Está en la página 1de 18

APA

SEGURIDAD INFORMATICA SI NO NP
Está nombrado y capacitado el responsable de Seguridad
170 Informática (D.L. 199/99, la Res. 1/00 y la, Resolución 127/07 del x
MIC)
Comprobado el cumplimiento del Plan de Seguridad Informática, el
cual contiene entre otros aspectos, procedimientos para:
a)     Protección contra virus y otros programas dañinos.
b)     Obtención de copias de resguardo.
c)      Verificación periódica de la seguridad de la red, para detectar
posibles vulnerabilidades.
d)     Eliminar la adición de algún equipo o la introducción de cualquier
tipo de software en una red, sin la autorización de la dirección de la
entidad.
171 e)     Asegurar la integridad, confidencialidad y oportunidad de la X
información, de acuerdo a los servicios que se reciben y se ofertan.

f)       Garantizar que tanto para la asignación o para el retiro de los


identificadores de usuarios en los sistemas, el jefe inmediato del
usuario, notifica la solicitud de otorgamiento o retiro de permisos de
acceso a quienes corresponda, definiendo los derechos y privilegios,
y dejando la evidencia documental.
g)     Salvar y analizar las trazas de los diferentes servicios,
especificando quién la realiza y con qué frecuencia y permitiendo
que sean auditables.
Se realizan inspecciones sorpresivas para detectar entre otros
aspectos:
a)    Las extracciones o préstamos no autorizados de bienes X
177
informáticos.
b)    El control y uso inadecuado de los servicios informáticos y
telefónicos.
Al producirse un incidente o violación, se reporta la información
oportunamente a la Oficina de Seguridad para las Redes X
178
Informáticas (OSRI) y a la instancia superior de la entidad, de
acuerdo con la importancia de la misma.
CONTROL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS
COMUNICACIONES
Se analizan las causas de compras de sistemas que no estén siendo
179 X
explotados en la entidad.
Está diseñado un sistema de ciberseguridad a partir de un análisis X
180
de riesgos.
Existe el Plan de Seguridad Informática y Contingencias como X
181
expresión gráfica del sistema diseñado
182 El Plan de Seguridad Informática y Contingencias está actualizado X
El Plan de Seguridad Informática y Contingencias está certificado
183 por alguna entidad externa. (en caso de ser positiva la respuesta, X
especifique la entidad que certifica en el campo Observaciones.

Se ha realizado alguna vez el aval de prueba de seguridad por una


entidad autorizada. (en caso de ser positiva la respuesta, especifique
184 X
la entidad que certifica y la fecha más actual en que se haya
realizado en el campo Observaciones.)
Están definidas las atribuciones y funciones de los especialistas de
185 X
ciberseguridad.
Se cumplen las obligaciones previstas para los jefes a diferentes
186 X
instancias.
En el Plan de Seguridad Informática y Contingencias se precisan las
187 X
responsabilidades de los jefes en las diferentes instancias.
El responsable de la actividad informática cumple las obligaciones
188 X
establecidas.
Los usuarios acceden a los bienes informáticos con autorización
189 expresa del jefe facultado, así como hacen uso adecuado de los X
servicios.
190 Los usuarios utilizan las TIC en interés de la entidad. X
191 Están identificadas las infraestructuras críticas de TIC. X
Las infraestructuras críticas de TIC están informadas al Ministerio de
192 Comunicaciones, según procedimiento establecido para el proceso X
de identificación.
Cuenta con aval de prueba de seguridad por una entidad autorizada,
cada vez que se realizan modificaciones y actualizaciones
193 X
significativas, o se conozcan y detecten vulnerabilidades que afecten
si infraestructura tecnológica.
Se configuran con criterios de seguridad los servicios telemáticos,
194 softwares, aplicaciones, servidores y equipos de la infraestructura de X
la red.
Se revisan y corrigen las opciones vulnerables de las X
195
configuraciones por defecto.
Se eliminan o inhabilitan los servicios, protocolos y cuentas
196 innecesarias para las funciones que realiza y la infraestructura en X
que trabaja el servicio, aplicación, equipo o servidor.
Se utilizan vías y protocolos seguros para la gestión y la X
197
administración.
Están implementados los mecanismos de redundancia para los
198 servicios, aplicaciones y plataformas que componen las X
infraestructuras.
Están implementados mecanismos de protección criptográfica
199 X
autorizados en las infraestructuras.
Todos los servicios, equipamiento, aplicaciones y plataformas de las
200 infraestructuras cuentan con protección reforzada contra códigos X
malignos.
Está implementado el mecanismo para la actualización periódica del
201 antivirus, en correspondencia con los niveles de seguridad X
específicos de las infraestructuras.

Está implementada la estructura del órgano de dirección para la


informatización y la ciberseguridad. (en caso de ser positiva la
respuesta, diga nivel de subordinación en el campo Observaciones.
209 En caso contrario, explique las causas principales). Anexar a las X
respuestas un documento que refleje los cargos de la especialidad,
especificando en cada caso si está vinculado a la administración de
redes y a la ciberseguridad.

210 Existe una unidad organizativa que preste servicios de TIC. X


Existen servicios, aplicaciones o plataformas con dependencia de
proveedores extranjeros. (en caso de ser positiva la respuesta,
enumérelas en el campo Observaciones). Anexar a las respuestas
211 X
un documento que refleje los servicios, aplicaciones y plataformas
hospedadas en el extranjero, definiendo en cada caso país y
proveedor.
Los proveedores extranjeros se conectan de forma remota a la
infraestructura de la entidad. (en caso de ser positiva la respuesta
212 explique, en el campo Observaciones, para qué lo hacen y el X
método habilitado a esos efectos por la administración de la
infraestructura).
Alguno de los servicios, aplicaciones o plataformas con dependencia
de proveedores extranjeros pueden sustituirse por soluciones
213 cubanas. (en caso de ser positiva la respuesta, diga cuáles en el X
campo Observaciones. En caso contrario, explique las causas
principales).
Los servicios, aplicaciones y plataformas con dependencias del
extranjero están compatibilizadas con los ministerios de las Fuerzas
214 X
Armadas Revolucionarias, del Interior y de Comunicaciones, en
correspondencia con la legislación vigente.
Están disponibles los eventos de auditoria (base de datos, servidor
web, aplicación, entre otros) correspondientes a los servicios,
215 X
aplicaciones y plataformas hospedadas en infraestructuras
extranjeras.
Están implementados los procedimientos para la actuación ante
eventos o incidentes que afecten la disponibilidad/vitalidad de los
216 servicios, aplicaciones y plataformas hospedadas en infraestructuras X
extranjeras, así como para la recuperación y continuidad de los
mismos.
Los bienes informáticos están identificados y controlados hasta el X
217
nivel de componentes.
Los bienes informáticos están bajo la custodia documentada de X
218
personas que responden por su protección.
Existen procedimientos para el control y autorización del movimiento X
219
de los bienes informáticos.
Se garantiza la idoneidad integral de los administradores y
220 supervisores de seguridad de las redes informáticas, siendo estos X
cargos aprobados en las Comisiones Superiores de Cuadros.

Se desarrolla la capacitación técnica del personal especializado


(administradores, supervisores y especialistas de redes y sistemas),
así como la preparación de los directivos y usuarios en los riesgos,
221 X
procedimientos y medidas de ciberseguridad para el acceso,
procesamiento, almacenamiento y transmisión de la información
oficial.
Se documentan los cambios de parámetros de los controles técnicos
de ciberseguridad, cuando un personal especializado cesa sus
222 X
funciones de protector de la ciberseguridad y/o abandona la entidad
a que pertenece.

Las funciones y responsabilidades de seguridad del personal están X


223
documentadas e incluidas en sus responsabilidades laborales.

El personal con acceso a sistemas críticos, información de valor o


224 supervisión y seguridad de los sistemas se selecciona X
adecuadamente.
El contrato de empleo incluye las obligaciones de la entidad de
225 preparar al contratado en ciberseguridad, así como la X
responsabilidad de éste.
La dirección de la entidad aprueba el empleo de las TIC y sus X
226
servicios por parte de los usuarios.
La dirección de la entidad supervisa y controla el empleo de las TIC X
227
y sus servicios.
Existen mecanismos para detectar el uso no autorizado de las TIC y
228 sus servicios asociados. (en caso de ser positiva la respuesta, diga X
cuáles en el campo Observaciones.)
Los usuarios tienen la preparación y los conocimientos de
229 X
ciberseguridad imprescindibles para su trabajo.

Existe constancia firmada por el personal de que está capacitado y X


230
conoce sus deberes y derechos en relación con la ciberseguridad.

El acceso a las Tecnologías de la Información y la Comunicación


231 (TIC) por personal ajeno se autoriza y controla por la dirección de la X
entidad.
Existen mecanismos y procedimientos para detectar e impedir que
se realicen ciberataques o acciones de comprobación de
232 vulnerabilidades contra sistemas informáticos nacionales o X
extranjeros. (en caso de ser positiva la respuesta, diga cuáles en el
campo Observaciones.)
Existen mecanismos de control para evitar la introducción, ejecución,
distribución o conservación en los dispositivos de la entidad de
233 programas para comprobar, monitorear o transgredir la seguridad. X
(en caso de ser positiva la respuesta, diga cuáles en el campo
Observaciones.)
Se expone para su libre acceso mediante las TIC, información
234 inadecuada o programas para comprobar, monitorear o transgredir la X
seguridad.

Se aplican medidas de protección física a las TIC que, por las


funciones, la información que contengan y las condiciones de los X
235
locales en que se encuentren ubicadas, así lo requieran. (en caso de
ser positiva la respuesta, diga cuáles en el campo Observaciones)

Las TIC están protegidas razonablemente ante posibles acciones


236 malintencionadas o delictivas. (en caso de ser positiva la respuesta, X
explique de qué forma en el campo Observaciones)

Están determinadas las áreas o zonas controladas, con


237 requerimientos específicos en correspondencia con la importancia X
de los bienes informáticos a proteger.
Las áreas o zonas controladas están protegidas con medidas
adecuadas para garantizar el acceso exclusivamente al personal X
238
autorizado. (en caso de ser positiva la respuesta, explique de qué
forma en el campo Observaciones).
Las TIC ubicadas en áreas o zonas controladas cuentan con
medidas ante la posibilidad de desastres naturales o artificiales. (en X
239
caso de ser positiva la respuesta, diga cuáles en el campo
Observaciones)
El equipamiento en las áreas o zonas controladas está protegido X
240
contra fallas de alimentación.
241 Se encuentra establecido el plan de protección eléctrica integral. X
Se cumplen las medidas de seguridad previstas para las áreas X
242
según su clasificación.
Existen procedimientos para el uso de los medios informáticos fuera X
243
de la entidad.

Se garantiza la seguridad del empleo de las TIC fuera de la entidad,


244 siempre que es necesario. (en caso de ser positiva la respuesta, X
explique de qué forma en el campo Observaciones)

El traslado de medios informáticos se autoriza de forma expresa, con X


246
su registro documental en cada caso.
Al determinar las responsabilidades ¿se tiene en cuenta el principio
247 de separación de funciones (tareas que no debe realizar una misma X
persona).
La introducción de nuevos sistemas informáticos, actualizaciones y
248 versiones es aprobada previamente en correspondencia con el X
sistema de seguridad.

Los recursos (carpetas, ficheros) se comparten en la red de forma X


249
eventual y solo para los usuarios específicos de la información.

Existen recursos (carpetas, ficheros) compartidos en la red de forma X


250
permanente y sin control de acceso.
Los accesos a los sistemas en funcionamiento y sus datos se X
251
realizan por personal debidamente identificado y autorizado.
Existe una política técnica para las credenciales de acceso a los
252 servicios, aplicaciones, plataformas informáticas y servicios de X
internet.
Los usuarios utilizan identificadores únicos para acceder a los X
253
servicios y aplicaciones.
Se cumple lo establecido para la asignación y cancelación de X
254
identificadores de usuarios.
Las credenciales de acceso tienen una adecuada estructura y
255 fortaleza, así como la frecuencia de cambio se corresponde con el X
riesgo estimado para los activos que protegen?

Las credenciales de acceso se almacenan encriptadas en las bases


256 de datos. (en caso de ser positiva la respuesta, explique el método X
criptográfico empleado en el campo Observaciones)

Están implementados los procedimientos para otorgar y suspender X


257
derechos/privilegios de acceso a los usuarios.
Se controlan que las cuentas de administración solo se utilicen para
las acciones que la requieran, por el personal designado para ello y
258 no se empleen para tareas administrativas como el acceso a X
correos, navegación, entre otras operaciones habituales de
procesamiento de información.

Está instalado el antivirus nacional autorizado. (en caso de ser


259 negativa la respuesta diga, en el campo Observaciones, qué X
solución antivirus tiene desplegada y las razones de su utilización).

260 El antivirus instalado cuenta con la correspondiente licencia de uso X

261 El antivirus instalado está debidamente actualizado X


Se implementan medidas para evitar la producción, distribución o
262 intercambio de códigos malignos. (en caso de ser positiva la X
respuesta diga cuáles en el campo Observaciones).

La contaminación por virus informáticos u otros programas malignos


263 se considera como incidente de ciberseguridad y se gestiona de X
acuerdo con el procedimiento establecido para este tipo de evento.

Cuentan con equipos de cómputo dedicados a realizar tareas de


administración y los mismos cuentan con la protección adecuada. X
264
(en caso de ser negativa la respuesta diga cómo realiza las tareas
de administración en el campo Observaciones).

Está implementado un sistema de respaldo de la información que X


265
posibilita la recuperación ante un ciberataque, desastres o fallas.

La información de respaldo se almacena en una ubicación distinta de X


266
la principal.
Se realizan pruebas periódicas a los medios de respaldo para X
267
verificar su estado de actualización e integridad.
Se encuentra contratado el servicio centro de datos o nodos de
procesamiento. (en caso de ser positiva la respuesta mencione los
268 X
elementos asociados a su capacidad tecnológica y el proveedor en
el campo Observaciones).
Cuenta con un centro de datos o nodo de procesamiento propio de
la entidad. (en caso de ser positiva la respuesta mencione los X
269
elementos asociados a su capacidad tecnológica en el campo
Observaciones).

Existe separación física entre la red corporativa y los servicios de


acceso a Internet. (en caso de ser negativa la respuesta explicar X
270
cómo se trata el procesamiento de información clasificada y/o
limitada por la red en el campo Observaciones).

Tanto para los que se encuentran de cara a internet o para el


funcionamiento interno de la entidad ¿están implementados los
271 mecanismos de seguridad para proteger los servicios, aplicaciones y X
plataformas, de accesos y eventos no autorizados. (en caso de ser
positiva la respuesta, diga cuáles en el campo Observaciones)

Se garantizan las condiciones y los elementos para el monitoreo y


auditoria, incluyendo los registros de las asignaciones de direcciones
272 IP (de IP privada a IP pública) empleadas en los accesos a Internet, X
por un tiempo no menor de un año, en correspondencia con la
legislación vigente.
Se configuran con seguridad las redes inalámbricas autorizadas,
273 garantizando el control de acceso y la protección de la información X
oficial.
Se asignan y controlan de manera centralizada las direcciones IP e X
274
implementa el anclaje de las direcciones físicas (MAC).
Se logran minimizar los recursos compartidos en las redes y, en
275 caso de utilizarse, se aplican las medidas de seguridad necesaria, X
en particular los permisos de acceso.
Se garantiza la sincronización (fecha y hora) de los equipos y
276 sistemas en las redes, de modo que se logre el correcto registro del X
tiempo en las trazas y otros eventos.
Se habilitan las opciones de los sistemas operativos para garantizar X
277
que acceda únicamente el personal autorizado.

Se monitorean los servicios, aplicaciones y plataformas soportadas


en las redes informáticas para detectar irregularidades o violaciones X
278
en su utilización. (en caso de ser positiva la respuesta, explique el
mecanismo empleado en el campo Observaciones)

La arquitectura, configuración de la red informática y la


279 implementación de los servicios están en correspondencia con la X
legislación vigente.
Existen técnicos y especialistas designados para la administración X
280
de la red.
Se personalizan y analizan sistemáticamente las trazas que
proporcionan los sistemas operativos para detectar posibles accesos
281 no autorizados o comportamientos anómalos. X
(en caso de ser positiva la respuesta, diga la periodicidad con que se
chequean las trazas en el campo Observaciones)

Se han aplicado los parches de seguridad requeridos por las


aplicaciones de uso en la entidad. (Anexar a las respuestas un X
282
documento que contenga las aplicaciones de uso en la entidad, el
proveedor de la solución y la existencia del soporte actualizado)

Los directivos, técnicos y especialistas a cargo de la red informática


283 informan a los usuarios acerca de las regulaciones de seguridad X
establecidas y controlan su cumplimiento.
El personal que atiende la administración de la red participa en la
284 confección y actualización del Plan de Seguridad Informática y X
Contingencias.
El personal que atiende la administración de la red preserva la
285 información requerida para esclarecer eventos, incidentes u otras X
acciones nocivas que se identifiquen.
El personal que atiende la administración de la red activa los
286 mecanismos técnicos y organizativos de respuesta ante eventos, X
incidentes u otras acciones nocivas que se identifiquen.
El Personal que atiende la administración de la red participa en la
287 elaboración de los procedimientos de recuperación ante incidentes y X
en sus pruebas periódicas.
Se exponen los recursos de Internet (direcciones IP públicas o
288 privadas) con fines de administración remota sin las medidas de X
ciberseguridad requeridas.

Se insertan medios técnicos, equipos o aplicaciones informáticas en X


289
la red sin autorización de la dirección de la entidad.

Se encuentra implementado la protección contra inserción de medios


290 en los equipos de cómputo a través del anclaje de dispositivos X
externos.
Los usuarios conocen debidamente las políticas de seguridad para
291 el acceso a los servicios, aplicaciones y plataformas soportadas en X
la red informática.
Están instrumentados los procedimientos de verificación de la X
292
seguridad de las redes para detectar posibles vulnerabilidades.
Están implementadas las medidas y procedimientos que garanticen
la integridad y disponibilidad de la información que se coloca en
servidores para su acceso público, así como la correspondencia de
293 X
su contenido con los intereses de la propia entidad y del país. (en
caso de ser positiva la respuesta, diga cuáles en el campo
Observaciones)
Se han solicitado los permisos y aprobaciones a las entidades
correspondientes para hospedar sitios web en el extranjero. (en caso
294 X
de ser positiva la respuesta, especifique el sitio y la entidad que
autoriza las razones en el campo Observaciones)

Al hospedar un sitio web en servidores ubicados en el extranjero ¿se


hace como espejo o réplica del sitio principal en servidores ubicados
295 X
en infraestructuras de Cuba. (en caso de ser negativa la respuesta,
explique las razones en el campo Observaciones)

Se crean y acceden desde la red informática de la entidad cuentas


de correo electrónico en servidores en el exterior del país. (en caso
296 X
de ser positiva la respuesta, explique las razones en el campo
Observaciones)
Están instalados los medios técnicos para detectar y obstaculizar la
difusión de información contraria al interés social, la moral, las
297 buenas costumbres y la integridad de las personas o que lesionen la X
seguridad nacional. (en caso de ser positiva la respuesta, diga
cuáles en el campo Observaciones)
Se implementan medidas técnicas y organizativas para evitar el
envío de mensajes de correo electrónico no deseado (Spam, Hoax). X
298
(en caso de ser positiva la respuesta, diga cuáles en el campo
Observaciones)
Se implementan medidas para impedir la sobrecarga de los canales
de comunicaciones y la generación de cartas en cadena,
restringiendo el envío o recepción de grandes volúmenes de X
299
información y la generación de mensajes a múltiples destinatarios.
(en caso de ser positiva la respuesta, diga cuáles en el campo
Observaciones)
Se proponen e imponen sanciones ante violaciones del sistema de
300 ciberseguridad, en correspondencia con su naturaleza o los daños X
ocasionados, por los jefes a las diferentes instancias

Está implementado el procedimiento para la actuación ante


incidentes de ciberseguridad o violaciones, en correspondencia con X
301
la importancia de los bienes informáticos afectados y las alternativas
a aplicar en cada etapa (contención, mitigación, entre otras).

Están implementadas las medidas necesarias para asegurar la


continuidad, el restablecimiento y la recuperación de los procesos X
302
informáticos. (en caso de ser positiva la respuesta, diga cuáles en el
campo Observaciones)
Se controla que los servicios implementados se utilicen para los X
303
fines que fueron concebidos.
La dirección de la entidad conoce oportunamente los controles
304 técnicos disponibles para detectar violaciones o anomalías en los X
servicios.

122 90 6 26
Tengo dudas esta en el plan de seguridad
Nosotros no desarrollamos aplicaciones

No es obligatorio y la UEB Utiliza Kasperky

Similiar al anteior
no procede porque ellos tienen su propio centro de datos
Este la respuesta positiva es NO pero si lo pongo resta para la evaluacion
No se han cometido violaciones
UEB: UEB Derivados Antonio Sánchez
Aspectos a verificar: 122
No proceden: 26
Verificados: 96
Cumplen: 90
No se cumplen: 6
Del Control Anterior

Aspectos incumplidos

Tiene sistema de tierra solo para los servidores (241)

Indicamos teniendo en cuenta la nueva guía

Se desarrolla la capacitación técnica del personal especializado (administradores,


supervisores y especialistas de redes y sistemas), así como la preparación de los directivos
y usuarios en los riesgos, procedimientos y medidas de ciberseguridad para el acceso,
procesamiento, almacenamiento y transmisión de la información oficial. 221

El contrato de empleo incluye las obligaciones de la entidad de preparar al contratado en


ciberseguridad, así como la responsabilidad de éste. 225
El Plan de Seguridad Informática y Contingencias está certificado por alguna entidad
externa 183
Se ha realizado alguna vez el aval de prueba de seguridad por una entidad autorizada.184

Reallizado por: Arliet Pérez Echavarría


Firma:

Evaluado: Misael Aguila Oquendo


Firma: