8/17/2019 En Cuesta Trabajadores

1/18

CONTROL

ISOREQUERIMIENTO

La empresa D’bodegas

aplica este control(Si No !arcialmenteNo sabe"

#$ !OLITIC% DE SE&URID%D

5.1 POLITICA DE SEGURIDAD DE LA INFORMACION  

5.1.1

¿Existe una Política de Seguridad de la Información, que es aprobada por la dirección,

publicada comunicada seg!n proceda, a todos los empleados"

¿Establecen las políticas un compromiso de las #erencias con relación al m$todo de la

organi%ación para la gestión de la seguridad de la información"

5.1.&

¿'as políticas de seguridad son re(isadas a inter(alos regulares, o cuando )a cambios

significati(os para asegurar la adecuación efecti(idad"

¿'as políticas de Seguridad de la Información tiene un propietario, que )a aprobado la

responsabilidad de la gestión para el desarrollo, re(isión e(aluación de la política de

seguridad"

¿Existen procedimientos de re(isión de las políticas de seguridad estos incluen

requerimientos para el mane*o de su re(isión"¿'os resultados de la re(isión de la gestión son tenidos en cuenta"

¿Se obtiene la aprobación de la alta gerencia con relación a las políticas re(isadas"

'$ %S!ECTOS OR&%NI%TI)OS DE L% SE&URID%D DE L% IN*ORM%CION

6.1 ORGANIZACIÓN INTERNA

+.1.1

Si la gerencia demuestra soporte acti(o a las medidas de seguridad dentro de la organi%ación.

Esto puede ser reali%ado por direcciones claras, compromiso demostrado, asignaciones

explícitas conocimiento de las responsabilidades de la seguridad de información.

+.1.&Si las acti(idades de seguridad de información son coordinadas por representantes de

distintas partes de la organi%ación, con sus roles pertinentes responsabilidades.

+.1.

¿Est-n establecidas las responsabilidades de protección de acti(os indi(iduales lle(ar a

cabo procesos de seguridad específicos que est$n claramente identificados definidos"

+.1.Si el proceso de gestión de autori%ación est- definido e implementado para cada nue(o equipo

de procesamiento de información dentro de la organi%ación.

+.1.5 Si la organi%ación necesita de confidencialidad o /cuerdos de no 0i(ulgación para protección

de información que est$n claramente definidos re(isados periódicamente.

8/17/2019 En Cuesta Trabajadores

2/18

¿iene esta dirección la exigencia de proteger la información confidencial utili%ando t$rminos

legales exigibles"

+.1.+¿Existe algún procedimiento que describa cuando y quienes deben contactar a las autoridades

competentes, departamento de bomberos, etc. y cómo deben reportarse los incidentes?

+.1.2¿Existen los contactos apropiados con grupos especiales de inter$s, foros de seguridad o

asociaciones profesionales relacionadas con la seguridad"

+.1.3

¿iene la organi%ación un enfoque sobre la gestión de la seguridad de información, su

implementación, re(isión independiente a inter(alos regulares o cuando ocurran cambios

significati(os"

6.2 TERCEROS  

+.&.1¿'os riesgos in)erentes a equipos o sistemas de información de terceros son identificados

luego implementadas medidas de control apropiadas antes de permitir el acceso"

+.&.&¿Son identificados todos los requerimientos de seguridad sean cumplidos antes de conceder 

acceso a los clientes a los acti(os de la organi%ación"

+.&.

¿'os acuerdos con terceros incluen accesos, procesamiento, comunicaciones, mane*o de la

información o equipos que in(olucren almacenamiento de información que cumplan con todos

los requerimientos de seguridad"

+$ &ESTION DE %CTI)OS

7.1 RESPONSABILIDAD SOBRE LOS ACTIVOS  

2.1.1¿Son los acti(os debidamente identificados e in(entariados o se mantiene un registro de los

acti(os importantes"

2.1.&

¿'os acti(os tienen identificados a sus respecti(os propietarios definidas con ellos

clasificaciones de datos restricciones de acceso en base a la criticidad, estas restricciones

re(isadas periódicamente"

2.1.

¿Son identificadas, documentadas e implementadas todas las regulaciones existentes con

respecto al uso aceptable de información acti(os asociados con el procesamiento de

información"7.2 CLASIFICACION DE LA INFORMACION  

2.&.1 ¿'a información es clasificada en t$rminos de su (alor, requerimientos legales, sensibilidad

criticidad para la organi%ación"

2.&.& ¿Son definidos con*untos de procedimientos para etiquetado mane*o de la información en

8/17/2019 En Cuesta Trabajadores

3/18

concordancia con el esquema de clasificación adoptado por la organi%ación"

,$ SE&URID%D LI&%D% % LOS RECURSOS -UM%NOS

8.1 ANTES DEL EMPLEO  

3.1.1

¿Est-n claramente definidos documentados de acuerdo a las políticas de seguridad de

información de la organi%ación los roles responsabilidades de los empleados, contratistas terceros"

¿Son los roles responsabilidades definidos pre(iamente, comunicados claramente a los

candidatos a empleo durante el proceso de pre empleo"

3.1.&

¿'os controles de (erificación de antecedentes para todos los candidatos a empleo,

contratistas terceros, son lle(ados a cabo de acuerdo a las regulaciones rele(antes"

¿Inclue la (erificación referencias sobre el car-cter, confirmación de títulos acad$micos,

cualidades profesionales c)equeos independientes de identidad"

3.1.

¿Son firmados con los empleados, contratistas terceros, contratos de confidencialidad

acuerdos de no di(ulgación como parte inicial de los t$rminos condiciones de contratos de

traba*o"

¿Estos acuerdos contratos cubren las responsabilidades de seguridad de información de laorgani%ación, los empleados, contratistas terceros"

8.2 DURANTE EL EMPLEO  

3.&.1¿'a gestión requiere a los empleados, contratistas terceros a que apliquen la seguridad en

concordancia con las Políticas Procedimientos establecidos en la 4rgani%ación"

3.&.&

¿'os empleados, contratistas terceros reciben la apropiada sensibili%ación, educación

formación permanente sobre la Seguridad de Información con respecto a sus funciones

laborales específicas"

3.&.¿Existe un proceso disciplinario para aquellos empleados que incumplen las políticas de

seguridad"

8.3 CESE DEL EMPLEO O CAMBIO DE PUESTO DE TRABAJO  

3..1 ¿'as responsabilidades de procedimiento de terminación o cambio de empleo est-nclaramente definidas asignadas"

3..&

¿Existe un procedimiento a seguir con respecto a asegurar que los empleados, contratistas

terceros de(uel(an los acti(os de la organi%ación que est$n en su poder al terminar el contrato

de empleo"

8/17/2019 En Cuesta Trabajadores

4/18

3..

¿Son remo(idos los derec)os de acceso de todos los empleados, contratistas terceros a los

sistemas de información al termino de empleo o adecuación en caso de que cambien de

función"

.$ SE&URID%D *ISIC% / %M0IENT%L9.1 AREAS SEGURAS  

.1.1

¿Existen mecanismos de control de acceso implementados con respecto al acceso a los sitios

de procesamiento de información" /lgunos e*emplos son controles biom$tricos, tar*etas de

acceso, separación por muros, control de (isitantes, etc.

.1.&¿Existen controles de acceso de tal modo a que solo las personas autori%adas puedan

ingresar a las distintas -reas de la organi%ación"

.1.¿'as salas de ser(idores u otros equipos de procesamiento 67euters, s8itc)s, etc.9, est-n

apropiadamente resguardadas ba*o lla(e o en cabinas con lla(e"

.1.

¿Se tienen implementadas protecciones o resguardos contra fuego, inundaciones, temblores,

explosiones, manifestaciones otras formas de desastres naturales o pro(ocadas por el

)ombre"¿Existe alguna amena%a potencial en los locales (ecinos del lugar donde se encuentran las

instalaciones"

.1.5¿Se tienen procedimientos designados e implementados sobre cómo traba*ar en las -reas

seguras"

.1.+

¿:on respecto a las %onas de acceso p!blico, entrega, descarga donde personas no

autori%adas pueden acceder, las %onas de procesamiento de información equipos delicados

son aislados asegurados para pre(enir el acceso no autori%ado"9.2 EUIPAMIENTO DE SEGURIDAD

.&.1¿'os equipos son protegidos para reducir los riesgos de da;os ambientales oportunidades

de acceso no autori%ado"

.&.&

¿'os equipos son protegidos contra fallas el$ctricas otras fallas que pudieran tener 6redundancia9"

¿

8/17/2019 En Cuesta Trabajadores

5/18

intercepción ?o da;os"

¿Existen controles adicionales de seguridad con respecto al transporte de información crítica"

Por e*. Encriptado en las comunicaciones.

.&.

¿Se reali%a mantenimiento periódico de los equipos de modo a asegurar la continua

disponibilidad e integridad"¿En la reali%ación de mantenimientos, son respetados los inter(alos recomendaciones de los

fabricantes"

¿'os mantenimientos son reali%ados !nicamente por personal capacitado autori%ado"

¿'os logs de alertas de los equipos, son re(isados periódicamente para detectar corregir 

posibles fallas en los mismos" 6principalmente fallas en discos9

¿Se aplican los controles adecuados cuando se en(ían los equipos fuera de la organi%ación"

¿odos los equipos est-n cubiertos por póli%as de seguro los requerimientos de la :ompa;ía

de Seguros est-n apropiadamente reali%ados"

.&.5

¿Existen mecanismos de control mitigación de riesgos implementados con relación a

equipos utili%ados fuera de la organi%ación" 6encripción de discos de las noteboo>s, seguro,

etc.9¿En caso de utili%ación de equipos fuera de la organi%ación, estos cuentan con la autori%ación

respecti(a de las gerencias"

.&.+

¿:u-ndo se disponga la reutili%ación de equipos o cuando sean dados de ba*a, son

(erificados los medios de almacenamiento con respecto a datos soft8are licenciado luego

destruidos totalmente antes de su entrega"

.&.2¿Existen controles implementados con respecto a que ning!n equipo, información soft8are

sea sacado de la organi%ación sin la autori%ación respecti(a"

12$ &ESTION DE COMUNIC%CIONES / O!ER%CIONES

1!.1 RESPONSABILIDADES " PROCEDIMIENTOS DE OPERACION  

1@.1.1

¿'os procedimientos operati(os son documentados, actuali%ados est-n disponibles para

todos los usuarios que puedan necesitarlos"¿0ic)os procedimientos son tratados como documentos formales cualquier cambio en los

mismos necesita la autori%ación pertinente"

1@.1.&¿Son controlados todos los cambios en los sistemas equipos de procesamiento de

información"

8/17/2019 En Cuesta Trabajadores

6/18

1@.1.¿Son separadas las tareas responsabilidades de modo a reducir las oportunidades de

modificación o mal uso de los sistemas de información"

1@.1.

¿'os equipos de desarrollo pruebas est-n separados de los equipos operacionales" Por 

e*emplo, desarrollo de soft8are debe estar en un equipo separado del de producción. :uando

sea necesario, incluso deben estar en segmentos de red distintos unos del otro.1!.2 GESTION DE LA PROVISION DE SERVICIOS POR TERCEROS  

1@.&.1¿Existen medidas que son tomadas para asegurar que los controles de seguridad, ni(eles de

ser(icio entrega sean incluidos (erificados en los contratos de ser(icios con terceros, así

como su re(isión periódica de cumplimiento"

1@.&.&

¿Son los ser(icios, reportes registros pro(eídos por terceros regularmente monitoreados

re(isados"

¿Existen controles de auditoría que son reali%ados a inter(alos regulares sobre los ser(icios,

reportes registros suministrados por terceros"

1@.&.

¿Se gestionan los cambios en la pro(isión de ser(icios, incluendo mantenimiento la me*ora

en las políticas de seguridad de información existentes, procedimientos controles"

¿Se tienen en cuenta sistemas de negocio críticos, procesos in(olucrados reAe(aluación deriesgos"

1!.3 PLANIFICACION " ACEPTACION DEL SISTEMA

1@..1

¿'a capacidad de procesamiento de los sistemas son monitoreados en base a la demanda

proectados en base a requerimientos futuros, de modo a asegurar que la capacidad de

proceso almacenamiento est$n disponibles"

E*emploB Conitoreo de espacio en disco, Cemoria 7/C, :P= en los ser(idores críticos.

1@..&

¿Son establecidos criterios de aceptación para nue(os sistemas de información,

actuali%aciones nue(as (ersiones" ¿Son reali%adas pruebas antes de la aceptación de los

mismos"

1!.# PROTECCION CONTRA CODIGO MALICIOSO " DESCARGABLE  

1@..1 ¿Existen controles para detección, pre(ención recuperado contra código malicioso sondesarrollados e implementados procedimientos apropiados de ad(ertencia a los usuarios"

1@..& En caso de necesitarse código mó(il, este solo debe utili%arse una (e% que )aa sido

autori%ado. 'as configuraciones del código mó(il autori%ado deben reali%arse operarse de

acuerdo a las Políticas de Seguridad. 'a e*ecución del código mó(il no autori%ado, debe

8/17/2019 En Cuesta Trabajadores

7/18

pre(enirse.

6:ódigo Có(il es código de soft8are que se transfiere de una computadora a otra que se

e*ecuta autom-ticamente. 7eali%a una función específica con mu poca o casi ninguna

inter(ención del usuario. El código mó(il est- asociado a un gran n!mero de ser(icios de

middle8are91!.5 COPIAS DE SEGURIDAD

1@.5.1

¿Se reali%an copias de respaldo de la información soft8are son testeados regularmente en

concordancia con las políticas de bac>up"

¿oda la información el soft8are esencial puede ser recuperado en caso de ocurrencia de un

desastre o fallo de medios"

1!.6 GESTION DE LA SEGURIDAD DE LAS REDES  

1@.+.1

¿'a red es adecuadamente administrada controlada para protegerse de tretas en orden a

mantener la seguridad de los sistemas aplicaciones en uso a tra($s de la red, incluendo la

información en tr-nsito"

¿Existen controles implementados para asegurar el tr-nsito de la información en la red e(itar 

que esta sea leída o accesada de forma no autori%ada"

1@.+.&

¿'as características de seguridad, ni(eles de ser(icio requerimientos de administración de

todos los ser(icios de red son identificados e incluidos en cualquier acuerdo de ser(icio de

red"

¿'a capacidad del pro(eedor de ser(icios de red de proporcionar los ser(icios de forma

segura, es determinada regularmente monitoreada se tienen derec)os de auditoría

acordada para medir ni(eles de ser(icio"

1!.7 MANIPULACION DE LOS SOPORTES  

1@.2.1

¿Existen procedimientos para el mane*o de medios remo(ibles como cintas, dis>ettes, tar*etas

de memoria, lectores de :0, pendri(es, etc."

¿'os procedimientos ni(eles de autori%ación est-n claramente definidos documentados"

1@.2.& ¿En caso de que los medios a no sean requeridos, estos son eliminados de forma seguraba*o procedimientos formalmente establecidos"

1@.2.

¿Existen procedimientos para el mane*o del almacenamiento de la información"

¿/borda este procedimiento temas comoB protección de la información contra acceso no

autori%ado o mal uso"

8/17/2019 En Cuesta Trabajadores

8/18

1@.2. ¿'a documentación de los sistemas est- protegida contra acceso no autori%ado"

1!.8 INTERCAMBIO DE INFORMACION  

1@.3.1

¿Existe una política formal, procedimientos ?o controles aplicados para asegurar la protección

a la información"

¿Estos procedimientos controles cubren el uso de equipos de comunicación electrónica en elintercambio de información"

1@.3.&

¿Existen acuerdos de intercambio de información soft8are entre la organi%ación partes

externas"

¿El contenido de los acuerdos con respecto a la seguridad refle*a la sensibilidad criticidad de

la información de negocio en(uelta en el proceso"

1@.3.¿'os medios físicos que contengan información es protegida contra acceso no autori%ado, mal

uso o corrupción de datos durante el transporte entre las organi%aciones"

1@.3.

¿'a información que se en(ía por mensa*ería electrónica es bien protegida"

6Censa*ería Electrónica inclue pero no es restringida solamente a email, intercambio

electrónico de datos, mensa*ería instant-nea, etc.9

1@.3.5 ¿'as políticas procedimientos son desarrolladas tendientes a fortalecer la protección deinformación asociada con la interconexión de sistemas de negocio"

1!.9 SERVICIOS DE COMERCIO ELECTRONICO  

1@..1

¿'a información en(uelta en el comercio electrónico cru%a a tra($s de redes p!blicas est-

protegida contra acti(idades fraudulentas, posibles disputas contractuales o cualquier acceso

no autori%ado que permita lectura o manipulación de esos datos"

Do aplicable

¿En los controles de seguridad son tenidos en cuenta la aplicación de controles criptogr-ficos" Do aplicable

¿El comercio electrónico entre los socios comerciales incluen un acuerdo, que compromete a

ambas partes a la negociación de los t$rminos con(enidos, incluidos los detalles de las

cuestiones de seguridad"

Do aplicable

1@..&

¿'a información en(uelta en transacciones en línea est- protegida contra transmisiones

incompletas, mal ruteo, alteración de mensa*ería, di(ulgación no autori%ada, duplicación noautori%ada o replicación"

Do aplicable

1@..¿'a integridad de la información disponible p!blicamente est- protegida contra modificación

no autori%ada"Do aplicable

1!.1! SUPERVISION  

8/17/2019 En Cuesta Trabajadores

9/18

1@.1@.1

¿'os registros de auditoría que guardan la acti(idad de los usuarios, excepciones, e(entos de

seguridad de información que ocurren, se guardan por un periodo ra%onable de tiempo de tal

modo a poder reali%ar in(estigaciones futuras monitoreo de acceso"

¿Se tienen en consideración medidas de protección a la pri(acidad en el mantenimiento deregistros de auditoría"

1@.1@.&

¿Son desarrollados procedimientos de monitoreo de equipos de procesamiento de datos"

¿El resultado de la acti(idad de monitoreo es re(isada regularmente de forma periódica"

¿'os ni(eles de monitoreo requeridos por los equipos de procesamiento de información son

determinados por un an-lisis de riesgos"

1@.1@.¿'os equipos que contienen los registros logs de auditoría son bien protegidos contra

posibles manipulaciones acceso no autori%ado"

1@.1@.

¿'as acti(idades de los /dministradores 4peradores de sistemas son registradas en los

logs"

¿Son re(isados regularmente los logs"

1@.1@.5¿'as fallas son registradas en logs, luego anali%adas acciones apropiadas reali%adas enconsecuencia"

¿'os ni(eles de registros en logs requeridos para cada sistema indi(idual son determinados en

base a an-lisis de riesgos la degradación de performance es tenida en cuenta"

1@.1@.+

¿'os relo*es de todos los sistemas de información est-n sincroni%ados en base a una misma

fuente de tiempo exacta acordada"

6'a correcta sincroni%ación de los relo*es es importante para asegurar la cronología de e(entos

 en los logs9

11$ CONTROL DE %CCESO

11.1 REUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO  11.1.1 ¿'as políticas de control de acceso son desarrolladas re(isadas basadas en los

requerimientos de seguridad del negocio"

¿'os controles de acceso tanto físico como lógico son tenidos en cuenta en las políticas de

control de acceso"

¿anto a los usuarios como a los pro(eedores de ser(icios se les dio una clara declaración de

8/17/2019 En Cuesta Trabajadores

10/18

los requisitos de la empresa en cuanto a control de acceso"

11.2 GESTIÓN DE ACCESO DE USUARIO  11.&.1 ¿Existe alg!n procedimiento formal de altas?ba*as de usuarios para acceder a los sistemas"

11.&.&

¿'a asignación uso de pri(ilegios en los sistemas de información, es restringida controlada

en base a las necesidades de uso dic)os pri(ilegios son solo otorgados ba*o un esquemaformal de autori%ación"

11.&.

'a asignación reasignación de contrase;as debe controlarse a tra($s de un proceso de

gestión formal.

¿Se les solicita a los usuarios que firmen un acuerdo de confidencialidad del pass8ord"

11.&.¿Existe un proceso de re(isión de pri(ilegios derec)os de acceso a inter(alos regulares" Por 

e*emploB Pri(ilegios especiales cada meses, pri(ilegios normales cada + meses.

11.3 RESPONSABILIDADES DE USUARIO  

11..1¿Existe alguna pr-ctica de seguridad en el sitio para guiar a la selección mantenimiento de

contrase;as seguras"

11..&

¿'os usuarios terceros son concientes de los requisitos de seguridad procedimientos para

proteger los equipos desatendidos"Por e*emploB Salir del sistema cuando las sesiones son terminadas o configurar terminación

autom-tica de sesiones por tiempo de inacti(idad, etc.

11..

¿'a organi%ación )a adoptado una política de escritorio limpio con relación a los papeles

dispositi(os de almacenamiento remo(ibles"

¿'a organi%ación )a adoptado una política de pantalla limpia con relación a los equipos de

procesamiento de información"

11.# CONTROL DE ACCESO A LA RED

11..1

¿Se le pro(ee a los usuarios acceso !nicamente a los ser(icios de red a los cuales )an sido

autori%ados específicamente"

¿Existen políticas de seguridad relacionadas con la red los ser(icios de red"

11..& ¿Son utili%ados mecanismos apropiados de autenticación para controlar el acceso remoto delos usuarios"

11..¿Son considerados equipos de identificación autom-tica para autenticar conexiones desde

equips direcciones específicas"

11.. ¿'os accesos físicos lógicos a puertos de diagnóstico est-n apropiadamente controlados

8/17/2019 En Cuesta Trabajadores

11/18

protegidos por mecanismos de seguridad"

11..5

¿'os grupos de ser(icios de información, usuarios sistemas de información son segregados

en la red"

¿'a red 6desde donde asociados de negocios o terceros necesitan acceder a los sistemas de

información9 es segregada utili%ando mecanismos de seguridad perimetral como fire8alls"¿En la segregación de la red son )ec)as las consideraciones para separar las redes 8ireles

en internas pri(adas"

11..+

¿Existe una política de control de acceso que (erifique conexiones pro(enientes de redes

compartidas, especialmente aquellas que se extienden m-s all- de los límites de la

organi%ación"

11..2

¿Existen políticas de control de acceso que estable%can los controles que deben ser 

reali%ados a los ruteos implementados en la red"

¿'os controles de ruteo, est-n basados en mecanismos de identificación positi(a de origen

destino"

11.5 CONTROL DE ACCESO AL SSTEMA OPERATIVO  

11.5.1 ¿'os accesos a sistemas operati(os son controlados por procedimientos de logAon seguro"

11.5.&

¿=n !nico identificador de usuario 6user I09 es pro(eído a cada usuario incluendo

operadores, administradores de sistemas otros t$cnicos"

¿Se eligen adecuadas t$cnicas de autenticación para demostrar la identidad declarada de los

usuarios"

'os usos de cuentas de usuario gen$ricas son suministrados sólo en circunstancias

especiales excepcionales, donde se especifican los beneficios claros de su utili%ación.

:ontroles adicionales pueden ser necesarios para mantener la seguridad.

11.5.

¿Existe un sistema de gestión de contrase;as que obliga al uso de controles como contrase;a

indi(idual para auditoría, periodicidad de caducidad, comple*idad mínima, almacenamiento

encriptado, no despliegue de contrase;as por pantalla, etc."

11.5. ¿En caso de existir programas utilitarios capaces de saltarse los controles de aplicaciones delos sistemas, estos est-n restringidos bien controlados"

11.5.5 ¿'as aplicaciones son cerradas luego de un periodo determinado de inacti(idad"

6=n tiempo determinado de inacti(idad puede ser determinado por algunos sistemas, que

limpian la pantalla para pre(enir acceso no autori%ado, pero no cierra la aplicación o las

8/17/2019 En Cuesta Trabajadores

12/18

sesiones de red9

11.5.+

¿Existen restricciones limitando el tiempo de conexión de aplicaciones de alto riesgo" Este

tipo de configuraciones debe ser considerada para aplicaciones sensiti(as cuas terminales de

acceso se encuentran en lugares de riesgo.

11.6 CONTROL DE ACCESO A LAS APLICACIONES " A LA INFORMACION  11.+.1

¿El acceso a la información los sistemas de aplicaciones por parte los usuarios personal

de soporte, est- restringido en concordancia con las políticas de control de acceso definidas"

11.+.&

¿/quellos sistemas considerados sensibles, est-n en ambientes aislados, en computadoras

dedicadas para el efecto, con recursos compartidos con aplicaciones seguras confiables,

etc"

11.7 ORDENADORES PORTATILES " TELETRABAJO 

11.2.1

¿Existe una política formal medidas apropiadas de seguridad adoptadas para protegerse

contra riesgo de utili%ación de computación mó(il equipos de comunicación"

¿/lgunos e*emplos de computación mó(il equipos de telecomunicación incluenB

¿noteboo>s, palmtops, laptops, smart cards, celulares"¿Son tenidos en cuenta los riesgos tales como traba*ar en ambientes no protegidos en cuanto

a las políticas de computación mó(il"

11.2.&

¿Se desarrollan e implementan políticas, planes operati(os procedimientos con respecto a

tareas de teletraba*o"

¿'as acti(idades de teletraba*o, son autori%adas controladas por las gerencias existen

mecanismos adecuados de control para esta forma de traba*o"

13$ %DQUISICION4 DES%RROLLO / M%NTENIMIENTO DE LOS SISTEM%S DE N*ORM%CION

12.1 REUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION  

1&.1.1

¿'os requerimientos de seguridad para nue(os sistemas de información fortalecimiento de

los sistemas existentes, especifican los requerimientos para los controles de seguridad"

¿'os requerimientos controles identificados refle*an el (alor económico de los acti(os deinformación en(ueltos las consecuencias de un fallo de seguridad"

¿'os requerimientos para la seguridad de información de los sistemas procesos para

implementar dic)a seguridad, son integrados en las primeras etapas de los proectos de

sistemas"

8/17/2019 En Cuesta Trabajadores

13/18

12.2 TRATAMIENTO CORRECTO DE LAS APLICACIONES  

1&.&.1

¿'os datos introducidos a los sistemas, son (alidados para asegurar que son correctos

apropiados"

¿'os controles tales comoB ¿0iferentes tipos de mensa*es de error para datos mal ingresados,

¿Procedimientos para responder a los errores de (alidación, definición de responsabilidadespara todo el personal en(uelto en la carga de datos, etc. son considerados"

1&.&.&

¿Son incorporadas (alidaciones en las aplicaciones para detectar?pre(enir que puedan ser 

ingresados datos no (-lidos por error o deliberadamente"

¿Se tiene en cuenta en el dise;o la implementación de las aplicaciones que el riesgo de

fallas en el procesamiento que condu%can a perdida de integridad de datos sea minimi%ado"

1&.&.

¿'os requerimientos para aseguramiento protección de la integridad de los mensa*es en las

aplicaciones, son debidamente identificados e implementados los controles necesarios"

¿Si una e(aluación de riesgos de seguridad se lle(ó a cabo para determinar si es necesaria la

integridad del mensa*e, para determinar el m$todo m-s apropiado de aplicación"

1&.&.¿'os sistemas de aplicaciones de salida de datos, son (alidados para asegurar que el

procesamiento de información almacenada sea correcta apropiada a las circunstancias"12.3 CONTROLES CRIPTOGRAFICOS  

1&..1

¿'a organi%ación posee políticas de uso de controles criptogr-ficos para protección de la

información" ¿Estas políticas son implementadas con $xito"

¿'a política criptogr-fica considera el enfoque de gestión )acia el uso de controles

criptogr-ficos, los resultados de la e(aluación de riesgo para identificar ni(el requerido de

protección, gestión de cla(es m$todos de di(ersas normas para la aplicación efecti(a"

1&..&

¿'a administración de cla(es se utili%a efecti(amente para apoar el uso de t$cnicas

criptogr-ficas en la organi%ación"

¿'as cla(es criptogr-ficas est-n protegidas correctamente contra modificación, p$rdida ?o

destrucción"

¿'as cla(es p!blicas pri(adas est-n protegidas contra di(ulgación no autori%ada"¿'os equipos utili%ados para generar o almacenar cla(es, est-n físicamente protegidos"

¿'os sistemas de administración de cla(es, est-n basados en procedimientos estandari%ados

seguros"

12.# SEGURIDAD DE LOS ARC$IVOS DE SISTEMA

8/17/2019 En Cuesta Trabajadores

14/18

1&..1Existen procedimientos para controlar la instalación de soft8are en los sistemas operati(os

6Esto es para minimi%ar el riesgo de corrupción de los sistemas operati(os9

1&..&

¿'os sistemas de testeo de datos, est-n debidamente protegidos controlados"

¿'a utili%ación de información personal o cualquier información sensiti(a para propósitos de

testeo, est- pro)ibida"1&..

¿Existen controles estrictos de modo a restringir el acceso al código fuente" 6esto es para

pre(enir posibles cambios no autori%ados912.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO " SOPORTE  

1&.5.1

¿Existen procedimientos de control estricto con respecto a cambios en los sistemas de

información" 6Esto es para minimi%ar la posible corrupción de los sistemas de información9

¿Estos procedimientos aborda la necesidad de e(aluación de riesgos, an-lisis de los impactos

de los cambios"

1&.5.&

¿Existen procesos a seguir o procedimientos para re(isión testeo de las aplicaciones críticas

de negocio seguridad, luego de cambios en el Sistema 4perati(o" Periódicamente, esto es

necesario cada (e% que )aa que )acer un parc)eo o upgrade del sistema operati(o.

1&.5. ¿'as modificaciones a los paquetes de soft8are, son desalentadas o limitadas estrictamente alos cambios mínimos necesarios"

¿odos los cambios son estrictamente controlados"

1&.5.

¿Existen controles para pre(enir la fuga de información"

¿:ontroles tales como escaneo de dispositi(os de salida, monitoreo regular del personal

acti(idades permitidas en los sistemas ba*o regulaciones locales, monitoreo de recursos, son

considerados"

1&.5.5

¿El desarrollo de soft8are terceri%ado, es super(isado monitoreado por la organi%ación"

¿Puntos comoB ¿/dquisición de l icencias, acuerdos de garantía, requerimientos contractuales

de calidad asegurada, testeo antes de su instalación definiti(a, re(isión de código para

pre(enir troanos, son considerados"

12.6 GESTION DE LA VULNERABILIDAD TECNICA

1&.+.1

¿Se obtiene información oportuna en tiempo forma sobre las (ulnerabilidades t$cnicas de los

sistemas de información que se utili%an"Do aplicable

¿'a organi%ación e(al!a e implementa medidas apropiadas de mitigación de riesgos a las

(ulnerabilidades a las que est- expuesta"Do aplicable

8/17/2019 En Cuesta Trabajadores

15/18

15$ &ESTION DE INCIDENTES EN L% SE&URID%D DE L% IN*ORM%CION

13.1 NOTIFICACION DE EVENTOS " PUNTOS DEBILES DE LA SEGURIDAD DE LA INFORMACION 

1.1.1

¿'os e(entos de seguridad de información, son reportados a tra($s de los canales

correspondientes lo m-s r-pido posible"

¿Son desarrollados e implementados procedimientos formales de reporte, respuesta escalación en incidentes de seguridad"

1.1.&¿Existen procedimientos que aseguren que todos los empleados deben reportar cualquier 

(ulnerabilidad en la seguridad en los ser(icios o sistemas de información"

13.2 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION " MEJORAS  

1.&.1

¿Est-n claramente establecidos los procedimientos responsabilidades de gestión para

asegurar una r-pida, efecti(a ordenada respuesta a los incidentes de seguridad de

información"

¿Es utili%ado el monitoreo de sistemas, alertas (ulnerabilidades para detectar incidentes de

seguridad"

¿'os ob*eti(os de la gestión de incidentes de seguridad de información, est-n acordados con

las gerencias"

1.&.&

¿Existen mecanismos establecidos para identificar cuantificar el tipo, (olumen costo de los

incidentes de seguridad"

¿'a información obtenida de la e(aluación de incidentes de seguridad que ocurrieron en el

pasado, es utili%ada para determinar el impacto recurrente de incidencia corregir errores"

1.&.

Si las medidas de seguimiento contra una persona u organi%ación despu$s de un incidente de

seguridad de la información implican una acción legal 6a sea ci(il o penal9

¿'as e(idencias relacionadas con incidentes, son recolectadas, retenidas presentadas

conforme las disposiciones legales (igentes en las *urisdicciones pertinentes"

¿'os procedimientos internos son desarrollados seguidos al pie de la letra cuando se debe

recolectar presentar e(idencia para propósitos disciplinarios dentro de la organi%ación"

16$ &ESTION DE L% CONTINUID%D DEL NE&OCIO1#.1 ASPECTOS DE LA SEGURIDAD DE LA INFORMACION EN LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 1.1.1 ¿Existen procesos que direccionan los requerimientos de seguridad de información para el

desarrollo mantenimiento de la :ontinuidad del Degocio dentro de la 4rgani%ación"

¿Estos procesos, entienden cu-les son los riesgos que la organi%ación enfrenta, identifican los

8/17/2019 En Cuesta Trabajadores

16/18

acti(os críticos, los impactos de los incidentes, consideran la implementación de controles

pre(enti(os adicionales la documentación de los Planes de :ontinuidad del Degocio

direccionando los requerimientos de seguridad"

1.1.&¿'os e(entos que puedan causar interrupción al negocio, son identificados sobre la base de

probabilidad, impacto posibles consecuencias para la seguridad de información"

1.1.

¿Son desarrollados planes para mantener restaurar las operaciones de negocio, asegurar 

disponibilidad de información dentro de un ni(el aceptable en el rango de tiempo requerido

siguiente a la interrupción o falla de los procesos de negocio"

¿:onsidera el Plan, la identificación acuerdo de responsabilidades, identificación de p$rdida

aceptable, implementación de procedimientos de recuperación restauración, documentación

de procedimientos testeo periódico reali%ado regularmente"

1.1.

¿Existe un marco !nico del Plan de :ontinuidad de Degocios"

¿Este marco, es mantenido regularmente para asegurarse que todos los planes son

consistentes e identifican prioridades para testeo mantenimiento"

¿El Plan de :ontinuidad del Degocio direccionan los requerimientos de seguridad de

información identificados"

1.1.5

¿'os Planes de :ontinuidad del Degocio, son probados regularmente para asegurarse de que

est-n actuali%ados son efecti(os"

¿'os tests de planes de continuidad de negocio, aseguran que todos los miembros del equipo

de recuperación otros equipos rele(antes sean ad(ertidos del contenido sus

responsabilidades para la continuidad del negocio la seguridad de información, son

concientes de sus roles funciones dentro del plan cuando este se e*ecuta"

1#$ CUM!LIMIENTO15.1 CMPLIMIENTO DE LOS REUISITOS LEGALES  

15.1.1

¿odas las lees rele(antes, regulaciones, requerimientos contractuales organi%acionales

son tenidos en cuenta de modo a que est$n documentados para cada sistema de información

en la organi%ación"¿'os controles específicos responsabilidades indi(iduales de modo a cumplir con estos

requerimientos, son debidamente definidos documentados"

15.1.& ¿Existen procedimientos para asegurar el cumplimiento de los requerimientos legales,

regulatorios contractuales sobre el uso de materiales soft8are que est$n protegidos por 

8/17/2019 En Cuesta Trabajadores

17/18

derec)os de propiedad intelectual"

¿Estos procedimientos, est-n bien implementados"

¿:ontroles tales comoB ¿Política de :umplimiento de 0erec)os de Propiedad Intelectual,

¿Procedimientos de /dquisición de Soft8are, ¿Política de concienti%ación, ¿Cantenimiento de

Prueba de la Propiedad, ¿:umplimiento con $rminos :ondiciones, son consideradas"

15.1.

¿'os registros importantes de la organi%ación est-n protegidos contra p$rdida, destrucción

falsificación en concordancia con los requerimientos legales, regulatorios, contractuales de

negocio"

¿Est-n pre(istas las consideraciones con respecto al posible deterioro de medios de

almacenamiento utili%ados para almacenar registros"

¿'os sistemas de almacenamiento son elegidos de modo a que los datos requeridos puedan

ser recuperados en un rango de tiempo aceptable en el formato necesario, dependiendo de

los requerimientos a ser cumplidos"

15.1.¿'a protección de los datos la pri(acidad, est-n asegurados por legislaciones rele(antes,

regulaciones si son aplicables, por cl-usulas contractuales"

15.1.5

¿El uso de instalaciones de proceso de información para cualquier propósito no autori%ado oque no sea del negocio, sin la aprobación pertinente, es tratada como utili%ación impropia de

las instalaciones"

¿'os mensa*es de alerta de ingreso, son desplegados antes de permitir el ingreso a la red o a

los sistemas" ¿El usuario tiene conocimiento de las alertas reacciona apropiadamente al

mensa*e en pantalla"

¿Es reali%ado un asesoramiento *urídico, antes de aplicar cualquier procedimiento de

monitoreo control"

15.1.+¿'os controles criptogr-ficos son usados en cumplimiento de los acuerdos contractuales

establecidos, lees regulaciones"

15.2 CUMPLIMIENTO DE LAS POLITICAS " NORMAS DE SEGURIDAD " CUMPLIMIENTO TECNICO 

15.&.1 ¿'os /dministradores se aseguran que todos los procedimientos dentro de su -rea deresponsabilidad, se lle(an a cabo correctamente para lograr el cumplimiento de las normas

políticas de seguridad"

Do aplicable

¿'os /dministradores, re(isan regularmente el cumplimiento de las instalaciones de

procesamiento de información dentro del -rea de su responsabilidad de modo a cumplir con

Do aplicable

8/17/2019 En Cuesta Trabajadores

18/18

los procedimientos políticas de seguridad pertinentes"

15.&.&

¿'os sistemas de información son regularmente re(isados con respecto al cumplimiento de

est-ndares de seguridad"Do aplicable

¿'a (erificación t$cnica es lle(ada a cabo por, o ba*o la super(isión de, personal t$cnico

competente autori%ado"

Do aplicable

15.3 CONSIDERACIONES DE LAS AUDITORIAS DE LOS SISTEMAS DE INFORMACION  

15..1

¿'os requerimientos acti(idades de auditoría, incluen (erificación de sistemas de

información que fueron pre(iamente planeados cuidadosamente de modo a minimi%ar los

riesgos de interrupciones en el proceso de negocio"

Do aplicable

¿'os requerimientos de auditoria son alcan%ables de acuerdo con una gestión adecuada" Do aplicable

15..&

¿'a información a la que se accede por medio de las )erramientas de auditoría, a sean

soft8are o arc)i(os de datos, est-n protegidos para pre(enir el mal uso o fuga no autori%ada"Do aplicable

¿El ambiente de auditoría est- separado de los ambientes operacionales de desarrollo, a

penos que )aa un ni(el apropiado de protección"Do aplicable