..1
¿'os requerimientos acti(idades de auditoría, incluen (erificación de sistemas de
información que fueron pre(iamente planeados cuidadosamente de modo a minimi%ar los
riesgos de interrupciones en el proceso de negocio"
Do aplicable
¿'os requerimientos de auditoria son alcan%ables de acuerdo con una gestión adecuada" Do aplicable
15..&
¿'a información a la que se accede por medio de las )erramientas de auditoría, a sean
soft8are o arc)i(os de datos, est-n protegidos para pre(enir el mal uso o fuga no autori%ada"Do aplicable
¿El ambiente de auditoría est- separado de los ambientes operacionales de desarrollo, a
penos que )aa un ni(el apropiado de protección"Do aplicable