Empresa: Gammapeit SA

Objetivos de
Dominios
Control Orientación Descripción Propuesta de mejora
1 Política de Seguridad
Política de Seguridad de la Información
5
1 Debe Documento de la política de seguridad de la información
Debe Revisión de la política de seguridad de la información Realizar comité de supervisión mensual
2 Estructura organizativa para la seguridad
Organización Interna
Debe Comité de la dirección sobre seguridad de la información
Debe Coordinación de la seguridad de la información
Debe Asignación de responsabilidades para la de seguridad de la información
1 Debe Proceso de autorización para instalaciones de procesamiento de información
Debe Acuerdos de confidencialidad
6
Puede Contacto con autoridades Dependiendo del cliente, solicitar contacto adicional.
Puede Contacto con grupos de interés Presencia en el mercado competitivo.
Puede Revisión independiente de la seguridad de la información
Terceras partes
Debe Identificación de riesgos por el acceso de terceras partes Control y evaluación en matrices de riesgos.
2
Debe Temas de seguridad a tratar con clientes Fortalecer políticas de seguridad.
Debe Temas de seguridad en acuerdos con terceras partes
Objetivos de
Dominios Orientación Descripción
Control
2 Clasificación y control de activos
Responsabilidad sobre los activos
Debe Inventario de activos Inventario mensual.
1
Debe Propietario de activos
7
Debe Uso aceptable de los activos
Clasificación de la información
2 Debe Guías de clasificación
Debe Etiquetado y manejo de la información Seguir políticas definidas de operación.
3 Seguridad en el personal
Antes del empleo
Debe Roles y responsabilidades Definir alcance.
1
Debe Verificación
Debe Términos y condiciones de empleo
Durante el empleo
8 Debe Responsabilidades de la gerencia
2
Debe Educación y formación en seguridad de la información Curva de aprendizaje y certicación.
Debe Procesos disciplinarios Todo empleado se rige a las políticas disciplinarias de la empresa.
Terminación o cambio del empleo
Debe Responsabilidades en la terminación
3
Debe Devolución de activos
Debe Eliminación de privilegios de acceso Actualización de roles de operación.
Objetivos de
Dominios Orientación Descripción
Control
2 Seguridad fisica y del entorno
Áreas Seguras
Debe Perímetro de seguridad física Apoyarse en recursos tecnolígicos como cámaras
Debe Controles de acceso físico
1 Debe Seguridad de oficinas, recintos e instalaciones
Debe Protección contra amenazas externas y ambientales Construir plan de emergencia.
Debe Trabajo de áreas seguras Asegurar un ópyimo ambiente laboral.
Puede Áreas de carga, entrega y áreas públicas
9
Seguridad de los Equipos
Debe Ubicación y protección del equipo
Debe Herramientas de soporte
Debe Seguridad del cableado
2
Debe Mantenimiento de equipos Solicitar respaldo certificado de terceros.
Debe Seguridad del equipamiento fuera de las instalaciones
Debe Seguridad en la reutilización o eliminación de equipos Realizar actas de activos.
Debe Movimientos de equipos Validar con el área encargada el movimiento de activos.
Objetivos de
Dominios Orientación Descripción
Control
10 Gestión de comunicaciones y operaciones
Procedimientos operacionales y responsabilidades
Debe Procedimientos de operación documentados Documentar completamente para auditorías
1 Debe Control de cambios
Debe Separación de funciones
Debe Separación de las instalaciones de desarrollo y producción
Administración de servicios de terceras partes
Puede Entrega de servicios
2
Puede Monitoreo y revisión de servicios de terceros
Puede Manejo de cambios a servicios de terceros
Planificación y aceptación del sistema
3 Debe Planificación de la capacidad
Debe Aceptación del sistema
Protección contra software malicioso y móvil
4 Debe Controles contra software malicioso Supervisar y evaluar riesgos de seguridad.
Debe Controles contra código móvil
Copias de seguridad Es necesario contar con dichas copias, por lo tanto se contratará servicio de un
5
Debe Información de copias de seguridad tercero.

10
 Administración de la seguridad en redes
6 Debe Controles de redes
Debe Seguridad de los servicios de red
10 Manejo de medios de soporte
Debe Administración de los medios de computación removibles
7 Debe Eliminación de medios
Debe Procedimientos para el manejo de la información
Debe Seguridad de la documentación del sistema
Intercambio de información
Debe Políticas y procedimientos para el intercambio de información
Puede Acuerdos de intercambio
8
Puede Medios físicos en transito
Puede Mensajes electrónicos
Puede Sistemas de información del negocio
Servicios de comercio electronico
Puede Comercio electronico na
9
Puede Transacciones en línea na
Puede Información públicamente disponible
Monitoreo y supervisión
Debe Logs de auditoria
Debe Monitoreo de uso de sistema Solicitar asistencia de proveedor para realizar supervisión.
10 Debe Protección de los logs
Debe Registro de actividades de administrador y operador del sistema
Debe Fallas de login
Puede Sincronización del reloj
Objetivos de
Dominios Orientación Descripción
Control
7 Control de accesos
Requisitos de negocio para el control de acceso
1
Debe Política de control de accesos
Administración de acceso de usuarios
Debe Registro de usuarios
2 Debe Administración de privilegios Como partner gold de Oracle, se manejan administradores como OIM(oracle
Debe Administración de contraseñas identity management) y OAM (Oracle Access Management)

Debe Revisión de los derechos de acceso de usuario

Responsabilidades de los usuarios
Debe Uso de contraseñas
3
Puede Equipos de cómputo de usuario desatendidos
Puede Política de escritorios y pantallas limpias
Control de acceso a redes
Debe Política de uso de los servicios de red
Puede Autenticación de usuarios para conexiones externas
Puede Identificación de equipos en la red
4
11 Debe Administración remota y protección de puertos
Puede Segmentación de redes
Debe Control de conexión a las redes
Debe Control de enrutamiento en la red
Control de acceso al sistema operativo
Debe Procedimientos seguros de Log-on en el sistema
Debe Identificación y autenticación de los usuarios Apoyo del asistente Oracle oim
5 Debe Sistema de administración de contraseñas
Puede Uso de utilidades de sistema
Debe Inactividad de la sesión Trabajar dentro del horario laboral establecido.
Puede Limitación del tiempo de conexión
Control de acceso a las aplicaciones y la información
6 Puede Restricción del acceso a la información Según rol, definir el acceso de información.
Puede Aislamiento de sistemas sensibles
Ordenadores portátiles y teletrabajo
7 Puede Ordenadores portátiles y comunicaciones moviles
Puede Teletrabajo
Objetivos de
Dominios Orientación Descripción
Control
6 Desarrollo y mantenimiento de sistemas
Requerimientos de seguridad de sistemas de información
1
Debe Análisis y especificaciones de los requerimientos de seguridad
Procesamiento adecuado en aplicaciones
Debe Validación de los datos de entrada
2 Puede Controles de procesamiento interno Existe un ambiente de producción y pruebas. Se debe validar toda aplicación y
Puede Integridad de mensajes verificar cumplimiento al cliente

Puede Validación de los datos de salida

Controles criptográficos
3 Puede Política de utilización de controles criptográficos na
Puede Administración de llaves
12 Seguridad de los archivos del sistema
Debe Control del software operacional
4
Puede Protección de los datos de prueba del sistema
Debe Control de acceso al código fuente de las aplicaciones
Seguridad en los procesos de desarrollo y soporte
Debe Procedimientos de control de cambios
Debe Revisión técnica de los cambios en el sistema operativo Según contrato laboral, todo proceso de desarrollo y soporte, pertenecen a
5
Puede Restricciones en los cambio a los paquetes de software empresa. Si existe incumplimiento alguno, es posible enfrentar medidas
Debe legales.
Fugas de información
 5 Según contrato laboral, todo proceso de desarrollo y soporte, pertenecen a
empresa. Si existe incumplimiento alguno, es posible enfrentar medidas
legales.

Debe Desarrollo externo de software

Gestión de vulnerabilidades técnicas
6
Debe Control de vulnerabilidades técnicas
Objetivos de
Dominios Orientación Descripción
Control
2 Gestión de incidentes de la seguridad de la información
Notificando eventos de seguridad de la información y debilidades
1 Debe Reportando eventos de seguridad de la información
Puede Reportando debilidades de seguridad Pruebas constantes de seguridad
13
Gestión de incidentes y mejoramiento de la seguridad de la información
Debe Procedimientos y responsabilidades
2
Puede Lecciones aprendidas
Debe Recolección de evidencia
1 Gestión de la continuidad del negocio
Aspectos de seguridad
Inclusiónde
delaseguridad
información
de la en la gestión
información ende continuidad
el proceso del negocio
de gestión de la continuidad del
Debe negocio
14 Debe Continuidad
1 Desarrollo e del negocio y análisis
implementación del riesgo
de planes de continuidad incluyendo seguridad de la
Posicionar la empresa como referente en la gestión de seguridad a nivel local y
Debe información
nacional y proyectar crecimiento en su portafolio de clientes.
Debe Marco para la planeación de la continuidad del negocio
Debe Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio
Objetivos de
Dominios Orientación Descripción
Control
3 Cumplimiento
Cumplimiento con los requisitos legales
Debe Identificación de la legislación aplicable
Debe Derechos de propiedad intelectual (dpi) Obtener certificacion ISO y alinear las políticas empresariales con los
1 Debe Protección de los registros de la organización requerimientos de la norma.

Debe Protección de datos y privacidad de la información personal

Debe Prevención del uso inadecuado de los recursos de procesamiento de información
15
Debe Regulación de controles para el uso de criptografía
Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico
2 Debe Cumplimiento con las políticas y procedimientos
Promover cultura de seguridad para apoyar el cumplimiento en auditorías.
Debe Verificación de la cumplimiento técnico
Consideraciones de la auditoria de sistemas de información
3 Debe Controles de auditoria a los sistemas de información
Debe Protección de las herramientas de auditoria de sistemas