Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La inexistencia de políticas para el uso de dispositivos 1 Se definirá y adoptará una política y medidas de seguridad para gestionar los riesgos introducido
con las autoridades relevantes en la gestión de la seguridad de
Mal entendimiento o 1 Se debe de revisar los antecedentes de todos los candidatos a empleados, contratistas y terceros
desconocimiento de las
responsabilidades de
los nuevos
colaboradores y
proveedores con
respecto a la seguridad 2 Como parte de la obligación contractual, los empleados, contratistas
de la información de la y terceros deben aceptar y firmar los términos y condiciones de su
organización contrato de empleo, el cual debe establecer sus responsabilidades y
las de la organización para la seguridad de la información
Los colaboradores y 1 La gerencia debe requerir que los empleados, contratistas y terceros
proveedores no son apliquen la seguridad en concordancia con las políticas y
conscientes de sus procedimientos establecidos de la organización.
responsabilidades con
respecto a la seguridad
de la información
3 Debe existir un proceso disciplinario formal para los empleados que han cometido una violación
Falta de protección de 1 Las responsabilidades de seguridad de la información y tareas que siguen válidas luego de la ter
activos e intereses de la
organzación durante el
proceso
de cambio o término del
empleado
2 Todos los empleados y terceros deben de regresar todos los activos
de la organización que poseen luego del término del empleo o
contrato.
281
s de información de la organización no permite
1 la correcta definición de actividades de protección
Todos los activos deben estar claramente identificados, y se debe
elaborar y mantener un inventario de todos los activos importantes
de la organización.
282
Accesos no autorizados 1 Una política de control de accesos debe ser definida, documentada y
a la información, revisada según los requerimientos del negocio y la seguridad.
sistemas, aplicaciones y
servicios de la
organización
2 Debe existir un procedimiento formal para el registro y de- registro de acceso a todos los sistem
6 Los usuarios deben de utilizar contraseñas alineadas con la política de control de accesos de la o
7 El acceso a la información y a las funciones de las aplicaciones deben de ser restringidos de acu
8 El acceso a los sistemas y aplicaciones deben de ser controlados por un procedimiento de registr
9 El acceso al código fuente de las aplicaciones debe de ser
restringido solo al personal autorizado.
283
Accesos físico, daño o 1 Se debe utilizar perímetros de seguridad (paredes, puertas, etc) para proteger áreas que contiene
interferencia no
autorizada a la
información de la
organización
2 Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que
4 Se debe diseñar y aplicar protección física contra daño por fuego, inundación, terremoto, explos
5 Se debe diseñar y aplicar protección física y lineamientos para trabajar en áreas seguras.
Pérdida, daño, robo e 1 El equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros am
interrupción de las
operaciones de la
organización
2 El equipo debe de estar protegido de fallos de energía y otras interrupciones causadas por fallas
3 El cableado de la energía y las telecomunicaciones que lleven "data" o sostienen los servicios de
4 El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integrida
6 Se debe aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos que
284
Falta de aseguramiento 1 Se deben documentar y mantener los procedimientos de operación, y
para el correcto y se deben poner a disposición de todos los usuarios que los necesiten
seguro procesamiento
de la información
285
Falta de protección contra la pérdida de información 1 Se deben realizar copias de backup o respaldo de la información y
software esencial y se deben probar regularmente de acuerdo a la
política de backups
Inexistencia de registros 1 Se deben producir registros de las actividades que realizan los
de los eventos y usuarios (auditoría), excepciones y eventos de seguridad de la
generación de información y se deben mantener durante un periodo
evidencias de las acordado para ayudar en investigaciones futuras y monitorear
operaciones el control de acceso
286
2 Se deben identificar los dispositivos de seguridad, niveles de
servicio y los requerimientos e incluirlos en cualquier contrato de
servicio de red, ya sea que estos servicios sean provistos "in home"
o sean abastecidos externamente.
Las políticas de seguridad de la información no son consideradas en1los Las reglas para el desarrollo de software y sistemas deben ser
establecidas y aplicadas a los desarrollos dentro de la organización
siguientes servicios:
- Acceso a internet
- Acceso a red WAN
- Administración equipos de seguridad perimetral
- Hosting de la plataforma de sistemas
3. La organización cuenta con una política de
3 Cuando se cambian los sistemas operativos, se deben revisar y probar las aplicaciones críticas de
4 No se deben fomentar las modificaciones a los paquetes de software, se deben limitar a los camb
5 El desarrollo de software que ha sido tercerizado debe ser supervisado y monitoreado por la org
A1
288
4 Deben existir mecanismos para permitir cuantificar y monitorear los
tipos, volúmenes y costos de los incidentes en la seguridad de la
información.
5 Cuando la acción de seguimiento contra una persona u organización
después de un incidente en la seguridad de la información involucra
una acción legal, se debe recolectar, mantener y presentar evidencia
para cumplir las reglas de evidencia establecidas en las
jurisdicciones relevantes.
La seguridad de la información no opera según los estándares 1 Los gerentes deben asegurar que todos los procedimientos de seguridad dentro de su área de res
y
políticas establecidas por la organización
Incumplimiento de obligaciones y normas legales, 1 Se deben definir explícitamente, documentar y actualizar todos los requerimientos reguladores y
regulatorias y contractuales de seguridad de la información
6.1.2
6.1.1 - Organigrama de la organización 1. Los roles y responsabilidades del SGSI se encuentran definidos y e
- Manual de los siguientes agentes:
organización y funciones - Gerencia General o directorio
- Roles y - Gerente de Seguridad y Riesgos
Responsabilidades del SGSI - Administrador de Seguridad y Riesgos
- Gestor de servicios de TI
- Gestor de operaciones de TI
6.1.5
7.1.1 - Política de reclutamiento y selección 1. La Compañía no cuenta con un acuerdo contractual con el personal que garantice lo sig
- Evidencia de que la política de seguridad de información está - Cumplimiento de las políticas de seguridad de la información existentes en la Compañía
presente en el kit de - Acuerdo de confidencialidad para el nuevo personal que tendrá accesos a información s
bienvenida - Acuerdo con la política de devolución de activos.
- Cumplimiento de sus obligaciones.
- Aceptación de las acciones disciplinarias a tomar por parte de la Compañía en caso de
7.1.2 incumplimiento a las políticas.
2. La Compañía no cuenta con un acuerdo contractual con los proveedores que garantice
siguiente:
- Cumplimiento de las políticas de seguridad de la información existentes en la Compañía
- Acuerdo de confidencialidad de la información.
- Aceptación de las acciones disciplinarias a tomar por parte de la Compañía en caso de
incumplimiento a las políticas.
7.2.2
7.2.3
7.3.1 - Políticas o procedimientos de cese o cambio de puesto de
trabajo
8.2.4
8.1.2
8.3.1 - Políticas y/o procedimientos de medios de transferencia de 1. La compañía no cuenta con políticas de medios de transferencia de información físicos
información físicos que toda la información se almacena en medios digitales. No existen cintas de respaldo, p
- Políticas y/o ha
procedimientos sobre el uso de dispositivos de almacenamiento realizado dicho procedimiento.
removibles
2. En la política de SGSI de IT Expert, se cuenta con una política sobre el uso de gestión
de información, donde se hace mención a los dispositivos de almacenamiento removibles
como CD, USB, discos externos, entre otros. Sin embargo, la política no ha sido difundid
personal de la organización, por lo que no se tiene conocimiento de la misma. Esto puede
fuga y divulgación no autorizada de la información.
8.3.2
8.3.3
9.2.2
9.2.3
9.2.4
9.3.1
9.4.1
9.4.2
9.4.5
11.1.1 - Revisión del centro de procesamiento de datos 1. Luego de realizar la revisión del centro de procesamiento de datos (Anexo 20) se ident
- Política de siguiente:
escritorio limpio
- Inexistencia de una bitácora con el registro de las personas que ingresan al CPD.
- No se cuenta con un sensor de temperatura para poder revisar el grado ideal que se debe
el CPD (18 - 20 grados centígrados).
11.1.2 - Inexistencia de un sensor de humedad, lo cual no permite mantener un grado de humeda
el CPD (40% y 60%).
- No se cuenta con detectores de aniego para poder determinar posibles inundaciones, sob
porque el CPD se encuentra al costado de un servicio higiénico.
- No se cuenta con luces de emergencia.
- Se encontró material inflamable (una casaca) sobre una silla.
11.1.3 - Falta de un extintor dentro de las instalaciones del
CPD.
- No se cuenta con un suministrador de energía eléctrica alterno, tales como un UPS, gene
eléctrico, entre otros.
11.1.4
2. Falta de diseño y publicación de una política de escritorio y pantalla limpia en IT Expe
- El personal no reconoce el riesgo de dejar información de proyectos de la escuela en el s
trabajo, lo cual puede ocasionar fuga de información o acceso a información no autorizad
- El personal no reconoce el riesgo de dejar información de proyectos de la escuela en la
computadora de trabajo, lo cual puede ocasionar
11.1.5
fuga de información o acceso a información no
autorizada.
trabajo, lo cual puede ocasionar fuga de información o acceso a información no autorizad
- El personal no reconoce el riesgo de dejar información de proyectos de la escuela en la
computadora de trabajo, lo cual puede ocasionar
fuga de información o acceso a información no
autorizada.
11.2.1
11.2.2
11.2.3
11.2.4
11.2.5
11.2.6
11.2.9
12.1.2
11.1.4
12.3.1 - Políticas y/o procedimientos de respaldo de información
- Política y/o procedimiento de restauración de cintas de
respaldo de información
12.4.1 - Política y/o procedimiento de creación, acceso y monitoreo de 1. La compañía no ha realizado revisiones de auditoría de los usuarios con altos privilegio
logs de auditoría en los sistemas de información aplicaciones y bases de datos
- Logs de auditoría de los principales sistemas de información
2. No existen revisiones ni monitoreo de los permisos de usuarios a los sistemas.
12.4.2
12.4.4
13.1.3
13.2.1
13.2.3
13.2.4
14.1.1 - Procedimiento para el desarrollo o adquisición de los sistemas 1. La compañía no cuenta con políticas de gestión de cambios en siste
de información (Estándares de programación)
2.Inexistencia de un procedimiento para la gestión de cambios en IT E
- Evidencia de control de cambios de los nuevos sistemas
3. Inexistencia de un formato de cambios en las aplicaciones, sistema
14.1.3
14.2.1
14.2.2
14.2.3
14.2.4
14.2.7
15.1.1 - Política y/o procedimiento para la gestión de contratación de 1. La compañía no cuenta con un procedimiento para la gestión de contratación de provee
proveedores
15.1.2
16.1.1 - Política y/o procedimiento para la atención de incidentes de 1. La compañía no tiene establecida una política de gestión de incidentes de seguridad de
seguridad información (SI) donde se indique lo siguiente:
- Matriz de incidentes categorizados - Responsables del procedimiento de atención de incidentes de SI
- Procedimiento de monitoreo de sistemas de información para la - Actividades o procedimiento a realizar en caso se presente un incidente de SI
detección de eventos de seguridad - Contactos para la atención de incidentes de SI
- Listado de herramientas utilizadas para el monitoreo de
sistemas de información 2. La compañía tiene un documento de seguimiento de tickets de atención , en el cual se i
estados que un ticket puede tener de acuerdo a la situación en la que se encuentre. Sin em
esto solo aplica para tickets de atención de servicios mas no de seguridad de la informació
3. La compañía registra los incidentes en una matriz de incidentes; sin embargo, solo se re
incidentes de servicios de TI, mas no se registran los incidentes de SI.
sistemas de información 2. La compañía tiene un documento de seguimiento de tickets de atención , en el cual se i
estados que un ticket puede tener de acuerdo a la situación en la que se encuentre. Sin em
esto solo aplica para tickets de atención de servicios mas no de seguridad de la informació
3. La compañía registra los incidentes en una matriz de incidentes; sin embargo, solo se re
incidentes de servicios de TI, mas no se registran los incidentes de SI.
16.1.2
16.1.3
16.1.6
16.1.7
17.1.1 - Plan de continuidad del negocio 1. La organización no cuenta con un plan de continuidad del negocio que permita una rec
- Pruebas del plan de continuidad del negocio razonable de los servicios/sistemas críticos de la organización.
- Análisis de impacto al negocio (BIA) 2. La organización no cuenta con un análisis del impacto al negocio en caso se presente u
- Análisis de impacto de los riesgos (RIA) siniestro.
- Plan de 3. La organización no cuenta con un plan de recuperación ante desastres.
recuperación ante desastres (DRP)
17.1.2
17.1.3
17.2.1
A18. Cumplimiento de la seguridad de la información
18.2.1 - Política y/o procedimiento de sanciones 1. La organización no cuenta con una política o p
- Manual de administración y custodia de documentos políticas relacionadas a la seguridad de la informa
18.2.2
18.1.1 - Listado de leyes, normas y/o políticas que se debe cumplir 1. La organización no está obligada a cumplir con
relacionado temas de seguridad de información la información hasta la fecha. Sin embargo, no se
deben de cumplir en un futuro cercano.
18.1.2
18.1.3
18.1.4
Hallazgo Conclusión
a Política de Seguridad de la Información no ha sido comunicada al personal interno y externo Con oportunidad de mejora
a Compañía, debido a que la política ha sido recién elaborada por el proyecto PI02.
ersonal no conoce de las políticas de seguridad de la información, por ejemplo:
líticas de seguridad física y ambiental
líticas de gestión de activos
líticas de respaldo y continuidad de negocio
líticas de gestión de accesos
os roles y responsabilidades del SGSI se encuentran definidos y establecidos. Se cuentan con Efectivo
siguientes agentes:
erencia General o directorio
erente de Seguridad y Riesgos
dministrador de Seguridad y Riesgos
estor de servicios de TI
estor de operaciones de TI
miento.
1. La compañía cuenta con acuerdos de nivel de servicio con los clientes externos e internos Con oportunidad de mejora
2. La organización no cuenta con acuerdos de nivel de servicio con los proveedores que brindan los
a compañía no cuenta con políticas de gestión de cambios en sistemas, aplicaciones, entre otros: Inefectivo
1. La organización no está obligada a cumplir con alguna regulación relacionada a la seguridad de Con oportunidad de mejora
la información hasta la fecha. Sin embargo, no se tienen identificadas las posibles regulaciones que
deben de cumplir en un futuro cercano.