Cuestionario Análisis GAP ISO 27001

Proyecto: FE Gestin de Seguridad de la Informacin
Cuestionario Anlisis de Brechas- Norma ISO 27001

Descripcin
Control
5. POLTICA DE SEGURIDAD
5.1. Poltica de seguridad de la informacin
La gerencia debe aprobar un documento de

5.1.1. Documentar poltica de Seguridad poltica, este se debe publicar y comunicar
de la Informacin
a todos los empleados y entidades externas
relevantes.
5.1.2. Revisin de la poltica de

Seguridad de la Informacin
La poltica de seguridad de la informacin

debe ser revisada regularmente a intervalos
planeados, si ocurren cambios significativos
para asegurar la continua idoneidad.
6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

6.1. Organizacin Interna
6.1.1. Compromiso de la gerencia con la

seguridad de la informacin
La gerencia debe apoyar activamente la

seguridad dentro de la organizacin a travs
de una direccin clara, compromiso
demostrado de las responsabilidades de la
seguridad de la informacin.
Las actividades de seguridad de la

informacin deben ser coordinadas por
6.1.2. Coordinacin de la Seguridad de la
representantes de las diferentes partes de
Informacin
la organizacin con las funciones y roles
laborales relevantes.
6.1.3. Definicin de las

responsabilidades de Seguridad de la
Informacin
Se deben definir claramente las

responsabilidades de la seguridad de la
informacin.
6.1.4. Procesos de autorizacin para el

uso de la infraestructura de informacin
Se debe definir e implementar un proceso

de autorizacin gerencial para los nuevos
medios de procesamiento de informacin
6.1.5. Acuerdos de confidencialidad
Se deben identificar y revisar regularmente

los requerimiento de confidencialidad o los
acuerdos de no divulgacin para la
proteccin de la informacin
6.1.6. Contacto con autoridades
Se debe mantener contactos apropiados con

las autoridades relevantes.
6.1.7. Contacto con grupos de inters
Se deben mantener contactos apropiados

con los grupos de inters especial y otros
foros de seguridad especializados y
asociaciones profesionales.
6.1.8. Revisin Independiente de la

Seguridad de la Informacin
El enfoque de la organizacin para manejar

la seguridad de la informacin y su
implementacin (es decir; objetivos de
control, controles, polticas, procesos y
procedimientos para la seguridad de la
informacin) se debe revisar
independientemente a intervalos
planeados, o cuando ocurran cambios
significativos para la implementacin de la
seguridad.
6.2. Entidades externas
Se deben identificar los riesgos que corre la

informacin y los medios de procesamiento
6.2.1. Identificacin de riesgos asociados
de informacin de la organizacin y se
a terceras partes
deben implementar los controles apropiados
antes de otorgar acceso.
6.2.2. Enfoque de la seguridad al

interactuar con clientes
Se deben tratar todos los requerimientos de

seguridad identificados antes de otorgar a
los clientes acceso a la informacin o
activos de la organizacin.
6.2.3. Enfoque de la seguridad en

acuerdos con terceras partes
Los acuerdos que involucran acceso,

procesamiento, comunicacin o manejo por
parte de terceras personas a la informacin
o los medios de procesamiento de
informacin de la organizacin; agregar
productos o servicios a los medios de
procesamiento de la informacin deben
abarcar los requerimientos de seguridad
necesarios relevantes.
7. GESTION DE ACTIVOS
7.1. Responsabilidad de los activos
7.1.1. Inventario de activos
Todos los activos deben estar claramente

identificados; y se debe elaborar y
mantener un inventario de todos los activos
importantes.
7.1.2. Propiedad de activos
Toda la informacin y los activos asociados

con los medios de procesamiento de la
informacin deben ser 'propiedad' 3 de una
parte designada de la organizacin.
7.1.3. Uso adecuado de activos
Se deben identificar, documentar e

implementar las reglas para el uso
aceptable de la informacin y los activos
asociados con los medios de procesamiento
de la informacin.
7.2. Clasificacin de la Informacin
7.2.1. Gua para la clasificacin
La informacin debe ser clasificada en

trminos de su valor, requerimientos
legales, confidencialidad y grado crtico
para la organizacin.
7.2.2. Identificacin y manejo de la

informacin
Se debe desarrollar e implementar un

apropiado conjunto de procedimiento para
etiquetar y manejar la informacin en
concordancia con el esquema de
clasificacin adoptado por la organizacin.
8. SEGURIDAD DE LOS RECURSOS HUMANOS

8.1. Previo al empleo
8.1.1. Funciones y Roles de seguridad
Se deben definir y documentar los roles y

responsabilidades de seguridad de los
empleados, contratistas y terceros en
concordancia con la poltica de la seguridad
de informacin de la organizacin.
8.1.2. Seleccin y verificacin de

candidatos
Se deben llevar a cabo chequeos de

verificacin de antecedentes de todos los
candidatos a empleados, contratistas y
terceros en concordancia con las leyes,
regulaciones y tica relevante, y deben ser
proporcionales a los requerimientos
comerciales, la clasificacin de la
informacin a la cual se va a tener acceso y
los riesgos percibidos.
Como parte de su obligacin contractual; los

empleados, contratistas y terceros deben
aceptar y firmar los trminos y condiciones
8.1.3. Trminos y condiciones de empleo de su contrato de empleo, el cual debe
establecer sus responsabilidades y las de la
organizacin para la seguridad de la
informacin.
8.2. Durante el empleo
8.2.1. Responsabilidades de la gerencia
La gerencia debe requerir que los

empleados, contratistas y terceros apliquen
la seguridad en concordancia con las
polticas y procedimientos establecidos de
la organizacin.
8.2.2. Concientizacin, educacin y

entrenamiento en la seguridad de la
informacin.
Todos los empleados de la organizacin y,

cuando sea relevante, los contratistas y
terceros, deben recibir el apropiado
conocimiento, capacitacin y
actualizaciones regulares de las polticas y
procedimientos organizacionales, conforme
sean relevantes para su funcin laboral.
8.2.3. Proceso disciplinario
Debe existir un proceso disciplinario formal

para los empleados que an cometido una
violacin en la seguridad.
8.3. Finalizacin o cambio de empleo
8.3.1. Finalizacin de responsabilidades
Se deben definir y asignar claramente las

responsabilidades para realizar la
terminacin o cambio de empleo.
8.3.2. Devolucin de activos
Todos los empleados, contratistas y terceros

deben devolver todos los activos de la
organizacin que estn en su posesin a la
terminacin de su empleo, contrato o
acuerdo.
8.3.3. Retiro de los permisos de acceso
Los derechos de acceso de todos los

empleados, contratistas y terceros a la
informacin y medios de procesamiento de
la informacin deben ser eliminados a la
terminacin de su empleo, contrato o
acuerdo, o se deben ajustar al cambio.
9. SEGURIDAD FSICA Y AMBIENTAL

9.1. reas seguras
9.1.1. Controles de seguridad fsica
Se debe utilizar permetros de seguridad

(barreras tales como paredes y puertas de
ingreso controlado o recepcionista) para
proteger reas que contienen informacin y
medios de procesamiento de informacin.
9.1.2. Controles fsicos de entrada
Se deben proteger las reas seguras

mediante controles de entrada apropiados
para asegurar que slo se permita acceso al
personal autorizado.
9.1.3. Seguridad en oficinas, cuartos y

edificios
Se debe disear y aplicar seguridad fsica

en las oficinas, habitaciones y medios.
9.1.4. Proteccin contra amenazas

externas y ambientales
Se debe disear y aplicar proteccin fsica

contra dao por fuego, inundacin,
terremoto, explosin, disturbios civiles y
otras formas de desastre natural o creado
por el hombre.
9.1.5. Trabajo en reas seguras
Se debe disear y aplicar proteccin fsica y

lineamientos para trabajar en reas
seguras.
9.1.6. reas de acceso pblica, carga y

entrega
Se deben controlar los puntos de acceso

como las reas de entrega y descarga y
otros puntos donde personas no autorizadas
pueden ingresar a los locales, y cuando
fuese posible, se deben aislar de los medios
de procesamiento de la informacin para
evitar un acceso no autorizado.
9.2. Seguridad de los equipos

9.2.1. Ubicacin y proteccin de
equipamiento
El equipo debe estar ubicado o protegido

para reducir los riesgos de las amenazas y
peligros ambientales, y las oportunidades
para el acceso no autorizado.
9.2.2. Suministros de soporte
El equipo debe ser protegido de fallas de

energa y otras interrupciones causadas por
fallas en los servicios pblicos.
9.2.3. Seguridad en el cableado
El cableado de la energa y las

telecomunicaciones que llevan data o
sostienen los servicios de informacin
deben ser protegidos de la interrupcin o
dao.
9.2.4. Mantenimiento de equipos
El equipo debe ser mantenido

correctamente para permitir su continua
disponibilidad e integridad.
Se debe aplicar seguridad al equipo fuera

9.2.5. Seguridad de los equipos fuera de del local tomando en cuenta los diferentes
las instalaciones
riesgos de trabajar fuera del local de la
organizacin
Todos lo tems de equipo que contengan

medios de almacenaje deben ser
9.2.6. Desecho y/o reutilizacin seguro chequeados para asegurar que se haya
de los equipos
removido o sobre-escrito de manera segura
cualquier data confidencial y software con
licencia antes de su eliminacin.
9.2.7. Retiro de propiedad
Equipos, informacin o software no deben

ser sacados fuera de la propiedad sin previa
autorizacin.
10. GESTIN DE LAS COMUNICACIONES Y LAS OPERACIONES

10.1. Responsabilidad y procedimientos operacionales
10.1.1. Procedimientos operacionales

documentados
Se deben documentar y mantener los

procedimientos de operacin, y se deben
poner a disposicin de todos los usuarios
que los necesiten.
10.1.2. Administracin de cambios
Se deben controlar los cambios en los

medios y sistemas de procesamiento de la
informacin.
10.1.3. Segregacin de funciones
Se deben segregar los deberes y reas de

responsabilidad para reducir las
oportunidades de una modificacin no
autorizada o no intencionada o un mal uso
de los activos de la organizacin.
10.1.4. Separacin de ambientes

(facilities)
Se deben separar los medios de desarrollo,

prueba y operaciones para reducir los
riesgos de accesos no autorizados o
cambios en el sistema de operacin.
10.2. Gestin de servicios por terceras partes
10.2.1. Entrega de servicios
Se debe asegurar que los terceros

implementen, operen y mantengan los
controles de seguridad, definiciones de
servicio y niveles de entrega incluidos en el
contrato de entrega del servicio de terceros.
10.2.2. Monitoreo y revisin de los

servicios de terceros
Los servicios, reportes y registros provistos

por terceros deben ser monitoreados y
revisados regularmente, y las auditoras se
deben llevar a cabo regularmente.
Se deben manejar los cambios en la

provisin de servicios, incluyendo el
mantenimiento y mejoramiento de las
10.2.3. Administracin de cambios en los polticas, procedimientos y controles de
servicios de terceros
seguridad existentes, tomando en cuenta el
grado crtico de los sistemas y procesos
comerciales involucrados y la re-evaluacin
de los riesgos.
10.3. Planificacin y aceptacin del sistema
10.3.1. Gestin de la Capacidad
Se deben monitorear, afinar y realizar

proyecciones del uso de los recursos para
asegurar el desempeo del sistema
requerido.
10.3.2. Aceptacin de sistemas
Se deben establecer los criterios de

aceptacin para los sistemas de informacin
nuevos, actualizaciones y versiones nuevas
y se deben llevar a cabo pruebas adecuadas
del (los) sistema(s) durante su desarrollo y
antes de su aceptacin.
10.4. Proteccin contra cdigo mvil y malicioso
10.4.1. Controles contra software

malicioso
Se deben implementar controles de

deteccin, prevencin y recuperacin para
protegerse de cdigos maliciosos y se
deben implementar procedimientos de
conciencia apropiados.
10.4.2. Controles contra cdigo mvil
Cuando se autoriza el uso de un cdigo

mvil, a configuracin debe asegurar que el
cdigo mvil autorizado opere de acuerdo a
una poltica de seguridad claramente
definida, y se debe evitar que se ejecute un
cdigo no autorizado.
10.5. Back-up
Se deben realizar copias de back up o

respaldo de informacin comercial y
10.5.1. Copia de respaldo de informacin
software esencial y se deben probar
regularmente de acuerdo a la poltica.
10.6. Gestin de seguridad en la red
10.6.1. Controles de red
Las redes deben ser adecuadamente

manejadas y controladas para poderlas
proteger de amenazas, y para mantener la
seguridad de los sistemas y aplicaciones
utilizando la red, incluyendo la informacin
en trnsito.
10.6.2. Seguridad de servicios de red
Se deben identificar los dispositivos de

seguridad, niveles de servicio y los
requerimientos e incluirlos en cualquier
contrato de servicio de red, ya sea que
estos servicios sean provistos en casa o
sean abastecidos externamente.
10.7. Gestin de soportes
10.7.1. Gestin de los medios removibles
Deben existir procedimientos para la

gestin de medios removibles.
10.7.2. Eliminacin de medios
Los medios deben ser eliminados utilizando

procedimientos formales de una manera
segura cuando ya no se les requiere.
Se deben establecer los procedimientos

para el manejo y almacenaje de la
10.7.3. Procedimientos para el manejo de
informacin para proteger dicha informacin
informacin
de una divulgacin no autorizada o un mal
uso.
10.7.4. Seguridad de la documentacin de Se debe proteger la documentacin de una

los sistemas
acceso no autorizado.
10.8. Intercambio de informacin
10.8.1. Polticas y procedimientos de

intercambio de informacin
Se deben establecer poltica,

procedimientos y controles de intercambio
formales para proteger el intercambio de
informacin a travs del uso de todos los
tipos de medios de comunicacin.
10.8.2. Acuerdos de intercambio
Se deben establecer acuerdos para el

intercambio de informacin y software entre
la organizacin y entidades externas.
10.8.3. Medios fsicos en transito
Los medios de contienen informacin deben

ser protegidos contra un acceso no
autorizado, mal uso o corrupcin durante el
transporte ms all de los lmites fsicos de
una organizacin.
10.8.4. Mensajera electrnica
Se debe proteger adecuadamente los

mensajes electrnicos.
10.8.5. Sistemas de informacin de

negocio
Se deben desarrollar e implementar

polticas y procedimientos para proteger la
informacin asociada con la interconexin
de los sistemas de informacin comercial.
10.9. Servicios de comercio electrnico
10.9.1. Comercio electrnico
Se debe proteger la informacin involucrada

en el comercio electrnico que se transmite
a travs de redes pblicas de cualquier
actividad fraudulenta, disputa contractual y
divulgacin y modificacin no autorizada.
10.9.2. Transacciones en lnea
Se debe proteger la informacin involucrada

en las transacciones en lnea para evitar la
transmisin no autorizada del mensaje,
divulgacin no autorizada, y duplicacin o re
envo no autorizado del mensaje.
10.9.3. Informacin de acceso publico
Se debe proteger la integridad de la

informacin disponible pblicamente para
evitar la modificacin no autorizada.
10.10. Monitoreo
10.10.1.Registro de eventos
Se deben producir registros de las

actividades de auditora, excepciones y
eventos de seguridad de la informacin y se
deben mantener durante un perodo
acordado para ayudar en investigaciones
futuras y monitorear el control de acceso
Se deben establecer procedimientos para

monitorear el uso de los medios de
10.10.2.Monitoreo del uso de los sistemas procesamiento de informacin y el resultado
de las actividades de monitoreo se debe
revisar regularmente
10.10.3.Proteccin de la informacin de
registros
Se deben proteger los medios de registro y

la informacin del registro contra
alteraciones y acceso no autorizado
10.10.4.Registros del administrador y

operador
Se deben registrar las actividades del

administrador y operador del sistema
10.10.5.Registro de fallas
Las fallas se deben registrar, analizar y se

debe tomar la accin apropiada
10.10.6.Sincronizacin de relojes
Los relojes de los sistemas de

procesamiento de informacin relevantes de
una organizacin o dominio de seguridad
deben estar sincronizados con una fuente
de tiempo exacta
11. CONTROL DE ACCESO

11.1. Requerimientos de negocio para el control del acceso
11.1.1. Poltica de control de acceso
Se debe establecer, documentar y revisar la

poltica de control de acceso en base a los
requerimientos de seguridad y comerciales
11.2. Gestin de accesos de usuarios
11.2.1. Registro de usuarios
Debe existir un procedimiento formal para

la inscripcin y desinscripcin para otorgar
acceso a todos los sistemas y servicios de
informacin
11.2.2. Gestin de privilegios
Se debe restringir y controlar la asignacin

y uso de los privilegios
11.2.3. Gestin de contraseas de

usuarios
La asignacin de claves se debe controlar a

travs de un proceso de gestin formal
11.2.4. Revisin de los derechos de

acceso de los usuarios
La gerencia debe revisar los derechos de

acceso de los usuarios a intervalos
regulares utilizando un proceso formal
11.3. Responsabilidades de usuario
11.3.1. Uso de contraseas
Se debe requerir que los usuarios sigan

buenas prcticas de seguridad en la
seleccin y uso de claves
Se debe requerir que los usuarios se

11.3.2. Equipos de usuarios desatendidos aseguren de dar la proteccin apropiada al
equipo desatendido
11.3.3. Poltica de escritorio y pantalla

limpia
Se debe adoptar una poltica de escritorio

limpio para los documentos y medios de
almacenamiento removibles y una poltica
de pantalla limpia para los medios de
procesamiento de la informacin
11.4. Control de acceso a redes
Los usuarios deben tener acceso a los

11.4.1. Poltica para el uso de servicios de
servicios para los cuales han sido
red
especficamente autorizados a usar
11.4.2. Autenticacin del usuario para

conexiones externas
Se debe utilizar mtodos de autenticacin

para controlar el acceso de usuarios
remotos
11.4.3. Identificacin de equipos en las

redes
Se debe considerar la identificacin

automtica del equipo como un medio para
autenticar las conexiones desde equipos y
ubicaciones especficas
11.4.4. Proteccin de puerto de

diagnstico y configuracin remota
Se debe controlar el acceso fsico y lgico a

los puertos de diagnstico y configuracin
11.4.5. Segregacin en redes
Los servicios de informacin, usuarios y

sistemas de informacin se deben segregar
en las redes
11.4.6. Control de conexiones a la red
Se debe restringir la capacidad de conexin

de los usuarios en las redes compartidas,
especialmente aquellas que se extienden a
travs de los lmites organizacionales, en
concordancia con la poltica de control de
acceso y los requerimientos de afiliaciones
comerciales (ver 11.1)
Se deben implementar controles de

enrutamiento para las redes para asegurar
que las conexiones de cmputo y los flujos
11.4.7. Control de enrutamiento en la red
de informacin no infrinjan la poltica de
control de acceso de las aplicaciones
comerciales
11.5. Control de acceso al sistema operativo
11.5.1. Procedimientos de inicio seguro

de sesin
Se debe controlar el acceso a los servicios

operativos mediante un procedimiento de
registro seguro
11.5.2. Identificacin y autenticacin de

usuarios
Todos los usuarios deben tener un

identificador singular (ID de usuario) para su
uso personal y exclusivo, se debe elegir una
tcnica de autenticacin adecuada para
verificar la identidad del usuario
11.5.3. Sistema de gestin de

contraseas
Los sistemas de manejo de claves deben

ser interactivos y deben asegurar la calidad
de las claves
11.5.4. Uso de las utilidades del sistema
Se deben restringir y controlar

estrictamente el uso de programas de
utilidad que podran superar al sistema y los
controles de aplicacin
11.5.5. (Time-out) Control de tiempo

para terminales
Las sesiones inactivas deben cerrarse

despus de un perodo de inactividad
definido
11.5.6. Limitacin en el tiempo de

conexin
Se debe utilizar restricciones sobre los

tiempos de conexin para proporcionar
seguridad adicional a las aplicaciones de
alto riesgo
11.6. Control de acceso a la informacin y las aplicaciones
11.6.1. Restriccin de acceso a la

informacin
Se deben restringir el acceso de los usuarios

y personal de soporte al sistema de
informacin y aplicacin en concordancia
con la poltica de control de acceso definida
11.6.2. Aislamiento de los sistemas

sensibles
Los sistemas sensibles deben tener un

ambiente de cmputo dedicado (aislado)
11.7. Informtica mvil y teletrabajo
11.7.1. Computacin y comunicacin

mvil
Se debe establecer una poltica formal y

adoptar las medidas de seguridad
apropiadas para proteger contra los riesgos
de utilizar medios de computacin y
comunicacin mviles
11.7.2. Teletrabajo
Se debe desarrollar e implementar polticas,

planes operacionales y procedimientos para
actividades de teletrabajo
12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INF

12.1. Requerimientos de seguridad de los sistemas de informacin
Los enunciados de los nuevos

requerimientos comerciales para sistemas
12.1.1. Anlisis y requisitos de seguridad nuevos, o mejorar los sistemas existentes
deben especificar los requerimientos de los
controles de seguridad
12.2. Procesamiento correcto en las aplicaciones

El insumo de la data en las aplicaciones
12.2.1. Validacin de los datos de entrada debe ser validado para asegurar que esta
data sea correcta y apropiada
Se deben incorporar chequeos de validacin

en las aplicaciones para detectar cualquier
12.2.2. Control del procesamiento interno corrupcin de la informacin a travs de
errores de procesamiento o actos
deliberados
12.2.3. Integridad de mensajes
Se deben identificar los requerimientos para

asegurar la autenticidad y proteccin de la
integridad de mensaje en las aplicaciones, y
se deben identificar e implementar los
controles apropiados
12.2.4. Validacin de datos de salida
Se debe validar el output de data de una

aplicacin para asegurar que el
procesamiento de la informacin
almacenada sea correcto y apropiado para
las circunstancias
12.3. Controles criptogrficos

12.3.1. Poltica en el uso de controles de
encriptacin
Se debe desarrollar e implementar una

poltica sobre el uso de controles
criptogrficos para la proteccin de la
informacin
12.3.2. Administracin de claves
Se debe utilizar una gestin clave para dar

soporte al uso de las tcnicas de
criptografa en la organizacin
12.4. Seguridad de los archivos del sistema
12.4.1. Control del software operacional
Se debe contar con procedimientos para

controlar la instalacin de software en los
sistemas operacionales
12.4.2. Proteccin de los datos de prueba Se debe seleccionar cuidadosamente,

del sistema
proteger y controlar la data de prueba
12.4.3. Control de acceso al cdigo fuente Se debe restringir el acceso al cdigo fuente
de programas
del programa
12.5. Seguridad en el desarrollo y soporte de procesos

12.5.1. Procedimiento de control de
cambios
La implementacin de cambios se debe

controlar mediante el uso de
procedimientos formales de control de
cambios
12.5.2. Revisin tcnica de aplicaciones

despus de cambios al sistema operativo
Cuando se cambian los sistemas operativos,

se deben revisar y probar las aplicaciones
crticas del negocio para asegurar que no
exista un impacto adverso en las
operaciones o seguridad organizacional
No se deben fomentar las modificaciones a

12.5.3. Restricciones en los cambios a los los paquetes de software, se deben limitar a
paquetes de software
los cambios necesarios y todos los cambios
deben ser controlados estrictamente
12.5.4. Fuga de informacin
Se deben evitar las oportunidades de fuga

de informacin
12.5.5. Desarrollo de software en

outsourcing
El desarrollo de software que ha sido

outsourced debe ser supervisado y
monitoreado por la organizacin
12.6. Gestin de vulnerabilidades tcnicas
Se debe obtener informacin oportuna

sobre las vulnerabilidades tcnicas de los
sistemas de informacin en uso; se debe
12.6.1. Control de debilidades tcnicas de
evaluar la exposicin de la organizacin
seguridad
ante esas vulnerabilidades; y se deben
tomar las medidas apropiadas para tratar el
riesgo asociado
13. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN

13.1. Informes de los eventos de seguridad de la informacin y vulnerabilidades
13.1.1. Reporte de eventos de seguridad

de la informacin
Los eventos de seguridad de la informacin

deben reportarse a travs de los canales
gerenciales apropiados lo ms rpidamente
posible
13.1.2. Reporte de debilidades de

seguridad
Se debe requerir que todos los empleados,

contratistas y terceros usuarios de los
sistemas y servicios de informacin tomen
nota y reporten cualquier debilidad
observada o sospechada en la seguridad de
los sistemas o servicios
13.2. Gestin de incidentes y mejoras de seguridad de la informacin
13.2.1. Responsabilidades y
procedimientos
Se deben establecer las responsabilidades y

procedimientos gerenciales para asegurar
una respuesta rpida, efectiva y ordenada a
los incidentes de seguridad de la
informacin
13.2.2. Aprender de los incidentes de

Deben existir mecanismos para permitir

cuantificar y monitorear los tipos,
volmenes y costos de los incidentes en la
13.2.3. Recoleccin de evidencia
Cuando la accin de seguimiento contra una

persona u organizacin despus de un
incidente en la seguridad de la informacin
involucra una accin legal (sea civil o
criminal), se debe recolectar, mantener y
presentar evidencia para cumplir las reglas
de evidencia establecidas en la(s)
jurisdiccin(es) relevantes
14. GESTIN DE CONTINUIDAD DEL NEGOCIO

14.1. Gestin de los aspectos de seguridad de la continuidad del negocio
Se debe desarrollar y mantener un proceso

gerencial para la continuidad del negocio a
14.1.1. Inclusin de la informacin de
travs de toda la organizacin para tratar
seguridad en el proceso de administracin
los requerimientos de seguridad de la
de la continuidad del negocio
informacin necesarios para la continuidad
comercial de la organizacin
14.1.2. Continuidad del negocio y

evaluacin de riesgos
Se deben identificar los eventos que causan

interrupciones en los procesos comerciales,
junto con la probabilidad e impacto de
dichas interrupciones y sus consecuencias
para la seguridad de la informacin
14.1.3. Desarrollo e implementacin de

planes de continuidad incluyendo
Se deben desarrollar e implementar planes

para mantener o restaurar las operaciones y
asegurar la disponibilidad de la informacin
en el nivel requerido y en las escalas de
tiempo requeridas despus de la
interrupcin o falla en los procesos
comerciales crticos
14.1.4. Modelo para la planeacin de la

continuidad del negocio
Se debe mantener un solo marco referencial

de planes de continuidad comercial para
asegurar que todos los planes sean
consistentes y para tratar consistentemente
los requerimientos de la seguridad de la
informacin e identificar las prioridades de
pruebas y mantenimiento
14.1.5. Prueba, mantenimiento y reevaluacin de los planes de continuidad

del negocio
Los planes de continuidad comercial se

deben probar y actualizar regularmente
para asegurar que estn actualizados y
sean efectivos
15. CUMPLIMIENTO
15.1. Cumplimiento de los requerimientos legales
15.1.1. Identificacin de la legislacin

aplicable
Se deben definir explcitamente,

documentar y actualizar todos los
requerimientos estatutarios, reguladores y
contractuales y el enfoque de la
organizacin relevante para cada sistema
de informacin y la organizacin
Se deben implementar los procedimientos

apropiados para asegurar el cumplimiento
de los requerimientos legislativos,
15.1.2. Derechos de propiedad intelectual
reguladores y contractuales sobre el uso de
(IPR)
material con respecto a los derechos de
propiedad intelectual y sobre el uso de los
productos de software patentados
15.1.3. Proteccin de los registros de la

organizacin
Se deben proteger los registros importantes

de una organizacin de prdida, destruccin
y falsificacin, en concordancia con los
requerimientos estatutarios, reguladores,
contractuales y comerciales
15.1.4. Proteccin y privacidad de la

informacin personal
Se deben asegurar la proteccin y

privacidad tal como se requiere en la
legislacin relevante, las regulaciones y, si
fuese aplicable, las clusulas contractuales
15.1.5. Prevencin del mal uso de la

infraestructura para el procesamiento de
informacin
Se debe desanimar a los usuarios de utilizar

los medios de procesamiento de la
informacin para propsitos no autorizados
15.1.6. Regulacin de controles

criptogrficos
Se deben utilizar controles en cumplimiento

con los acuerdos, leyes y regulaciones
relevantes
15.2. Cumplimiento de las polticas y estndares de seguridad y cumplimiento tc
15.2.1. Cumplimiento de polticas y

estndares de seguridad
Los gerentes deben asegurar que todos los

procedimientos de seguridad dentro de su
rea de responsabilidad sean realizados
correctamente en cumplimiento con las
polticas y estndares de seguridad
15.2.2. Verificacin del cumplimiento

tcnico
Los sistemas de informacin deben

chequearse regularmente para el
cumplimiento con los estndares de
implementacin de seguridad.
15.3. Consideraciones de auditoria de sistemas de informacin
15.3.1. Controles de auditora de los

sistemas de informacin
Se deben planear cuidadosamente los

requerimientos y actividades de las
auditoras que involucran chequeo de los
sistemas operacionales y se debe acordar
minimizar el riesgo de interrupciones en los
procesos comerciales.
15.3.2. Proteccin de herramientas de

auditoria de los sistemas de informacin
Se debe proteger el acceso a las

herramientas de auditora de los sistemas
de informacin para evitar cualquier mal
uso o compromiso posible.
Pregunta
Si
Parcial
No
Ha sido aprobado por la direccin un

documento que contenga la poltica de
seguridad de la informacin, y ha sido
publicado y comunicado a todos los
empleados y terceras partes relevantes?
La poltica de seguridad de la informacin

se revisa en intervalos planificados, o si
ocurren
cambios
significativos,
para
asegurar que sigue siendo conveniente,
suficiente y efectiva?
La direccin apoya, de forma activa y

clara,
la
seguridad
dentro
de
la
organizacin,
con
un
compromiso
demostrado, asignaciones explcitas, y
reconocimiento de las responsabilidades de
la seguridad de la informacin?
Por ejemplo, tiene Oficial de Seguridad?,
Tiene comite de Seguridad?
Las actividades de seguridad de la

informacin
se
coordinan
con
representantes de cada una de las
diferentes reas de la organizacin, quienes
tienen roles
y puestos
de
trabajo
relevantes?
Por ejemplo, el comit quin lo conforma?
Tienen que involucrar varias aristas.
Se han definido claramente todas las

responsabilidades de seguridad de la
informacin?
Por ejemplo, tiene que ver con las
responsabilidades que tiene el oficial de
seguridad y el comit.
Se ha definido y puesto en ejecucin un

proceso administrativo de autorizaciones
para las nuevas infraestructuras utilizadas
en el procesamiento de informacin?
Por ejemplo, hay proceso formal para
autorizar nuevas implementaciones o lo
realizan de palabra o por correo. Hay control
de cambios?
Los requerimientos de confidencialidad o

los acuerdos de no divulgacin, que reflejan
las necesidades de proteccin de la
informacin que tiene la organizacin, son
identificados y revisados de forma regular?
Por
ejemplo,
Hay
acuerdos
de
confidencialidad con el personal?
hay
acuerdo de confidencialidad con las socias,
con los proveedores?
Se mantiene una relacin apropiada con

las autoridades relevantes?
Por
ejemplo,
tienen
contacto
con
Carabineros, Bomberos?
La organizacin mantiene contacto con

grupos de inters, foros de especialistas en
seguridad
o
con
asociaciones
profesionales?
Por ejemplo, el encargado de seguridad
participa con grupos de Seguridad de
informacin? Grupos de internet enfocados
seguridad? Todo esto con el objetivo de
estar a la vanguardia con los temas de
seguridad de informacin.
El enfoque de la organizacin para la

gestin de seguridad de la informacin y su
implementacin (p. ej. objetivos de control,
controles,
polticas,
procesos
y
procedimientos
de
seguridad
de
la
informacin), son revisados de forma
independiente, en intervalos planeados o
cuando ocurren cambios significativos en la
implementacin de la seguridad?
Por ejemplo, viene un tercero a verificar que
se cumplan todos los controles de
seguridad? Si viene un experto ITIL a revisar
Se han identificado los riesgos asociados a

la informacin de la organizacin y la
infraestructura para el procesamiento de la
informacin, relacionados con los procesos
de negocio que involucran terceros, y se
han implementado los controles apropiados
antes de tener acceso a estas?
Por ejemplo, se evala el riesgo al darle
acceso a tercero a misfe ej:minimos
privilegios. Existe un registro, un control
formal?
Todos
los
requisitos
de
seguridad
identificados, han sido tratados antes de
dar a los clientes el acceso a la informacin
o a los activos de la organizacin?
Por ejemplo, est documentado como se
incorpora una socia a FE? La socia puede
entregar un poder simple y retira dinero un
tercero.
Los acuerdos con terceros relacionados con

acceso, procesamiento, comunicacin o
manejo de la informacin o infraestructura
para el procesamiento de informacin, o
adicin de productos o servicios a la
informacin,
cubren
todos
los
requerimientos de seguridad relevantes?
Por ejemplo, el proveedor se alinea con los
nuevos estndares de seguridad que tiene
FE? Se van mejorando los acuerdos?
Todos los activos estn identificados de

forma clara, y se ha elaborado y mantenido
un inventario de todos los activos
importantes?
Toda la informacin y activos asociados

con la infraestructura para el procesamiento
de la informacin, han sido asignados a un
rea especfica de la organizacin?
Por ejemplo, est claro quin es el dueo y
responsable de cada activo (sw, hw,
manuales procedimientos)
Las reglas para el uso correcto de la

informacin y de los activos asociados a la
informacin,
han
sido
identificadas,
documentadas e implementadas?
Por ejemplo, tenemos al dueo de servidor,
y alguien ajeno a la gerencia que quiere
acceder, existe un procedimiento que
permita autorizar el acceso?.... debe existir
un control para el uso adecuado de los
activos.
Otro ejemplo, si se quiere acceder al
ambiente productivo o para ingresar al DC,
quin puede tener acceso?
Se ha clasificado la informacin con base

en
su valor,
requerimientos
legales
vigentes, sensibilidad y que tan crtica es
para la organizacin?
Por ejemplo, esto tiene que ver con la
gestin de riesgo de activos de la
informacin.
tienen
evaluados
los
documentos de contratos de las socias, si
tienen evaluado si la socia puede pagar o
no.
Se ha desarrollado e implantado un
conjunto de procedimientos apropiado para
el etiquetado y manejo de la informacin,
de acuerdo con el esquema de clasificacin
adoptado por la organizacin?
Por ejemplo, tienen cdigo de inventario los
activos? (los equipos, los documentos, sw,
licencias,redes, ups)
Las funciones y responsabilidades de los

empleados, contratistas y terceras partes,
estn definidos y documentados de acuerdo
con la poltica de seguridad de la
organizacin?
Es necesario tener roles, actualmente
tienen los obejtivos y requisitos.
Se realizan las verificaciones oportunas de

los antecedentes de todos los candidatos
para un empleo, de los contratistas y
terceras partes, siempre de acuerdo a las
leyes y regulaciones vigentes, la tica y
siempre de manera proporcional a los
requerimientos del negocio, la clasificacin
de la informacin a la que acceder y los
riesgos percibidos?
Revisan los antecedentes de las personas?
solicitan los ttulos? exmen sicolgico? Se
encuentra documentado?
Se les exige a los empleados, contratistas

y terceras partes estar de acuerdo y firmar
los trminos y condiciones de su contrato
de empleo, y este contrato establece las
responsabilidades tanto del empleado como
las de la organizacin, en materia de
seguridad de la informacin?
Por ejemplo, firman los contratos con los
trabajadores antes de ingresar a trabajar?
La direccin exige a los empleados,

contratistas y terceras partes aplicar
seguridad de acuerdos con las polticas y
procedimientos
establecidos
por
la
organizacin?
Los empleados y, cuando es relevante,

contratistas y terceras partes, reciben el
entrenamiento
adecuado
sobre
concientizacin
en
seguridad
de
la
informacin y se les mantiene actualizados
sobre las polticas y procedimientos de la
organizacin que son relevantes para el
cumplimiento de las funciones de su
trabajo?
Por ejemplo, hay charlas? despliegan la
informacin?
Existe algn proceso disciplinario formal

para tratar con los empleados que infringen
la seguridad de la organizacin?
Por ejemplo, existen amonestaciones por
falta a la seguridad?
Han sido claramente definidas y asignadas

las responsabilidades para realizar la
finalizacin de un contrato de trabajo o
cambios en el empleo?
Se requiere que todos los empleados,

contratistas y usuarios de terceras partes,
devuelvan
todos los activos de la
organizacin que se encuentren en su
posesin en el momento de la terminacin
del empleo, contrato o acuerdo?
Por ejemplo, existe un formulario que
indique todos los activos que tiene un
trabajador asociados, est documentado?
Una vez que se termina el contrato, se

retiran inmediatamente todos los derechos
de acceso a la informacin y a la
informacin de los empleados, contratistas
y terceras partes, o si fuese el caso, se
ajustan si hay cambios?
cmo saben que le bloquearon el correo?,
reciben de vuelta una confirmacin.
Se utilizan permetros de seguridad

(barreras como: paredes, puertas de acceso
controladas por tarjetas de identidad,
puestos de recepcin, etc.) para proteger
reas que contengan informacin e
informacin?
Estn protegidas las reas seguras por los

controles de entrada apropiados para
asegurarse de que solamente permiten el
acceso de personal autorizado?
Por ejemplo hay registro de quien ingresa al
DC?
Se ha diseado e implantado un sistema

de seguridad fsica para las oficinas, salas y
resto de instalaciones?
Por ejemplo las personas andan con la
credencial?
Se ha diseado y aplicado un sistema de

proteccin fsica en contra de daos
causados por incendios, inundaciones,
terremotos,
explosiones,
ataques
provocados por personas y/o otras formas
de desastre natural o artificial?
Por ejemplo tienen plan de evacuacin?
Se han diseado y aplicado las guas y

medidas de proteccin adecuadas para
trabajar en las reas seguras?
Por ejemplo, tiene procedimientos para
trabajo
supervisado,
seguridad,
para
realizar trabajos en sus depencias?
Los puntos de acceso, tales como reas de

entrega y/o carga, y otros puntos donde
personas no autorizadas puedan tener
acceso, son controlados y, si es posible,
aislados de las instalaciones para el
procesamiento de la informacin, con el fin
de evitar accesos no autorizados?
Los equipos estn aislados o protegidos

con la finalidad de reducir el riesgo de
daos, amenazas y accesos no autorizados?
Los equipos se encuentran protegidos ante

los posibles fallos de electricidad y otras
perturbaciones causadas por los fallos en
los sistemas de soporte (UPS, Planta
elctrica)?
El cableado elctrico y el de
telecomunicaciones, que transmiten datos o
soportan servicios de informacin, estn
protegidos contra la intercepcin o dao?
Por ejemplo, existe redundacia de enlace?
Se hace un mantenimiento correcto de los

equipos para asegurar su continua
disponibilidad e integridad?
Se aplica la seguridad adecuada a los

equipos que se encuentran fuera de las
reas pertenecientes a la organizacin,
considerando los riesgos que implica
trabajar fuera de las instalaciones de la
organizacin?
Se revisan todos los equipos que tengan

capacidad de almacenamiento, para
asegurarse que ningn tipo de dato sensible
y/o software licenciado haya sido eliminado
o sobrescrito con seguridad antes del
desecho o reutilizacin del equipo?
Se requiere autorizacin previa para sacar

de la organizacin equipos, informacin o
software?
Por ejemplo, existe un documento que
indique qu personas pueden salir de FE
con su equipo? Cmo nos aseguramos que
sea el note personal y no el del gerente?
Los procedimientos operativos estn

documentados, mantenidos y puestos a
disposicin de todos los usuarios que los
necesitan?
Se controlan los cambios a la

infraestructura para el tratamiento de la
informacin y los sistemas?
Por ejemplo, existen controles formales de
cambios que est documentado?
Los deberes y reas de responsabilidad

estn segregados para reducir las
oportunidades de modificacin o uso
indebido, no autorizado o no intencional, de
los activos de la organizacin?
Por ejemplo, es fcil acceder a informacin
sensible?
Las instalaciones de desarrollo, produccin

y pruebas estn separadas para reducir los
riesgos de accesos o cambios en los
sistemas operativos no autorizados?
La organizacin se asegura que los

controles de seguridad, las definiciones de
servicio y la distribucin de niveles incluida
en el acuerdo de prestacin de servicios con
terceras partes estn implantados,
operados y mantenidos por las terceras
partes?
Por ejemplo, el contrato marco tienen
niveles de servicios? responsables? SLA?
Los servicios, informes y registros

proporcionados por terceras partes, se
monitorizan y revisan de forma regular, y se
llevan a cabo auditorias de forma regular?
Por ejemplo se realizan mediciones sobre
los SLA's y acuerdos de servicios?
Monitorean la cuadratura de control de
cambio?
Se gestionan los cambios de provisin de

los servicios (incluyendo el mantenimiento y
mejora de las polticas existentes,
procedimientos y controles de seguridad de
la informacin) tomando en cuenta la
criticidad de los sistemas y procesos del
negocio implicados y la reevaluacin del
riesgo?
Por ejemplo, cmo lo hacen cuando existe
un control de cambio con un tercero? se
ajusta al proceso de control de cambios de
FE?
El uso de recursos es monitoreado, afinado

y se realizan proyecciones de futuros
requisitos de capacidad para asegurar el
rendimiento del sistema?
El servidor da para abastecer a todas las
personas de FE? Cmo sabe que el servidor
puede soportar N sistemas?
Hay criterios de aceptacin establecidos

para nuevos sistemas de informacin,
actualizaciones y nuevas versiones y se
realizan pruebas del sistema durante el
desarrollo y previamente a la aceptacin?
Por ejemplo, dejan registro de los CPP?
Tienen documentadas las pruebas
realizadas en testing?
Se han implementado controles de

deteccin, prevencin y recuperacin para
protegerse de cdigo malicioso, as como
procedimientos apropiados para la
concientizacin de los usuarios sobre ste?
Por ejemplo, tienen personas monitoreando
la red ante ataques? tienen bloqueados
sitios peligrosos?(face, youtube no es
peligroso)
Cuando el uso del cdigo mvil est

autorizado, la configuracin asegura que
ste cdigo opera de acuerdo a una poltica
de seguridad claramente definida y se
impide su uso si es un cdigo mvil no
autorizado?
Por ejemplo, las tablet se controlan
aleatoriamente si tienen virus o han
descargado sw peligrosos?
Se realizan las copias de seguridad y se

comprueban regularmente conforme a lo
establecido en la poltica acordada?
Por ejemplo, tiene la poltica de respaldo,
cada cuanto, lo comprueba para ver si se
puede recuperar?
La red est adecuadamente administrada y

controlada, con el fin de protegerla de las
amenazas y mantener la seguridad de los
sistemas y aplicaciones que usa la red,
incluida la informacin en trnsito?
Por ejemplo, la red se encuentra
segmentada? son manejados
adecuadamente los firewalls, quin los
administra, estn documentados?
Las caractersticas de seguridad, los

niveles de servicio, y los requerimientos de
administracin de todos los servicios de red,
estn identificados e incluidos en los
acuerdos con los diferentes proveedores de
servicios de red, bien sean internos o
externos?
Por ejemplo, conocen diagrama de red? cul
es el uptime? existe algn control?
Existen procedimientos para la

administracin de los medios removibles?
Por ejemplo, como saco informacin en
pendrive, tarjetas? Se puede controlar con
una poltica que autorice solo a ciertos
cargos
Los soportes que no se vayan a utilizar

ms, son eliminados de forma segura y sin
inconvenientes por medio de
procedimientos formales?
Por ejemplo, cmo elimino o destruyo las
cintas, discos u otro medio donde haya
respaldado.
Hay procedimientos establecidos para el

manejo y el almacenamiento de la
informacin de forma que se proteja de la
divulgacin no autorizada o del uso
inapropiado?
Por ejemplo, dnde almaceno la
informacin, las cintas?
Se encuentra protegida la documentacin

del sistema contra accesos no autorizados?
Por ejemplo, Tengo procedimiento que
indique quin las manipula? Queda un
registro?
Hay establecida una poltica formal de

intercambio, procedimientos y controles
para proteger el intercambio de informacin
a travs de los servicios de comunicacin?
Por ejemplo, tiene una poltica que diga
quienes son los autorizadores del envo de
la Base
Se han establecido acuerdos para el

intercambio de informacin y software
dentro de la organizacin y con
organizaciones externas?
Por ejemplo, dicen los acuerdos que la
informacin no puede ser utilizada para
otros fines?
Los medios que contienen informacin,

estn protegidos en contra del acceso no
autorizado, el mal uso o su alteracin
durante el transporte ms all de los lmites
fsicos de la organizacin?
Est adecuadamente protegida la
informacin involucrada en la mensajera
electrnica?
Por ejemplo, los archivos van encriptados?
Se han desarrollado e implementado

polticas y procedimientos para proteger la
informacin asociada a la interconexin de
los sistemas de informacin del negocio?
La informacin relacionada con el comercio

electrnico, que pasa a travs de redes
pblicas, est protegida de las actividades
fraudulentas, disputas contractuales, y la
divulgacin y modificacin no autorizada?
La informacin involucrada en
transacciones on-line, est protegida para
prevenir transmisiones incompletas, desvo,
modificacin no autorizada del mensaje,
divulgacin no autorizada y para evitar la
duplicacin o reproduccin?
La informacin disponible a travs de un

sistema pblico, se encuentra protegida
para asegurar su integridad y prevenir
modificaciones no autorizadas?
Por ejemplo, la informacin que se publica
en la Web y la intranet pblica la autoriza
un gerente?
Los logs de auditora registran y

mantienen las actividades de los usuarios,
las excepciones y los eventos de seguridad
de la informacin, durante un periodo de
tiempo acordado, con el fin de ser utilizados
en investigaciones futuras y monitorear el
control de acceso?
Por ejemplo, existen log en los procesos.
Se han establecido procedimientos para

monitorear la infraestructura para el
procesamiento de la informacin y los
resultados de estas actividades son
revisados regularmente?
Por ejemplo, se realiza monitoreo de los
sistemas, se genera un informe de lo que se
est procesando, qu rea consume ms
recursos?
La infraestructura para los registros y la

informacin de estos registros, son
protegidos en contra de acceso forzoso o
no autorizado?
Por ejemplo, cmo garantizamos que no
alteren un registro maliciosamente en
MisFe? La idea es tener un proceso de
monitoreo para asegurar que no sean
alterados los registros.
Las actividades del administrador y del

operador del sistema, son registradas?
Por ejemplo, tienen un bitcora de
actividades, tienen cuentas que los
distingan?
Se registran y almacenan los fallos y se

toman las medidas oportunas?
Por ejemplo, quedan registro de las
incidencias, se encuentran categorizadas?
Se encuentran sincronizados todos los

relojes de todos los sistemas relevantes de
procesamiento de informacin en la
organizacin o contenidos en el dominio de
seguridad, conforme a una fuente de tiempo
de confianza?
Por ejemplo, todos los sevidores estn
sincronizados con la hora? cmo lo realizan?
utilizan un domain controller?
Se ha establecido y documentado una

poltica de control de acceso con base en
los requisitos de seguridad y del negocio, y
sta poltica ha sido revisada de forma
regular?
Por ejemplo, existe poltica de control a las
reas de acceso, al control de la informacin
Existe un procedimiento formal de registro

y de salida del registro para los usuarios de
la organizacin con el fin de garantizar o
revocar el acceso a todos los sistemas de
informacin y servicios?
Por ejemplo, hay procedimientos que
permitan entregar y quitar accesos a
usuarios?
Se restringe y controla la asignacin y uso

de privilegios?
Por ejemplo, hay roles distintos de cambiar,
borrar.
Por ejemplo, si alguien es cambiado de
cargo o funcin le cambian los privilegios?
La asignacin de contraseas se realiza

conforme a un proceso formal de gestin?
Por ejemplo, cuando alguien ingresa a FE o
pide un cambio de contrasea, existe un
procedimiento formal? Es con documento,
correo, por telfono
Los derechos de acceso de los usuarios, se

revisan en intervalos regulares de tiempo
siguiendo un proceso formal?
Por ejemplo, cuando el usuario se cambi
de funcin, supongamos que se qued con
mas privilegios, se realizan revisiones
peridicas que permitan regularizar los
accesos?
existe buenas prcticas para el manejo de

contraseas?
Por ejemplo, los usuarios comparten las
claves, colocan claves fciles como la
direccin de FE.
Se requiere que los usuarios se aseguren

que los equipos desatendidos tengan la
proteccin adecuada?
Por ejemplo, bloquean los equipos cada vez
que se levantan del puesto de trabajo? El
usuario sabe que tiene que hacerlo
Se ha adoptado una poltica de "escritorio

despejado" para los papeles, medios de
almacenamiento removibles y una poltica
de "pantalla limpia" en la infraestructura
para el procesamiento de informacin?
Por ejemplo, la secretaria guarda toda la
informacin confidencial bajo llave? se deja
documentacin en la impresora? hay
destruccin de material confidencial?
Los usuarios tienen acceso exclusivamente

a los servicios a los que se les ha autorizado
especficamente?
Por ejemplo, los usuarios que desarrollan
tienen acceso slo al servidor de desarrollo
y no a las redes productivas?
Se usan mtodos de autentificacin

adecuados para controlar el acceso de
usuarios remotos?
Por ejemplo, cuando se conectan por VPN
tienen los mismos controles? Cualquiera
tiene VPN?
Se ha considerado la identificacin
automtica de equipos como una forma de
autenticar conexiones desde equipos y
localizaciones especficas?
Est controlado el acceso a los puertos de

diagnostico y configuracin fsica y lgica?
Por ejemplo, cuando me conecto desde otro
puerto, ingreso usuario y password? Y si se
conecta en forma remota?
Los controles para segregar grupos de

dispositivos de informacin, usuarios y
sistemas de informacin son adecuados?
Por ejemplo, la red de produccin, respaldo
es la misma red de desarrollo para acceder
a las diferentes redes.
La capacidad de los usuarios de conectarse

a la red, es restringida para las redes
compartidas (especialmente aquellas que
estn fuera de la organizacin) y, esta
restriccin, es aplicada en conjunto con los
requerimientos de las polticas de control de
acceso de las aplicaciones de negocio? (Ver
control 11.1)
Por ejemplo, la red detecta cuando est el
mismo usuario desde dos puntos distintos?
Se han establecido en las redes controles

de enrutamiento para asegurar que las
conexiones de los computadores y el flujo
de informacin no vulnere la poltica de
control de acceso de las aplicaciones del
negocio?
Por ejemplo, cmo tienen los enrutamientos
de la red?
El acceso a los sistemas operativos, est

controlado por un procedimiento de inicio
de sesin seguro?
Por ejemplo, el sistema operativo solicita
usuario y contrasea?
Se provee a los usuarios con identificador

nico (User ID) para su uso personal y se ha
seleccionado una tcnica de autentificacin
adecuada para exigir la identidad del
usuario?
Por ejemplo, cada usuario utiliza su porpio
user ID? Existen usuarios genricos?
Los sistemas de gestin de contraseas

son interactivos y aseguran igualmente la
calidad de las contraseas?
Por ejemplo, las claves son alfanumricas?
Pide el sistema que cambie las claves? Deja
repetir claves?
El uso de programas de usuario capaces de

modificar el sistema y los controles de las
aplicaciones, est restringido y fuertemente
controlado?
Hay controles y procedimientos para

desactivar las sesiones despus de un
periodo de tiempo predeterminado de
inactividad?
Existen restricciones en el tiempo de

conexin de las aplicaciones con riesgos
ms elevados para proporcionar seguridad
adicional?
Por ejemplo, evalan los tiempos de trabajo
y cuanto tardan un aplicativo? Es
importante que horarios de conexin a los
sistemas sensibles sean restringidos.
El acceso a las funciones del sistema de

informacin y aplicacin, es restringido
para los usuarios y personal de soporte, de
acuerdo con la poltica de control de
acceso?
Por ejemplo, tenemos controlado que los
usuarios que trabajan en S.O. no accesen a
la base de dato productiva para alterar
datos?
Los sistemas ms sensibles, tienen un

ambiente de cmputo dedicado (aislado)?
Por ejemplo, se encuentran los servidores
resguardados? MisFe se encuentra aislado?
Remuneraciones es sensible, se encuentra
aislado?
Existe una poltica formal y se han

adoptado las medidas de seguridad
necesarias para protegerse en contra de los
riesgos de utilizar computadores mviles e
infraestructura de comunicaciones?
Por ejemplo, los note tienen seguridad? Los
gerentes tienen la misma seguridad? existe
respaldo de los pc.
Se ha desarrollado una poltica, unos

planes operativos, y unos procedimientos
para regular las actividades de tele-trabajo?
ISTEMAS DE INFORMACIN
Las declaraciones de los requerimientos

del negocio para nuevos sistemas de
informacin o para la mejora de los ya
existentes, especifican los requerimientos
de los controles de seguridad?
Por ejemplo, cuando realizo un cambio al
sistema, se valida ante comit, que este
cambio no afecte la seguridad de los
sistemas?
Los datos de entrada de las aplicaciones,

se validan para asegurar que son correctos
y apropiados?
Por ejemplo, cuando ingreso un rut en MisFe
el sistema reconoce si es que ingreso
letras?
Se han incorporado pruebas de validacin
en las aplicaciones para detectar cualquier
informacin errnea causada por errores de
procesamiento o por acciones deliberadas?
Se han identificado los requerimientos para

asegurar la autenticidad y proteger la
integridad de los mensajes en las
aplicaciones, y se han identificado e
implementado los controles apropiados?
Por ejemplo, cuando ingreso una nueva
socia, el sistema reconoce e indica si es que
qued un campo sin llenar? o si el rut es no
vlido?
Los datos de salida de las aplicaciones, se

validan para asegurar que el procesamiento
de informacin almacenada es correcto y
adecuado a las circunstancias?
Por ejemplo, cuando entregan la query a los
funcionarios, se valida que entregue datos y
resultados fidedignos?
Se ha desarrollado e implementado una

poltica sobre
el
uso de
controles
criptogrficos para la proteccin de la
informacin?
Se encuentra implantada una gestin de

claves para soportar el uso de tcnicas
criptogrficas por parte de la organizacin?
Existen procedimientos para el control de

la instalacin de software sobre sistemas
operacionales?
Por ejemplo, existe un procedimiento para
cambiar la versin del sw, cosa de
asegurarse si falla permita volver atrs y
tener resplado. Existe control de cambio?
Los datos de prueba del sistema estn

seleccionados cuidadosamente, protegidos
y controlados?
Por ejemplo, cuando pasa los datos de en
sistema productivo al de prueba se borran
los datos del primero?
Est restringido el acceso al cdigo fuente

de los programas?
Por ejemplo, los accesos deben ser
restringidos para tener un control de
versiones que estn corriendo, esto tiene
que ir de la mano con el control de cambios.
Se utilizan procedimientos de control de

cambios formales para controlar la
implementacin de cambios?
Cuando los sistemas operativos son

cambiados, todas las aplicaciones crticas
del negocio son revisadas y comprobadas
para asegurar que no haya un impacto
adverso en las operaciones y/o la seguridad
de la organizacin?
Por ejemplo, si en FE las aplicaciones corren
en Windows 7 y quiero subir de versin,
tenemos que realizar una revisin de los
aplicativos. existe un rol encargado de la
revisin?
Las modificaciones de los paquetes de

software, son desincentivadas, limitadas a
los cambios necesarios y todos los cambios
son estrictamente controlados?
Por ejemplo, cuando venden un paquete de
sw a FE les realizan cambios? Lo ideal es no
hacerlo porque si compran la nueva versin
se pueden perder estos cambios.
Se han prevenido las oportunidades de

fuga de informacin?
Por ejemplo, existe un control para prevenir
la fuga de informacin cuando instalan un
sw pirata ?
El desarrollo de software realizado en

outsourcing, est siendo supervisado y
monitoreado por la organizacin?
Por ejemplo, el contrato indica que FE es
dueo propiedad de cdigos, derechos de
propiedad intelectual?
Se obtiene oportunamente informacin

sobre las vulnerabilidades tcnicas de los
sistemas de informacin que estn en uso,
la exposicin a dichas vulnerabilidades es
evaluada y se toman las medidas oportunas
para tratar el riesgo asociado?
Por ejemplo, se idenfican las
vulnerabilidades tcnicas de colocar un
parche a un desarrollo? se identifican
riesgos asociados a estas vulnerabilidades?
vulnerabilidades
Los eventos de seguridad de la informacin
estn siendo reportados a los canales de
gestin adecuados tan pronto como sea
posible?
Por ejemplo, existe un procedimiento de
reporte de que indique la falta de seguridad
en la cual se incurri, y cual ser la
amonestacin, y que adems sea conocida
por FE? esto no tiene nada que ver con los
incidentes de problemas tcnico
Se requiere que los empleados contratistas

y terceras partes, usuarios de sistemas de
informacin, tomen nota y denuncien
cualquier vulnerabilidad de seguridad en los
sistemas o en los servicios, que observen o
sospechen?
Por ejemplo, existe un alineamiento con
casa central de FE, oficinas, Link Humano y
terceros de la existencia del reporte?
Se encuentran establecidos las

responsabilidades y los procedimientos
necesarios para establecer una respuesta
rpida, efectiva y ordenada cuando se
presentan incidentes de seguridad de la
informacin?
Por ejemplo, se encuentran categorizados
los incidentes y responsabilidades? se
realiza gestin de incidencias?
Existen mecanismos para establecer los

tipos, volmenes y costos referidos a
incidentes de seguridad de la informacin,
que deban ser cuantificados y
monitorizados?
Por ejemplo, tenemos identificados los
incidentes recurrentes y de alto impacto? Se
realiza gestin?
Cuando se presenta una accin de
seguimiento en contra de una persona u
organizacin despus que un incidente de
seguridad de la informacin implica una
accin legal (ya sea criminal o civil):
Por ejemplo, cuando se comete una falta a
la seguridad, se recolecta evidencias?La
evidencia, es recogida, retenida y
presentada conforme a las reglas para la
evidencia colocada en la jurisdiccin
relevante?
negocio
Se ha desarrollado y mantenido un proceso

de gestin para la continuidad del negocio
de toda la organizacin que trate los
requerimientos de seguridad de la
informacin que se necesitan para la
continuidad del negocio de la organizacin?
Por ejemplo, la idea es que FE tenga
interiorizado que est en riesgo de
seguridad de informacin, que tenga los
activos idenficados, que contemple seguros,
incluya controles preventivos, garantizar la
seguridad de los trabajadores. Asegurar la
continuidad del negocio.
Se han identificados todos los eventos que

pueden causar interrupciones a los procesos
de negocio, junto con la probabilidad y el
impacto de dichas interrupciones, y sus
consecuencias para la seguridad de la
informacin?
Por ejemplo, se evalan los riesgos
asociados a la continuidad de FE, se han
categorizados y priorizados? se realiza un
BCP (plan de continuidad del negocio). Si
falla o se incendia casa central, cunto
cuesta continuar el negocio en otro lugar?
Se han desarrollado e implantado planes

para mantener o recuperar las operaciones
y asegurar la disponibilidad de la
informacin al nivel y en la escala de
tiempo requeridos ante una interrupcin o
fallo de los procesos crticos de negocio?
Por ejemplo, se desarrolla lo anterior
incorporando seguridad de informacin
(recuperacin, restaruracin, educacin de
las personas, entre otros)
Se mantiene un solo marco de planes de

continuidad de negocio que asegure que
todos los planes son consistentes, para
tratar los requerimientos de la seguridad de
la informacin consistentemente, y para
identificar las prioridades para las pruebas y
el mantenimiento?
Por ejemplo, tienen BCP, existe una
definicin de roles y responsabilidades,
acciones, educacin, activos.
Los planes de continuidad de negocio son

probados y modificados para asegurar que
son efectivos y se encuentran al da?
Por ejemplo, esto apunta a que todas las
personas de FE, Link Humano y terceros
est en conocimiento del BCP.
Todos los requerimientos estatutarios,

regulatorios y contractuales, y el enfoque
de la organizacin para cumplir con estos
requerimientos, se encuentran
explcitamente definidos, documentados y
mantenidos al da para cada uno de los
sistemas de informacin y para la
organizacin?
Por ejemplo,... esto apunta a definir
controles y responsabilidades
individuales...Existe un asesor legal externo
que nos indique si estamos bajo un
incuplimiento de propiedad intelectual y
delitos informticos?
Se han implementado los procedimientos

apropiados para asegurar el cumplimiento
de los requerimientos legales, regulatorios y
contractuales respecto al uso de materiales
que pudieran estar protegidos por los
derechos de propiedad intelectual, e
igualmente respecto al uso de productos
software propietario?
Por ejemplo, se realizan chequeos para que
se instalen slo sw autorizados y productos
con licencias?... existen polticas para
eliminar y transferir sw?
Los registros importantes estn protegidos

de prdida, destruccin y falsificacin, de
acuerdo con los requerimientos
estatutarios, regulatorios, contractuales y
del negocio?
Se estn aplicando controles para asegurar

la proteccin y la privacidad de los datos,
tal y como se requiere por la legislacin,
regulaciones aplicables y, si fuera el caso,
clusulas contractuales?
Por ejemplo,
Se ha disuadido a los usuarios de utilizar la

infraestructura de procesamiento de la
informacin para propsitos no autorizados?
Se estn utilizando controles criptogrficos

de acuerdo con las leyes, regulaciones y
acuerdos relevantes?
cumplimiento tcnico
Los directivos se aseguran de que todos los
procedimientos de seguridad dentro de su
rea de responsabilidad, se realizan
correctamente para asegurar el
cumplimiento con los estndares y polticas
de seguridad de la organizacin?
Los sistemas de informacin son revisados

regularmente en cumplimiento de los
estndares de implementacin de la
seguridad?
Los requerimientos y las actividades de

auditora sobre los sistemas operativos, que
involucran revisiones, son cuidadosamente
planeados y acordados para minimizar el
riesgo de perturbar los procesos del
negocio?
El acceso a las herramientas de auditora

de los sistemas de informacin, est
protegido para prevenir cualquier uso
inadecuado o el compromiso de su
seguridad?
Observaciones
En el Manual Interno de FE, existe una

poltica general de Lugares Limpios de
Trabajo. No existe documento de Polticas
de Seguridad de la Informacin aprobado
por la gerencia en FE.
Al no existir Polticas de Seguridad de la

Informacin formales, no es posible poder
analizar el cumplimiento de su revisin
peridica.
Fondo Esperanza no tiene asignado un rol

que cumpla las responsabilidades de
seguridad de informacin. Tampoco existe
un comit de seguridad.
Las actividades referente a la seguridad de

la informacin no son evaluadas ni
coordinadas frente a un comit o una
persona encargada de este rol.
0
Al no existir un rol encargado de la
seguridad de la informacin, no es posible
identificar las responsabilidades de los
encargados de esta.
No existe evidencia de un procedimiento

administrativo formalmente escrito para la
aprobacin de nuevos sistemas de
informacin. Se realiza a travs de un
Comit de Proyectos pero, el comit no
cuestiona el cmo se va a realizar, slo ve
los presupuestos.
En el contrato marco de Diseo y

Desarrollo de Software, se identifican
acuerdos de confidencialidad con los
proveedores. Tambin en otros contratos
con terceros estn presentes.
Existe un acuerdo de confidencialidad con
las socias y en el contrato que firman, ellas
autorizan a FE a entregar sus datos a
FOSIS.
En el Manual Interno, artculo 72, 73 y 74
se menciona acuerdo de confidencialidad
del trabajador con FE.
Existe evidencia que se mantiene

comunicacin con Bomberos, con otros
servicios pblicos no hay contacto en caso
de ser requeridos ante una emergencia.
Ante la falta de un Comit de Seguridad

resulta la falta de contacto o intercambio
de informacin con entidades o
asociaciones que traten temas de
seguridad de la informacin.
No existe un control y revisin de un

tercero ni tampoco de alguien de FE que
vele por un buen manejo de la seguridad
de la informacin.
No existe un proceso de gestin de riesgos

de los activos de la informacin.
El proceso de incorporacin de socia se

encuentra documentado en donde se
nombran los requerimientos y se verifica el
control de ingreso. Los procesos se
encuentran documentados, y en proceso
de actualizacin a excepcin del proceso
de desembolso, el cual se encuentra
plasmado en una presentacin.
La seguridad est dada por los proveedores

mediante un contrato. Existe una falsa
sensacin de seguridad, ya que los
proveedores tienen mejores estndares de
seguridad que FE.
No existe un proceso formal de inventario

de activos de informacin. Slo se lleva un
registro de los activos de hardware y de
software.
Existe un proyecto para levantamiento y
valorizacin de activos en funcin de la
importancia para FE.
Si bien es sabido quienes son los

responsables de los activos, este no se
encuentra documentado por lo tanto no
hay responsables.
En el Manual Interno de FE, se identifica un

lineamiento sobre el uso de algunos activos
como el correo electrnico. No existe
documentacin sobre el manejo de internet
ni tampoco sobre el uso de dispositivos
mviles.
No existe una clasificacin de la

informacin que indique cual es de uso
interno, pblico y confidencial.
No existe un diseo para la identificacin y

etiquetado (Labelling Approach) que
permita clasificar la informacin ya sea
impresa o en formato electrnico.
Si bien existen un perfil, indentificacin,

objetivos y requisitos del cargo para todos
los funcionario no se indica roles y
responsabilidad relacionadas con seguridad
de la informacin. Los roles para las
empresas de desarrollo se encuentran
definidos.
Se solicitan antecedentes financieros,

certificado de antecedentes, examen
psicolgico, certificado de ttulo, entre
otros. El proceso se encuentra en revisin
por parte del Encargado de
Compensaciones de FE.
Para terceros no tiene procedimientos
establecidos al respecto.
En el Artculo 68 del Reglamento Interno

(que es parte del contrato de trabajo) se
encuentran los trminos y condiciones de
empleo en cuanto a seguridad de la
informacin.
Los terceros que tienen acceso a la
informacin tambin tienen un acuerdo
confidencialidad a no divulgacin de
informacin.
En la revisin del contrato modelo de

trabajo, se menciona como parte del
contrato el Manual Interno, el cual en el
Artculo 68 dice "todo trabajador es
responsable de la seguridad de la
informacin que mantiene..."
En el contrato marco de proveedores en el
captulo dcimo tercero detalla el acuerdo
de confidencialidad de la informacin.
No hay lineamiento ni conciencia

organizacional sobre la seguridad. Se
realiza induccin la cual no contempla
charla sobre la proteccin de informacin
tampoco se realizan capacitaciones, la
mayora de los temas relacionados con la
seguridad de la informacin se conoce por
comunicaciones informales entre jefes y
compaeros de trabajo.
En el reglamento interno se hace mencin

sobre el proceso disciplinario al
incumplimiento de la seguridad de la
informacin (Artculo 73)
La Gerencia de Riesgo est trabajando en
categorizar los tipos de faltas.
En el reglamento interno (Art. 34) existe el

procedimiento para la devolucin de
materiales y de informacin, sin embargo
no existe contrato o finiquito que indique
que la confidencialidad tiene que seguir un
tiempo determinado (>= a 6 meses)
despus de terminado el trabajo.
Existe un directriz en el Manual Interno

sobre la devolucin de los activos de
informacin. Tambin existe un registro
que indica los activos asociados a cada
trabajador, sin embargo, no existe un
procedimiento ni evidencia de devolucin.
No existe un procedimiento que indique

esta actividad de se realiza. No se hace
retiro de las cuentas de correo y de sistema
inmediatamente, en casos excepcionales
se conservan an las cuentas pero, se
realiza un cambio de clave. Actualmente
se est trabajando en el Procedimiento de
Creacin y Desactivacin de Cuentas y
Claves.
No existe un procedimiento de control de

acceso que permita identificar la
trazabilidad de las personas que ingresan,
restriccin de acceso a alguna oficina de
acuerdo a nivel de seguridad.
No se observa controles de acceso
controlado como tarjetas de acercamiento,
biomtricos u otros.
Solamente existe un vigilante para control
de visitas en casa central.
No existe componentes de acceso

biomtrico para acceso a Data Center ni
ingreso por tarjeta a reas seguras en FE.
Slo existe un vigilante en casa central.
No existe componentes de acceso

biomtrico para acceso a Data Center ni a
oficinas de acuerdo a su nivel de
seguridad.
FE posee un plan de evacuacin y de

incendios para casa central y oficinas. Sin
embargo el Data Center no cuenta con
detectores de humo, no tiene sistema para
extincin de incendios, tampoco el DC
tiene CCTV, el sistema de aire
acondicionado y la UPS no tiene
redundancia y no posee grupo generador.
Slo poseen extintores y un plan de
evacuacin por parte del edificio en que se
encuentra ubicado el DC.
No existe una gua para la realizacin de

trabajos en zonas que requieren seguridad
(DC, rea de sistemas).
No existe rea de carga y descarga de

equipos o de material donde se revise su
contenido antes de ser introducido a FE.
No estn todos los equipos productivos

aislados, algunos equipos se encuentran en
DC y otros en casa matriz.
Ningn equipo tiene sistema de

redundancia y slo en DC, tienen UPS sin
redundancia y no cuenta con grupo
electrgeno.
No existe redundancia de enlaces. En DC

no cuenta con identificacin de los cables
(inventario de cables).
No existe un plan de mantenimiento para

los equipos productivos. En oficina central
tienen un plan que no est formalizado y
para las sucursales no tienen plan.
En el DC slo tienen un plan de
mantenimiento del aire acondicionado.
No existe seguros comprometidos para el

traslado de equipo entre dependencias de
FE, al DC y a casa.
Se revisan todos los equipos que van a

desecho o reutilizacin. Sin embargo no
est documentado el procedimiento para
esta actividad.
No existe un procedimiento para retiro e

ingreso de equipos de la organizacin.
Cuando hay retiro para desecho, existe un
documento formal.
Existen un conjunto de procedimientos

aprobados y publicados en la intranet,
otros se encuentran elaborados con estado
de revisin y otros no existen. No existen
Instrucciones relacionados con seguridad
de informacin.
No existe un documento de control de

cambios formalmente escrito. Los cambios
en algunas oportunidades se determinan
por correo o por minuta.
Existen algunos privilegios por cargo para

acceder a algunos activos, el cual no est
formalizado. Falta un manual de funciones
claras en trmino de responsabilidades de
seguridad de los activos de informacin
que permita resguardar la informacin
sensible.
Existe un ambiente de desarrollo en cada
equipo de desarrollador, un ambiente de
test y productivo que se encuentra en el
servidor del DC. Si esto se encuentra en el
mismo servidor no est en la misma
mquina.
En el contrato marco de Consultora,

Diseo, Desarrollos, Capacitaciones e
Implementacin de Aplicaciones y
Plataformas de Software y contempla en
varios artculos niveles de servicio.
Si bien se ha detectado que tienen claridad

de los servicios que estn prestando
terceros no existe evidencia que sean
monitoreados y auditados.
Se realiza un control informal ya que no

existe un procedimiento especfico para
Control de Cambios.
No existe el monitoreo de los recursos del

sistema. Adems el servidor no entrega
alertas de capacidad.
Para el desarrollo de MisFe si existe los

ambientes de prueba y produccin.
Actualmente tienen buenas prcticas,
dejan evidencias de aceptacincuando
pasa de un ambiente a otro. No se evalan
temas de seguridad ni de carga de
informacin, adems los criterios no se
encuentran formalizados.
No se han implementado controles en la

red, en las computadoras y tablet para
protegerse de cdigos maliciosos.
Utilizan SW AVG la versin hogar. No existe
un rol que est monitoreando la red ante
ataques.
En FE se encuentran bloqueados algunos
sitios.
No se evala si existe algn riesgo de

seguridad sobre cdigo transportable
(mvil), es decir, cualquier usuarios est
autorizado a instalar una aplicacin.
FE no cuenta con poltica de respaldo. Pero,

tienen buenas prcticas ya que Se realizan
respaldo de BBDD SQL diferencial y total, y
los fines de semana se lleva a cinta,
adems realizan una prueba diaria que se
realiz en conformidad el respaldo.
La red no se encuentra segmentada,

actualmente no pueden manejar la
saturacin de la red ni ver donde se
encuentra un punto cado.
Los firewalls son administrados por el HdC
y en casa central no tienen.
Se tiene identificado los dispositivos de red

y la seguridad en ellos, tanto interno como
con proveedores (envo de informe
mensual de disponibilidad de enlaces).
No existe procedimiento para la gestin y

eliminacin segura de medios removibles
(documentos, cintas, discos). No se lleva
un control de la informacin sensible y
confidencial que se ha eliminado. Se
identific una gerencia que tiene buenas
prcticas.
No existe procedimiento para la gestin y
eliminacin segura de medios removibles
(documentos, cintas, discos). No se lleva
un control de la informacin sensible y
confidencial que se ha eliminado. Se
identific una gerencia que tiene buenas
prcticas.
Existen directrices (en los procedimientos)

de almacenamiento de documentacin
fsica el cual es vulnerable.
Gran parte de la informacin se almacena
en formato electrnico y la mayor parte de
ella no cumple controles, ya que existe
mucha informacin en computadoras
personales de los usuarios que son
sensibles a la organizacin.
La informacin se encuentra segura en el

sistema, se realiza control por usuario y
password pero, no cuenta un log de
auditora que permita identificar a los
usuarios que han tenido acceso al sistema.
No existe una poltica de intercambio de

informacin.
A pesar que existe un control de los
usuarios que pueden acceder a la base de
datos, se pierde el control de cmo, dnde
y a quin la va a enviar.
Existe acuerdo por contrato con distintas

entidades para que no hagan mal uso de la
informacin. Sin embargo la informacin no
va encriptada, tampoco tiene etiquetado
de confidencial.
Cuando se transmite la informacin correo
electrnico debiera tener una leyenda
haciendo alusin a su grado de
sensibilidad.
No existe lineamientos de parte de la
gerencia sobre los medios de transportes
para la informacin importante. El
transporte y manejo de cintas lo administra
el HdC.
Existe respaldo diario de correo electrnico
(por medio de HdC), adems se utiliza
encriptacin para los accesos va web.
No aplica este control porque no hay

intercambio de informacin por sistema
entre FE y otros. En un futuro la
comunicacin ser con Servipag.
No aplica este control para los servicios

que ofrece FE.
No aplica este control porque no hay

intercambio de informacin por sistema
entre FE y otros. En un futuro la
comunicacin ser con Servipag.
La informacin publicada en los sistemas

de informacin pblica como la Web se
realiza por medio de GCOM y la autoriza la
gerente, pero no existe una autorizacin o
un procedimiento formal escrito.
Los contenidos que se publican en la
intranet se encuentran a cargo de GP y se
tiene claro quien autoriza y quien accede,
pero tampoco existe un procedimiento.
El sistema MisFe no tiene logs de auditora,

lo que no hace posible monitorear el
control de acceso.
Los servicios contratados a terceros como
Servipag poseen logs.
No se realiza monitoreo al sistema

(accesos, operaciones con privilegios,
intentos fallidos, alertas) y por lo tanto el
sistema no presenta anormalidades de este
tipo. Esto no permite evaluar su riesgo.
Existe un control slo por funcionalidades.

No existe una garanta que alguien no
modifique un registro maliciosamente, ya
que no hay logs de auditora.
Existe un acceso diferenciado el cual indica

el operador involucrado, pero no hay
bitcora de registros de eventos.
Existen registros de incidencias y se

encuentran categorizadas en el sistema
(Open Source).
Existe Domain Controller (por parte de

HdC) y todos los servidores de la red se
sincronizan va NTP.
No existe una poltica de control de acceso

(identificacin, perfil de acceso,
autorizacin, retiro de permisos, entre
otros)
No existe documentacin formal para

ninguno de los sistemas de informacin.
FE cuenta con un borrador del
procedimiento que se encuentra en estado
de revisin.
Existe una buena prctica cuando ingresa
un trabajador y estn claras las
actividades, pero no as cuando el
trabajador se retira.
Existe una falsa sensacin de uso de

privilegios, ya que el sistema permite
configurar por perfil y por persona, para el
primero se puede tener control y para el
segundo no.
Existe proceso claro para asignacin de

contrasea el cual no se encuentra
documentado.
El sistema no obliga al usuario a cambiar
la clave temporal y en oficinas se almacena
la clave en archivadores desprotegidos.
No se realiza revisiones peridicas que

permitan regularizar de los privilegios de
los usuarios.
No existe un adecuado uso de contraseas

va a depender mucho de la persona. Hay
contraseas que se comparten entre
usuarios y otras son fciles de adivinar
como la direccin de casa central de FE.
No existen polticas de pantalla ni bloqueo

de estaciones. Algunos usuarios tienen
buenas prcticas.
Hay equipos que no tienen clave para
ingreso a Windows.
En el Manual Interno se detalla la Poltica

de Lugares de Trabajo Limpios.
No existe una poltica sobre el uso de las

redes que permita delimitar el acceso de
acuerdo a las funciones. Sin embargo
tienen separacin de funciones a travs de
Active Directory.
No existen mtodos formales de

autenticacin, se utiliza una buena
prctica.
No se encuentra documentado que
personas tienen acceso a VPN.
No existen controles por MAC Address y

VLANs. Se puede conectar cualquier
dispositivo a la red sin la debida
configuracin.
No existe evidencia del control de puertos

en la red.
El proveedor (HdC) realiza la segmentacin

de la red.
No existe un control de lmite de sesiones

para conectarse a la red.
No se ha establecido controles de
enrutamiento para asegurar las
conexiones, slo en casa se encuentran
bloqueadas algunas redes.
No existe un procedimiento formal que

permita identificar y controlar los accesos
(auditora para identificar intentos fallidos,
usuarios intrusos, limitacin de tiempo
para acceder al SO)
Cada persona tiene su usuario y clave. No

existen usuarios genricos.
No existe gestin de contraseas. Un

usuario puede pasar toda su vida laboral
con la misma contrasea, el sistema no
obliga al cambio de esta y son fciles de
descubrir).
No se realiza control en el estndar de las

utilidades del sistema.
Utilizan Query de consulta y pueden
ejecutar varias al mismo tiempo
degradando el sistema.
No se realiza control ni bloqueo de las
estaciones de trabajo luego de un perodo
de inactividad.
No existe restriccin de tiempo de conexin

a las aplicaciones (restriccin para utilizar
los sistemas slo en horario laboral)
No existe una poltica de control de acceso

por lo cual no se puede identificar ni
distinguir los perfiles de los usuarios que
accesan al sistema.
Por ejemplo, a la base productiva se puede
llegar por acceso remoto y por pin.
Existen servidores en el DC, sin embargo

existen algunos en casa central sin
seguridad, adicionalmente no se observa
que existan evaluaciones cuando se
instalan en un servidor mas de una
aplicacin de las cuales una de ellas es
sensible.
No existe una poltica que proteja los

medios de comunicacin mvil.
Los notebook no tienen seguros
comprometidos, no se realiza respaldo con
regularidad, no se realizan capacitaciones
de concientizacin de seguridad de
informacin.
Se debe establecer un proceso formal de

autorizacin para definir que usuarios
pueden desarrollar actividades remotas
accediendo a las redes de datos de FE.
No existe declaracin de requerimientos,

no est presente la figura de seguridad por
lo cual no se realiza verificacin desde el
punto de vista de seguridad y proteccin
de la informacin.
Slo se valida presupuesto y prioridad.
Est presente en el desarrollo la validacin

de errores en el ingreso de datos.
Se realizan pruebas de validacin a nivel

de funcionalidad. No existe una
metodologa para el desarrollo de
validacin y falta documentar los
resultados de los chequeos.
El sistema MisFE entrega alertas

adecuadas a la operacin.
Se realizan controles y pruebas de datos de

salida, adems se deja evidencia de esto.
No existe una poltica de encriptacin en

FE.
FE no trabaja con encriptacin de claves,
tampoco se puede realiza una gestin de
estas. No hay poltica para el uso de
herramientas de encriptacin.

cambios, por lo tanto se realizan
instalaciones de cambio de versin sin
control.
No se realiza un adecuado control de los

datos que se llevan del sistema productivo
a test, los datos quedan en ambos
ambientes atentado contra la seguridad de
la informacin.

versiones que permita garantizar que los
cambios que se realizan al cdigo fuente
hacen de manera ordenada y segura.
No existe formalmente un procedimiento

de control de cambios.
No se controla la correcta funcionalidad

antes de realizar el cambio de SO. Han
ocurrido problemas con el cambio de
versin de Explorer.
No existe un proceso de gestin de cambio

para la actualizaciones de software.
No existe una poltica o control que

impidan la fuga de informacin propia y
sensible de FE. No se realiza un monitoreo
de los recursos de sistema.
En el contrato marco de Consultora,
Diseo, Desarrollos, Capacitaciones e
Implementacin de Aplicaciones y
Plataformas de Software, indica que FE es
dueo de cdigos y derechos de propiedad
intelectual.
No se evidencia que se realicen pruebas de

vulnerabilidad y de evaluacin de riesgo
sobre la plataforma tecnolgica.
No existe un procedimiento conocido por la

organizacin para el reporte de indicentes
de seguridad, en el reglamento interno slo
existe un lineamiento.
Existe un reporte informal (verbal), pero

est presente un procedimiento para
denunciar incidentes de seguridad.
No existe un procedimiento formal de

por lo tanto, no se encuentran
categorizados.
No existe un procedimiento formal de

por lo cual, no se puede establecer un
registro general que permita establecer
estadsticas de incidentes y aprender de
los incidentes ocurridos con anterioridad.
Se ha evidenciado que se realizado

denuncias de seguridad de informacin, las
que son asesoradas con abogado. Sin
embargo no existe un procedimiento formal
para realizar la denuncia.
No se encuentra formalmente establecido e

implementado un Plan de Continuidad del
Negocio (BCP) para FE, por lo tanto los
aspectos de disponibilidad y seguridad de
la informacin no estn siendo
contemplados. FE cuenta con un plan de
continuidad en Prevencin de Riesgo
solamente.
Se realiza evaluacin de riesgo a la

continuidad del negocio a nivel operativo
en un 50% aproximadamente el resto se
encuentra en carpeta y la prioridad ha sido
entregada por el directorio.
No hay plan de continuidad de negocio
BCP, este se encuentra en carpeta.

Negocio (BCP) para FE, se encuentra en
carpeta.

carpeta.

carpeta.
No existe un asesor externo que responda

a las necesidades y requerimientos legales
de FE. De todos modos, no se lleva un
registro de control de licencias de software
instalados, lo cual implica incumplimiento
de Ley 17336 de Propiedad Intelectual o
Ley 19223 sobre Delitos Informticos.
No existe un procedimiento regulatorio que

revise que slo se instalen software
autorizados y productos con licencias, lo
cual implica incumplimiento de Ley 17336
de Propiedad Intelectual o Ley 19223 sobre
Delitos Informticos.
Existe una buena prctica que no cumple a

cabalidad con el marco de la norma. Falta
un procedimiento formal que regule los
respaldos y custodia de la data de las
socias.
Existe una buena prctica de privacidad y

resguardo de la informacin del personal
de FE. Ya que mucha informacin que se
encuentra en archivadores (sistema de
almacenaje) sin respaldo, lo cual genera un
riesgo a la prdida de informacin ante un
incidente mayor.
Existe una mencin en el Manual Interno
vigente, aunque se detecta que la mayora
de los usuarios no son conscientes de la
aplicacin de esta poltica en su actividad
diaria.
No se hace mencin a la legislacin

aplicable como la Ley 19799 de Firma
Electrnica y Firma Digital donde se tratan
aspectos relacionados con certificados
digitales.
No existen polticas ni estndares de

seguridad, los gerentes realizan una
supervisin y toman acciones de sentido
comn.
No existen estndares. Por lo cual no se
realizan controles para asegurar que se
mantienen los estndares de seguridad
para las plataformas tecnolgicas y
sistemas de FE.
Existe y un cumplen con auditoras de

terceros, pero no existen auditoras a los
sistemas de informacin.
No existen auditoras a los sistemas de

informacin.
NO MODIFICAR ESTAS COLUMNAS!

2
2
11
8
1.5
0.5
0.5
0.5
5
3
0.5
0.5
9
3
0.5
0.5
0.5
0.5
13
6
0.5
0.5
0.5
0.5
29
4
1.5
0.5
0.5
0.5
0.5
0.5
0.5
0.5
1.5
0.5
0.5
0.5
25
1
1.5
0.5
0.5
0.5
0.5
0.5
0.5
0.5
16
1
3.5
0.5
5
2
0.5
0.5
5
5
0.5
0.5
10
6
0.5
0.5
STAS COLUMNAS!
0.00
0.00
0.00
2.50
0.19
1.50
0.33
0.5
0.1666666667
0.5
6
0.6666666667
0.6666666667
0.6666666667
1.5
0.0833333333
0.5
0.1428571429
9
0.375
1.5
0.3333333333
0.25
0.5
0.5
0.5
0.5
0.125
0.5
0.375
1.5
0.5
0.5
0.3333333333
6
0
0.375
1.5
0.3333333333
0.2857142857
0.1666666667
0.25
0.5
4.5
0
0.875
3.5
0.2
0.5
0
0.1666666667
0.5
0.5
0.1
0.5
1
0.1666666667
0%
23%
0.00
10%
67%
12%
31%
24%
28%
10%
10%
10%

Nivel de madurez por dominios de seguridad
Resultados por objetivos
5.1. Poltica de seguridad de la informacin

6.1. Organizacin Interna
6.2. Entidades externas
7.1. Responsabilidad de los activos
7.2. Clasificacin de la Informacin

8.1. Previo al empleo
8.2. Durante el empleo
8.3. Finalizacin o cambio de empleo

9.1. reas seguras
9.2. Seguridad de los equipos

10.1.
10.2.
10.3.
10.4.
10.5.
10.6.
10.7.
10.8.
10.9.
10.10.
Responsabilidad y procedimientos operacionales

Gestin de servicios por terceras partes
Planificacin y aceptacin del sistema
Proteccin contra cdigo mvil y malicioso
Back-up
Gestin de seguridad en la red
Gestin de soportes
Intercambio de informacin
Servicios de comercio electrnico
Monitoreo

11.1.
11.2.
11.3.
11.4.
11.5.
11.6.
11.7.
Requerimientos de negocio para el control del acceso

Gestin de accesos de usuarios
Responsabilidades de usuario
Control de acceso a redes
Control de acceso al sistema operativo
Control de acceso a la informacin y las aplicaciones
Informtica mvil y teletrabajo
12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMA

12.1. Requerimientos de seguridad de los sistemas de informacin
12.2.
12.3.
12.4.
12.5.
12.6.
Procesamiento correcto en las aplicaciones

Controles criptogrficos
Seguridad de los archivos del sistema
Seguridad en el desarrollo y soporte de procesos
Gestin de vulnerabilidades tcnicas

13.1. Informes de los eventos de seguridad de la informacin y vulnerabilidades
13.2. Gestin de incidentes y mejoras de seguridad de la informacin

14.1. Gestin de los aspectos de seguridad de la continuidad del negocio
15. CUMPLIMIENTO
15.1. Cumplimiento de los requerimientos legales
15.2. Cumplimiento de las polticas y estndares de seguridad y cumplimiento tcnico
15.3. Consideraciones de auditoria de sistemas de informacin
0.00%
0.00%
22.73%
18.75%
33.33%
10.00%
16.67%
0.00%
66.67%
66.67%
66.67%
66.67%
11.54%
8.33%
14.29%
31.03%
37.50%
33.33%
25.00%
0.00%
50.00%
50.00%
12.50%
37.50%
50.00%
33.33%
24.00%
0.00%
37.50%
33.33%
28.57%
16.67%
25.00%
0.00%
28.13%
0.00%
87.50%
0.00%
0.00%
20.00%
0.00%
10.00%
0.00%
16.67%
10.00%
10.00%
10.00%
16.67%
0.00%
0.00%

Nivel de madurez por dominios de seguridad
Nivel de cumplimiento por dominio- Anlisis de brechas respecto a los contro

Dominio
12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACI
15. CUMPLIMIENTO
Total
Nivel de madurez de la Institucin
Resultado
Escala
Descripcin
Nivel de cumplimiento por dominio- Anlisis de brechas respecto a los contro
FE- Gesti
Nivel
14. GESTIN DE CONTINUIDAD DEL NEGO
12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFO
de brechas respecto a los controles requeridos por el estndar

Resultado
RMACIN
RACIONES
O DE LOS SISTEMAS DE INFORMACIN

A INFORMACIN
0.00%
22.73%
10.00%
66.67%
11.54%
31.03%
24.00%
28.13%
10.00%
10.00%
10.00%
26%
26%
Repetible
Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta
diferentes personas. Pero no estn formalizados, ni hay comunicacin formal sobre los proce
conocimientos de cada persona.
de brechas respecto a los controles requeridos por el estndar
FE- Gestin de Seguridad de la Informacin

Nivel de cumplimiento por dominio
15. CUMPLIMIENTO
6. ORGANIZACIN DE
15. CUMPLIMIENTO
6. ORGANIZACIN DE
CIDENTES DE SEGURIDAD DE LA INFORMACIN
Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN
7. GEST
22.73%
10.00%
10.00%
10.00%
0.00%
10.00%
11.54%
28.13%
24.00%
31.03%
66.67%
8. SE
9. SEGURIDAD
11. 10.
CONTROL
GESTIN
DE ACCESO
DE LAS COMUNICACIONES Y LAS OPERACIONES
han desarrollado hasta el punto en que diferentes procedimientos son seguidos por
formal sobre los procedimientos desarrollados. Hay un alto grado de confianza en los
66.67%
NES Y LAS OPERACIONES

Cuestionario Análisis GAP ISO 27001

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cuestionario Análisis GAP ISO 27001

Cargado por

Copyright:

Formatos disponibles

Proyecto: FE Gestin de Seguridad de la Informacin

Cuestionario Anlisis de Brechas- Norma ISO 27001

La gerencia debe aprobar un documento de

5.1.2. Revisin de la poltica de

La poltica de seguridad de la informacin

6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

6.1.1. Compromiso de la gerencia con la

La gerencia debe apoyar activamente la

Las actividades de seguridad de la

6.1.3. Definicin de las

Se deben definir claramente las

6.1.4. Procesos de autorizacin para el

Se debe definir e implementar un proceso

6.1.5. Acuerdos de confidencialidad

Se deben identificar y revisar regularmente

6.1.6. Contacto con autoridades

Se debe mantener contactos apropiados con

6.1.7. Contacto con grupos de inters

Se deben mantener contactos apropiados

6.1.8. Revisin Independiente de la

El enfoque de la organizacin para manejar

6.2. Entidades externas

Se deben identificar los riesgos que corre la

6.2.2. Enfoque de la seguridad al

Se deben tratar todos los requerimientos de

6.2.3. Enfoque de la seguridad en

Los acuerdos que involucran acceso,

7.1.1. Inventario de activos

Todos los activos deben estar claramente

7.1.2. Propiedad de activos

Toda la informacin y los activos asociados

7.1.3. Uso adecuado de activos

Se deben identificar, documentar e

7.2. Clasificacin de la Informacin

7.2.1. Gua para la clasificacin

La informacin debe ser clasificada en

7.2.2. Identificacin y manejo de la

Se debe desarrollar e implementar un

8. SEGURIDAD DE LOS RECURSOS HUMANOS

8.1.1. Funciones y Roles de seguridad

Se deben definir y documentar los roles y

8.1.2. Seleccin y verificacin de

Se deben llevar a cabo chequeos de

Como parte de su obligacin contractual; los

8.2. Durante el empleo

8.2.1. Responsabilidades de la gerencia

La gerencia debe requerir que los

8.2.2. Concientizacin, educacin y

Todos los empleados de la organizacin y,

8.2.3. Proceso disciplinario

Debe existir un proceso disciplinario formal

8.3. Finalizacin o cambio de empleo

8.3.1. Finalizacin de responsabilidades

Se deben definir y asignar claramente las

8.3.2. Devolucin de activos

Todos los empleados, contratistas y terceros

8.3.3. Retiro de los permisos de acceso

Los derechos de acceso de todos los

9. SEGURIDAD FSICA Y AMBIENTAL

9.1.1. Controles de seguridad fsica

Se debe utilizar permetros de seguridad

9.1.2. Controles fsicos de entrada

Se deben proteger las reas seguras

9.1.3. Seguridad en oficinas, cuartos y