Tipo de documento: Formato

Código: FOR SI 04
Etiqueta de información: Interno
Controles que aplican: 108
Controles que no aplican : 6

Declaración de aplicabilidad

Objetivo Aplicabilidad
N° N° Estado Descripción del control Justificación de elección Documento soporte
/Control SI/NO
Política de Seguridad de la Información POL-SI-02 y todas las demás políticas de seguridad de
la información que se mencionan en este documento
Políticas para la seguridad de la Un conjunto de políticas para la seguridad de la información debe ser definido, aprobado por la dirección, publicado y Necesaria para fijar una directriz para el personal y las partes interesadas en materia de
1 A.5.l.l Implementado SI
información comunicado a los empleados y partes externas relevantes. seguridad de la información.

Se indica en el Manual Normativo de Seguridad de la Información MAN-SI-01 apartado 5.2

Revisión de las políticas para la Las políticas de seguridad de la información deben revisarse a intervalos planificados o siempre que se produzcan Indispensable para asegurar que son revisadas y en su caso actualizadas tanto las
2 A.5.1.2 Implementado SI
seguridad de la información cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia. políticas como los demás documentos del SGSI

Se cuenta con organigrama, descripciones de puestos, matriz de roles y responsabilidades para el

Roles y responsabilidades en
3 A.6.1.1
seguridad de la información
SGSI indicadas en el manual Normativo de Seguridad de la Información MAN-SI-01 apartado
5.3 y en la matrices de privlegios
Los roles y responsabilidades en materia de seguridad de la información aparte de estar
Implementado Todas las responsabilidades en seguridad de la información deben ser definidas y asignadas. SI definidos, deben ser entendidos por el personal que directamente es responsable del
SGSI

Se cuenta con organigrama, descripciones de puestos, matriz de roles y responsabilidades para el

SGSI indicadas en el manual Normativo de Seguridad de la Información MAN-SI-01 apartado
5.3 y en la matrices de privlegios, procedimientos e instructivos documentados de las diferentes
Asegurarse que las funciones y responsabilidades para los procesos y tareas críticas se áreas y políticas donde se indican la separación de tareas.
Las funciones y áreas de responsabilidad deben segregarse para reducir la posibilidad de que se produzcan
4 A.6.1.2 Segregación de tareas Implementado SI encuentran escalonadas y segmentadas a efecto de evitar la concentración de facultades
modificaciones no autorizadas o no intencionadas o usos indebidos de los activos de la organización.
en un solo puesto.

Es importante tener un directorio así como conexión con las autoridades en materia de
5 A.6.1.3 Contacto con las autoridades Implementado Deben mantenerse los contactos apropiados con las autoridades pertinentes. SI Se indica en el Directorio de Contacto con autoridades FOR-SI-12
protección civil en caso de alguna contingencia.

Contacto con grupos de interés Deben mantenerse los contactos apropiados con grupos de interés especial, u otros foros y asociaciones profesionales Se mantiene contacto con grupos de interés en particular ligados a la seguridad de la
6 A.6.1.4 Implementado SI Se indica en el Directorio de Contacto con grupos de interés especial FOR-SI-17
especial especializados en seguridad información para mantenerse al día en tendencias y actualidad.

Se inidica en el Manual Normativo de Seguridad de la Información MAN-SI-01 apartado 6.2

Seguridad de la información en
7 A.6.1.5
la gestión de proyectos
Una metodología que asegure que ante el desarrollo de cualquier cambio y/o proyecto
La seguridad de la información debe tratarse dentro de la gestión de proyectos, independientemente de la
Implementado SI relevante para la organización, se cuente con lineamientos definidos que valoren los
naturaleza del proyecto.
impactos en la seguridad de la información

Los dispositivos móviles (celulares, laptops, tabletas) son herramientas que dada la
Se debe adoptar una política y unas medidas de seguridad adecuadas para la protección contra los riesgos de la
8 A.6.2.1 Política de dispositivos móviles Implementado SI naturaleza del trabajo, son utilizadas en la organización por lo que los controles para Política de Dispositivos Móviiles POL-SI-20
utilización de dispositivos móviles.
estas herramientas son fundamentales ya que pueden contener información relevante

No se lleva a cabo teletrabajo actualmente ya que los clientes por seguridad de la

Se debe implementar una política y unas medidas de seguridad adecuadas para proteger la información accedida,
9 A.6.2.2 Teletrabajo N/A NO información no permiten llevar a cabo este tipo de operaciones. Se continua negociando N/A
tratada o almacenada en emplazamientos de teletrabajo.
con los clientes, ya que a futuro será un mecanismo alterno para operar.

Los antecedentes de los empleados que de forma crítica intervienen en el alcance

La comprobación de los antecedentes de todos los candidatos al puesto de trabajo se debe llevar a cabo de acuerdo con
definido para el SGSI son investigados a partir de la implantación del SGSI a efecto de En expediente de personal se cuenta con evidencias de la investigación de antecedentes
10 A.7.1.1 Investigación de antecedentes Implementado las leyes, normas y códigos éticos que sean de aplicación y debe ser proporcional a las necesidades del negocio, la SI
garantizar que el personal que se integra es acorde con los valores y políticas que (referencias)
clasificación de la información a la que se accede y los riesgos percibidos.
promueve la organización

Cómo parte de sus obligaciones contractuales, los empleados y contratistas deben establecer los términos y Los términos y condiciones de trabajo tanto de empleados como de proveedores deben
Términos y En expediente de personal se cuenta con evidencias del contrato individual del trabajo, convenios
11 A.7.1.2 Implementado condiciones de su contrato de trabajo en lo que respecta a la seguridad de la información, tanto hacia el empleado SI de quedar por escrito a fin garantizar en todo momento que se protege la seguridad de la
condiciones del empleo de confidencialidad
como hacia la organización información.

Cualquier persona (empleado, proveedor o parte interesada) que accede física y/o
La dirección debe exigir a los empleados y contratistas, que apliquen la seguridad de la información de acuerdo con En expediente de personal se cuenta con evidencias del contrato individual del trabajo, convenios
12 A.7.2.1 Responsabilidades de gestión Implementado SI electrónicamente debe de conocer las políticas, procedimientos, manuales y
las políticas y procedimientos establecidos en la organización de confidencialidad
lineamientos en materia de seguridad de la información.

Concienciación, educación y Todos los empleados de la organización y, cuando corresponda, los contratistas, deben recibir una adecuada La formación y concientización del personal, así como la sensibilización a los
13 A.7.2.2 capacitación en seguridad de la Implementado educación, concienciación y capacitación con actualizaciones periódicas sobre las políticas y procedimientos de la SI proveedores en materia de seguridad de la información son elementos que permitirán a Evidencias de capacitación y concientización en expedientes y en carpetas
información organización, según corresponda a su puesto de trabajo. la organización acceder a mejores prácticas de trabajo en un marco de seguridad eficaz

El establecimiento de un esquema de sanciones y acciones de carácter reglamentario en

Debe existir un proceso disciplinario formal que haya sido comunicado a los empleados, que recoja las acciones a
14 A.7.2.3 Proceso disciplinario Implementado SI materia de seguridad de la información en caso de incumplimiento es relevante a efecto Reglamento Interno de Trabajo, Convenio de Confidencialidad
tomar ante aquellos que hayan provocado alguna brecha de seguridad.
de prevenir algún riesgo

Considerando los requisitos de los clientes, el control es relevante para proteger la

Responsabilidades ante la Las responsabilidades en seguridad de la información y obligaciones que siguen vigentes después del cambio o
15 A.7.3.1 Implementado SI información aún después de terminada la relación laboral o de negocios, ya que hay una Reglamento Interno de Trabajo, Contrato Individual de Trabajo, Convenio de Confidencialidad
finalización o cambio finalización del empleo deben definirse, comunicarse al empleado o contratista y se deben cumplir.
regulación por contrato al respecto

Los activos asociados a la información y a los recursos para el tratamiento de la información deben estar claramente La identificación, clasificación, estado, propietario y ubicación de los activos de la
16 A.8.1.1 Inventario de activos Implementado SI Inventario de Activos LIS-SI-22
identificados y debe elaborarse y mantenerse un inventario organización, permitirán administrarlos y controlarlos de manera eficaz

La identificación, clasificación, estado, propietario y ubicación de los activos de la

17 A.8.1.2 Propiedad de los activos Implementado Todos los activos que figuran en el inventario deben tener un propietario. SI Inventario de Activos LIS-SI-22
organización, permitirán administrarlos y controlarlos de manera eficaz

Se deben identificar, documentar e implementar las reglas de uso aceptable de la información y de los activos A efecto de que el personal conozca las reglas para el uso aceptable de los activos
18 A.8.1.3 Uso aceptable de los activos Implementado SI Política de Gestión de Activos POL-SI-21
asociados con los recursos para el tratamiento de la información. asociados a la información, se generan y difunden políticas al respecto.

Todos los empleados y terceras partes deben devolver todos activos de la organización que estén en su poder al Es necesario que los empleados o terceras personas que han estado a cargo de un activo
19 A.8.1.4 Devolución de activos Implementado SI Política de Gestión de Activos POL-SI-21
finalizar su empleo, contrato o acuerdo. relevante para el SGSI, lo devuelvan para mantener la seguridad de la información

La información debe ser clasificada en términos de la importancia de su revelación frente a requisitos legales, valor, Se debe de contar con una metodología que determine la clasificación y criticidad de la Política de Gestión de Activos POL-SI-21 y Política de Clasificación y etiquetado de la
20 A.8.2.l Clasificación de la información Implementado SI
sensibilidad y criticidad ante revelación o modificación no autorizadas. información y enfocar los esfuerzos para mantener su seguridad. información POL-SI-05

Debe desarrollarse e implantarse un conjunto adecuado de procedimientos para etiquetar la información, de acuerdo Se debe de contar con una metodología que determine la clasificación y criticidad de la Política de Gestión de Activos POL-SI-21 y Política de Clasificación y etiquetado de la
21 A.8.2.2 Etiquetado de la información Implementado SI
con el esquema de clasificación adoptado por la organización. información y enfocar los esfuerzos para mantener su seguridad. información POL-SI-05

Debe desarrollarse e implantarse un conjunto adecuado de procedimientos para la manipulación de la información, de La información de la organización debe de gestionarse adecuadamente y estar definida Política de Gestión de Activos POL-SI-21 y Política de Clasificación y etiquetado de la
22 A.8.2.3 Manipulado de la información Implementado SI
acuerdo con el esquema de clasificación adoptado por la organización la forma de administrarla (esta se gestiona a través de los procedimientos de operación) información POL-SI-05

Se deben implementar procedimientos para la gestión de los soportes extraíbles, de acuerdo con el esquema de La información crítica que se maneja en soporte extraíble en la organización debe ser Política de respaldos y y borrado de la información POL-SI-33 y Política de Seguridad de las
23 A8.3.1 Gestión de soportes extraíbles Implementado SI
clasificación adoptado por la organización correctamente eliminada, o garantizar una adecuada gestión operaciones POL-SI-47

Los soportes deben eliminarse de forma segura cuando ya no vayan a ser necesarios, mediante procedimientos La información crítica que se maneja en soporte extraíble en la organización debe ser Política de respaldos y y borrado de la información POL-SI-33 y Política de Seguridad de las
24 A.8.3.2 Eliminación de soportes Implementado SI
formales. correctamente eliminada, o garantizar una adecuada gestión operaciones POL-SI-47

Durante el transporte fuera de los límites físicos de la organización, los soportes que contengan información deben Los dispositivos que contienen información crítica deben de ser debidamente Política de respaldos y y borrado de la información POL-SI-33 y Política de Seguridad de las
25 A.8.3.3 Soportes físicos en tránsito Implementado SI
estar protegidos contra accesos no autorizados controlados a fin de evitar brechas en la seguridad de la información operaciones POL-SI-47

El acceso a las instalaciones físicas se somete a control ya que por el tipo de procesos se
Se debe establecer, documentar y revisar una política de control de acceso basada en los requisitos de negocio y de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
26 A.9.1.1 Política de control de acceso Implementado SI tienen visitas en forma continua de candidatos, clientes, terceros, proveedores, entre
seguridad de la información. de usuarios y equipos FOR-SI-29
otros, los cuales pueden ser un factor de riesgo.

Acceso a las redes y a los Únicamente se debe proporcionar a los usuarios el acceso a las redes y a los servicios en red para cuyo uso hayan sido Los privilegios y niveles de usuarios dependen de las facultades dadas a los puestos de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
27 A.9.1.2 Implementado SI
servicios de red específicamente autorizados. acuerdo a las funciones y responsabilidades asignadas. de usuarios y equipos FOR-SI-29

Dada la dinámica de la organización, el uso de redes, softwares y aplicaciones este

Debe implantarse un procedimiento formal de registro y retirada de usuarios que haga posible la asignación de los Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
28 A.9.2.1 Registro y baja de usuario Implementado SI control se torna importante a efecto de no perder el control y administración de los
derechos de acceso. de usuarios y equipos FOR-SI-29
usuarios y el acceso a los privilegios a la información electrónica.

Dada la dinámica de la organización, el uso de redes, softwares y aplicaciones este

Debe implantarse un procedimiento formal para asignar o revocar los derechos de acceso para todos los tipos de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
29 A.9.2.2 Provisión de acceso de usuario Implementado SI control se torna importante a efecto de no perder el control y administración de los
usuarios de todos los sistemas y servicios. de usuarios y equipos FOR-SI-29
usuarios y el acceso a los privilegios a la información electrónica.

Los diferentes softwares utilizados y que contienen las bases de datos sujetos del
Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
30 A.9.2.3 Gestión de privilegios de acceso Implementado La asignación y el uso de privilegios de acceso debe estar restringida y controlada. SI alcance del SGSI, requieren ser administradas a diferentes niveles de privilegios para
de usuarios y equipos FOR-SI-29
los usuarios a fin de mitigar riesgos

Gestión de la información Debido a que la información objeto del alcance del SGSI se utiliza de forma masiva
La asignación de la información secreta de autenticación debe ser controlada a través de un proceso formal de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
31 A.9.2.4 secreta de autenticación de los Implementado SI para su procesamiento y operación, los diferentes usuarios que acceden a través de la
gestión. de usuarios y equipos FOR-SI-29
usuarios red, deben de autenticarse de forma segura.

La organización requiere que de forma continua los privilegios de los usuarios para
Revisión de los derechos de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
32 A.9.2.5 Implementado Los propietarios de los activos deben revisar los derechos de acceso de usuario a intervalos regulares SI acceder a los softwares y bases de datos sean los que de acuerdo a las facultades de su
acceso de usuario de usuarios y equipos FOR-SI-29
puesto, sean los correctos.

La dinámica de la estructura organizacional exige que de forma continua los privilegios

Los derechos de acceso de todos los empleados y terceras partes, a la información y a los recursos de tratamiento de la de los usuarios para acceder a los softwares y bases de datos sean los que de acuerdo a
Retirada o reasignación de los Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
33 A.9.2.6 implementado información deben ser retirados a la finalización del empleo, del contrato o del acuerdo, o ajustados en caso de SI las facultades de su puesto sean los correctos y que además le sean retirados cuando sale
derechos de acceso de usuarios y equipos FOR-SI-29
cambio de la organización o reconsiderados de acuerdo a las
facultades de su nuevo puesto.

Debido a que la información objeto del alcance del SGSI se utiliza de forma masiva
Uso de la información secreta de Se debe requerir a los usuarios que sigan las prácticas de la organización en el uso de la información secreta de para su procesamiento y operación, los diferentes usuarios que acceden a través de la Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
34 A.9.3.1 Implementado SI
autenticación autenticación. red, deben de autenticarse de forma segura. de usuarios y equipos FOR-SI-29
Además deben de respetar los lineamientos establecidos.

Debido a que la información objeto del alcance del SGSI se utiliza de forma masiva
Restricción del acceso a la Se debe restringir el acceso a la información y a las funciones de las aplicaciones, de acuerdo con la política de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
35 A.9.4.1 Implementado SI para su procesamiento y operación, los diferentes usuarios que acceden a través de la
información control de acceso definida de usuarios y equipos FOR-SI-29
red, tienen privilegios segmentados.

Procedimientos seguros de Cuando así se requiera en la política de control de acceso, el acceso a los sistemas y a las aplicaciones se debe Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
36 A.9.4.2 Implementado SI Necesario para evitar la infiltración de virus o accesos distorsionados.
inicio de sesión controlar por medio de un procedimiento seguro de inicio de sesión. de usuarios y equipos FOR-SI-29

Sistema de gestión de Dada la cantidad de usuarios y el dinamismo, es importante que los responsables de Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
37 A.9.4.3 Implementado Los sistemas para la gestión de contraseñas deben ser interactivos y establecer contraseñas seguras y robustas. SI
contraseñas sistemas administren adecuadamente las contraseñas y que eviten riesgos. de usuarios y equipos FOR-SI-29

El uso de equipos terminales PC por los usuarios a través de la red a las fuentes de
Uso de utilidades con privilegios Se debe restringir y controlar rigurosamente el uso de utilidades que puedan ser capaces de invalidar los controles del Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
38 A.9.4.4 Implementado SI información pueden provocar riesgos sino se controlan las aplicaciones y utilidades que
del sistema sistema y de la aplicación. de usuarios y equipos FOR-SI-29
pueden descargar los usuarios

Debido a que se tienen aplicaciones propias, las pruebas e implantación deben de

Control de acceso al código Los responsables de sistemas y de soporte son los únicos responsables y facutados de resguardar
39 A.9.4.5 Implementado Se debe restringir el acceso al código fuente de los programas. SI hacerse bajo condiciones controladas que aseguren su adecuada operatividad y eficacia,
fuente de los programa y mantener a salvo el código fuente de los programas.
por lo que el acceso al código fuente esta limitados sólo a usuarios facultados para ello.

Debido a que la información crítica puede intercambiarse por medios electrónicos

Política de uso de los controles Se debe desarrollar e implementar una política sobre el uso de los controles criptográficos para proteger la
40 A.10.1.1 Implementado SI (Correo electrónico o soportes extraíbles), es necesario su encriptamiento para Política de Uso de controles criptográficos POL-SI-30
criptográficos información.
garantizar su confidencialidad

Debido a que la información crítica puede intercambiarse por medios electrónicos

Se debe desarrollar e implementar una política de sobre el uso, la protección y la duración de las claves de cifrado a lo
41 A.10.1.2 Gestión de claves Implementado SI (Correo electrónico o soportes extraíbles), es necesario su encriptamiento para Política de Uso de controles criptográficos POL-SI-30
largo de todo su ciclo de vida.
garantizar su confidencialidad

Se deben utilizar perímetros de seguridad para proteger las áreas que contienen información sensible así como los El site de la organización es un área crítica ya que contiene tanto la información como
42 A.11.1.1 Perímetro de seguridad física Implementado SI Política de seguridad física y del entorno POL-SI-31
recursos de tratamiento de la información. los medios de soporte y que debe ser protegida en su acceso de manera física
 El site de la organización es un área crítica ya que contiene tanto la información como
los medios de soporte y que debe ser protegida en su acceso de manera física.
Las áreas seguras deben estar protegidas mediante controles de entrada adecuados, para asegurar que únicamente se
43 A.11.1.2 Controles físicos de entrada Implementado SI Adicionalmente, el perímetro de acceso a las oficinas se encuentra resguardado y Política de seguridad física y del entorno POL-SI-31
permite el acceso al personal autorizado.
restringido por diversos mecanismos (recepción, seguridad policiaca, cámaras de video
vigilancia).

Seguridad de oficinas, El resto de las áreas de la organización también deben de estar protegidas en su
44 A.11.1.3 Implementado Para las oficinas, despachos y recursos, se debe diseñar y aplicar la seguridad física. SI Política de seguridad física y del entorno POL-SI-19
despachos y recursos perímetro a efecto de garantizar la seguridad de la información

La organización debe de buscar asegurar la protección física de diversos activos que son
Protección contra las amenazas Se debe diseñar y aplicar una protección física contra desastres naturales, ataques provocados por el hombre o
45 A.11.1.4 Implementado SI críticos para operar y mantener la seguridad de la información (corriente eléctrica, Política de seguridad física y del entorno POL-SI-19
externas y ambientales accidentes
switch, entre otros)

Debido a la criticidad de las áreas declaradas seguras, se debe de tener especial cuidado
46 A.11.1.5 El trabajo en áreas seguras Implementado Se deben diseñar e implementar procedimientos para trabajar en las áreas seguras. SI Política de seguridad física y del entorno POL-SI-19
en las actividades

Deben controlarse los puntos de acceso tales como las áreas de carga y descarga y otros puntos, donde pueda acceder A la organización accede personal y terceros que son necesarios para llevar a cabo la
47 A.11.1.6 Áreas de carga y descarga Implementado personal no autorizado a las instalaciones, y si es posible, aislar dichos puntos de los recursos de tratamiento de la SI operación de la empresa, por lo que es necesario mantener un control que evite la Política de seguridad física y del entorno POL-SI-19
información para evitar accesos no autorizados. vulneración de la información

Emplazamiento y protección de Los equipos deben situarse o protegerse de forma que se reduzcan los riesgos de las amenazas y los riesgos La información crítica se accede a través de equipos terminales PC que deben de Se cuenta con medidas de seguridad física y lógica descritos la Política de seguridad fisica POL-
48 A.11.2.1 Implementado SI
equipos ambientales así como las oportunidades de que se produzcan accesos no autorizados. protegerse y controlar sus accesos tanto lógicos como físicos SI-19 y en la Política de Control de Acceso POL-SI-24

Se requiere de servicio eléctrico continuo para garantizar la disponibilidad de la

Los equipos deben estar protegidos contra fallos de alimentación y otras alteraciones causadas por fallos en las Se cuenta con UPS y no break para que en que caso de fallo eléctrico se pueda respaldar la
49 A.11.2.2 Instalaciones de suministro Implementado SI información, o en su defecto, dispositivos que prolonguen la disponibilidad de energía
instalaciones de suministro. información y los servidores puedan seguir funcionando por tiempo limitado
en los equipos para asegurar el resguardo de la información

El cableado eléctrico y de telecomunicaciones que transmite datos o que sirve de soporte a los servicios de La información se transmite a través de redes físicas y se requiere garantizar la El cableado de la red y eléctrico esta protegido frente a posibles daños, interferecnias o la
50 A.11.2.3 Seguridad del cableado Implementado SI
información debe estar protegido frente a interceptaciones, interferencias o daños protección que asegure su integridad intercepción de la infromación que transmite.

La organización requiere que los equipos y sus periféricos sean funcionales a efecto de Se cuenta con programa de mantenimientos preventivos a los equipos y evidencias de su
51 A.11.2.4 Mantenimiento de los equipos Implementado Los equipos deben recibir un mantenimiento correcto que asegure su disponibilidad y su integridad continuas. SI
garantizar la disponibilidad e integridad de la información a los diferentes usuarios realización, así como de los correctivos

Retirada de materiales propiedad Deben de existir mecanismos de control que identifiquen, controlen y autoricen la salida
52 A.11.2.5 Implementado Sin autorización previa, los equipos, la información o el software no deben sacarse de las instalaciones. SI Política de Dispositivos Móviiles POL-SI-20, Política de respaldo de la información POL-SI-33
de la empresa de información y/o equipos fuera de la organización

Seguridad de los equipos fuera Deben aplicarse medidas de seguridad a los equipos situados fuera las instalaciones de la organización, teniendo en Por disposición de la organización, los diferentes equipos tienen restringida la salida y Política de Dispositivos Móviiles POL-SI-20, Formato de gestión de usuarios y equipos FOR-SI-
53 A.11.2.6 Implementado SI
de las instalaciones cuenta los diferentes riesgos que conlleva trabajar fuera de dichas instalaciones. solo bajo circunstancias previamente acordadas pueden salir 29

Reutilización o eliminación Todos los soportes de almacenamiento deben ser comprobados para confirmar que todo dato sensible y software bajo Información crítica podría quedar en algún soporte y comprometer la seguridad de la Política de Dispositivos Móviiles POL-SI-20, Formato de gestión de usuarios y equipos FOR-SI-
54 A.11.2.7 Implementado SI
segura de equipos licencia se ha eliminado de manera segura, antes de deshacerse de ellos. información sino se cuentan con herramientas o mecanismo de control 29

El acceso no autorizado a información crítica puede verse comprometida debido a un

55 A.11.2.8 Equipo de usuario desatendido Implementado Los usuarios deben asegurarse que el equipo desatendido tiene la protección adecuada SI Política de Pantalla y Escritorio Limpio POL-SI-31
equipo desatendido o desprotegido

Se requiere de un orden y limpieza, así como mantener despejado tanto el lugar de

Política de puesto de trabajo Debe adoptarse una política de puesto de trabajo despejado de papeles y medios de almacenamiento desmontables y
56 A.11.2.9 Implementado SI trabajo como los equipos utilizados por el usuario que eviten que se descuide Política de Pantalla y Escritorio Limpio POL-SI-31
despejado y pantalla limpia una política de pantalla limpia para los recursos de tratamiento de la información
información crítica

Para la organización es fundamental contar con una estructura de documentos para el

Documentación de Deben documentarse y mantenerse procedimientos de operación y ponerse a disposición de todos los usuarios que los Se cuenta con procedimientos e instructivos de la operación documentados a fin de mantener la
57 A.12.1.1 Implementado SI SGSI ordenada, controlada y estandarizada y que permita a los usuarios su consulta en
procedimientos de la operación necesiten. seguridad de la información
los lugares de uso

Ante la presencia de nuevos proyectos, planes, nuevas tecnologías, migración, nuevos Se inidca en el Manual Normativo de Gestión de Seguridad de la Información apartado 6.2 la
Los cambios en la organización, los procesos de negocio, instalaciones de tratamiento de la información y los sistemas
58 A.12.1.2 Gestión de cambios Implementado SI procesos, entre otros, es importante que se valoren los impactos que pueden tener sobre metodología a emprender ante cambios e impactos en materia de seguridad de la información y
que afectan a la seguridad de información deben ser controlados.
la seguridad de la información en la Política de seguridad de las operaciones POL-SI-47

Se debe supervisar y ajustar la utilización de los recursos, así como realizar proyecciones de los requisitos futuros de Es necesario planificar y prever las demandas sobre los servicios y aplicaciones con que
59 A.12.1.3 Gestión de capacidades Implementado SI Se indica en Tabla de capacidades FOR-SI-32
capacidad, para garantizar el rendimiento requerido del sistema. cuenta la organización a efecto de mantener la disponibilidad de la información

Como organización que maneja información de terceros, es importante que no se

Separación de los recursos de Deben separarse los recursos de desarrollo, pruebas y operación, para reducir los· riesgos de acceso no autorizado o No se tienen contemplados desarrollos de software o aplicaciones. En cuanto a las pruebas, se
60 A.12.1.4 Implementado SI mezclen o utilicen aplicaciones y softwares sin estar sometido a pruebas ante algún
desarrollo, prueba y operación los cambios del sistema en producción. hacen de forma separada de forma lógica de los ambientes de producción
cambio o actualización

Las aplicaciones y softwares antivirus son fundamentales para mantener la seguridad de

Controles contra el código Se deben implementar los controles de detección, prevención y recuperación que sirvan como protección contra el
61 A.12.2.1 Implementado SI la información en términos de la confidencialidad, la integridad y su disponibilidad. Política de Seguridad de las operaciones POL-SI-47
malicioso código malicioso, así como procedimientos adecuados de concienciación al usuario
Igualmente, se requieren de un procedimiento que permita establecer controles

La información que reside en medio electrónico (bases de datos) constituyen el principal

Copias de seguridad de la Se deben realizar copias de seguridad de la información, del software y del sistema y se deben verificar insumo para los procesos críticos. Su perdida, alteración o corrupción generaría Política de respaldos y y borrado de la información POL-SI-33 y Política de Seguridad de las
62 A.12.3.1 Implementado SI
información periódicamente de acuerdo a la política de copias de seguridad acordada. problemas legales a la empresa. Una política de respaldos, garantizaría su adecuada operaciones POL-SI-47
protección

La información que maneja la organización, es utilizada y manipulada por múltiples

usuarios con diferentes niveles de facultades, por lo que es necesario que a los usuarios
Se deben registrar, proteger y revisar periódicamente las actividades de los usuarios, excepciones, fallos y eventos de
63 A.12.4.1 Registro de eventos Implementado SI y sus facultades le sean monitoreadas sus actividades y el uso correcto de la Política de Seguridad de las operaciones POL-SI-47
seguridad de la información.
información. Además es importante que cuenten con un mecanismo para reportar
incidentes en materia de seguridad de la información.

La Información y los dispositivos que contienen el registro de los eventos e incidentes

Protección de la información de Los dispositivos de registro y la información del registro deben estar protegidos contra manipulaciones indebidas son importante para el análisis y tratamiento de riesgos así como la toma de decisiones.
64 A.12.4.2 Implementado SI Política de Seguridad de las operaciones POL-SI-47
registro y accesos no autorizados Cualquier perdida o distorsión sobre el registro de eventos puede generar una toma de
decisiones errónea sobre el tratamiento de riesgos

La Información y los dispositivos que contienen el registro de los eventos e incidentes

son importante para el análisis y tratamiento de riesgos así como la toma de decisiones.
Registro de administración y Se deben de registrar, proteger y revisar regularmente las actividades del administrador del sistema y del operador Cualquier perdida o distorsión sobre el registro de eventos puede generar una toma de
65 A.12.4.3 Implementado SI Política de Seguridad de las operaciones POL-SI-47
operación del sistema decisiones errónea sobre el tratamiento de riesgos.
Debe de procurarse además que el personal que tiene facultades de administrador sobre
los registros, se asegure de que no haya accesos no autorizados

Los relojes de todos los sistemas de tratamiento de información dentro de una organización o de un dominio de Para que los sistemas y aplicaciones puedan trabajar acordes y el registro de la
66 A.12.4.4 Sincronización del reloj Implementado SI Política de Seguridad de las operaciones POL-SI-47
seguridad, deben estar sincronizados con una única fuente precisa y acordada de tiempo. operación se pueda hacer en tiempo real y sin distorsiones

Debido a que los softwares y aplicaciones son un insumo básico para la operación y el
Instalación de Software en servicio que se proporciona y que sin un adecuado control sobre su instalación y uso se
67 A.12.5.1 Implementado Se deben implementar procedimientos para controlar la instalación del software en explotación. SI Política de Seguridad de las operaciones POL-SI-47
explotación ponen en riesgo la propia información así como la continuidad de la operación, es
necesario tener controles robustos sobre el particular.

La información y sus diversos mecanismos de soporte y transmisión, están expuestos a

Se debe obtener información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información diversas amenazas y vulnerabilidades. Es necesario para la organización que se cuenten
Gestión de las vulnerabilidades Política de Seguridad de las operaciones POL-SI-47 y Política de gestión de vulnerabilidades
68 A.12.6.1 Implementado utilizados, evaluar la exposición de la organización a dichas vulnerabilidades y adoptar las medidas adecuadas para SI con mecanismos o controles que permitan registrarlos, clasificarlos, analizarlos y tomar
técnicas técnicas POL-SI-51
afrontar el riesgo asociado. decisiones
que eviten su recurrencia

Ante la posibilidad de que los usuarios en los equipos terminales (PC), puedan
Restricción en la instalación de
69 A.12.6.2 Implementado Se deben establecer y aplicar reglas que rijan la instalación de software por parte de los usuarios SI descargar software no autorizado y que ponga en riesgo la seguridad de la información, Política de Seguridad de las operaciones POL-SI-47
software
es relevante que se cuenten con controles y políticas restrictivas que inhiban tal acción

Dado que es necesario una continua operación y disponibilidad de los sistemas y

Controles de auditoría de Los requisitos y las actividades de auditoría que impliquen comprobaciones en los sistemas operativos deben ser aplicaciones, se requiere que cualquier actividad de mantenimiento y/o revisión a los
70 A.12.7.1 Implementado SI Política de Seguridad de las operaciones POL-SI-47
sistemas de información cuidadosamente planificados y acordados para minimizar el riesgo de interrupciones en los procesos de negocio. equipos y sistemas se haga de forma que no impacte o impacte lo menos posible la
continuidad de la operación y de la seguridad de la información.

La mayor parte de la información (de acuerdo al alcance, la naturaleza, así como la

tecnología con que se cuenta) se trafica por red. De ahí que hay una necesidad para Política de Control de Acceso POL-SI-24, Matriz de privilegios FOR-SI-28, Formato de gestión
71 A.13.1.1 Controles de red Implementado Las redes deben ser gestionadas y controladas para proteger la información en los sistemas y aplicaciones. SI
controlar adecuadamente su acceso, las facultades a los usuarios y protegerla de accesos de usuarios y equipos FOR-SI-29, Política de seguridad de las operaciones POL-SI-47
no autorizados.

La mayor parte de la información (de acuerdo al alcance, la naturaleza, así como la

Se deben identificar los mecanismos de seguridad, los niveles de servicio, y los requisitos de gestión de todos los
tecnología con que se cuenta) se trafica por red. De ahí que hay una necesidad para Política de seguridad de las operaciones POL-SI-47Política de Control de Acceso POL-SI-24,
72 A.13.1.2 Seguridad de los servicios de red Implementado servicios de red y se deben incluir en cualquier acuerdo de servicios de red, tanto si estos servicios se prestan dentro SI
controlar adecuadamente su acceso, las facultades a los usuarios y protegerla de accesos Matriz de privilegios FOR-SI-28, Formato de gestión de usuarios y equipos FOR-SI-29
de la organización como si se subcontratan.
no autorizados.

La separación de las redes para los diferentes servicios, (producción, pruebas y usuarios
Los grupos de servicios de información, los usuarios y los sistemas de información deben estar segregados en redes Política de seguridad de las operaciones POL-SI-47, Política de Control de Acceso POL-SI-24,
73 A.13.1.3 Segregación en redes Implementado SI tienen que estar separadas para garantizar la seguridad de la información y reducir
distintas. Matriz de privilegios FOR-SI-28, Formato de gestión de usuarios y equipos FOR-SI-29
riesgos asociados.

La información que se transfiere o intercambia en la organización requiere de diversos

Políticas y procedimientos de Deben establecerse políticas, procedimientos y controles formales que protejan el intercambio de información medios de comunicación, la mayoría de forma electrónica. Debido a que estos medios
74 A.13.2. l Implementado SI Política de Intercambio de información POL-SI-36
intercambio de información mediante el uso de todo tipo de recursos de comunicación pueden generar algún tipo de riesgo a la información, es importante que se cuente
controles y políticas que establezcan criterios y personal autorizado para hacerlo.

La información que se transfiere o intercambia en la organización requiere de diversos

medios de comunicación, la mayoría de forma electrónica. Debido a que estos medios
Acuerdos de intercambio de Deben establecerse acuerdos para el intercambio seguro de información del negocio y software entre la organización y pueden generar algún tipo de riesgo a la información, es importante que se cuente con Política de Intercambio de información POL-SI-36, convenios de confidecialidad, contratos de
75 A.13.2.2 Implementado SI
información terceros. controles y políticas que establezcan criterios y personal autorizado para hacerlo. prestación de servicios, contrato individual de trabajo
Además, los clientes establecen lineamientos y clausulas para transferir sus bases de
datos.

Uno de los mecanismos establecidos por los propios clientes para el intercambio de
Política de Intercambio de información POL-SI-36, convenios de confidecialidad, contratos de
76 A.13.2.3 Mensajería electrónica Implementado La información que sea objeto de mensajería electrónica debe estar adecuadamente protegida SI información, es precisamente el correo electrónico. Por lo que es necesario que se tenga
prestación de servicios, contrato individual de trabajo
un adecuado mecanismo de control

Debido a que algunos de los proveedores tienen acceso a áreas seguras y/o información
Acuerdos de confidencialidad o Deben identificarse, documentarse y revisarse regularmente los requisitos de los acuerdos de confidencialidad o no Convenios de confidencialidad en expedientes del personal, o en contratos de prestación de
77 A.13.2.4 Implementado SI crítica, así como a sistemas y aplicaciones, se requiere de un marco normativo que
no revelación revelación servicios con los proveedores y clientes, Política de seguridad de las operaciones POL-SI-47
establezca un esquema de sanciones en caso de alguna situación anómala

La integración a la organización de nuevas tecnologías, incluyendo la adquisición de

Análisis de requisitos y
Los requisitos relacionados con la seguridad de la información deben incluirse en los requisitos para los nuevos softwares o aplicaciones nuevas, tendrán un impacto en la seguridad de la información Contratos de servicios o de adquisiciones con los proveedores y en las cotizaciones en cuanto
78 A.14.1.1 especificaciones de seguridad de Implementado SI
sistemas de información o mejoras a los sistemas de información existentes. de la organización, por lo que es importante prever los posibles escenarios e impactos haya adquisicón de nuevos sistemas.
la información
que puedan tener sobre ella.

El intercambio de información con diversas partes interesadas, hace necesario el uso de Política de seguridad de las operaciones POL-Si-47, Política de Control de Acceso POL-SI-24,
Asegurar los servicios de La información involucrada en aplicaciones que pasan a través de redes públicas debe ser protegida de cualquier
79 A.14.1.2 Implementado SI redes públicas para la organización. Esta situación supone una serie de riesgos que se Matriz de privilegios FOR-SI-28, Formato de gestión de usuarios y equipos FOR-SI-29,
aplicaciones en redes públicas actividad fraudulenta, disputa de contrato, revelación y modificación no autorizados.
pueden minimizar y/o controlar convenios de confidencialidad de empleados, contratos con proveedores.

La información involucrada en las transacciones de servicios de aplicaciones debe ser protegida para prevenir la El intercambio de información con diversas partes interesadas, hace necesario el uso de Política de seguridad de las operaciones POL-Si-47, Política de Control de Acceso POL-SI-24,
Protección de las transacciones
80 A.14.1.3 Implementado transmisión incompleta, errores de enrutamiento, alteración no autorizada del mensaje, revelación, duplicación, o SI redes públicas para la organización. Esta situación supone una serie de riesgos que se Matriz de privilegios FOR-SI-28, Formato de gestión de usuarios y equipos FOR-SI-29,
de servicios de aplicaciones
reproducción de mensaje no autorizadas pueden minimizar y/o controlar convenios de confidencialidad de empleados,

81 A.14.2.1 Política de desarrollo seguro N/A Se deben establecer y aplicar reglas dentro de la organización para el desarrollo de aplicaciones y sistemas. NO No se lleva a cabo desarrollo de software en la organización N/A

Procedimiento de control de La implantación de cambios a lo largo del ciclo de vida del desarrollo debe controlarse mediante el uso de
82 A.14.2.2 N/A NO No se lleva a cabo desarrollo de software en la organización N/A
cambios en sistemas procedimientos formales de control de cambios.

Revisión técnica de las
83 A.14.2.3 aplicaciones tras efectuar
cambios en el sistema operativo
Cuando se modifiquen los sistemas operativos, las aplicaciones de negocio críticas deben ser revisadas y probadas
Implementado
para garantizar que no existen efectos adversos en las operaciones o la seguridad de la organización
Debido a que la disponibilidad del servicio es altamente relevante para el cliente, los
SI sistemas operativos deben garantizar su operatividad y funcionalidad, de ahí que se debe Hoja de vida del software FOR-SI-16
de probar su funcionalidad para evitar contratiempos y falta de funcionalidad
 Las modificaciones o alteraciones del software y aplicaciones de negocios no están
Restricciones a los cambios en Se deben desaconsejar las modificaciones· en los paquetes de software, limitándose a los cambios necesarios, y todos permitidas al personal. Sólo la gerencia de sistemas y de soporte están facultadas para
84 A.14.2.4 Implementado SI Política de seguridad de las operaciones POL-SI-47
los paquetes de software los cambios deben ser objeto de un control riguroso hacer adecuaciones de acuerdo a los requerimientos del cliente externos o de la
dirección

Principios de ingeniería de Principios de ingeniería de sistemas seguros se deben establecer, documentar, mantener y aplicarse a todos los Los Principios de ingeniería de sistemas seguros se aplican para los sistemas y
85 A.14.2.5 Implementado SI Política de seguridad de las operaciones POL-SI-47
sistemas seguros esfuerzos de implementación de sistemas de información. aplicaciones en su actualización o cambios

Las organizaciones deben establecer y proteger adecuadamente los entornos de desarrollo seguro para el desarrollo del
86 A.14.2.6 Entorno de desarrollo seguro N/A NO No se lleva a cabo desarrollo de software en la organización N/A
sistema y los esfuerzos de integración que cubren todo el ciclo de vida de desarrollo del sistema.

Externalización del desarrollo

87 A.14.2.7 N/A El desarrollo de software externalizado debe ser supervisado y controlado por la organización NO No se ha considerado actualmente solicitar desarrollo de software a proveedores N/A
del software

Pruebas funcionales de
88 A.14.2.8 N/A Se deben llevar a cabo pruebas de la seguridad funcional durante el desarrollo. NO No se lleva a cabo desarrollo de software en la organización N/A
seguridad de sistemas

Pruebas de aceptación de Se deben establecer programas de pruebas de aceptación y criterios relacionados para nuevos sistemas de información, Las actualizaciones de los softwares o los cambios son probados para asegurar su
89 A.14.2.9 Implementado SI Hoja de vida del software FOR-SI-16
sistemas actualizaciones y nuevas versiones. operatividad

Protección de los datos de Para las pruebas a los sistemas se utilizan datos ficticios. Pero en caso de tener que Se utilizan datos ficticios para las pruebas y en caso de utilizarse datos reales se indicara en la
90 A.14.3.1 Implementado Los datos de prueba se deben seleccionar con cuidado y deben ser protegidos y controlados. SI
prueba utilizarse se protegeran hoja de vida del software FOR-SI-16

Política de seguridad de la
91 A.15.1.1 información en las relaciones
con los proveedores
Los requisitos de seguridad de la información para la mitigación de los riesgos asociados con el acceso del proveedor
Implementado
a los activos de la organización deben acordarse con el proveedor y quedar documentados.
Debido a que algunos de los proveedores tienen acceso a áreas seguras y/o información
Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
SI crítica, así como a sistemas y aplicaciones, se requiere de un marco normativo que
triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
establezca un esquema de regulaciones y sanciones en caso de alguna situación anómala

Debido a que algunos de los proveedores tienen acceso a áreas seguras y/o información
Requisitos de seguridad en Todos los requisitos relacionados con la seguridad de la información deben establecerse y acordarse con cada Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
92 A.15.1.2 Implementado SI crítica, así como a sistemas y aplicaciones, se requiere de un marco normativo que
contratos con terceros proveedor que puede acceder, tratar, almacenar, comunicar, o proporcionar componentes de la infraestructura IT. triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
establezca un esquema de regulaciones sanciones en caso de alguna situación anómala

Cadena de suministro de
93 A.15.1.3 tecnología de la información y
de las comunicaciones
Los acuerdos con proveedores deben incluir requisitos para hacer frente a los riesgos de seguridad de la información
Implementado
relacionados con las tecnologías de la información y las comunicaciones y con la cadena de suministro de productos.
Debido a que algunos de los proveedores tienen acceso a áreas seguras y/o información
Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
SI crítica, así como a sistemas y aplicaciones, se requiere de un marco normativo que
triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
establezca un esquema de regulaciones sanciones en caso de alguna situación anómala

Control y revisión de la Aparte de las regulaciones que se establecen con los proveedores a través de contratos
Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
94 A.15.2.1 provisión de servicios del Implementado Las organizaciones deben controlar, revisar y auditar regularmente la provisión de servicios del proveedor SI de servicios y convenios de confidencialidad, es importa asegurarse que los servicios
triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
proveedor proporcionados se cumplen de acuerdo a dichos requisitos.

Se deben gestionar los cambios en la provisión del servicio, incluyendo el mantenimiento y la mejora de las políticas, Aparte de las regulaciones que se establecen con los proveedores a través de contratos
Gestión de cambios en la
los procedimientos y controles de seguridad de la información existentes, teniendo en cuenta la criticidad de los de servicios y convenios de confidencialidad, es importa asegurarse que los servicios Política de proveedores POL-SI-23, contratos de prestación de servicios con proveedores,
95 A.15.2.2 provisión del servicio del Implementado SI
procesos y sistemas de negocio afectados así como la reapreciación de proporcionados se cumplen de acuerdo a dichos requisitos o que ante algún cambio, se triptico de seguridad de la información para proveedores, evaluación a proveedores FOR-SI-41
proveedor
los riesgos adecuan los contratos que regulan el servicio

La aparición de algún incidente en materia de seguridad de la información debe de

gestionarse de forma adecuada, para asegurar el aprendizaje y la mejora a través de
Responsabilidades y Se deben establecer las responsabilidades y procedimientos de gestión para garantizar una respuesta rápida, efectiva y Política de Gestión de Incidentes POL-SI-37, bitácora de incidentes FOR-SI-38, Formato de
96 A.16.1.1 Implementado SI acciones que permitan reducir los incidentes mediante controles adecuados. Todo esto
procedimientos adecuada a los incidentes de seguridad de la información. tratamiento de incidentes FOR-SI-39, Política de Continuidad del negocio POL-SI-40
se lograra en la medida en que se cuenten con mecanismos de alertamiento, su registro,
análisis y tratamiento.

La aparición de algún incidente en materia de seguridad de la información debe de

gestionarse de forma adecuada, para asegurar el aprendizaje y la mejora a través de
Notificación de los eventos de Política de Gestión de Incidentes POL-SI-37, bitácora de incidentes FOR-SI-38, Formato de
97 A.16.1.2 Implementado Los eventos de seguridad de la información se deben notificar por los canales de gestión adecuados lo antes posible. SI acciones que permitan reducir los incidentes mediante controles adecuados. Todo esto
seguridad de la información tratamiento de incidentes FOR-SI-39, Política de Continuidad del negocio POL-SI-40
se lograra en la medida en que se cuenten con mecanismos de alertamiento, su registro,
análisis y tratamiento.

La aparición de algún incidente en materia de seguridad de la información debe de

Notificación de puntos débiles Todos los empleados, contratistas, terceras partes usuarias de los sistemas y servicios de información deben ser gestionarse de forma adecuada, para asegurar el aprendizaje y la mejora a través de
Política de Gestión de Incidentes POL-SI-37, bitácora de incidentes FOR-SI-38, Formato de
98 A.16.1.3 de la seguridad de la Implementado obligados a anotar y notificar cualquier punto débil que observen o que sospechen que exista, en los sistemas o SI acciones que permitan reducir los incidentes mediante controles adecuados. Todo esto
tratamiento de incidentes FOR-SI-39, Política de Continuidad del negocio POL-SI-40
información servicios se lograra en la medida en que se cuenten con mecanismos de alertamiento, su registro,
análisis y tratamiento.

La aparición de algún incidente en materia de seguridad de la información debe de

Evaluación y decisión sobre los gestionarse de forma adecuada, para asegurar el aprendizaje y la mejora a través de
Los eventos de seguridad de la información deben ser evaluados y debe decidirse si se clasifican como Política de Gestión de Incidentes POL-SI-37, bitácora de incidentes FOR-SI-38, Formato de
99 A.16.1.4 eventos de seguridad de Implementado SI acciones que permitan reducir los incidentes mediante controles adecuados. Todo esto
incidentes de seguridad de la información. tratamiento de incidentes FOR-SI-39, Política de Continuidad del negocio POL-SI-40
información se lograra en la medida en que se cuenten con mecanismos de alertamiento, su registro,
análisis y tratamiento.

La aparición de algún incidente en materia de seguridad de la información debe de

Respuesta a incidentes de
100 A.16.1.5
seguridad de la información
gestionarse de forma adecuada, para asegurar el aprendizaje y la mejora a través de
Los incidentes de seguridad de la información deben ser respondidos de acuerdo con los procedimientos Política de Gestión de Incidentes POL-SI-37, bitácora de incidentes FOR-SI-38, Formato de
Implementado SI acciones que permitan reducir los incidentes mediante controles adecuados. Todo esto
documentados tratamiento de incidentes FOR-SI-39, Política de Continuidad del negocio POL-SI-40
se lograra en la medida en que se cuenten con mecanismos de alertamiento, su registro,
análisis y tratamiento.

La aparición de algún incidente en materia de seguridad de la información debe de

Aprendizaje de los incidentes de
101 A.16.1.6
seguridad de la información
El conocimiento obtenido a partir del análisis y la resolución de incidentes de seguridad de información debe
Implementado
utilizarse para reducir la probabilidad o el impacto de los incidentes en el futuro
gestionarse de forma adecuada, para asegurar el aprendizaje y la mejora a través de
Política de Gestión de Incidentes POL-SI-37, bitácora de incidentes FOR-SI-38, Formato de
SI acciones que permitan reducir los incidentes mediante controles adecuados. Todo esto
tratamiento de incidentes FOR-SI-39, Política de Continuidad del negocio POL-SI-40
se lograra en la medida en que se cuenten con mecanismos de alertamiento, su registro,
análisis y tratamiento.

La aparición de algún incidente en materia de seguridad de la información debe de

gestionarse de forma adecuada, para asegurar el aprendizaje y la mejora a través de
La organización debe definir y aplicar procedimientos para la identificación recogida, adquisición y preservación de Política de Gestión de Incidentes POL-SI-37, bitácora de incidentes FOR-SI-38, Formato de
102 A.16.1.7 Recopilación de evidencias Implementado SI acciones que permitan reducir los incidentes mediante controles adecuados. Todo esto
información que puede servir de evidencia. tratamiento de incidentes FOR-SI-39, Política de Continuidad del negocio POL-SI-40
se lograra en la medida en que se cuenten con mecanismos de alertamiento, su registro,
análisis y tratamiento.

Para la naturaleza de nuestra organización y el alcance definido, la continuidad de la

seguridad de la información, aún bajo situaciones adversas, debe de mantenerse o en su
Planificación de la continuidad
La organización debe determinar sus necesidades de seguridad de la información y de continuidad para la gestión de caso no verse afectada seriamente.
103 A.17.1.l de la seguridad de la Implementado SI Política de Continuidad del Negocio POL-SI-40
seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o desastre. La forma de mitigar el impacto de situaciones adversas es mediante el establecimiento
información
de controles y planes, así como la realización de simulacros que contemplen a la
infraestructura y al personal para que estén preparados

Para la naturaleza de nuestra organización y el alcance definido, la continuidad de la

Implementar la continuidad de
104 A.17.1.2
la seguridad de la información
seguridad de la información, aún bajo situaciones adversas, debe de mantenerse o en su
La organización debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para caso no verse afectada seriamente.
Implementado SI Política de Continuidad del Negocio POL-SI-40
asegurar el nivel requerido de continuidad de la seguridad de la información durante una situación adversa. La forma de mitigar el impacto de situaciones adversas es mediante el establecimiento
de controles y planes, así como la realización de simulacros que contemplen a la
infraestructura y al personal para que estén preparados

Para la naturaleza de nuestra organización y el alcance definido, la continuidad de la

Verificación, revisión y
105 A.17.1.3 evaluación de la continuidad de
la seguridad de la información
seguridad de la información, aún bajo situaciones adversas, debe de mantenerse o en su
La organización debe comprobar los controles establecidos e implementados a intervalos regulares para asegurar que caso no verse afectada seriamente.
Implementado SI Política de Continuidad del Negocio POL-SI-40
son válidos y eficaces durante situaciones adversas La forma de mitigar el impacto de situaciones adversas es mediante el establecimiento
de controles y planes, así como la realización de simulacros que contemplen a la
infraestructura y al personal para que estén preparados

Se pretende que ante la aparición de alguna situación adversa o contingencia o la

Disponibilidad de los recursos Los recursos de tratamiento de la información deben ser implementados con la redundancia suficiente para satisfacer indisponibilidad de algún recurso, se pueda contar con recursos alternos que permitan la
106 A.17.2.1 Implementado SI Política de Continuidad del Negocio POL-SI-40
de tratamiento de la información los requisitos de disponibilidad. operación y su continuidad. Para esto se requiere que la organización tenga capacidad
de recursos e instalaciones para este propósito

Identificación de la legislación
107 A.18.1.1 aplicable y de. los requisitos
contractuales
Todos los requisitos pertinentes, tanto legales como regulatorios, estatutarios o contractuales, y el enfoque de la
Implementado organización para cumplirlos, deben definirse de forma explícita, documentarse y mantenerse actualizados para cada
sistema de información de la organización.
La relación con diferentes partes interesadas, trae consigo una serie de regulaciones
tanto de carácter legal, normativo, contractual, entre otros. Estas regulaciones, deben de
SI Política de cumplimiento legal POL-SI-52
estar debidamente identificadas y ser cumplidas por la organización. Por ello, un control
o procedimiento permitirán que se puedan cumplir adecuadamente

Derechos de propiedad
108 A.18.1.2
intelectual (DPJ)
Deben implementarse procedimientos adecuados para garantizar el cumplimiento de los requisitos legales,
Implementado regulatorios y contractuales sobre el uso de materiales, con respecto a los cuales puedan existir derechos de propiedad
intelectual y sobre el uso de productos de software patentados.
La relación con diferentes partes interesadas, trae consigo una serie de regulaciones
tanto de carácter legal, normativo, contractual, entre otros. Estas regulaciones, deben de
SI Política de cumplimiento legal POL-SI-52
estar debidamente identificadas y ser cumplidas por la organización. Por ello, un control
o procedimiento permitirán que se puedan cumplir adecuadamente

Las evidencias que se generan en la organización derivado de su operación y las

Protección de los registros de la Los registros deben estar protegidos contra la pérdida, destrucción, falsificación, revelación o acceso no autorizados
109 A.18.1.3 Implementado SI regulaciones que debe de cumplir, tienen que estar sometidas a criterios estandarizados Política de cumplimiento legal POL-SI-52
organización de acuerdo con los requisitos legales, regulatorios, contractuales y de negocio.
y a responsables de su custodia

De acuerdo a la definición de nuestro alcance, esta es la parte medular de nuestro SGSI

Protección y privacidad de la Deber garantizarse la protección y la privacidad de los datos, según se requiera en la legislación y la reglamentación
110 A.18.1.4 Implementado SI y la razón de dicho sistema, además de estar regulado por la Ley Federal de Protección Política de cumplimiento legal POL-SI-52
información de carácter personal aplicables
de Datos Personales en Posesión de Particulares

Regulación de los controles Se cuenta con la exigencia por parte de los clientes de cifrar la información y por lo
111 A.18.1.5 Implementado Los controles criptográficos se deben utilizar de acuerdo con todos los contratos, leyes y regulaciones pertinentes. SI Política de cumplimiento legal POL-SI-52
criptográficos tanto de regular los controles criptográficos (aunque no para todos los clientes)

Un mecanismo importante de mejora para el SGSI será la evaluación que de forma

Revisión independiente de la
112 A.18.2.1
seguridad de la información
E l enfoque de la organización para la gestión de seguridad de la información y su implantación (es decir,
independiente se le haga de forma periódica. Esto permitirá enriquecer y mejorar los
objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la info1mación), debe
Implementado SI controles, evidencias, procedimientos, políticas, a las personas, entre otros, del propio Política de cumplimiento legal POL-SI-52
someterse a una revisión independiente a intervalos planificados o siempre que se produzcan cambios significativos en
SGSI. Además, es obligatorio por diversos clientes la evaluación a la organización en
la implantación de la seguridad.
materia de seguridad de la información.

Cumplimiento de las políticas y
113 A.18.2.2
normas de seguridad
Los directivos deben asegurarse de que todos los procedimientos de seguridad dentro de su área de responsabilidad se La alta dirección debe ser la primera en estar convencida de las bondades de la
Implementado realizan correctamente con el fin de cumplir las políticas y normas de seguridad y cualquier otro requisito de SI implantación de un SGSI, así como de cumplir con los lineamientos establecidos y de Política de cumplimiento legal POL-SI-52
seguridad aplicable garantizar que hará cumplir al personal con los estándares establecidos

Comprobación del
114 A.18.2.3
cumplimiento técnico
Otro mecanismo importante de mejora para el SGSI será la evaluación que de forma
Debe comprobarse periódicamente que los sistemas de información cumplen las políticas y normas de seguridad de la
Implementado SI interna se le haga de forma periódica. Esto permitirá enriquecer y mejorar los controles, Política de cumplimiento legal POL-SI-52
información de la organización:
evidencias, procedimientos, políticas, a las personas, entre otros, del propio SGSI

Fecha última revisión 15-Aug-20

No. de revisión 3
Fecha de emisión Jan-20
Revisó GPPD
Aprobó DG