eMarismaPT-Auditoria Clinica DAME v1-20210515

PLAN DE TRATAMIENTO
VERSIÓN EXCLUSIVA PARA USO ACADÉMICO
Proyecto: Clinica Dame
Fecha 15/04/21 15:29
Patrón: SNT_08_001 - Patrón General 2013
Responsable: Ing. Raúl Gallegos Herrera
Descripción: El siguiente proyecto tiene como objetivo es una

pre-auditoria para la realización de un sistema de
gestión de Seguridad de la información, centrada en
el análisis
15/05/21 6:25
Plan de Tratamiento Clinica Dame - 15/05/2021
VR: Valor de Riesgo RRBI: Riesgo Residual Bloque Inicial RRBF: Riesgo Residual Bloque Final
RRI: Riesgo Residual Inicial RRF: Riesgo Residual Final
Cobertura
Ord Grupo Activos Código Nombre RRBI RRBF RRI RRF VR
1 Redes_comunicación_e [A.10.1.2] Gestión de claves 25.0 33.12 31.384 33.128 30.489 5.0
quipos_informáticos_ser
vidores
2 Redes_comunicación_e [A.8.3.2] Eliminación de soportes 38.46153 31.38 30.888 31.384 26.833 5.0
vidores
3 Redes_comunicación_e [A.6.2.2] Teletrabajo 38.88888 30.88 30.489 30.888 24.392 5.0
vidores
4 Redes_comunicación_e [A.6.2.1] Política de dispositivos 43.75 30.48 28.062 30.489 24.194 5.0
quipos_informáticos_ser móviles
vidores
5 Redes_comunicación_e [A.10.1.1] Política de uso de los 50.0 28.06 26.833 28.062 21.121 5.0
quipos_informáticos_ser controles criptográficos
vidores
6 Redes_comunicación_e [A.8.3.1] Gestión de soportes 50.0 26.83 25.339 26.833 19.587 5.0
quipos_informáticos_ser extraíbles
vidores
7 Redes_comunicación_e [A.7.2.2] Concienciación, 50.0 25.33 25.103 25.339 16.970 5.0
quipos_informáticos_ser educación y
vidores capacitación en
seguridad de la
información
8 Redes_comunicación_e [A.9.3.1] Uso de la información 56.25 25.10 24.392 25.103 12.066 5.0
quipos_informáticos_ser secreta de autenticación
vidores
9 Redes_comunicación_e [A.9.4.3] Sistema de gestión de 60.00000 24.39 24.194 24.392 12.937 5.0
quipos_informáticos_ser contraseñas
vidores
10 Redes_comunicación_e [A.8.3.3] Soportes físicos en 60.00000 24.19 23.298 24.194 14.562 5.0
quipos_informáticos_ser tránsito
vidores
11 Redes_comunicación_e [A.9.4.4] Uso de utilidades con 62.5 23.29 23.036 23.298 7.5716 5.0
quipos_informáticos_ser privilegios
vidores
12 Redes_comunicación_e [A.9.2.2] Provisión de acceso de 62.5 23.03 22.449 23.036 8.5251 5.0
quipos_informáticos_ser usuario
vidores
13 Redes_comunicación_e [A.9.2.4] Gestión de la 62.5 22.44 22.449 22.449 8.3760 5.0
quipos_informáticos_ser información secreta de
vidores autenticación de los
usuarios
14 Redes_comunicación_e [A.9.4.2] Procedimientos seguros 63.88888 22.44 22.449 22.449 7.3010 5.0
quipos_informáticos_ser de inicio de sesión
vidores
15 Redes_comunicación_e [A.8.1.2] Propiedad de los activos 66.66666 22.44 22.449 22.449 6.3088 5.0
vidores
www.emarisma.com - eMarisma IT Risk Management - ©2018 - 2021 eMarisma Shield S.L. All
2
Cobertura
Ord Grupo Activos Código Nombre RRBI RRBF RRI RRF VR
16 Redes_comunicación_e [A.8.1.3] Uso aceptable de los 66.66666 22.44 22.449 22.449 5.3165 5.0
quipos_informáticos_ser activos
vidores
17 Redes_comunicación_e [A.8.1.4] Devolución de activos 66.66666 22.44 21.121 22.449 4.3243 5.0
vidores
3
ORDEN: 1 ESTADO: 1
CÓDIGO CONTROL: [A.10.1.2]
NOMBRE CONTROL: Gestión de claves
FECHA PREVISTA: 17/05/21 0:00 FECHA PREVISTA: 22/05/22 0:00
RESPONSABLE: Área de Tecnologías de la información
PLAN: Adquirir un software, que permita la gestión y respaldo de las contraseñas.
RESULTADO: Fortificación del manejo de claves, garantizando la autenticación y el no repudio
FECHA 4/06/21 0:00
4
ORDEN: 2 ESTADO: 2
NOMBRE CONTROL: Eliminación de soportes
RESPONSABLE: Ing. Raúl Gallegos
PLAN: Revisión del manual de atención y soporte a los usuarios para generar un tiempo
más corto de respuesta.
RESULTADO: Optimización de recursos y personal para gestionar los problemas que presentan
los usuarios. Depuración del sistema de generación de tickets.
FECHA 1/06/21 0:00
5
ORDEN: 3 ESTADO: 1
NOMBRE CONTROL: Teletrabajo
RESPONSABLE: Ariel Villacis
PLAN: Definir el proceso de solicitud de permisos y autorizaciones del uso para creación
del usuario para el cliente VPN. Definir los proceso de aseguramiento de
comunicación para resguardar la integridad y confidencialidad de la información.
Definir políticas de trazabilidad de los equipos entregados al personal que lo
solicite.
RESULTADO: Garantizar la confidencialidad e integridad de la información generada por los

usuarios y controlar el acceso y los permisos a la base de datos de la
información sensible.
FECHA 23/09/21 0:00
6
ORDEN: 4 ESTADO: 2
NOMBRE CONTROL: Política de dispositivos móviles
RESPONSABLE: Área de TI
PLAN: Realizar un manual de Procedimientos y la adquisición de un sistema que

permita controlar el acceso a los dispositivos móviles, otorgando los permisos a
los diferentes usuarios. Siempre precautelando el mínimo privilegio de
administración
RESULTADO: Tener dispositivos móviles que permitan diferenciar cuando el personal se

encuentra dentro de la institución y fuera de la misma. El software garantiza la
confidencialidad en el caso de perdida o sustracción del dispositivo se permita la
eliminación y encriptación de la información.
FECHA 10/06/21 0:00
7
ORDEN: 5 ESTADO: 1
NOMBRE CONTROL: Política de uso de los controles criptográficos
PLAN: Definir un manual de procedimiento y los responsables de cada área. Mediante el

uso de credenciales poder encriptar la información sensible y tener un monitoreo
del manejo. Generar mecanismos de encriptación para resguardar la información
sensible de la institución.
RESULTADO: Garantizar la integridad y la confidencialidad de la información, mediante el uso

de mecanismos y herramientas criptográficas
FECHA 8/02/22 0:00
8
ORDEN: 6 ESTADO: 2
NOMBRE CONTROL: Gestión de soportes extraíbles
PLAN: Definir la ubicación y el responsable del manejo de los dispositivos extraíbles.

También manejar un registro del personal que extrae información de la
institución. Generar un proceso de encriptación de los dispositivos para
garantizar la seguridad
RESULTADO: Se socializo la política de gestión de soportes extraíbles, definiendo el proceso

para el manejo de los mismos
FECHA 20/04/21 0:00
9
ORDEN: 7 ESTADO: 2
NOMBRE CONTROL: Concienciación, educación y capacitación en seguridad de la

información
PLAN: Impartir cursos y seminarios sobre la importancia de la seguridad para todo el

personal, motivándolos para unas buenas prácticas de seguridad informática.
RESULTADO: Se realizo varias semanas en las que el personal fue capacitado, de igual
manera se realizo un plan piloto de ingeniería social para ver el nivel de reacción
y concienciación.
De igual manera se genero un calendario para continuar con los cursos sobre
seguridad.
FECHA 15/06/21 0:00
10
ORDEN: 8 ESTADO: 1
NOMBRE CONTROL: Uso de la información secreta de autenticación
PLAN: Capacitación a los responsables de la información para mantener un manejo

seguro y que eviten la divulgación de dicha información. Generar un calendario
de rotación de obligaciones y una asignación de separación de obligaciones para
garantizar la integridad.
RESULTADO: Garantizar un manejo seguro para mantener los datos libres de modificaciones
no autorizadas.
FECHA 10/06/21 0:00
11
ORDEN: 9 ESTADO: 1
NOMBRE CONTROL: Sistema de gestión de contraseñas
PLAN: Mejora y revisión del manual de seguridad de contraseñas.
RESULTADO: Definir la dimensión de las contraseñas, número de intentos de ingreso, doble

factor de autenticación. Capacitación al personal para el uso adecuado de
contraseñas y factores que pueden generar un riesgo.
FECHA 14/10/21 0:00
12
ORDEN: 10 ESTADO: 2
NOMBRE CONTROL: Soportes físicos en tránsito
PLAN: Seguridad y control físico de las áreas sensibles
RESULTADO: Asegurar el ingreso, protección de bienes y control de acceso del personal a las
diferentes áreas.
FECHA 19/08/21 0:00
13
ORDEN: 11 ESTADO:
NOMBRE CONTROL: Uso de utilidades con privilegios
FECHA PREVISTA: FECHA PREVISTA:
RESPONSABLE:
PLAN:
RESULTADO:
FECHA
14
ORDEN: 12 ESTADO:
NOMBRE CONTROL: Provisión de acceso de usuario
RESPONSABLE:
PLAN:
RESULTADO:
FECHA
15
ORDEN: 13 ESTADO:
NOMBRE CONTROL: Gestión de la información secreta de autenticación de los

usuarios
RESPONSABLE:
PLAN:
RESULTADO:
FECHA
16
ORDEN: 14 ESTADO:
NOMBRE CONTROL: Procedimientos seguros de inicio de sesión
RESPONSABLE:
PLAN:
RESULTADO:
FECHA
17
ORDEN: 15 ESTADO:
NOMBRE CONTROL: Propiedad de los activos
RESPONSABLE:
PLAN:
RESULTADO:
FECHA
18
ORDEN: 16 ESTADO:
NOMBRE CONTROL: Uso aceptable de los activos
RESPONSABLE:
PLAN:
RESULTADO:
FECHA
19
ORDEN: 17 ESTADO:
NOMBRE CONTROL: Devolución de activos
RESPONSABLE:
PLAN:
RESULTADO:
FECHA
20
21

eMarismaPT-Auditoria Clinica DAME v1-20210515

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

eMarismaPT-Auditoria Clinica DAME v1-20210515

Cargado por

Copyright:

Formatos disponibles

PLAN DE TRATAMIENTO

VERSIÓN EXCLUSIVA PARA USO ACADÉMICO

Proyecto: Clinica Dame

Fecha 15/04/21 15:29

Patrón: SNT_08_001 - Patrón General 2013

Responsable: Ing. Raúl Gallegos Herrera

Descripción: El siguiente proyecto tiene como objetivo es una

RRI: Riesgo Residual Inicial RRF: Riesgo Residual Final

CÓDIGO CONTROL: [A.10.1.2]

NOMBRE CONTROL: Gestión de claves

FECHA PREVISTA: 17/05/21 0:00 FECHA PREVISTA: 22/05/22 0:00

RESPONSABLE: Área de Tecnologías de la información

PLAN: Adquirir un software, que permita la gestión y respaldo de las contraseñas.

RESULTADO: Fortificación del manejo de claves, garantizando la autenticación y el no repudio

FECHA 4/06/21 0:00

CÓDIGO CONTROL: [A.8.3.2]

NOMBRE CONTROL: Eliminación de soportes

FECHA PREVISTA: 17/05/21 0:00 FECHA PREVISTA: 1/07/21 0:00

RESPONSABLE: Ing. Raúl Gallegos

FECHA 1/06/21 0:00

CÓDIGO CONTROL: [A.6.2.2]

NOMBRE CONTROL: Teletrabajo

FECHA PREVISTA: 17/05/21 0:00 FECHA PREVISTA: 16/11/21 0:00

RESPONSABLE: Ariel Villacis

RESULTADO: Garantizar la confidencialidad e integridad de la información generada por los

FECHA 23/09/21 0:00

CÓDIGO CONTROL: [A.6.2.1]

NOMBRE CONTROL: Política de dispositivos móviles

FECHA PREVISTA: 14/01/21 0:00 FECHA PREVISTA: 29/06/21 0:00

PLAN: Realizar un manual de Procedimientos y la adquisición de un sistema que

RESULTADO: Tener dispositivos móviles que permitan diferenciar cuando el personal se

FECHA 10/06/21 0:00

CÓDIGO CONTROL: [A.10.1.1]

NOMBRE CONTROL: Política de uso de los controles criptográficos

FECHA PREVISTA: 17/05/21 0:00 FECHA PREVISTA: 10/05/22 0:00

PLAN: Definir un manual de procedimiento y los responsables de cada área. Mediante el

RESULTADO: Garantizar la integridad y la confidencialidad de la información, mediante el uso

FECHA 8/02/22 0:00

CÓDIGO CONTROL: [A.8.3.1]

NOMBRE CONTROL: Gestión de soportes extraíbles

FECHA PREVISTA: 13/04/21 0:00 FECHA PREVISTA: 29/04/21 0:00

PLAN: Definir la ubicación y el responsable del manejo de los dispositivos extraíbles.

RESULTADO: Se socializo la política de gestión de soportes extraíbles, definiendo el proceso

FECHA 20/04/21 0:00

CÓDIGO CONTROL: [A.7.2.2]

NOMBRE CONTROL: Concienciación, educación y capacitación en seguridad de la

FECHA PREVISTA: 17/05/21 0:00 FECHA PREVISTA: 16/11/21 0:00

PLAN: Impartir cursos y seminarios sobre la importancia de la seguridad para todo el

FECHA 15/06/21 0:00

CÓDIGO CONTROL: [A.9.3.1]

NOMBRE CONTROL: Uso de la información secreta de autenticación

FECHA PREVISTA: 17/05/21 0:00 FECHA PREVISTA: 10/05/22 0:00

PLAN: Capacitación a los responsables de la información para mantener un manejo

FECHA 10/06/21 0:00

CÓDIGO CONTROL: [A.9.4.3]

NOMBRE CONTROL: Sistema de gestión de contraseñas

FECHA PREVISTA: 17/05/21 0:00 FECHA PREVISTA: 23/12/21 0:00

PLAN: Mejora y revisión del manual de seguridad de contraseñas.

RESULTADO: Definir la dimensión de las contraseñas, número de intentos de ingreso, doble

FECHA 14/10/21 0:00

CÓDIGO CONTROL: [A.8.3.3]

NOMBRE CONTROL: Soportes físicos en tránsito

FECHA PREVISTA: 17/05/21 0:00 FECHA PREVISTA: 23/12/21 0:00