SEGURIDAD DE LA INFORMACIÓN

/ CIBERSEGURIDAD

Soluciones Integrales y Efectivas

2018
Punto 3
OBLIGACIONES GENERALES EN MATERIA DE CIBERSEGURIDAD

Políticas definidas, aprobadas, implementadas y socializadas

OBLIGACIONES GENERALES EN MATERIA DE

SE DEBE VERIFICAR REQUERIMIENTOS Y

Definir unidad de seguridad con indicadores y modelo operativo

CUMPLIMIENTO DE TERCEROS
Estrategia interna y externa del perímetro.
CIBERSEGURIDAD
PUNTO 3

Contar con un sistema de gestión soportado sobre ISO 27032, NIST, COBIT o CIS

Dependencia e interacción con Comité y Junta Directiva.

Presupuesto independiente de TI y Operaciones
Socializar incidentes de seguridad que afecten la confidencialidad o integridad de la
información de los clientes y las acciones tomadas

Garantizar que los productos o servicios digitales o innovadores cumplen con requisitos
de ciberseguridad

Cultura de seguridad de la información y ciberseguridad

2
Punto 4
PREVENCIÓN

Implementar el principio del mínimo privilegio

SE DEBE VERIFICAR REQUERIMIENTOS Y

CUMPLIMIENTO DE TERCEROS
Complementar estrategia con la protección de la información
PREVENCIÓN

Contar con un BCP / DRP

PUNTO 4

Adoptar una estrategia de defensa activa e inteligencia colectiva

COLABORACIÓN

Instrumentar pruebas de resiliencia y afinar los equipos púrpura

Implementar monitoreo
SIEM (alertas y análisis de información)

INVOLUCRAR AL ECOSISTEMA Y A LOS CLIENTES EN LA ESTRATEGIA

3
Punto 4
PROTECCIÓN Y DETECCIÓN

Estructurar monitoreo continuo

SE DEBE VERIFICAR REQUERIMIENTOS Y

CUMPLIMIENTO DE TERCEROS
Determinar un inventario de activos de información críticos
PROTECCIÓN Y DETECCIÓN

Definir proceso de gestión de vulnerabilidades

PUNTO 4

Identificar y Remediar

Definir casos de uso de monitoreo

Definir líneas bases de seguridad

Verificar cambios en las líneas base de componentes críticos

INVOLUCRAR AL ECOSISTEMA Y A LOS CLIENTES EN LA ESTRATEGIA

4
Punto 4
RESPUESTA Y COMUNICACIÓN

Implementar proceso de respuesta a incidentes

SE DEBE VERIFICAR REQUERIMIENTOS Y

RESPUESTA Y COMUNICACIÓN

CUMPLIMIENTO DE TERCEROS
Determinar protocolo de comunicación a los clientes y autoridades COLCERT
PUNTO 4

Determinar mecanismos de recuperación o mitigación de incidentes

Preservar evidencia digital del ataque para estudio y proceso jurídico si es necesario

INVOLUCRAR A LA AUTORIDAD Y A LOS CLIENTES

5
Punto 4
RECUPERACIÓN Y APRENDIZAJE

SE DEBE VERIFICAR REQUERIMIENTOS Y

Ajustar sistema de gestión de riesgos y controles acorde a la experiencia y aprendizaje
RECUPERACIÓN Y APRENDIZAJE

CUMPLIMIENTO DE TERCEROS
PUNTO 4

Socializar las lecciones aprendidas

Entrenar al área técnica en la vocería de un incidente y la organización en la

confidencialidad de la información no oficial

6
 Fechas de cumplimiento

6 MESES 12 MESES 18 MESES

Numeral 3.10 - 4.1 – 4.2 –

Numeral 3 4.3 – 4.4
Excepto

Excepto
3.10
Incluir en los contratos con terceros la
implementación de buenas prácticas de
seguridad de la información y
ciberseguridad.
3.2.8.
Evaluar la pertinencia de contratar un
SOC.
4.1.6
Considerar dentro del plan de
continuidad de negocio la respuesta,
recuperación, reanudación de la COMPLETA
operación en contingencia ante la
materialización de un ataque
cibernético
4.1.7.
Pruebas de continuidad de negocio que
simulen la materialización de ataques
cibernéticos

7
SEGURIDAD DE LA INFORMACIÓN /
CIBERSEGURIDAD

Soluciones Integrales y
Efectivas

WWW.BSEC.NET
8 .CO