Ssi Instrumento 2015

Red de Expertos
PMG/MEI -SSI: RESUMEN - DIAGNOSTICO Subsecretaría del Interior - División Inform

Dirección de Presupuestos - División Tecnologías de
Tabla: Porcentajes de Cumplimiento por Dominio del Diagnostico
DOMINIO % CUMPLIMIENTO % COBERTURA

Política de seguridad 0.00 0.00
Organización de la Seguridad de la Información 0.00 0.00
Gestión de Activos 0.00 0.00
Seguridad de recursos humanos 0.00 0.00
Seguridad Física y Ambiental 0.00 0.00
Gestión de las comunicaciones y operaciones 0.00 0.00
Control de acceso 0.00 0.00
Adquisición, desarrollo y mantenimiento de los sistemas de información 0.00 0.00
Gestión de un incidente en la seguridad de la información 0.00 0.00
Gestión de la continuidad del negocio 0.00 0.00
Cumplimiento 0.00 0.00
ESTADO DE LA INSTITUCION (DIAGNOSTICO) 0.00 0.00
Estado de la Institución por Dominio (%)

Cumplimiento0.00
Gestión de la continuidad del negocio0.00
Gestión de un incidente en la seguridad de la información0.00
Adquisición, desarrollo y mantenimiento de los sistemas de información0.00
Control de acceso0.00
Gestión de las comunicaciones y operaciones0.00

STATUS_IN
Seguridad Física y Ambiental 0.00
Seguridad de recursos humanos0.00
Gestión de Activos0.00
Organización de la Seguridad de la Información0.00
Política de seguridad0.00
120 Programa de mejoramiento de la gestiónMinisterio del Interior
Adquisición, desarrollo y mantenimiento de los sistemas de información0.00
Control de acceso0.00
Gestión de las comunicaciones y operaciones0.00

STATUS_IN
Seguridad Física y Ambiental 0.00
Red de Expertos
PMG/MEI
Seguridad -SSI:
de recursos humanos0.00
RESUMEN - DIAGNOSTICO Subsecretaría del Interior - División Inform
Dirección de Presupuestos - División Tecnologías de
Gestión de Activos0.00
Organización de la Seguridad de la Información0.00
Política de seguridad0.00
0.00 10.00 20.00 30.00 40.00 50.00 60.00 70.00 80.00 90.00 100.00

Red de Expertos
secretaría del Interior - División Informática
Presupuestos - División Tecnologías de Información
STATUS_INICIAL

STATUS_INICIAL
Red de Expertos
secretaría del Interior - División Informática
Presupuestos - División Tecnologías de Información
90.00 100.00

12. SEGURIDAD DE LAS OPERACIONES
NO 43%
SI 57%
Cumple %
5. POLÍTICAS DE SEGURIDAD.
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC.
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
8. ADMINISTRACION DE ACTIVOS.
9. CONTROL DE ACCESOS.
10. CIFRADO.
11. SEGURIDAD FÍSICA Y AMBIENTAL
12. SEGURIDAD DE LAS OPERACIONES
13. SEGURIDAD EN LAS COMUNICACIONES
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO. DEL SISTEMAS DE INFORMACIÓN
15. RELACIONES CON EL PROVEEDOR.
16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.
18. Cumplimiento
Total Cumplimiento
5. POLÍTICAS DE SEGURIDAD. 6. ASPEC

SEGUR
NO 50% SI 50%
7. SEGURIDAD LIGADA A LOS 8. ADM

RECURSOS HUMANOS.
NO 50% SI 50%
NO
RECURSOS HUMANOS.
NO 50% SI 50%
NO
9. CONTROL DE ACCESOS. 11. SEGU
NO 14%
NO
SI 86%
12. SEGURIDAD DE LAS OPERACIONES 13. SEGURID
NO 43%
SI 57%
14. ADQUISICIÓN, DESARROLLO Y 15. RELAC

MANTENIMIENTO. DEL SISTEMAS DE
INFORMACIÓN
14. ADQUISICIÓN, DESARROLLO Y 15. RELAC
MANTENIMIENTO. DEL SISTEMAS DE
INFORMACIÓN
NO 100%
16. GESTIÓN DE INCIDENTES DE 17. ASPECT

SEGURIDAD DE LA INFORMACIÓN. FORMAC
CONTI
NO 100%
18. Cumplimiento
NO 100%
Si % No %
50 50 Total Cumplimiento
43 57
NA 6%
50 50
40 60
86 14
- 100
SI 35%
40 60
57 43
29 71
- 100 NO 59%
- 100
- 100
25 75
- 100
Si % No % No Aplica
35.09% 58.77% 6.14%
6. ASPECTOS ORGANIZATIVOS DE LA
SEGURIDAD DE LA INFORMAC.
SI 43%
NO 57%
8. ADMINISTRACION DE ACTIVOS.
SI 40%
NO 60%
SI 40%
NO 60%
11. SEGURIDAD FÍSICA Y AMBIENTAL
SI 40%
NO 60%
13. SEGURIDAD EN LAS COMUNICACIONES
SI 29%
NO 71%

NO 100%
17. ASPECTOS DE SEGURIDAD DE LA IN-

FORMACION EN LA GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO.
SI 25%
NO 75%
27001-2009
27001-2013
REF. DS-83
CONTROL
CONTROL
DOMINIO
NCh-ISO
ISO
A.5 POLITICA DE SEGURIDAD
A.5.1 POLITICA DE SEGURIDAD DE LA INFORMACION
Política de Seguridad
Proveer orientacion y apoyo de la direccion para la seguridad de la informacion, de acuerdo con

Objetivo: requisitos del negocio, y con las regulaciones y leyes pertinentes.
A.5.1.1 Art. 11, letras A.5.1.1.
a,b,c
A.5
A.5.1.2 A.5.1.2
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION

A.6.1 ORGANIZACIÓN INTERNA
Objetivo Gestionar la seguridad de la información dentro de la organización.
A.6.1.1 Art. 12 ELIMINADO
Organización de la Seguridad de la Información
A.6.1.2 ELIMINADO
A.6.1.3 Art. 12, a,b A.6.1.1
A.6.1.7 Art. 12 Letra c A.6.1.4

A.6.1.6 A.6.1.3
A.6.1.4 ELIMINADO
A.6.1.5 A.13.2.4
A.6.1.8 A.18.2.1
A.6.2 ORGANIZACIÓN INTERNA
Objetivo Gestionar la seguridad de la información dentro de la organización.
A.6.2.1 Art. 10 Letra a ELIMINADO
A.6.2.2 Art. 10 Letra a-b- ELIMINADO
c
A.6.2.3 Art. 10 Letra a-b- A.15.1.2
c
A.7 GESTION DE ACTIVOS

A.7.1 RESPONSABILIDAD SOBRE LOS ACTIVOS
Objetivo Implementar y mantener una adecuada protección sovre los activos de la organización.
A.7.1.1. Art. 13 A.8.1.1
ION DE ACTIVOS
GESTION DE ACTIVOS
A.7.1.2 Art. 14 A.8.1.2
A.7.1.3 Art 15 A.8.1.3
A.7.2 CLASIFICACION DE LA INFORMACION

Objetivo Asegurar que la informacion recibe el nivel de proteccion adecuado.
A.7.2.1 Art 13 A.8.2.1
A.7.2.2 Art. 15 A.8.2.2

Art. 16
A.8 SEGURIDAD RELATIVA A RECURSOS HUMANOS

A.8.1 PREVIO AL EMPLEO
Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsab
y que sean aptospara los roles en los cuales estan siendo considerados, y para reducir el riego d
Objetivo fraude o mal uso de las instalaciones.
SEGURIDAD RELATIVA A RECURSOS HUMANOS
A.8.1.1 A.6.1.1
A.8.1.2 A.7.1.1
A.8.1.3 Art. 21 A.7.1.2
A.8.2 DURANTE EL EMPLEO

Asegurar que los empleados, contratistas y usuarios de terceras partes sean conscientes de las
amenazas y la pertinencia de la seguridad de la información, de sus responsabilidades y obligac
estén equipados para apoyar la politica de seguridad de la organización en el curso de su trabaj
Objetivo normal , y para reducir el riesgo de errores humanos.
A.8.2.1 Art. 20 A.7.2.1
A.8.2.2 A.7.2.2
A.8.2.3 A.7.2.3
A.8.3 FINALIZACION O CAMBIO DE LA RELACION LABORAL O EMPLEO

Asegurar que los empleados, contratistas o usuarios de terceras partes se desvinculen de una
Objetivo organización o cambien su relacion laboral de una forma ordenada.
A.8.3.1 A.7.3.1
A.8.3.2 A.8.1.4
A.8.3.3 A.9.2.6
A.9 SEGURIDAD FISICA Y DEL AMBIENTE

A.9.1 AREAS SEGURAS
Se deberían utilizar perímetros de seguridad (barreras tales como paredes, puertas de entrada
controladas por tarjeta o recepcionista) para proteger las areas que contienen información e
Objetivo instalaciones de procesamiento de información.
A.9.1.1 Art. 17 A.11.1.1
A.9.1.2 Art. 17 A.11.1.2
A.9.1.3 Art. 19 Letra a-b A.11.1.3

SEGURIDAD FISICA Y DEL AMBIENTE
A.9.1.4 Art. 17 A.11.1.4
A.9.1.5 Art. 17 A.11.1.5
A.9.1.6 Art. 17 A.11.1.6
A.9.2 SEGURIDAD DEL EQUIPAMIENTO

Prevenir pérdidas, daños, hurtos o comprometer los activos así como la interrupción de las activ
Objetivo de la instituicion.
A.9.2.1 Art.17 A.11.2.1
Art.18, letra a,c
A.9.2.2 Art. 17 A.11.2.2
A.9.2.3 Art. 10 Letra a A.11.2.3
A.9.2.4 A.11.2.4
A.9.2.5 A.11.2.6
A.9.2.6 Art. 26 Letra e A.11.2.7
A.9.2.7 A.11.2.5
A.10 GESTION DE COMUNICACIONES Y OPERACIONES
A.10.1 PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES

Objetivo Asegurar la operación correcta y segura de las instalaciones de procesamiento de la información
A.10.1.1 Art. 7 Letra b-c A.12.1.1
A.10.1.2 A.12.1.2
A.10.1.3 Art. 7 Letra f A.6.1.2
A.10.1.4 A.12.1.4
A.10.2 GESTION DE LA ENTREGA DEL SERVICIO DE TERCERAS PARTES
Clausula 8.1*
Implementar y mantener un nivel adecuado de la seguridad de la información y la entrega del se
Objetivo acorde con los acuerdos de entrega del servicio de terceras partes.
A.10.2.1 Clausula 8.1 (*)
A.10.2.2 A.15.2.1
Clausula 8.1 (*)
A.10.2.3 A.15.2.2
Clausula 8.1 (*)
A.10.3 PLANIFICACION Y ACEPTACION DEL SISTEMA.

Objetivo Minimizar el riesgo de falla de los sistemas
A.10.3.1 A.12.1.3
A.10.3.2 A.14.2.9
A.10.4 PROTECCION CONTRA EL CODIGO MALICIOSO Y CODIGO MOVIL

Objetivo Proteger la integridad del software y de la información.
A.10.4.1 Art. 22, c A.12.2.1
Art. 26, a
A.10.5 RESPALDO
Objetivo Mantener la integridad y disponibilidad de la informacion y de las instalaciones de procesamiento
informacion.
A.10.5.1 Art. 24 Letras A.12.3.1
a-b-c-d-e-f-g
Gestión de comunicaciones y operaciones
A.10.6 GESTION DE LA SEGURIDAD DE RED

Objetivo Asegurar la proteccion de la información en redes y la proteccion de la infraestructura de soporte
A.10.6.1 A.13.1.1
A.10.6.2.Párr.1 A.13.1.2
A.10.6.2.Párr.2
A.10.6.2.Párr.3
A.10.7 MANEJO DE LOSno
Evitar divulgacion MEDIOS
autorizada, modificacion, borrado o destruccion de los activos e interrupcio
Objetivo actividades de negocio.
A.10.7.1 Art. 24 Letra e A.8.3.1
A.10.7.2 Art. 15 A.8.3.2

Letra d
A.10.7.3 Art. 15 A.8.2.3
A.10.7.4 ELIMINADO
A.10.8 INTERCAMBIO
Manterner DE INFORMACION
la seguridad de la informacion y software intercambiado dentro de una organización y
Objetivo cualquier otra entidad.
A.10.8.1 Art. 9 A.13.2.1
Art. 10 Letra a
A.10.8.2 Art. 10 Letra a A.13.2.2
A.10.8.3 A.8.3.3
A.10.8.4 Art. 25 Letras A.13.2.3

a-b-c-d-e-f-g-h-i.
Art. 26 Letras
a-c-d.
A.10.8.5 Art. 7, Letras ELIMINADO
a-b-c. Art. 9.
A.10.9 SERVICIOS DE COMERCIO ELECTRONICO

La informacion involucrada en el comercio electronico sobre redes publicas deberia ser protegida
Objetivo actividades fraudulentas, disputas contractuales, y su divilgacion o modificacion no autorizada.
A.10.9.1 A.14.1.2
A.10.9.3 Art. 26 Letra b
A.10.9.2 A.14.1.3
A.10.10 SEGUIMIENTO
Objetivo Detectar actividades de procesamiento de informacion no autorizadas.
A.10.10.1 Art. 23 A.12.4.1
A.10.10.2 Art. 7
A.10.10.5 Letra d
A.10.10.3 Art. 23 A.12.4.2
A.12.4.3
A.10.10.4 A.12.4.3
A.10.10.6 A.12.4.4
A.11 CONTROL DE ACCESO

A.11.1 REQUISITOS DEL NEGOCIO PARA EL CONTROL DE ACCESO
Objetivo Controlar el acceso a la informacion.
A.11.1.1 Art. 28 A.9.1.1
Letra a-b-c-d-e-f-
g-h-i-j
A.11.2 GESTION DEL ACCESO DE USUARIOS

Objetivo Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas de
informacion
A.11.2.1 Art. 27 A.9.2.1
Art. 28
Art. 29
A.11.2.1 A.9.2.2
A.11.2.2 Art. 30 A.9.2.3
A.11.2.3 Art. 32 A.9.2.4
A.11.2.4 A.9.2.5
A.11.3 RESPONSABILIDADES DEL USUARIO

Objetivo Prevenir el acceso de usuario no autorizado, y el robo o compromiso de la información y de las
instalaciones de procesamiento de la informacion.
A.11.3.1 Art. 27 A.9.3.1
A.11.3.2 Art. 31 A.11.2.8

Letra a-b
A.11.3.3 Art. 18 Letra c A.11.2.9

Art. 31
A.11.4 CONTROL DE ACCESO A LA RED

Objetivo Prevenir el acceso de usuario no autorizado a los servicios de red
A.11.4.1 Art. 33, Letra a. A.9.1.2
Art. 27.
Control de acceso

Letra a
A.11.4.4 ELIMINADO
A.11.4.5 Art. 33 Letras A.13.1.3

b, c.
A.11.4.6 Art. 33 Letra c. ELIMINADO
A.11.4.7 ELIMINADO
A.11.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO

Objetivo Evitar el acceso no autorizado a los sistemas operativos.
A.11.5.1 Art. 27 A.9.4.2
A.11.5.2 Art. 27 A.9.2.1
A.11.5.3 Art. 27 A.9.4.3

A.11.5.4 A.9.4.4
A.11.5.5 Art. 31 Letra b A.9.4.2
A.11.5.6
A.11.6 CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACION
Objetivo Evitar el acceso no autorizado a la información contenida en los sistemas de aplicación.
A.11.6.1 A.9.4.1
A.11.6.2 ELIMINADO
A.11.7 INFORMATICA
Garantizar MOVIL Yde
la seguridad TRABAJO REMOTO
la información cuando se usan dispositivos de informática móvil y tra
Objetivo remoto.
A.11.7.1 Art. 7, Letra a A.6.2.1
Art. 9
A.11.7.2 A.6.2.2
A.12 ADQUISICION DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION
A.12.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION

Objetivo Asegurar que la seguridad es parte integral de los sitemas de información.
A.12.1.1 10.1.1 A.14.1.1
A.12.2 PROCESAMIENTO CORRECTO EN LAS APLICACIONES

Objetivo Prevenir errores, perdida, modificacion no autorizada o mal uso de información en aplicaciones.
A.12.2.1 10.2.1 ELIMINADO
A.12.2.3.Párr.1 10.2.3 ELIMINADO

mantenimiento de los sistemas de información
A.12.2.3.Párr.2 ELIMINADO
A.12.3 CONTROLES CRIPTOGRAFICOS

Objetivo Proteger la confidencialidad, autenticidad o integridad de la informacion por medios criptografico
A.12.3.1 10.3.1 A.10.1.1
A.12.3.2 10.3.1.b A.10.1.2
A.12.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA

Objetivo Garantizar la seguridad de los archivos del sistema
Adquisición, desarrollo y mantenimiento de l
A.12.4.1 10.4.1 A.12.5.1
A.12.4.2 10.4.2 A.14.3.1
A.12.4.3 10.4.3 A.9.4.5
A.12.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

Objetivo Mantener la seguridad del software del sistema de aplicación e infrmación.
A.12.5.1 10.5.1 A.14.2.2
Clausula 8.1 (*)
A.12.5.2 10.5.2 A.14.2.3
Clausula 8.1 (*)
A.12.5.3 10.5.3 A.14.2.4
Clausula 8.1 (*)

A.12.5.5 10.5.5 A.14.2.7
A.12.6 GESTION DE VULNERABILIDAD TECNICA

Objetivo Reducir los riesgos resultantes de la explotacion de vulnerabilidades tecnicas publicadas.
A.12.6.1 A.12.6.1
Clausula 8.1*
A.13 GESTION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION

A.13.1 Informar debilidades y eventos de seguridad de la informacion.
Gestión de un incidente en la seguridad
Asegurar que las debilidades y eventos de seguridad de la informacion asociados a sistemas de

Objetivo información son comunicados de manera de permitir tomar acciones correctivas a tiempo.
A.13.1.1 Art. 12 Letra b A.16.1.2
de la información
A.13.1.2 A.16.1.3
A.13.2
Objetivo
A.13.2.1 Art. 12 Letra b A.16.1.1
A.13.2.2 A.16.1.6
A.13.2.3 A.16.1.7
A.14 GESTION DE LA CONTINUIDAD DE NEGOCIO

A.14.1 Aspectos de la seguridad de la información en la gestion de la continuidad del negocio
inuidad del
Gestión de la continuidad del Contrarrestar interrupciones a las actividades del negocio y proteger los procesos criticos del ne
contra los efectos de fallas importantes en los sistemas de informacion o contra desastres, y ase
Objetivo restauración oportuna.
A.14.1.1 A.17.1.2
negocio
A.14.1.3 Art. 35
A.14.1.4
A.14.1.2 Art. 7 A.17.1.1
Letra d
Art. 8
A.14.1.5 A.17.1.3
A.15 CUMPLIMIENTO
A.15.1 Cumplimiento
Evitar de los requisitos
el incumplimiento legales
de cualquier ley, estatuto, regulacion u obligacion contractual, y de cualq
Objetivo requisito de seguridad.
A.15.1.1 A.18.1.1
A.15.1.2 Art. 22 A.18.1.2

Letra b
A.15.1.3 A.18.1.3
A.15.1.4 A.18.1.4
A.15.1.5 ELIMINADO
Cumplimiento
A.15.1.6 A.18.1.5
A.15.2 Cumplimiento de la política y las normas de seguridad, y cumplimiento técnico.

Objetivo Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la oganización.
A.15.2.1 Art. 7 A.18.2.2
Letra c
A.15.2.2 A.18.2.3
A.15.3 Consideraciones
Maximizar sobre ladeauditoría
la efectividad de sistemas
la interferencia, de información
y reducirla al mínimo, desde o hacia el proceso de a
Objetivo del sistema de información.
A.15.3.1 A.12.7.1
A.15.3.2 ELIMINADO
NOTA
(*) Los controles señalados se mapean al menos parcialmente contra requerimien
Por ejemplo, la clausula 8.1 en ISO 27001-2013 requiere que la organización
asegurar de que los procesos externalizados se determinan y controlan.
OBJETIVO DE CONTROL
D DE LA INFORMACION
o de la direccion para la seguridad de la informacion, de acuerdo con los
n las regulaciones y leyes pertinentes.
Políticas de seguridad de la información
Revisión de las políticas de seguridad de la información
EGURIDAD DE LA INFORMACION
a información dentro de la organización.
Roles y responsabilidades de la seguridad de la información.
Contacto con grupos especiales de interés.

Contacto con autoridades
Acuerdos de confidencialidad o no divulgacion

Revisión independiente de la seguridad de la información
a información dentro de la organización.
Abordar la seguridad dentro de los acuerdos del proveedor.
RE LOS ACTIVOS
a adecuada protección sovre los activos de la organización.
Inventario de activos
Propiedad de los activos
Uso aceptable de los activos
FORMACION
n recibe el nivel de proteccion adecuado.
Clasificación de la información.
Etiquetado de la información
RECURSOS HUMANOS
s, contratistas y usuarios de terceras partes entiendan sus responsabilidades,

oles en los cuales estan siendo considerados, y para reducir el riego de hurto,
alaciones.
Roles y responsabilidades de la seguridad de la informacion.
Selección.
Términos y condiciones de la relacion laboral.
s, contratistas y usuarios de terceras partes sean conscientes de las

de la seguridad de la información, de sus responsabilidades y obligaciones, y
ar la politica de seguridad de la organización en el curso de su trabajo
esgo de errores humanos.
Responsabilidades de la dirección
Concientización, educación y formación en seguridad de la
información.
Proceso disciplinario
DE LA RELACION LABORAL O EMPLEO

s, contratistas o usuarios de terceras partes se desvinculen de una
relacion laboral de una forma ordenada.
Responsabilidades en la desvinculacion o cambio de empleo
Devolución de activos
Eliminacion o ajuste de los derechos de acceso
L AMBIENTE
ros de seguridad (barreras tales como paredes, puertas de entrada

cepcionista) para proteger las areas que contienen información e
ento de información.
Perímetro de seguridad física.
Controles de acceso físico.
Seguridad de oficinas, salas e instalaciones.
Protección contra amenazas externas y del ambiente.
Trabajo en áreas seguras.
Áreas de entrega y carga
urtos o comprometer los activos así como la interrupción de las actividades
Ubicación y protección del equipamiento
Elementos de soporte
Seguridad en el cableado
Mantenimiento del equipamiento
Seguridad del equipamiento y los activos fuera de las

instalaciones.
Seguridad en la reutilizacion o descarte de equipos.
Retiro de Activos.
CIONES Y OPERACIONES
ACIONALES Y RESPONSABILIDADES
ecta y segura de las instalaciones de procesamiento de la información
Procedimientos de operación documentados
Gestión de cambios
Segregación de funciones
Separación de los ambientes de desarrollo, prueba y

operacionales.
A DEL SERVICIO DE TERCERAS PARTES
Control y Planificacion operacional.

nivel adecuado de la seguridad de la información y la entrega del servicio,
e entrega del servicio de terceras partes.
(Cotrol y Planificacion operacional)
Supervision y revision de los servicios del proveedor.
(Control y Planificacion operacional)

Gestion de cambios a los servicios del proveedor.
(Cotrol y Planificacion operacional)
ACION DEL SISTEMA.

de los sistemas
Gestión de la capacidad
Prueba de aprobación del sistema
L CODIGO MALICIOSO Y CODIGO MOVIL

oftware y de la información.
Controles contra código malicioso
ponibilidad de la informacion y de las instalaciones de procesamiento de la
Respaldo de la información
DAD DE RED
a información en redes y la proteccion de la infraestructura de soporte.
Controles de red
Seguridad de los servicios de red
zada, modificacion, borrado o destruccion de los activos e interrupcion de las
Gestión de los medios removibles
Eliminacion de los medios.
Manejo de activos
a informacion y software intercambiado dentro de una organización y con

Políticas y procedimientos de transferencia de información.
Acuerdos sobre transferencia de información.
Transferencia física de medios.
Mensajería electrónica.
O ELECTRONICO
en el comercio electronico sobre redes publicas deberia ser protegida ante
sputas contractuales, y su divilgacion o modificacion no autorizada.
Aseguramiento de servicos de aplicación en redes publicas.
Proteccion de las transacciones de servicios de aplicación.
cesamiento de informacion no autorizadas.

Registro de Evento.
Protección de la información de registros.
Registros del administrador y operador
Registros del administrador y operador
Sincronización de relojes
CIO PARA EL CONTROL DE ACCESO

ormacion.
Política de control del acceso
E USUARIOS
arios autorizados y prevenir el acceso no autorizado a los sistemas de
Registro y cancelacion de registro de usuario.

Asignacion de acceso de usuario.
Gestión de derechos de acceso privilegiados.
Gestión de informacion secreta de autenticacion de usuarios.
Revisión de los derechos de acceso de usuario
EL USUARIO
rio no autorizado, y el robo o compromiso de la información y de las
ento de la informacion.
Uso de informacion de autenticacion secreta.
Equipo de usuario desatendido
Política de escritorio y pantalla limpios
rio no autorizado a los servicios de red

Accesos a las Redes y a los servicios de la red.
Separacion en las redes.
L SISTEMA OPERATIVO
do a los sistemas operativos.
Procedimientos de inicio de sesión seguro.
Registro y cancelacion de registro de usuario.
Sistema de gestión de contraseñas

Uso de programas utilitarios privilegiados.
Procedimientos de inicio de sesion seguro.
LAS APLICACIONES Y A LA INFORMACION

do a la información contenida en los sistemas de aplicación.
Restricción del acceso a la información
RABAJO REMOTO
la información cuando se usan dispositivos de informática móvil y trabajo
Política de dispositivos móviles.
Trabajo Remoto.
LLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION
DAD DE LOS SISTEMAS DE INFORMACION

es parte integral de los sitemas de información.
Análisis y especificación de requisitos de seguridad de la
información.
ECTO EN LAS APLICACIONES

modificacion no autorizada o mal uso de información en aplicaciones.
d, autenticidad o integridad de la informacion por medios criptograficos.

Política sobre el uso de controles criptográficos
Gestión de claves
HIVOS DEL SISTEMA

los archivos del sistema
Instalacion del software en sistemas operacionales.
Protección de datos de prueba.
Control de acceso al código fuente de los programas
OCESOS DE DESARROLLO Y SOPORTE

software del sistema de aplicación e infrmación.
Procedimientos de control del cambios del sistema.

Revisión técnica de las aplicaciones después de los cambios en
la plataforma de operación.
Restricciones sobre los cambios en los paquetes de software.

Filtración de información
Desarrollo tercerizado.

LIDAD TECNICA
ntes de la explotacion de vulnerabilidades tecnicas publicadas.
Control de las vulnerabilidades técnicas
S DE LA SEGURIDAD DE LA INFORMACION
tos de seguridad de la informacion.
es y eventos de seguridad de la informacion asociados a sistemas de
os de manera de permitir tomar acciones correctivas a tiempo.
Informe de eventos de seguridad de la información.
Informe de las debilidades de seguridad de la información.
Responsabilidades y procedimientos.
Aprendizaje de los incidentes de seguridad de la información.
Recolección de evidencia.
UIDAD DE NEGOCIO
e la información en la gestion de la continuidad del negocio
s a las actividades del negocio y proteger los procesos criticos del negocio
importantes en los sistemas de informacion o contra desastres, y asegurar su
Implementación de la continuidad de la seguridad de la

información.
Planificacion de la continuidad de la Seguridad de la Información.
Verificacion, revision y evaluacion de la continuidad de la

seguridad de la información.
cualquier ley, estatuto, regulacion u obligacion contractual, y de cualquier
Identificación de la legislación vigente y los requisitos

contractuales.
Derechos de propiedad intelectual.
Protección de los registros.
Privacidad y protección de la información de identificación

personal.
Regulación de los controles criptográficos.
y las normas de seguridad, y cumplimiento técnico.

cumplen con las normas y políticas de seguridad de la oganización.
Cumplimiento con las políticas y normas de seguridad.
Verificación del cumplimiento técnico.
uditoría de sistemas
la interferencia, de información
y reducirla al mínimo, desde o hacia el proceso de auditoría
Controles de auditoría de sistemas de información.
Protección de las herramientas de auditoría de los sistemas de

información
oles señalados se mapean al menos parcialmente contra requerimientos del SGSI.

plo, la clausula 8.1 en ISO 27001-2013 requiere que la organización se debe
de que los procesos externalizados se determinan y controlan.
27001-2009
27001-2013
CONTROL
CONTROL
NCh-ISO
ISO
OBJETIVO DE CONTROL REQUISITO de CONTROL
A.10.2.1 Entrega del servicio Se debiera asegurar que los controles de

seguridad, definiciones del servicio y niveles de
entrega incluidos en el acuerdo de entrega del
servicio de terceros se implementen, operen y
mantengan.
Clausula 8.1 (*)
Control y Planificacion (La organización se debe asegurar de que los procesos
operacional. externalizados se determinan y controlan)
A.5.1.1 A.05.01.01 Políticas de seguridad de La Dirección debe definir, aprobar, publicar y

la información comunicar a todos los empleados y a la partes
externas pertinentes un grupo de políticas para
la seguridad de la información.
A.5.1.2 A.05.01.02 Revisión de las políticas Se deben revisar las políticas de seguridad de la
de seguridad de la información a intervalos planificados o si se
información producen cambios significativos, para asegurar
su conveniencia, suficiencia y eficacia
contínuas.
A.8.1.1 A.06.01.01 Roles y responsabilidades Todas las responsabilidades de la seguridad de
de la seguridad de la la informacion deben ser definidas y asignadas.
informacion.
A.6.1.3
D06
A.10.1.3 A.06.01.02 Segregación de funciones Se deben segregar las funciones y las areas de
responsabilidad para reducir las oportunidades
de modificaciones no autorizadas o no
intencionales, o el uso inadecuado de los
activos de la organizacion.
A.6.1.6 A.06.01.03 Contacto con autoridades Se deben mantener los contactos apropiados
con las autoridades pertinentes.
A.6.1.7 A.06.01.04 Contacto con grupos Se deben mantener contactos apropiados con
especiales de interés. los grupos especiales de interés u otros foros
especializados en seguridad, así como
asociaciones de profesionales.
A.06.01.05 Seguridad de la Se debe abordar la seguridad de la información
información en la gestión en la gestión de proyecto, sin importar el tipo de
de proyecto. proyecto.
A.11.7.1 A.06.02.01 Política de dispositivos Se debe adoptar una politica y medidas de

móviles. apoyo a la seguridad para gestionar los riesgos
introducidos al usar dispositivos móviles.
A.11.7.2 A.06.02.02 Trabajo Remoto. Se debe implementar una política, y medidas de

apoyo a la seguridad para proteger la
informacion a la que se accede, procesa o
almacena en los lugares de trabajo remoto.
A.8.1.2 A.07.01.01 Selección. Se debe realizar la verificación de antecedentes

en todos los candidatos al empleo, de acuerdo
con las leyes, regulaciones y normas éticas
relevantes y en proporcion a los requisitos del
negocio, la clasificación de la información a ser
accedida, y los riesgos percibidos.
A.8.1.3 A.07.01.02 Términos y condiciones de Los acuerdos contractuales con los empleados
la relacion laboral. y contratistas deben indicar sus
responsabilidades y las de la organizacion en
cuanto a la seguridad de la información.
A.8.2.1 A.07.02.01 Responsabilidades de la La dirección debe solicitar a todos los

dirección empleados y contratistas que apliquen la
seguridad de la informacion de acuerdo con las
políticas y procedimientos establecidos por la
organización.
A.8.2.2 A.07.02.02 Concientización, Todos los empleados de la organización, y en
educación y formación en donde sea pertinente los contratistas, deben
seguridad de la recibir formación adecuada en concientización y
información. actualizaciones regulares en políticas y
procedimientos organizacionales, pertinentes
para su función laboral.
A.8.2.3 A.07.02.03 Proceso disciplinario Debe existir un proceso disciplinario formal y

sabido por los empleados para tomar acciones
en contra de los los empleados que han
cometido una infracción a la seguridad de la
información.
A.8.3.1 A.07.03.01 Responsabilidades en la Se deben definir y comunicar las
desvinculacion o cambio responsabilidades y funciones de la seguridad
de empleo de la información que siguen en vigor después
de la desvinculación o cambio de la relación
laboral.
A.7.1.1 A.08.01.01 Inventario de activos Los activos asociados a la información y a las

instalaciones de procesamiento de la
información deben ser identificados y se deben
mantener y realizar un inventario de dichos
activos.
A.7.1.2 A.08.01.02 Propiedad de los activos Los activos que se mantienen en inventario
deben pertenecer a un dueño.
A.7.1.3 A.08.01.03 Uso aceptable de los Se deben identificar, documentar e implementar

activos las reglas para el uso aceptable de la
información y los activos asociados con la
información y las instalaciones de
procesamiento de informacion.
A.8.3.2 A.08.01.04 Devolución de activos Todos los empleados y usuarios de terceras

partes deben devolver todos los activos
pertenecientes a la organizacion que estén en
su poder como consecuencia de la finalizacion
de su relacion laboral, contrato o acuerdo.
A.7.2.1 A.08.02.01 Clasificación de la La información debe ser clasificada en términos
información. de requisitos legales, criticidad y sensibilidad
para la divulgacion o modificacion sin
autorizacion.
A.7.2.2 A.08.02.02 Etiquetado de la Se debe desarrollar e implementar un conjunto

información apropiado de procedimientos para el etiquetado
de la información, de acuerdo al esquema de
clasificación de información adoptado por la
organizacion.
A.10.7.3 A.08.02.03 Manejo de activos Se deben desarrollar e implementar los

procedimientos para el manejo de activos, de
acuerdo al esquema de clasificacion de
informacion adoptado por la organización.
A.10.7.1 A.08.03.01 Gestión de los medios Se deben implementar los procedimientos para
removibles la gestión de los medios removibles, de acuerdo
al esquema de clasificacion adoptado por la
organización.
A.10.7.2 A.08.03.02 Eliminacion de los medios. Se deben eliminar los medios de forma segura y
sin peligro cuando no se necesiten más, usando
procedimientos formales.
A.10.8.3 A.08.03.03 Transferencia Física de Los medios que contengan información se

medios. deben proteger contra accesos no autorizados,
uso inadecuado o corrupción durante el
transporte.
A.11.1.1 A.09.01.01 Política de control del Se debe establecer, documentar y revisar una
acceso política de control de acceso basados en los
requisitos de negocio y de seguridad de la
información.
A.11.4.1 A.09.01.02 Accesos a las Redes y a Los usuarios sólo deben tener acceso directo a
los servicios de la red a la red y a los servicios de la red para los
cuales han sido autorizados.
A.11.5.2 A.09.02.01 Registro y cancelacion de Se debe implementar un proceso de registro y

registro de usuario. cancelacion de registro de usuario para habilitar
A.11.2.1 los derechos de acceso.
A.11.2.1 A.09.02.02 Asignacion de acceso de Debe existir un procedimiento formal de

usuario. asignación de acceso de usuario para asignar o
revocar lo derechos de acceso para todos los
tipos de usuario, a todos los sistemas y
servicios.
A.11.2.2 A.09.02.03 Gestión de derechos de Se debe restringir y controlar la asignación y
acceso privilegiados. uso de los derechos de acceso privilegiados.
A.11.2.3 A.09.02.04 Gestión de informacion Se debe controlar la asignación de informacion
secreta de autenticacion de autenticacion secreta mediante un proceso
de usuarios. de gestión formal.
A.11.2.4 A.09.02.05 Revisión de los derechos Los propietarios de activos deben revisar los
de acceso de usuario derechos de acceso de los usuarios de manera
periodica.
A.8.3.3 A.09.02.06 Eliminacion o ajuste de los Se deben retirar los derechos de acceso de
derechos de acceso todos los empleados, y usuarios externos a la
información y a las instalaciones de
procesamiento de información, una vez que
termine su relacion laboral, contrato o acuerdo o
se ajuste segun el cambio.
A.11.3.1 A.09.03.01 Uso de informacion de Se debe exigir a los usuarios el cumplimiento de

autenticacion secreta. las prácticas de la organización en el uso de la
informacion de autenticacion secreta.
A.11.6.1 A.09.04.01 Restricción del acceso a la Se debe restringir el acceso a la información y a

información las funciones del sistema de aplicaciones, de
acuerdo con la politica de control de acceso.
A.11.5.1 A.09.04.02 Procedimientos de inicio Cuando lo exija la politica de control de acceso,
de sesión seguro. el acceso a los sistemas y aplicaciones debe ser
A.11.5.5 controlado por un procedimiento de inicio de
sesión seguro
A.11.5.3 A.09.04.03 Sistema de gestión de Los sistemas de gestion de contraseñas deben

contraseñas ser interactivos y deben asegurar contraseñas
de calidad.
A.11.5.4 A.09.04.04 Uso de programas Se debiera restringir y controlar estrictamente el

utilitarios privilegiados. uso de los programas utilitarios que pueden
estar en capacidad de anular el sistema y los
controles de la aplicacion.
A.12.4.3 A.09.04.05 Control de acceso al Se debe restringir el acceso al código fuente de

código fuente de los los programas.
programas
A.12.3.1 A.10.01.01 Política sobre el uso de Se debe desarrollar e implementar una política
controles criptográficos sobre el uso de controles criptográficos para la
protección de la información.
A.12.3.2 A.10.01.02 Gestión de claves Se debe desarrollar e implementar una politica

sobre el uso, protección y vida util de las claves
criptograficas, a traves de todo su ciclo de vida.
A.9.1.1 A.11.01.01 Perímetro de seguridad Se debieran definir y utilizar perímetros de
física seguridad para proteger las áreas que contienen
ya sea información sensible o crítica y las
instalaciones de procesamiento de información.
A.9.1.2 A.11.01.02 Controles de ingreso físico Las áreas seguras deben estar protegidas por
controles de entrada apropiados que aseguren
que sólo se permite el acceso a personal
autorizado.
A.9.1.3 A.11.01.03 Asegurar Seguridad de Se debiera diseñar y aplicar la seguridad física
oficinas, salas e en oficinas salas e instalaciones.
instalaciones.
A.9.1.4 A.11.01.04 Protección contra Se debe diseñar y aplicar la protección física
amenazas externas y del contra daño por desastre natural, ataque
ambiente. malicioso o accidentes.
A.9.1.5 A.11.01.05 Trabajo en áreas seguras. Se deben diseñar y aplicar procedimientos para
trabajar en áreas seguras.
A.9.1.6 A.11.01.06 Áreas de entrega y carga. Se deben controlar los puntos de acceso tales
como áreas de entrega y de carga y otros
puntos donde las personas no autorizadas
puedan acceder a las instalaciones y, si es
posible, aislarlas de las instalaciones de
procesamiento de información para evitar el
acceso no autorizado.
A.9.2.1.Párr A.11.02.01 Ubicación y protección del El equipamiento se debe ubicar y proteger para
.1 equipamiento reducir los riesgos provocados por amenazas y
peligros ambientales, y oportunidades de
acceso no autorizado.
A.9.2.2 A.11.02.02 Elementos de soporte Se debe proteger el equipamiento contra fallas

en el suministro de energía y otras
interrupciones causadas por fallas en los
elementos de soporte.
A.9.2.3 A.11.02.03 Seguridad en el cableado. Se debe proteger el cableado de energía y
telecomunicaciones que transporta datos o
brinda soporte a servicios de información contra
interceptación, interferencia o daños.
A.9.2.4 A.11.02.04 Mantenimiento del El equipamiento debe recibir el mantenimiento
equipamiento correcto para asegurar su permanente
disponibilidad e integridad.
A.9.2.7 A.11.02.05 Retiro de Activos. El equipamiento, la información o el software no
se debe retirar del local de la organización sin
autorización previa.
A.9.2.5 A.11.02.06 Seguridad del Se deben asegurar todos los activos fuera de
equipamientoy los activos las instalaciones, teniendo en cuenta los
fuera de las instalaciones. diferentes riesgos de trabajar fuera de las
instalaciones de la organizacion.
A.9.2.6 A.11.02.07 Seguridad en la Todos los elementos del equipamiento que
reutilizacion o descarte de contenga medios de almacenamiento deben ser
equipos. revisados para asegurar que todos los datos
sensibles y software licenciado se hayan
removido o se haya sobreescrito con seguridad
antes de su descarte o reutilización.
A.11.3.2 A.11.02.08 Equipo de usuario Los usuarios se deben asegurar de que a los
desatendido equipos desatendidos se les da protección
apropiada.
A.11.3.3 A.11.02.09 Política de escritorio y Se debe adoptar una política de escritorio limpio
pantalla limpios para papeles y medios de almacenamiento
removibles y una política de pantalla limpia para
las instalaciones de procesamiento de la
información.
A.10.1.1 A.12.01.01 Procedimientos de Los procedimientos de operación se deben
operación documentados documentar, y poner a disposición de todos los
usuarios que los necesiten.
A.10.1.2 A.12.01.02 Gestión de cambios Se deben controlar los cambios a la

organización, procesos de negocio,
instalaciones de procesamiento de la
información, y los sistemas que afecten la
seguridad de la informacion.
Clausula 8.1 (*) Control y Planificacion (La organización se debe asegurar de que los procesos
operacional. externalizados se determinan y controlan)
A.10.3.1 A.12.01.03 Gestión de la capacidad Se debe supervisar y adaptar el uso de los

recursos y se deben hacer proyecciones de los
futuros requisitos de capacidad para asegurar el
desempeño requerido del sistema.
A.10.1.4 A.12.01.04 Separación de los Los ambientes para desarrollo, prueba y
ambientes de desarrollo, operación se deben separar para reducir los
prueba y operaciónales riesgos de acceso no autorizado o cambios al
ambiente de operación.
A.10.4.1.Pá A.12.02.01 Controles contra código Se deben implantar controles de detección,

rr.1 malicioso prevención y recuperación para protegerse
contra códigos maliciosos, junto con los
procedimientos adecuados para concientizar a
los usuarios.
A.10.5.1.Pá A.12.03.01 Respaldo de información Se deben hacer copias de respaldo y pruebas
rr.1 de la información, del software y de las
imágenes del sistema con regularidad, de
acuerdo con la politica de respaldo acordada.
A.10.10.1 A.12.04.01 Registro de Evento. Se deben generar, mantener y revisar con

A.10.10.2 regularidad los registros de eventos de las
A.10.10.5 actividades del usuario, excepciones, faltas y
eventos de seguridad de la informacion.
A.10.10.3 A.12.04.02 Protección de la Las instalaciones de registro y la informacion de

información de registros. registro se deben proteger contra alteraciones y
accesos no autorizados.
A.10.10.4 A.12.04.03 Registros del Se debieran registrar las actividades del

A.10.10.3 administrador y operador operador y del administrador del sistema, los
registros se deben proteger y revisar con
regularidad.
A.10.10.6 A.12.04.04 Sincronización de relojes Los relojes de todos los sistemas de
procesamiento de información pertinentes
dentro de una organización o dominio de
seguridad deben estar sincronizados con una
sola fuente horaria de referencia.
A.12.4.1 A.12.05.01 Control del software Se deben implementar los procedimientos para
operacional controlar la instalación de software en los
sistemas operacionales.
A.12.6.1 A.12.06.01 Control de las Se debiera obtener oportunamente la
vulnerabilidades técnicas información sobre las vulnerabilidades técnicas
de los sistemas de información que se están
utilizando, evaluar la exposición de la
organización a estas vulnerabilidades, y se
deben tomar las medidas apropiadas para
abordar el riesgo asociado.
A.12.06.02 Restricciones sobre la Se deben establecer e implementar las reglas

instalación de software que rigen la instalación de software por parte de
los usuarios.
A.15.3.1 A.12.07.01 Controles de auditoría de Los requisitos y las actividades de auditoría que
sistemas de información involucran verificaciones de los sistemas
operacionales se deben planificar y acordar
cuidadosamente para minimizar el riesgo de
interrupciones en los procesos del negocio.
A.10.6.1 A.13.01.01 Controles de red Las redes se deben gestionar y controlar para
proteger la informacion en los sistemas y
aplicaciones.
A.10.6.2.Pá A.13.01.02 Seguridad de los servicios Los mecanismos de seguridad, los niveles de
rr.1 de la red servicio y los requisitos de la gestión de todos
los serviciosde red se deben identificar e incluir
A.10.6.2.Pá en los acuerdos de servicios de red, ya sea que
rr.2 estos servicios son prestados dentro de la
A.10.6.2.Pá organizacion o por terceros.
rr.3
A.11.4.5 A.13.01.03 Separacion en las redes Los grupos de servicios de información,
usuarios y sistemas de información se deben
separar en redes.
A.10.8.1 A.13.02.01 Políticas y procedimientos Las políticas, porcedmientos y controles de

de Transferencia de transferencia formal deben estar en efecto para
información proteger la transferencia de la información
mediante el uso de todos los tipos de
instalaciones de comunicación.
A.10.8.2 A.13.02.02 Acuerdos sobre la Los acuerdos deben abarcar la transferencia

transferencia de segura de la información de negocio entre la
información. organización y terceros.
A.10.8.4 A.13.02.03 Mensajería electrónica. La información involucrada en la mensajería

electrónica debe ser debidamente protegida.
A.6.1.5 A.13.02.04 Acuerdos de Se debe identificar y revisar regularmente los

confidencialidad o no requerimientos de confidencialidad o acuerdos
divulgacion de no divulgación que reflejan las necesidades
de protección de la informacion de la
organización.
A.12.1.1 A.14.01.01 Análisis y especificación Los requisitos relacionados a la seguridad de la
de requisitos de seguridad informacion deben ser incluidos en los requisitos
de la información. para los sistemas de informacion nuevos o en
las mejoras para los sistemas de informacion
existentes.
A.10.9.3 A.14.01.02 Aseguramiento de La información relacionada a servicios de

A.10.9.1 servicos de aplicación en aplicacion que pasa por redes públicas debe
redes publicas. ser protegida de la actividad fraudulenta,
disputas contractuales, y su divulgación y
modificación no autorizada.
A.10.9.2 A.14.01.03 Proteccion de las La información implicada en transacciones de
transacciones de servicios servicio de aplicacion se debe proteger para
de aplicación. evitar la transmisión incompleta, la omisión de
envío, alteración no autorizada del mensaje, la
divulgación no autorizada, la duplicación o
repetición no-autorizada del mensaje.
A.14.02.01 Política de desarrollo Las reglas para el desarrollo de software y de
seguro. sistemas deben ser establecidas y aplicadas a
los desarrollos dentro de la organización.
A.12.5.1 A.14.02.02 Procedimientos del control Los cambios a los istemas dentro del ciclo de
del cambios del sistema. desarrollo deben ser controlados mediante el
uso de procedimientos formales de control de
cambios.
Control y Planificacion
Clausula 8.1 (*) operacional.
A.12.5.2 A.14.02.03 Revisión técnica de las Cuando se cambian las plataformas de

aplicaciones después de operación, se deben revisar y poner a prueba
cambios en la plataforma las aplicaciones críticas de negocio para
de operación. asegurar que no hay impacto adverso en las
operaciones o en la seguridad de la
organización.
Clausula 8.1 (*) Control y Planificacion

operacional.
A.12.5.3 A.14.02.04 Restricciones sobre los Se deben desalentar las modificaciones a los
cambios en los paquetes paquetes de software, que se deben limitar a los
de software. cambios necesarios, los que deben ser
controlados de manera estricta.

operacional.
A.14.02.05 Principios de Ingeniería Se deben establecer, documentar, mantener y
de Sistema Seguro. aplicar los principios para los sistemas seguros
de ingeniería para todos los esfuerzos de
implementacion del sistema de información.
A.14.02.06 Entorno de desarrollo Las organizaciones deben establecer y proteger

seguro los entornos de desarrollo seguro, de manera
apropiada, para el desarrollo del sistema y los
esfuerzos de integración que cubren todo el
ciclo de desarrollo del sistema.
A.12.5.5 A.14.02.07 Desarrollo tercerizado. La organización debe supervisar y monitorear la

actividad de desarrollo de sistemas tercerizada.

operacional.
A.14.02.08 Prueba de seguridad del Durante el desarrollo se debe realizar la prueba
sistema. de funcionalidad de seguridad
A.10.3.2 A.14.02.09 Prueba de aceptación del Se deben definir los programas de prueba de
sistema aceptación y los criterios pertinentes para los
nuevos sistemas de información,
actualizaciones y o versiones nuevas.
A.12.4.2 A.14.03.01 Protección de datos de La datos de prueba se deben seleccionar,

prueba. proteger y controlar de manera muy rigurosa
A.15.01.01 Política de seguridad de la Se deben acordar y documentar, junto con el

información para las proveedor, los requisitos de seguridad de la
relaciones con el información para mitigar los riesgos asociados al
proveedor acceso del proveedor a los activos de la
organización.
A.6.2.3 A.15.01.02 Abordar la seguridad Todos los requisitos de seguridad de la
dentro de los acuerdos del información pertinente, deben ser definidos y
Proveedor. acordados con cada proveedor que pueda
acceder, procesar, almacenar, comunicar o
proporcionar componentes de infraestructura de
TI para la informacion de la organización.
A.15.01.03 Cadena de suministro de Los acuerdos con los proveedores deben inclu ir
tecnologías de la los requisitos para abordar los riesgos de
información y seguridad de la información asociados a los
comunicaciones servicios de la tecnología de la información y las
comunicaciones y la cadena de suministro del
producto
A.10.2.2.Pá A.15.02.01 Supervision y revision de Las organizaciones deben supervisar, revisar y

rr.1 los servicios del auditar la entrega del servicio.
proveedor.

operacional.
A.10.2.3 A.15.02.02 Gestion de cambios a los Se deben gestionar los cambios al suministro de
servicios del proveedor. servicios por parte de los proveedores, incluido
el mantenimiento y la mejora de las políticas de
seguridad de la información existentes,
procedimientos y controles al considerar la
criticidad de la informacion del negocio los
sistemas y procesos involucrados y la re-
evaluación de los riesgos.

operacional.
A.13.2.1 A.16.01.01 Responsabilidades y Se deben establecer responsabilidades y

procedimientos procedimientos de gestion para asegurar una
respuesta rápida, eficaz y metódica a los
incidentes de la seguridad de la información.
A.13.1.1 A.16.01.02 Informe de eventos en la Se deben informar, lo antes posible, los eventos
seguridad de la de seguridad de la información mediante
información canales de gestion apropiados.
A.13.1.2 A.16.01.03 Reporte de las debilidades Se debe requerir a todos los empleados y
en la seguridad contratistas que usen los sistemas
y servicios de información de la organización,
que observen e informen cualquier debilidad
(observada o que se sospeche) en la seguridad
de la informacion de los sistemas o los
servicios.
A.16.01.04 Evaluación y decisión Los eventos de seguridad de la información se

sobre los eventos de deben evaluar y decidir si van a ser clasificados
seguridad de la como incidentes de seguridad de la información.
información.
A.16.01.05 Respuesta ante incidentes Los incidentes de seguridad de la información

de seguridad de la deben ser atendidos de acuerdo a los
información. procedimientos documentados.
A.13.2.2 A.16.01.06 Aprendizaje de los Se debe utilizar conocimiento adquirido al

incidentes de seguridad analizar y resolver incidentes de seguridad de
de la información la información para reducir la probabilidad o el
impacto de incidentes futuros.
A.13.2.3 A.16.01.07 Recolección de evidencia La organizacion debe definir y aplicar los

procedimientos para la identificacion,
recolección, adquisición y conservación de
información que pueda servir de evidencia.
A.14.1.2 A.17.01.01 Planificacion de la La organización debe determinar sus
continuidad de la requerimientos de seguridad de la información y
Seguridad de la la continuidad de la gestion de la seguridad de
Información. la información en situaciones adversas, por
ejemplo durante una crisis o desastre.
A.14.1.1 A.17.01.02 Implementación de la La organización debe establecer, documentar,

A.14.1.3 continuidad de la implementar y mantener procesos,
A.14.1.4 seguridad de la procedimientos y controles para asegurar el
información. nivel necesario de continuidad para la seguridad
de la información durante una situación adversa.
A.14.1.5 A.17.01.03 Verificacion, revision y La organización debe verificar, de manera

evaluacion de la periódica, los controles de la continuidad de la
continuidad de la seguridad de la información definida e
seguridad de la implementada para asegurar que ellos son
información. válidos y eficaces durante situaciones adversas.
A.17.02.01 Disponibilidad de las Las instalaciones de procesamiento de la

instalaciones de información deben ser implementadas con la
procesamiento de la redundancia suficiente para cumplir con los
informacion. requisitos de disponibilidad.
A.15.1.1 A.18.01.01 Identificación de la Todos los requisitos estatutarios, regulatorios y
legislación vigente y los contractuales pertinentes y el enfoque de la
requisitos contractuales. organización para cumplirlos, se deben definir y
documentar explicitamente, y mantenerlos
actualizados para cada sistema de información y
para la organizacion.
A.15.1.2 A.18.01.02 Derechos de propiedad Se deben implementar procedimientos

intelectual. apropiados para asegurar el cumplimiento de los
requerimientos legislativos, regulatorios y
contractuales relacionados a los derechos de
propiedad intelectual y al uso de productos de
software patentados.
A.15.1.3 A.18.01.03 Protección de los Los registros se deben proteger contra pérdida,
registros. destrucción, falsificación, acceso sin
autorización, de acuerdo con los requisitos
legislativos, regulatorios, contractuales y del
negocio.
A.15.1.4 A.18.01.04 Privacidad y Protección de Se debe asegurar la privacidad y proteccion de

la información de la información de identificacion personal, como
identificación personal. se exige en la legislacion y regulaciones
pertinentes, donde corresponda.
A.15.1.6 A.18.01.05 Regulación de los Se deben utilizar controles criptográficos se
controles criptográficos debieran utilizar en que cumplan con todos los
acuerdos, leyes y regulaciones pertinentes.
A.6.1.8 A.18.02.01 Revisión independiente de El enfoque de la organización para la gestión de

la seguridad de la la seguridad de la información y su
información implementación (es decir, objetivos de
control,controles,políticas, procesos y
procedimientos para seguridad de la
información) se debe revisar de manera
independiente a intervalos planificados, o
cuando ocurran cambios significativos.
A.15.2.1 A.18.02.02 Cumplimiento con las Los gerentes deben revisar con regularidad el
políticas y normas de cumplimiento del procesamiento de la
seguridad información y los procedimientos de seguridad
que están dentro de su area de responsabilidad,
de acuerdo con las politicas de seguridad,
normas y requisitos de seguridad pertinentes.
A.15.2.2 A.18.02.03 Verificación del Se deben verificar regularmente los sistemas de
cumplimiento técnico información en cuanto a su cumplimiento con las
políticas y normas de seguridad de la
información de la organización.
NOTA
(*) Los controles señalados se mapean al menos parcialmente contra
requerimientos del SGSI. Por ejemplo, la clausula 8.1 en NCh ISO
27001.Of 2013 requiere que la organización se debe asegurar de que los
procesos externalizados se determinan y controlan.
Control Nuevo en norma NCh ISO 27001.Of 2013
FE DE ERRATAS al 12-07-2015
(e1) Se detecta que control A.12.4.1, aparecia repetido en dos lineas de la

planilla, y vinculado a los tres controles correspondientes en la NCh-ISO
27001-Of.2009. Corregido: se deja una sola linea.
(e2) Se detecta texto en columna G, cuyo parrafo final decía:

"...cambio (ver A.2.1.2 y…" . Corregido a:
"…cambio (ver A.12.1.2 y …"
(e3) Se detecta Control nuevo omitido: A.12.6.2

Corregido: se incorpora nueva linea descriptiva en la planilla.
(e4) Control A.15.01.01: Textos descriptivos en columnas E,F,G, estaban

repetidos y correspondian a los de A.15.01.02.
Corregido: se ingresan textos correspondientes al control.
(e5) Se detecta control nuevo omitido: A.17.2.1

Corregido: se incorpora nueva linea descriptiva en la planilla
VERIFICACION del REQUISITO de CONTROL
(extracto de NCH-ISO 27002 Of2013) SI / NO Verificación
NO -
La organización, ¿Se asegura de que los procesos externalizados se determinan y controlan?
Debe existir un documento denominado Política de Seguridad de la Información,

que esté aprobado por el Jefe de Servicio, y que refleja claramente el
compromiso, apoyo e interés en el fomento y desarrollo de una cultura de
seguridad institucional.
El documento Politica de Seguridad debe contener:
-una definición de seguridad de los activos de información, sus objetivos
globales, alcance e importancia.
-un párrafo que señale los medios de difusión de sus contenidos al interior de la SI Ir
organización.
-un párrafo que señale cada cuánto tiempo se reevaluará (que debe ser cada 3
años como máximo), y debe explicitar con qué periodicidad se revisará su
cumplimiento.
El documento de Politica de Seguridad, debe ser publicado y comunicado a
todos los funcionarios y partes externas relevantes.
El documento Politica de Seguridad debe ser revisado en los intervalos

planeados o cuando ocurren cambios significativos para asegurar su continua
idoneidad, eficiencia y efectividad. NO -
-La asignación de las responsabilidades de seguridad de la información debe
hacerse de acuerdo con la política de seguridad de la informacion (véase
A.5.1.1).
-Se deben identificar las responsabilidades para la protección de los activos
individuales, y para llevar a cabo procesos de seguridad de la información
específicos.
-Deben ser definidas las responsabilidades por las actividades de gestión de
riesgos en S.I. y, en particular, para la aceptación de los riesgos residuales.
Estas responsabilidades deben ser complementadas, cuando sea necesario, con
una orientación más detallada para sitios específicos e instalaciones de
procesamiento de la información.
El Jefe de Servicio:
-Debe designar mediante resolución al Encargado de Seguridad de la
Información. NO -
-Debe designar mediante resolución al Comité de Seguridad de la Información,
designándole funciones específicas.
En la resolución de nombramiento del Encargado de Seguridad de la
Información, se deben explicitar las siguientes funciones:
-"Tener a su cargo el desarrollo inicial de las políticas de seguridad al interior de
su organización y el control de su implementación, y velar por su correcta
aplicación"
-"Coordinar la respuesta a incidentes que afecten a los activos de información
institucionales"
Se debería tener cuidado para que ninguna persona pueda acceder, modificar ni
utilizar activos sin autorización o detección.
El início de un evento se debería separar de su autorización. Se debería
considerar la posibilidad de colusión en el diseño de controles.
Las organizaciones pequeñas pueden encontrar la segregación de labores como
SI Ir
dificil de lograr, pero el principio se debería aplicar en la mayor medida posible.
Cuando sean difíciles de segregar, se deberían considerar otros controles como
el monitoreo de actividades, seguimientos de auditoría y supervisión de la
dirección.
Debe existir un procedimiento que especifique qué autoridades deben ser

contactadas (bomberos, carabineros, PDI, proveedor de Internet, etc), cuando
(bajo que circunstancias) y cómo (medios, canales, frecuencias, direcciones,
numeros telefonicos, etc.) NO -
En la resolución de nombramiento del Encargado de Seguridad de la

Información: se deben explicitar la siguiente funcion: "Establecer puntos de
enlace con encargados de seguridad de otros organismos públicos y
especialistas externos que le permitan estar al tanto de las tendencias, normas y SI Ir
métodos de seguridad pertinentes"
Se debería integrar la seguridad de la información en los métodos de
administración de proyectos de la organización para asegurarse de que se
identifican y abordan los riesgos de seguridad de la información como parte de
un proyecto, sin importar su carácter o tipo.
Se deberían definir y asignar las responsabilidades para la seguridad de la
información a los roles especificados definidos en los métodos de administración
del proyecto.
Los métodos de administración de proyectos en uso deberían requerir que:
a) se incluyan los objetivos de seguridad de la información en los objetivos del NO -
proyecto.
b) se realice una evaluación de riesgos de seguridad de la información en una
etapa temprana del proyecto
para identificar los controles necesarios;
c) la seguridad de la información sea parte de todas las fases de la metodología
aplicada del proyecto.
Se debe establecer una política y adoptar medidas de apoyo a la seguridad

apropiadas para gestionar los riesgos que se presentan al usar dispositivos
móviles.
La politica de dispositivos moviles, debiera tomar en cuenta los riesgos para la
seguridad de la informacion del negocio, al trabajar con dispositivos moviles en
ambientes desprotegidos, y debiera considerar entre otros: el registro de los
dispositivos moviles; requerimientos de proteccion fisica; restriccion a la NO -
instalacion de software; restriccion a la conexion de servicios de informacion; uso
de servicios web y aplicaciones web.
Se debe implementar una política y medidas de seguridad para proteger la

informacion accesada, procesada o almacenada en los lugares de trabajo
remoto. Dicha politica debe definir las condiciones y retricciones para utilizar la
modalidad de trabajo remoto, entre otros: la existencia de seguridad fisica en el
sitio de trabajo remoto; los requerimientos de seguridad en las
telecomunicaciones; la provision de acceso a escritorio virtual que prevenga el
procesamiento y/o almacenamiento de informacion en equipamiento de SI Ir
propiedad privada; proteccion contra codigo malicioso y requerimientos de
firewall; una definicion del trabajo permitido, el horario de trabajo, la clasificacion
de la informacion, sistemas y servicios que el usuario remoto esta autorizado a
acceder.
La verificación debe tener en cuenta toda la privacidad relevante, la protección

de la informacion de identificacion personal y la legislación laboral vigente, y
debe, cuando esté permitido, incluir lo siguiente:
-Una verificación (por la integridad y exactitud) del curriculum vitae del
solicitante;
-La confirmación de las calificaciones académicas y profesionales declaradas SI Ir
-La verificación de identidad independiente (pasaporte o documento de identidad
similar);
-Una verificación más detallada, como revisión de antecedentes créditicios o de
antecedentes penales.
Las obligaciones contractuales para empleados o contratistas deben reflejar las
políticas de la organización para seguridad de la información, y establecer
claramente:
-Responsabilidades y los derechos legales de los contratistas o de los
empleados, por ejemplo, respecto a las leyes de derechos de autor o legislación
de protección de datos (ver A.18.1.2 y A.18.1.4);
-Para los empleados y contratistas a quienes se les de acceso a información con
alto grado de confidencialidad, debiesen firmar un acuerdo de confidencialidad o
de no divulgación antes de ser dado el acceso a instalaciones de procesamiento
de la informacióni (ver A.13.2.4);
-Responsabilidades para la clasificación de la información y la gestión de los NO -
activos de la organización asociado a la información, instalaciones de
procesamiento de información y servicios de información que maneja el
empleado o contratista (ver A.8);
-Responsabilidades del empleado o contratista para el manejo de la información
recibida de otras empresas o entidades externas;
-Las acciones que deben tomarse si el empleado o contratista desatiende los
requisitos de seguridad de la organización (Ver A.7.2.3).
Las Responsabilidades de la direccion deben incluir el aseguramiento de que los

empleados y contratistas:
-Se les informa adecuadamente sobre sus roles de seguridad de información y
responsabilidades antes de concederles
acceso a los sistemas de información o de información confidencial;
-Están dotados de directrices para establecer expectativas de seguridad de la
información de su rol dentro de la
organización;
-Se ajustan a los términos y condiciones de empleo, que incluye la política de
seguridad de la información de la organización y métodos adecuados de trabajo;
-Siguen teniendo las competencias y cualificaciones apropiadas y son educados
de manera regular; NO -
-Se les proporciona un canal de denuncia anónima para reportar violaciónes de
las politicas seguridad de la información, de los procedimientos y controles
("denuncia de irregularidades").
La administración debe demostrar el apoyo a las políticas de seguridad de la

información, procedimientos y controles, y
actuar como un modelo a seguir.
Se debe establecer un programa de sensibilizacion sobre la seguridad de
información para tratar de hacer que los empleados ( y a los contratistas cuando
sea relevante), sean conscientes de sus responsabilidades en materia de
seguridad de la información y los medios por los cuales los responsabilidades se
ejercen.
Caracteristicas del programa:
-Debe establecerse de acuerdo con las políticas de seguridad de la información
de la organizacion y los procedimientos pertinentes, teniendo en cuenta la
información de la organizacion que se debe proteger y los controles que se han
implementado para protegerla.
-Debería incluir una serie de actividades de sensibilización, como campañas, la SI Ir
emisión de folletos o boletines informativos.
-El programa debería ser actualizado sobre una base regular para mantener su
alineamiento con las politicas organizacionales.
-El programa de sensibilización debe planificarse teniendo en cuenta los roles
de los empleados en la organización, y en caso de ser relevante, las
expectativas de la organización acerca de la sensibilzacion de los contratistas.
Caracteristicas del proceso disciplinario implementado:

-No debe iniciarse sin comprobación previa de que se ha producido violación de
la seguridad de la informacion (véase A.16.1.7).
-Debe garantizar un trato correcto y justo para los empleados que están bajo
sospecha de haber cometido violaciones de seguridad de la información.
-Debe proporcionar una respuesta gradual que toma en cuenta factores tales
NO -
como la naturaleza y la gravedad de la infracción y su impacto en la misión
institucional, si es primera falta o una repetición de infracción; si el infractor fue
debidamente capacitado; la legislación pertinente, y otros factores segun sea
necesario.
Las responsabilidades y deberes válidos, aún luego de la desvinculación o
cambios en las funciones, deben estar incluidas dentro de los contratos de
honorarios o resoluciones de nombramiento de empleados a contrata y planta,
asi como en aquellos contratos celebrados con contratistas externos.
-La comunicación del cese de responsabilidades debería incluir requisitos

vigentes de seguridad de la información y responsabilidades legales y, donde
corresponda, las responsabilidades contenidas en cualquier acuerdo de
confidencialidad (ver 13.2.4) y los términos y condiciones del empleo (ver 7.1.2)
que continúan por un período definido posterior al fin del empleo del empleado o
del contratista.
-Las responsabilidades y deberes que aun sigan siendo válidos después de la
finalizacion del empleo deberían incluirse en los términos y condiciones de
empleo del empleado o contratista (véase 7.1.2).
-Los cambios en las responsabilidades o en el empleo se deben manejar como SI Ir
en la finalización de la responsabilidad actual o el empleo en combinación con
el inicio de la nueva responsabilidad o empleo.
Otra información:
La función de recursos humanos es generalmente ser responsable del proceso
de despido general y trabaja con el rol que supervisa
a la persona que abandona la organizacion, para administrar los aspectos de la
seguridad de la información de los procedimientos pertinentes. En el caso de un
contratista quien presta servicios a través de terceros, este proceso de despido
lo realizará la parte externa de conformidad con el contrato entre la organización
y la parte externa.
La organización debe identificar los activos relevantes en el ciclo de vida de la

información y documentar su importancia. El ciclo de vida de la información debe
incluir la creación, transformación, almacenamiento, transporte, eliminación y la
destrucción. La documentación debe ser mantenida en los inventarios dedicados
o existentes, según corresponda.
El inventario de activos debe ser exacta, actualizada, consistente y alineada con SI Ir
otros inventarios. Para cada uno de los activos identificados, la propiedad del
activo debe ser asignada (ver A.8.1.2) y la clasificación debe ser identificada (ver
A.8.2).
Se debería asignar la propiedad de los activos cuando éstos se crean o cuando
se transfieren a la organización.
El propietario de un activo debería ser responsable de su administración
adecuada durante todo su ciclo de vida, y debería:
-garantizar que se haga un inventario de todos los activos;
-asegurarse de que los activos se clasifiquen y protejan adecuadamente;
-definir y revisar periódicamente las restricciones de acceso y clasificaciones
para los activos importantes,
considerando las políticas de control de acceso pertinentes;
-asegurarse de un manejo adecuado cuando se elimine o destruya un activo.
El propietario identificado puede ser una persona o una entidad que cuente con NO -
responsabilidad de la dirección aprobada para controlar todo el ciclo de vida de
un activo. El propietario identificado no
necesariamente tiene derechos de propiedad del activo.
Generalmente se implementa un proceso para asegurar la asignación oportuna
de la propiedad de los activos.
Los empleados y los usuarios externos que usan o que tengan acceso a los
activos de la organización deben tomar conciencia de los requisitos de seguridad
de la información de los activos de la organización, relacionados con la
información y las instalaciones y recursos de procesamiento de la información.
Deben ser responsables del uso de cualquier recurso de procesamiento de la
información y cualquier uso desarrollado bajo su responsabilidad.
SI Ir
Se deberían considerar las normas para almacenamiento, manipulacion y
destruccion de activos segun Ley 20.285.
El proceso de finalización de empleo se debería formalizar para incluir la

devolución de todos los activos físicos y electrónicos prevíamente entregados de
propiedad de (o encomendados a) la organización.
-En los casos donde un empleado o un externo compre el equipo de la
organización o utilice sus propios equipos personales, se deberían seguir los
procedimientos para garantizar que la información pertinente se transfiera a la
organización y que se elimine de manera segura del equipo (ver 11.2.7).
-En los casos donde el empleado o el usuario externo cuenta con conocimiento NO -
importante para las operaciones continuas, dicha información se debería
documentar y transferir a la organización.
-Durante el período de aviso de despido, la organización debería controlar las
copias no autorizadas de la información pertinente (es decir, propiedad
intelectual) de los empleados y contratistas despedidos.
-Las clasificaciones y los controles de protección asociados de la información
deberían considerar las necesidades que tiene la organizacion de compartir o
restringir información, así como también los requisitos legales, en particular
aquellos establecidos en la Ley 20.285.
-Los propietarios de los activos de información deberían ser responsables de su
clasificación.
-El esquema de clasificación debería incluir las convenciones para la
clasificación y los criterios para la revisión de la clasificación con el tiempo. El NO -
nivel de protección del esquema se debería evaluar mediante el análisis de la
confidencialidad, la integridad y la disponibilidad de cualquier otro requisito para
la información considerada. El esquema debería estar alineado con la política de
control de acceso (ver 9.1.1)
-Los procedimientos para el etiquetado de la información deberían cubrir la

información y sus activos relacionados en formatos físicos o electrónicos. El
etiquetado debería reflejar el esquema de clasificación establecido en 8.2.1.
-Los procedimientos deberían brindar orientación sobre dónde y cómo se
adhieren las etiquetas considerando cómo se accede a la información o cómo se
manejan los activos en función de los tipos de medios, y pueden acotar los
casos donde se omite el etiquetado (por ej. para la información no confidencial
NO -
con objeto de reducir las cargas de trabajo).
-Los empleados y contratistas deberían estar al tanto de los procedimientos de
etiquetado.
Se deberían crear procesos para el manejo, procesamiento, almacenamiento y

comunicación de la información conforme a su clasificación (ver 8.2.1),
considerando los siguientes elementos:
a) restricciones de acceso que apoyen los requisitos de protección para cada
nivel de clasificación;
b) mantenimiento de un registro formal de los receptores de activos autorizados;
c) protección de copias temporales o permanentes de información a un nivel
coherente con la protección de la información original; NO -
d) almacenamiento de los activos de TI de acuerdo con las especificaciones del
fabricante;
e) marcado claro de todas las copias de medios para la atención del receptor
autorizado.
Se deberían considerar las siguientes pautas para la administración de medios
extraíbles:
-Donde sea necesario y práctico, se debería requerir una autorización para los
medios retirados de la organización y se debería mantener un registro de tales
retiros para poder mantener un seguimiento de auditoría.
-Todos los medios se deberían almacenar en un entorno seguro y protegido, de
acuerdo con las especificaciones del fabricante.
-Si la confidencialidad o la integridad de los datos son consideraciones
importantes, se deberían utilizar técnicas criptográficas para proteger los datos
de los medios extraíbles;
-Se deberían almacenar varias copias de datos valiosos en medios separados
para reducir aún más el riesgo accidental de daños o pérdidas de datos. SI Ir
-Se debería considerar un registro de medios extraíbles para limitar la
oportunidad de pérdidas de datos.
-Las unidades de medios extraíbles solo se deberían habilitar si existe una razón
comercial para ello;
-Donde exista la necesidad de utilizar medios extraíbles, se debería monitorear
la transferencia de información a dichos medios.
Se deberían documentar los procedimientos y los niveles de autorización.
Se deberían establecer procedimientos formales para la eliminación segura de

los medios, a fin de minimizar el riesgo de filtración de información confidencial a
personas no autorizadas.
Se deberían considerar los siguientes elementos:
-Los medios que contienen información confidencial se deberían almacenar y
eliminar de manera segura, es decir, mediante la incineración, o la destrucción o
bien a través del borrado de datos para el uso por parte de otra aplicación dentro
de la organización;
-Deberían existir procedimientos en vigencia para identificar los artículos que SI Ir
pueden requerir de una eliminación segura especial;
-Es posible que sea más fácil realizar las disposiciones necesarias para que se
recopilen todos los artículos de medios y que se eliminen de manera segura en
vez de intentar separar los artículos sensibles;
-La eliminación de los artículos sensibles se debería registrar para mantener un
seguimiento de auditoría.
Pautas a considerar para proteger a los medios que contienen información que
se transporta:
-Se deberían utilizar servicios de transporte o courier confiables;
-Se deberían desarrollar procedimientos para verificar la identificación de
servicios de courier;
-El empaque debería ser suficiente para proteger los contenidos de daños físicos
que probablemente ocurran durante el tránsito de acuerdo con las NO -
especificaciones del fabricante;
-Se deberían mantener registros, identificando el contenido de los medios, la
protección aplicada, así como también un registro de las veces en que se
transfirió a los custodios en tránsito y un recibo
en el lugar del destino.
Se debe establecer, documentar y revisar la política de control de acceso en

base a los requisitos de negocio y de seguridad de la información.
SI Ir
Debe existir una politica de uso de redes y servicios de red, que establezca para
los usuarios: las redes y servicios a los que se tiene acceso; los procedimientos
de autorizacion para determinar a quien se le permite acceder a que redes y
servicios con redes; los controles y procedimiento de administracion para SI Ir
proteger el acceso a las conexiones de red y a los servicios de red.
Se debe asignar a cada usuario tienen un identificador único (ID de usuario)

para su uso personal, de tal manera que se haga responsable por sus acciones
al utilizar la red, los servicios de red y sus sistemas.
Tales identificadores deben ser debidamente administrados y gestionados SI Ir
mediante un procedimiento implementado.
Debe existir un procedimiento formal de asignacion de acceso de usuario.
SI Ir
Se debe restringir y controlar la asignación y uso de derechos de acceso

privilegiados. SI Ir
Debe existir un proceso de gestion formal para controlar la asignación de

informacion de autenticacion secreta de usuarios. NO -
Los propietarios de activos, deben revisar los derechos de acceso de los

usuarios a intervalos regulares. SI Ir
Se debe implementar un procedimiento para retirar los derechos de acceso a la

información y a las instalaciones de procesamiento de la información de la
institucion, para todos los empleados y usuarios externos, al término de su
relacion laboral, contrato , o acuerdo, o bien se ajuste segun el cambio.
-Tras la desvinculación, los derechos de acceso de un individuo a la información
y a los activos asociados con instalaciones y servicios de procesamiento de
información deben ser removidos o suspendidos.
-Los cambios de empleo deben reflejarse en la eliminación de todos los
derechos de acceso que no fueron aprobados para el nuevo empleo.
-Los derechos de acceso que deben ser eliminados o ajustados incluyen las de
acceso físico y lógico. La eliminación o el ajuste se puede hacer por la retirada, SI Ir
revocación o sustitución de llaves, tarjetas de identificación, instalaciones de
procesamiento de información o suscripciones.
-Cualquier documentación que identifica derechos de acceso de los empleados y
contratistas debe reflejar el desmontaje o el ajuste de los derechos de acceso. Si
un empleado que se marcha -o usuario de la parte externa- tiene contraseñas
conocidas para los ID de usuario que permanecen activas, éstas se deben
cambiar a la terminación o el cambio de empleo, contrato o acuerdo.
Se debe exigir a los usuarios el cumplimiento de las prácticas de la organización

en el uso de la informacion de autenticacion secreta.
SI Ir
El acceso de los usuarios a la información y las funciones del sistema de la

aplicación, se debe limitar en concordancia con una política de control de acceso
definida. SI Ir
El acceso a los sistemas y apliaciones, debe ser controlado mediante un
procedimiento de inicio de sesión seguro.
SI Ir
Los sistemas para la gestion de contraseñas deben ser interactivos y asegurar

contraseñas de calidad. SI Ir
Se debe restringir y controlar estrechamente el uso de los programas de utilidad

que tengan la capacidad de sobrepasar los controles del sistema y de la
aplicación: usar procedimiento de identificacion, autorizacion y autenticacion
para los programas utilitarios; segregar los programas de aplicacion de los SI Ir
programas utilitarios; limitar el uso de programas utilitarios a un numero minimo y
practico de usuarios confiables y autorizados; limitacion de la disponibilidad de
los programas utilitarios.
El acceso al código fuente del programa e itemes asociados (como diseños,

especificaciones, planos de verificación y los planes de validación) deben ser
estrictamente controlados, con el fin de evitar la introducción de funcionalidad no
autorizada y para evitar cambios no intencionales, así como para mantener la
confidencialidad de propiedad intelectual valiosa. Se deben tomar en cuenta las
siguientes consideraciones básicas:
-Siempre que sea posible, las bibliotecas de programas fuentes no deben ser
mantenidas junto con los sistemas operativos.
-el código fuente del programa y las bibliotecas de programas fuente deben
gestionarse de acuerdo con NO -
procedimientos establecidos.
-la actualización de las bibliotecas de programas fuentes y elementos afines y el
uso de fuentes de programa
por los programadores sólo deben realizarse bajo la debida autorización.
-el mantenimiento y la copia de bibliotecas de programas fuente deben estar
sujetos a procedimientos estrictos de control de cambios (véase A.14.2.2).
Cuando se desarrolle e implemente una política sobre el uso de controles

criptográficos para proteccion de la información, se deberia considerar al menos:
-El enfoque de gestion para el uso de controles criptograficos en la organización,
incluyendo los principios generales bajos los cuales la información de procesos
de provision debiera ser protegida.
-Se debiera identificar el nivel requerido de proteccion (basado en la asignacion
de riesgos), tomando en cuenta el tipo, fortaleza y calidad del algoritmo de
encriptacion requerido.
-El uso de encriptación para la información transmitida por lineas de
comunicacion publicas, o para la informacion transportada en dispositivos de NO -
medios removibles o móviles.
-Un enfoque para gestion de claves, incluyendo metodos para tratar con la
proteccion de claves criptograficas y recuperación de informacion encriptada en
caso de perdida, o daño de dichas claves.
-Roles y responsabilidades (ver A.10.1.2)
La politica debería incluir requisitos para la gestion de claves criptográficas,

incluyendo la generacion, almacenamiento, distribucion, retiro y destruccion de
tales dichas claves. NO -
Pautas básicas a ser consideradas y aplicadas donde corresponda para los
perímetros de seguridad física:
-Los perímetros de seguridad deben ser definidos, y la ubicación y la fuerza de
cada uno de los perímetros debe depender de los requisitos de seguridad de los
activos dentro del perímetro y los resultados de una evaluación de riesgos;
-Se debe contar con una zona de recepción atendida por una o más personas,
u otros medios para controlar el acceso físico al lugar o edificio; el acceso a los
sitios y edificios debe restringirse sólo al personal autorizado;
-Se deben construir barreras físicas donde corresponda para impedir el acceso
físico no autorizado y la contaminación ambiental;
-Todas las puertas contra incendios en un perímetro de seguridad deben contar
con alarmas, se deben monitorear y evaluar en conjunto con las paredes para
establecer el nivel de resistencia requerido en conformidad con las normativas a
nivel regional, nacional y las normas internacionales, y deberían operar de
acuerdo con el código de incendios local de una manera a prueba de fallos;
-Se deberían instalar sistemas de detección de intrusos, adecuados de acuerdo SI Ir
con normativas nacionales, regionales o internacionales, y se deberían probar
regularmente para cubrir todas las puertas exteriores y ventanas accesibles;
-Las instalaciones de procesamiento de información que administra la
organización deberían estar físicamente separadas de aquellas que son
gestionadas por entidades externas.
-La aplicación de controles físicos, en especial para las áreas seguras, se
debería adaptar a las circunstancias técnicas y económicas de la organización,
según se establece en la evaluación de riesgos.
-Se debería registrar la fecha y la hora de entrada y salida de las visitas y, se

debería supervisar a todas las visitas a menos que su acceso haya sido
aprobado anteriormente; solo se les debería otorgar acceso para propósitos
específicos y autorizados y se debería emitir de acuerdo a las instrucciones de
los requisitos de seguridad del área y a los procedimientos de emergencia. Se
debería autenticar la identidad de las visitas con un medio adecuado;
-El acceso a las áreas donde se procesa o almacena la información confidencial
se debería restringir a las personas autorizadas solo mediante la implementación
de controles de acceso adecuados, es decir, al implementar un mecanismo de
autenticación de dos factores como una tarjeta de acceso y un PIN secreto;
-Se debería mantener y monitorear de manera segura un libro de registro físico o
una auditoría de seguimiento electrónica de todo el acceso;
-Todos los empleados, contratistas y partes externas deberían portar algún tipo
de identificación visible y se debería notificar inmediatamente al personal de SI Ir
seguridad si encuentran visitas sin escolta y a cualquier persona que no porte
una identificación visible;
-Se le debería otorgar acceso restringido al personal de servicios de apoyo de
terceros a las áreas seguras o a las instalaciones de procesamiento de
información confidencial solo cuando sea necesario; este acceso se debería
autorizar y monitorear;
-los derechos de acceso a las áreas protegidas se deberían revisar y actualizar
de manera regular, y revocar cuando sea necesario (ver A.9.2.5 y A.9.2.6).
La autoridad (la direccion) debe impartir instrucciones de diseño y aplicación de
seguridad física a las oficinas, salas e instalaciones. SI Ir
La institución debe contar con protección contra daños causados por desastre
natural (inundacion, terremoto, tsunami, tormenta electrica, etc.).
La institucion debe contar con protección contra daños causados por ataque
malicioso (explosión, revuelta civil, etc.). NO -
La institución debe contar con protección contra accidentes u otras formas de
desastres por causa humana.
La autoridad (dirección) debe impartir lineamientos para trabajar en áreas

seguras. NO -
¿La autoridad (direccion) debe impartir instrucciones respecto al control de las

áreas de acceso (entrega, carga, etc.).
NO -
-El equipamiento debe estar ubicado o protegido de forma que se reduzcan los
riesgos provocados por amenazas y peligros ambientales, y accesos no
autorizados.
-La autoridad (dirección) debe impartir instrucciones relativas al consumo de
alimentos, bebidas y tabaco en las cercanías de los medios de procesan y NO -
soportan información.
-La autoridad debe promover prácticas de escritorio limpio.
El equipamiento institucional debe estar protegido contra fallas en el suministro

de energía y otras interrupciones causadas por fallas en los elementos de
soporte. NO -
La autoridad (dirección) debe impartir instrucciones para proteger contra

interceptación, interferencia o daños el cableado usado para energía y
telecomunicaciones. SI Ir
Se deben impartir instrucciones para asegurar que se haga el correcto

mantenimiento del equipamiento. NO -
Debe existir una autorización formal previa al retiro (desde el local de la

organización) del equipamiento, información o software. NO -
La autoridad (dirección) debe impartir instrucciones para que se aplique

seguridad a los activos fuera de las instalaciones de la organización.
NO -
Se debería verificar el equipo para asegurarse de que contiene o no medios de

almacenamiento antes de su eliminación o reutilización. Los medios de
almacenamiento que contienen información sensible o con
derecho de autor se deberían destruir físicamente o bien, la información se SI Ir
debería destruir, eliminar o sobrescribir mediante técnicas para hacer que la
información original no se pueda recuperar en vez de utilizar la función de
eliminación o formateo normal
Se debe generar conciencia en los usuarios acerca de los requisitos de
seguridad y los procedimientos para proteger los equipos desatendidos. NO -
Debe existir una política debidamente implementada que abarque topico de

"escritorio limpio" para papeles y medios de almacenaje removibles, y tópico de
"pantalla limpia" para las instalaciones de procesamiento de la información. SI Ir
Se deberían preparar procedimientos documentados para las actividades

operacionales asociadas con las
instalaciones de procesamiento y comunicación de información, como
procedimientos de inicio y cierre de
sesión de computadores, respaldo, mantenimiento de equipos, manejo de
medios, salas de computación y SI Ir
administración y seguridad de manejo de correo.
Dichos procedimientos deben estar vigentes y puestos a disposición de todos los
usuarios que los necesiten.

a) identificación y registro de cambios significativos;
b) planificación y pruebas de cambios;
c) evaluación de los posibles impactos, incluidos los impactos de seguridad en la
información, de dichos cambios;
d) procedimiento de aprobación formal para los cambios propuestos;
e) verificación de que se han cumplido los requisitos de seguridad;
f) comunicación de los detalles de los cambios a todas las personas pertinentes;
g) procedimientos de retroceso, incluidos los procedimientos y responsabilidades
para abortar y recuperar NO -
los cambios incorrectos y los eventos inesperados;
h) provisión de un proceso de cambio de emergencia para permitir la
implementación rápida y controlada de los cambios necesarios para resolver un
incidente (ver A.16.1).
-Se deberían identificar los requisitos de capacidad, considerando la criticidad

para el negocio de cada sistema involucrado.
-Se debería aplicar el procedimiento de ajuste y monitoreo del sistema para
garantizar y, donde sea necesario, mejorar la disponibilidad y la eficiencia de los
sistemas.
-Se deberían poner controles de detección en vigencia para indicar los
problemas a su debido tíempo.
-Las proyecciones sobre los requisitos futuros de capacidad deberían considerar
los nuevos requisitos del negocio y del sistema y las tendencias actuales y NO -
proyectadas en las capacidades de procesamiento de información de la
organización.
-Se debería considerar un plan de administración de capacidad documentado
para los sistemas críticos para la misión institucional.
-Este control también aborda la capacidad de los recursos humanos, así como
también las oficinas e instalaciones.
a) se deberían definir y documentar las reglas de transferencia de software
desde un estado de desarrollo al operacional;
b) el software de desarrollo y operativo se debería ejecutar en distintos sistemas
o procesadores de computador y en distintos dominios y directorios;
c) se deberían probar los cambios a los sistemas operativos y aplicaciones en un
entorno de pruebas o etapas antes de aplicarlos a los sistemas operacionales;
d) a no ser que sea bajo circunstancias excepcionales, no se deberían realizar
pruebas en los sistemas operativos;
e) los compiladores, editores y otras herramientas de desarrollo o utilidades del
sistema no deberían estar accesibles desde los sistemas operacionales cuando
no sea necesario; NO -
f) los usuarios deberían utilizar distintos perfiles de usuario para los sistemas
operacionales y de prueba y se deberían mostrar menús para mostrar mensajes
de identificación adecuados para reducir el riesgo de errores;
g) los datos sensibles no se deberían copiar en el entorno del sistema de
pruebas a menos que se entreguen controles equivalentes para el sistema de
pruebas (ver A.14.3).
La protección contra el malware se debería basar en controles de software de

detección de malware y de reparación, la concientización sobre la seguridad de
la información, el acceso adecuado al sistema y la administración de cambios.
Se deberían considerar las siguientes pautas:
-Establecer una política formal que prohibe el uso de software no autorizado (ver
A.12.6.2 y A.14.2.);
-Implementar controles que evitan o detectan el uso de software no autorizado
(es decir, la creación de una lista blanca de aplicaciones);
-Implementar controles que eviten o detecten el uso de sitios web desconocidos
o que se sospecha son maliciosos (es decir, la elaboración de una lista negra).
-Reducción de las vulnerabilidades que se podrían desencadenar por el
malware, es decir, a través de la administración de vulnerabilidades técnicas (ver
A.12.6);
-Realizar revisiones periódicas del software y del contenido de los datos de los
sistemas que apoyan los procesos críticos del negocio; se debería investigar
formalmente la presencia de cualquier tipo de archivos o modificaciones no SI Ir
autorizados;
-Instalación y actualización periódica de software de detección de malware y
reparación para analizar
computadores y medios como control de precaución o, de manera rutinaria;
-Preparar planes de continuidad adecuados para recuperarse contra ataques de
malware, incluidos todos los datos, respaldo de softvvare y disposiciones de
recuperación necesarios (ver A.12.3);
-Implementar procedimientos para verificar la información relacionada al
malware y asegurarse de que los boletines de advertencia son precisos e
informativos;
-Se debería establecer una política de respaldo para definir los requisitos de la
organización para el respaldo de información, del software y de los sistemas.
-La política de respaldo debería definir los requisitos de retención y protección.
-Se debería contar con instalaciones de respaldo adecuadas para garantizar que
toda la información y el software esencial se pueden recuperar después de un NO -
desastre y ante una falla de los medios.
-Se debe revisar la consistencia de las copias realizadas con la politica de
respaldo establecida.
¿Se producen y mantienen registros de eventos de las actividades del usuario,

así como excepciones, faltas y eventos de seguridad de la información?
¿Se revisan con regularidad tales registros? SI Ir
¿Se protegen las instalaciones de registro y la información de registro, para

evitar alteraciones y accesos no autorizados?
SI Ir
¿Se revisa regularmente el registro de las actividades del operador y del

administrador del sistema?
¿Se protege adecuadamente dicho registro? NO -
¿Se utiliza una sola fuente horaria para sincronizar los relojes de todos los
sistemas de procesamiento de información relevantes dentro de la organización
o dominio de seguridad? SI Ir
El (los) procedimiento(s) implementado(s) deben considerar al menos:

-La actualizacion del software operacional, aplicaciones, y bibliotecas de
programas deben ser realizadas solo por administradores entrenados, con la
debida autorizacion (ver A.9.4.5).
-los sistemas operacionales solo deben contener codigo ejecutable aprobado, y
no codigo en desarrollo ni compiladores.
-las aplicaciones y el software operacional deben ser implementados despues de SI Ir
una prueba extensiva y exitosa (ver A.12.1.4)
-Se debe usar un sistema de control de la configuracion, para mantener el
control de todo el software implementado, asi como la docuementacion de
sistemas.
Un inventario actual y completo de los activos (véase clausula A.8) es un
requisito previo para la gestión eficaz de vulnerabilidades técnicas. La
información específica necesaria para apoyar la gestión de vulnerabilidad
tecnica incluye el proveedor de software, números de versión, el estado actual
de despliegue (por ejemplo, qué software esta instalado en que sistemas) y la(s)
persona(s) dentro de la organización responsable(s) por el software.
La acción apropiada y oportuna debe ser tomada en respuesta a la
identificación de vulnerabilidades tecnicas potenciales.
La organizacion debe establecer un proceso de gestión para vulnerabilidades
técnicas.
En función de la urgencia necesaria para abordar una vulnerabilidad técnica, las
medidas adoptadas deben llevarse a cabo de acuerdo con los controles SI Ir
relacionados con la gestión del cambio (ver A.12.1.2) o siguiendo
procedimientos de respuesta a incidentes de seguridad de la informacion (véase
16.1.5);
La gestión de vulnerabilidades técnicas puede ser vista como una sub-función
de la gestión del cambio, y como tal puede tomar ventaja de los procesos y
procedimientos de gestión del cambio (ver A.12.1.2 y A.14.2.2).
La organización debería definir y poner en vigencia una política estricta sobre

qué tipo de software pueden instalar los usuarios.
Se debería aplicar el principio de los menores privilegios. Si se les otorgan
ciertos privilegios, es posible que los usuarios tengan la capacidad de instalar
software.
La organización debería definir qué tipos de instalaciones de software se
permiten (es decir, actualizaciones y parches de seguridad al software existente) SI Ir
y qué tipos de instalaciones se prohíben (es decir, software que es solo para el
uso personal y software cuya categoría en cuanto a su posible característica
maliciosa es desconocida o sospechosa). Estos privilegios se
deberían otorgar considerando los roles de los usuarios involucrados.
a) los requisitos de auditoría de acceso a los sistemas y datos deben ser

acordados con la dirección que corresponda;
b) el alcance de las pruebas de auditoría tecnica deberían ser acordadas y
controladas;
c) las pruebas de auditoría deben limitarse al acceso de sólo lectura al software
y los datos;
d) Acceso distinto al de sólo lectura debe permitirse solamente para copias
aisladas de los archivos del sistema, los cuales deben ser borrados una vez
completada la auditoría, o darles una protección adecuada si es que hay una
obligación de mantener dichos archivos bajo los requisitos de documentación de NO -
auditoría;
e) los requisitos para el procesamiento especial o adicional deben ser
identificados y acordados;
f) pruebas de auditoría que pudieren afectar a la disponibilidad del sistema se
deben ejecutar fuera de horas de oficina;
g) todo el acceso debe ser monitoreado y registrado para producir un rastro de
referencia.
Las redes, ¿son adecuadamente gestionadas y controladas para poder proteger

la información en los sistemas y aplicaciones? SI Ir
En todo acuerdo de servicios de redes (interno o externo), ¿Se identifican e
incluyen los mecanismo de seguridad, los niveles de servicio y los requisitos de
gestion?
NO -
Los grupos de servicios de información, usuarios y sistemas de información ¿son

segregados en distintas redes? NO -
¿Se establecen políticas, procedimientos y controles de transferencia formal

para proteger la transferencia de información a través del uso de todos los tipos
de instalaciones de comunicación?
SI Ir
¿Se establecen acuerdos para la transferencia de información de negocio entre

la institución y terceros?
NO -
¿Se protege debidamente la información involucrada en la mensajería

electrónica? NO -
En la actualidad: ¿utiliza el Servicio acuerdos de confidencialidad o no-

divulgación que reflejen las necesidades de protección de la información
institucional? NO -
Los requisitos y controles de seguridad de la informacion deberían reflejar el

valor de negocio(mision) de la informacion involucrada (ver A.8.2) y el potencial
impacto negativo en el negocio (mision) que podría resultar de la falta de una
adecuada seguridad.
La identificacion y gestion de los requisitos de seguridad de informacion y los NO -
procesos asociados deberían ser integrados en etapas tempranas de los
proyectos de sistemas de informacion.
La información relacionada a servicios de aplicación que pasa por redes

públicas, ¿se protege de la actividad fraudulenta, de disputas contractuales, así
como de su divulgación y modificacion no autorizadas? NO -
¿Se protege la informaciónimplicada en las transacciones de servicio de

aplicacion para evitar la transmisión incompleta, la omision de envío, la
alteración / divulgación/ duplicación/ repetición no autorizada del mensaje?
NO -
Dentro de una política de desarrollo seguro se deberían considerar los
siguientes aspectos:
a) seguridad del entorno de desarrollo;
b) orientación sobre la seguridad del ciclo de vida del desarrollo de software:
b.1) seguridad en la metodología de desarrollo de software;
b.2) pautas de codificación segura para cada lenguaje de programación que
se utiliza;
c) requisitos de seguridad en la fase de diseño;
d) puntos de verificación de seguridad dentro de los hitos del proyecto; NO -
e) repositorios seguros;
f) seguridad en el control de la versión;
g) conocimiento de seguridad de aplicación necesario;
h) capacidad de los desarrolladores de evitar, encontrar y solucionar la
vulnerabilidad.
La introducción de nuevos sistemas y los principales cambios a los sistemas

existentes deben seguir un proceso formal de
documentación, especificaciones, pruebas, control de calidad e implementacion
administrada.
Este proceso debe incluir una evaluación de riesgos, el análisis de los impactos
de los cambios y la especificación de
los controles de seguridad necesarios. Además se debe cautelar que los
procedimientos de seguridad y de control existentes no se vean comprometidos,
que los programadores de apoyo se les da acceso sólo a aquellas partes del NO -
sistema
necesarias para su trabajo y que se obtiene acuerdo formal de aprobación de
cualquier cambio.
Siempre que sea posible (y practicable) se deben integrar, aplicación y los
procedimientos de control de cambios operacionales y de aplicacion (véase
A.12.1.2).
Cuando se hacen cambios a las plataformas operacionales, las aplicaciones

críticas de la organizacion deben ser revisadas y probadas para asegurar que no
hay impacto adverso en la seguridad u operaciones organizacionales. Para ello
se debe considerar la debida revision y actualizacion del Plan de Continuidad
Organizacional (ver A.17).
Plataformas de operación incluyen sistemas operativos, bases de datos y NO -
plataformas de middleware. El control
también debe ser aplicado los cambios de las aplicaciones.
Si los cambios son necesarios, el software original debe conservarse y los

cambios aplicados a una copia designada. Un proceso de gestion de
actualizaciones de software se debe implementar para garantizar que los
parches aprobados y las actualizaciones de aplicacion más recientes son
instaladas para todo el software autorizado (ver A.12.6.1). Todos los cambios
deben ser totalmente probados y documentados, para que se puedan volver a
aplicar, si es necesario, para futuras actualizaciones del software. Si es NO -
necesario, las modificaciones deben ser probados y validados por un órgano
independiente de evaluación.
Se deberían establecer, documentar y aplicar los procedimientos de ingeniería
de sistemas de información segura en base a los principios de ingeniería de
seguridad a las actividades de ingeniería del sistema de información interno. La
seguridad se debería diseñar en todos los niveles de la arquitectura (negocios,
datos, aplicaciones y tecnología) equilibrando la necesidad de la seguridad de la
información con la necesidad de la accesibilidad.
Se debería analizar la tecnología nueva para conocer sus riesgos de seguridad y NO -
el diseño se debería revisar contra los patrones de ataque conocidos.
Estos principios y los procedimientos de ingeniería establecidos se deberían
revisar de manera regular para asegurarse de que contribuyen de manera eficaz
a las normas de seguridad mejoradas dentro del proceso de
ingeniería.
Un entorno de desarrollo seguro incluye a las personas, procesos y tecnologías

asociadas con el desarrollo e integración de sistemas.
Las organizaciones deberían evaluar los riesgos asociados con las labores de
desarrollo de sistemas individuales y establecer entornos de desarrollo seguro,
considerando lo siguientes elementos:
a) la sensibilidad de los datos que el sistema procesará, almacenará y
transmitirá;
b) los requisitos extemos e internos correspondientes, es decir, de las
normativas o políticas;
e) controles de seguridad que ya ha implementado la organización y que
soportan el desarrollo del sistema;
d) confiabilidad del personal que trabaja en el entorno (ver A.7.1.1);
e) el grado de externalización asociado al desarrollo del sistema;
f) la necesidad de contar con segregación entre distintos entornos de desarrollo; NO -
g) control del acceso al entorno de desarrollo;
h) monitoreo del cambio al entorno y al código que ahí se almacena;
i} que los respaldos se almacenen en ubicaciones fuera del sitio;
j} control sobre el movimiento de datos desde y hacia el entorno.
Una vez que se ha determinado el nivel de protección para un entorno de
desarrollo específico, las organizaciones deberían documentar los procesos
correspondientes en los procedimientos de desarrollo seguro y proporcionarlos a
todas las personas que los necesiten.
Cuando se subcontrata el desarrollo de sistemas, los siguientes puntos deben

ser considerados a través de la toda la cadena de suministro externo de la
organización:
-acuerdos de licencia, de propiedad de código y derechos de propiedad
intelectual relacionados con el contenido subcontratado (ver A.18.1.2);
-los requisitos contractuales para el diseño seguro, codificación y prácticas de
prueba (ver 14.2.1);
-las pruebas de aceptación de calidad y la precisión de los entregables;
-la provisión de evidencia de que las pruebas suficientes se han aplicado para NO -
protegerse contra la presencia de contenido malicioso (intencional o no
intencional) sobre los entregables;
-el suministro de evidencia de que las pruebas suficientes se han aplicado para
proteger contra la presencia de vulnerabilidades conocidas.
Los sistemas nuevos y actualizados se deberían someter a pruebas y
verificaciones exhaustivas durante los procesos de desarrollo, incluida la
preparación de un programa de actividades detallado y entradas de
pruebas y los resultados esperados bajo una variedad de condiciones.
Las pruebas de aceptación independientes se deberían realizar (tanto para los
desarrollos internos y extemalizados) para garantizar que el sistema funciona NO -
según se espera y solo como se espera (ver A.14.1.1 y A.14.1.9).
El alcance de las pruebas debería ser en proporción a la importancia y
naturaleza del sistema.
-Las pruebas de aceptación del sistema deberían incluir las pruebas de los
requisitos de seguridad de la
información (ver A.14.1.1 y A.14.1.2) y la adherencia a las prácticas de
desarrollo del sistema seguro (ver A.14.2.1).
-Las pruebas también se deberían realizar en los componentes y sistemas
integrados recibidos. NO -
-Las pruebas se deberían realizar en un entorno de pruebas realista para
garantizar que el sistema no introducirá vulnerabilidades al entorno de la
organización y que las pruebas sean confiables.
El uso de los datos operativos que contengan información de identificación

personal o cualquier otra informacion confidencial
para propósitos de prueba, debe ser evitado. En caso de que información
sensible (personal o confidencial) sea utilizada para propósitos de prueba, todos
los detalles sensibles y contenidos deben ser protegido por eliminación o
modificación. (véase entre otras la ley 19.628)
Los procedimientos de control de acceso, que se aplican a los sistemas de
aplicación operativos, deben aplicarse también a
sistemas de aplicación de la prueba.
Se deben tener al menos las siguientes consideraciones:
a) los procedimientos de control de acceso, que se aplican a los sistemas de
aplicación operativos, también debe aplicarse en las pruebas de los sistemas de NO -
aplicación;
b) se debe autorizar por separado cada vez que la información operativa se
copie en un entorno de prueba;
c) la información operativa debería ser borrada de un entorno de prueba
inmediatamente después de que la prueba se haya completado;
d) Para las actividades de copia y el uso de información operacional, se deberia
mantener un registro de su ejecución, para proporcionar una pista de auditoría.
La organización debería identificar e imponer controles de seguridad de la

información para abordar especificamente el acceso de los proveedores a la
información de la organización en una política. Estos controles deberían abordar
los procesos y procedimientos que implementará la organización, así como
también aquellos procesos y procedimientos que la organización debería NO -
requerirle al proveedor que implemente.
Se deben establecer y documentar acuerdos con los proveedores, para asegurar
que no haya malentendidos entre la organización y el proveedor respecto a las
obligaciones de ambas partes para cumplir requisitos relevantes de seguridad de
la información. NO -
Temas que deberían ser incluidos en los acuerdos con el proveedor sobre la
seguridad de la cadena de suministro:
-Definir los requisitos de seguridad de la información que se aplicarán a la
adquisición de tecnologías, productos o servicios de información y comunicación
además de los requisitos de seguridad de la
información para las relaciones con el proveedor;
-Implementación de un proceso de monitoreo y métodos aceptables para validar
que los productos y servicios de tecnología de información y comunicación se
adhieren a los requisitos de seguridad establecidos;
-Implementación de un proceso para identificar los componentes de los
productos o servicios que son fundamentales para mantener la funcionalidad y NO -
que, por lo tanto, requiere una mayor atención y escrutinio cuando se desarrollan
fuera de la organización, especialmente si el proveedor del nivel
superior externalice los aspectos de los componentes de productos o servicios a
otros proveedores;
-Obtener la garantía de que los productos de tecnología de información y
comunicación entregados funcionan según lo esperado sin ninguna función
inesperada o no deseada;
El monitoreo y revisión de los servicios del proveedor debería garantizar que los
términos y condiciones de
seguridad de la información de los acuerdos se respeten y que los incidentes y
los problemas de seguridad de la información se gestionen correctamente.
Los servicios definidos, así como los reportes y registros provistos por terceros,
deben ser monitoreados y revisados regularmente.
La entrega del servicio definido con el proveedor se debe auditar.
La responsabilidad de administrar las relaciones con el proveedor se deberían

asignar a una persona o equipo de administración de servicios designado para
ello. NO -
Se deberían tener disponibles las habilidades y los recursos técnicos suficientes
para monitorear que se cumplen los requisitos del acuerdo, en particular los
requisitos de seguridad de la información.
Se deberían tomar las medidas necesarias cuando se observen deficiencias en
la prestación de servicios.
Se deberían considerar los siguientes aspectos:
a) Cambios a los acuerdos del proveedor;
b) Los cambios realizados por la organización para implementar:
mejoras a sus servicios: desarrollo de cualquier nueva aplicación y sistemas;
las modificaciones o actualizaciones de las políticas y procedimientos de la
organización; controles nuevos o cambiados para resolver incidentes de
seguridad de la información y mejorar la seguridad;
c) Cambios en los servicios del proveedor para implementar: cambios y mejoras
en las redes; uso de nuevas tecnologías; NO -
adopción de nuevos productos o nuevas versiones; nuevas herramientas y
entornos de desarrollo; cambios en la ubicación física de las instalaciones de
servicios; cambio de proveedores; subcontratación a otro proveedor.
En la actualidad: ¿el Servicio cuenta con procedimientos para manejar diversos

tipos de incidentes de seguridad de la información de forma rápida, eficaz y
metódica?
Se debería considerar los siguientes elementos:
a)Establecer las responsabilidades de gestión que permitan implementar:
a.1) procedimientos para la planificación de respuesta a incidentes y
preparación;
a.2) procedimientos de vigilancia, detección, análisis y presentación de informes
de eventos e incidentes de S.I.;
a.3) procedimientos para el registro de actividades de gestión de incidencias;
a.4) procedimientos para el manejo de las pruebas forenses;
a.5) los procedimientos para la evaluación y decisión sobre los eventos de
seguridad de la información y la evaluación de
debilidades de seguridad de la información;
a.6) los procedimientos de respuesta, incluyendo los de escalamiento,
recuperación controlada de un incidente NO -
y comunicación a las personas u organizaciones internas y externas;
b) los procedimientos establecidos deben asegurar que:
b.1) personal competente maneja las cuestiones relacionadas con los incidentes
de seguridad de información dentro de la
organización;
b.2) se ha definido un punto de contacto para la detección y notificación de
incidentes de seguridad;
b.3) los contactos pertinentes con las autoridades, grupos de interés externos o
foros que se encargan de los asuntos
en relación con los incidentes de seguridad de la información se mantienen;
En la actualidad: ¿el Servicio cuenta con un procedimiento de reporte de

eventos que afecten a la seguridad de la información?
Todos los empleados y contratistas deben ser conscientes de su responsabilidad
de reportar los eventos de seguridad de la información lo antes posible. También
deben ser conscientes del procedimiento para reportar eventos de seguridad de NO -
la información y el punto de contacto al que dichos eventos deben ser
reportados.
En la actualidad: ¿el Servicio cuenta con un mecanismo para que personal de la
institucion y sus contratistas puedan informar a la jefatura sobre debilidades de
seguridad de la informacion que detecten en los sistemas o servicios?
Todos los empleados y contratistas deben reportar las debilidades al punto de
contacto designado lo más rápido posible, en orden a prevenir incidentes de
seguridad de la información. El mecanismo de información debe ser lo más fácil,
accesible y disponible como sea posible. Los empleados y contratistas deben
ser advertidos de no tratar de demostrar las presuntas debilidades de seguridad. NO -
El intento de comprobar debilidades podría ser interpretado como un posible
mal uso del sistema, y también podrían causar daños al sistema de información
o servicio y resultar en responsabilidad legal para el individuo que realiza la
prueba.
El punto de contacto debería evaluar cada evento de seguridad de la

información utilizando la escala de clasificación de eventos e incidentes de
seguridad de la información. La clasificación y la priorización de incidentes
pueden ayudar a identificar el impacto y el alcance de un incidente.
En los casos donde la organización tenga un equipo de respuesta ante
incidentes de seguridad (ISIRT, por sus siglas en inglés), la evaluación y la NO -
decisión se puede enviar al ISIRT para su confirmación o reevaluación.
Se deberían registrar los resultados de la evaluación y la decisión en detalle con
fines de referencia y verificación futuros.
Un punto de contacto y otras personas pertinentes de la organización o partes

externas deberían responder ante los incidentes de seguridad de la información
(ver A.16.1.1). La respuesta debería incluir lo siguiente:
a) recopilar la evidencia lo más pronto posible después de la ocurrencia;
b) realizar análisis forenses de seguridad de la información, según sea necesario
(ver A.16.1.7);
c) escalamiento, según sea necesario;
d) asegurarse de que todas las actividades de respuesta se registren
correctamente para el posterior análisis;
e) comunicación de la existencia del incidente de seguridad de la información o
cualquier detalle pertinente a otras personas u organizaciones internas o NO -
externas con una necesidad de saber;
f) manejar las debilidades de la seguridad de la información que causan o
contribuyen al incidente;
g) una vez que se ha manejado el incidente correctamente, se debería cerrar y
registrar formalmente.
Se debería realizar un análisis post-incidente, según sea necesario, para
identificar el origen del incidente
Se deben establecer mecanismos que permitan la cuantificacion y monitoreo del

tipo, volumen y costos de los incidentes de seguridad de la información.
NO -
Se deben desarrollar e implementar procedimientos internos para cuando se

tenga que lidiar con evidencia para efectos disciplinarios y de accion legal.
NO -
La organización debe determinar que la continuidad de la seguridad de la
información esta capturada en el proceso de gestion de continuidad de negocio,
o bien dentro del proceso de gestion de recuperacion de desastres.
Los requisitos de la Seguridad de la informacion debieran determinarse cuando
se este planificando la continuidad de negocio y la recuperacion de desatres.
Se recomienda capturar los de los aspectos de seguridad de la informacion en el
Analisis de impacto de negocio (BIA) del BCP o del DRP. NO -
Nota: informacion adicional para la gestion de continudad de negocio pueder ser
encontrada en ISO/IEC 27031, ISO 22313 e ISO 22301.
La organización de asegurarse de que:

- Se cuenta con una estructura de gestion adecuada para estar preparados,
mitigar y responder a un evento disruptivo, usando personal con la necesaria
autoridad, experiencia y competencia.
-Se nomina a personal de respuesta a incidentes con la necesario autoridad,
experiencia y competencias.
-Se desarrollan y aprueban planes documentados, procedimientos de NO -
recuperacion y respuesta, detallando como la organización manejará un evento
disruptivo y mentandra la seguidad de la información a un determinado nivel,
basado en objetivos de continuidad de S.I. debidamente aprobados por la
dirección (ver A.17.1.1)
Cualquier cambio que se realice en la organizacion, ya sea en un contexto

operacional o de continuidad, pueden conducir a cambios en los requerimientos
de continuidad de seguridad de la información. En tales casos, la continuidad de
los procesos, procedimientos y controles para la seguridad de la información
debe ser revisada contra dichos requerimientos.
Las organizaciones deben verificar su gestion de la continuidad de la seguridad
de la informacion a través de:
a) ejercitar y comprobación de la funcionalidad de los procesos de continuidad
de seguridad de la información, para asegurarse de que son coherentes con los
objetivos de continuidad de seguridad de la información;
b) ejercitar y probar el conocimiento y la rutina para operar los procesos de
continuidad de seguridad de la información, NO -
para asegurar que su desempeño es consistente con los objetivos de la
continuidad de la seguridad de la información;
c) la revisión de la validez y efectividad de las medidas de continuidad de
seguridad de la información cuando
hay cambios en los sistemas de información, en los procesos de seguridad de la
información, en los procedimientos y controles, o en la gestion de continuidad
de negocio / recuperacion de desastres.
Las organizaciones deberían identificar los requisitos comerciales para la

disponibilidad de los sistemas de información. Cuando no se pueda garantizar la
disponibilidad a través de la arquitectura de sistemas existente, se deberían
considerar los componentes o arquitecturas redundantes.
Donde corresponda, se deberían probar los sistemas de información SI Ir
redundantes para garantizar que la conmutación por error de un componente a
otro funcione adecuadamente.
Los controles especificos y las responsabilidades individuales para satisfacer
estos requisitos deberían ser definidos y documentados.
NO -
Las siguientes directrices básicas deben ser consideradas para proteger

cualquier material que pueda ser considerado propiedad intelectual:
-la publicación de una política de cumplimiento de los derechos de propiedad
intelectual que define el uso legal de software y productos de información;
-la adquisición de software sólo a través de fuentes conocidas y de buena
reputación, para asegurar que los derechos de autor no son violados;
-el mantenimiento de la prueba de evidencia de la titularidad de las licencias,
discos maestros, manuales, etc;
-la aplicación de controles para asegurar que cualquier número máximo de
usuarios permitido dentro de la licencia no se supera;
NO -
-la realización de revisiones de que sólo los productos licenciados y software
autorizado han sido instalados;
-proporcionar una política para el mantenimiento apropiado de las condiciones
de la licenciamiento;
-no duplicar, ni convertir a otro formato o extrayendo de grabaciones comerciales
(película, audio) aquello que no sea permitido por la ley de derechos de autor;
Al decidir sobre la protección de los registros organizacionales específicos, se

debe considerar la correspondiente clasificación basado en sistema de
clasificación de la organización. Los registros deben ser categorizados
en los tipos de registro, por ejemplo, registros contables, registros de bases de
datos, registros de transacciones, registros de auditoría y procedimientos
operacionales, cada uno con los detalles de los períodos de retención y el tipo
de medio de almacenamiento permitido, por ejemplo, papel,
microfichas, electro-magnético(digital), óptico, etc.
Todas las claves criptográficas relacionadas y programas asociados con
encriptado de archivos o firmas digitales (véase A.10), también deben
almacenarse para permitir el descifrado de los registros para la longitud de
tiempo se conservan los registros.
Cuando se eligen medios de almacenamiento electrónico, deben ser
establecidos los procedimientos para garantizar la capacidad de acceder a los NO -
datos (tanto en medios como en el formato de lectura) durante todo el periodo de
retención para proteger contra pérdida debido a cambio de tecnología a futuro.
Para logra lo anterior:
a) Deben establecerse las directrices sobre la retención, el almacenamiento,
manejo y eliminacion de los registros y la información; b) un programa de
retención debe elaborarse identificando los registros y sus periodos de retencion;
c) debe mantenerse un inventario de las fuentes de información clave.
Se debe desarrollar e implementar una Política de datos de la organización para

la privacidad y protección de informacion de identificacion personal . Esta política
debe ser comunicada a todas las personas involucradas en el tratamiento de la NO -
información de identificación personal (ver Ley 19.628)
Los siguientes itemes deben ser considerados para el cumplimiento de los
acuerdos pertinentes, leyes y regulaciones:
a) las restricciones a la importación o exportación de hardware y software para
realizar funciones criptográficas;
b) las restricciones a la importación o exportación de hardware y software que
está diseñado para tener funciones criptográficas añadidas;
c) las restricciones sobre el uso de encriptación;
d) los métodos de acceso de cumplimiento obligatorio o facultativo por las
autoridades de los países a la información encriptada por hardware o software, NO -
para proveer la confidencialidad del contenido. Se debe buscar asesoramiento
jurídico para asegurar el cumplimiento de leyes y reglamentos pertinentes. De
igual forma, se debe tomar asesoramiento juridico previo a que la información
encriptada o controles criptográficos sean movidos a través de las fronteras
jurisdiccionales.
Se debe revisar el enfoque e implementación de seguridad de la información en

la institucion a intervalos regulares, o cuando ocurren cambios significativos y a
través de auditores externos o independientes.
La dirección debería establecer la revisión independiente. Una revisión
independiente es necesaria para asegurar la idoneidad, adecuación y efectividad
continua del enfoque de la organización para administrar la seguridad de la
información.
La revisión debería incluir la evaluación de oportunidades de mejora y la
necesidad de cambios en el enfoque de la seguridad, incluidos los objetivos de
política y control. Dicha revisión la deberían realizar personas independientes del
área bajo revisión, es decir, la función de auditoría interna, un gerente NO -
independiente o una organización externa que se especialice en dichas
revisiones.
Las personas que realizan estas revisiones deberían contar con las habilidades
y experienciaadecuada.
Los resultados de la revisión independiente se deberían registrar e informar a la
dirección que inició esta revisión. Se deberían mantener estos registros.
Los directivos (jefaturas de área) deben identificar como revisar los

requerimientos de S.I. contenidos en la políticas, normas estándares y cualquier
otra regulación aplicable. Se deben considerar herramientas de reportabilidad y
medición automatizada, para lograr una revisión eficiente. En caso de cualquier
no- conformidad detectada en el proceso de revisión, se debe:
a) identificar las causas de la no-conformidad.
b) evaluar la necesidad de acciones para lograr cumplimiento. NO -
c) implementar acciones correctivas apropiadas.
d) revisar las acciones correctivas tomadas para verificar su efectividad e
identificar cualquier deficiencia o debilidad.
La conformidad técnica debe revisarse preferentemente con la ayuda de
herramientas automatizadas, que generen informes técnicos para la posterior
interpretación por parte de un técnico especialista. Alternativamente, se pueden
realizar revisiones manuales por un ingeniero de sistemas con experiencia
(apoyadas por herramientas de software adecuadas, si es necesario).
Si se utilizan pruebas de penetración o evaluaciones de vulnerabilidad, se debe
tener precaución ya que tales actividades podría conducir a un compromiso de la
seguridad del sistema. Estas pruebas deben ser planificadas, documentados y
ser repetibles. NO -
Otra revisiones de conformidad técnica implican el examen de los sistemas
operacionales para garantizar que los controles de software y hardware se han
aplicado correctamente. Este tipo de revisión de cumplimiento requiere
experiencia técnica especializada.
Nombre de la Institución: Gobierno Regional de Valparaíso
DESCRIPCIÓN DE PROCESOS IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Nombre
Proceso Subproceso Etapa relevante Tipo Ubicación Responsable / dueño Soporte
Activo
Administrativo Entrega Activo Entrega Equipamiento Actas de Entrega Documento Kardex depto AdministMaria Natalia Acevedo Papel
Administrativo Recepciona Activo Recepcion Equipamiento Actas de Recepción Documento Kardex depto AdministMaria Natalia Acevedo Papel
Administrativo Contratos Externos Trabajos Externos Acuerdo de Confidencialidad Documento kardex responsable, MMaria Natalia Acevedo Papel
Administrativo Base Licitacion Base de Licitacion Carpeta con el contenido Bases de L
Documento Física, firmada por el Maria Natalia Acevedo Digital
Administrativo Recepcion de Facturas Recepcion de Facturas Facturas de los Proveedores. Documento kardex Depto Adm, Me
Maria Natalia Acevedo Papel
Administrativo Compras Autorizacion de Memoranum Para Autorizacion Compra Documento Kardex depto AdministMaria Natalia Acevedo Papel
Administrativo Recepcion de Documento Ingreso Documentos Documentos Oficina de Partes Documento Servidor Ares Ulices Vallejos Digital
Administrativo Gestión de Abastecimiento Adquisición a través de Trato Direct Res Trato directo Documento kardex Depto administrGuillermo Orellana Papel
RRHH Contrataciones Elaboración de contrato Resolución de UGP. Documento kardex UGP, MelgarejoPaola Aliste Papel
RRHH Cobro de licencia Oficio de cobro Licencias Médicas. Documento kardex responsable, M
Marcela Arévalo Papel
RRHH Tramite a pago envio a finanzas Boletas de Honorarios. Documento kardex responsable, M
Marcela Arévalo Papel
RRHH Sumario Sumario Sumario Documento kardex responsable, M
Paola Aliste Papel
RRHH Notificaciones de Calificacion notificacion Calificaciones Expediente kardex responsable, M
Paola Aliste Papel
RRHH Pago Remuneraciones Cálculo de remuneraciones P Excel Calculo de Remunerac Documento Serv Ares Ana Luisa Montes Digital
RRHH Descuento Remuneraciones Descuentos P Excel Descuentos Documento Serv Ares Ana Luisa Montes Digital
Transparencia. Gestión de Solicitudes de Inf Tramitación Respuesta a las solicit Cartas deTramitación Respuesta a lDocumento kardex UGP, Melgarejo
Sara Penaloza Papel
Core Publicar Sitio Actas Subir Actas Actas Sesiones Plenarias. Documento kardex responsable, M
Silvia Gomez Papel
Core Publicar Acuerdos Subir Acuerdos Acuerdos CORE. Documento kardex responsable, M
Silvia Gomez Papel
Core Guardar Audios Guardar Grabacion Audios Sesiones Plenarias. Documento kardex responsable, M
Silvia Gomez Papel
Financiero Financiero Revisión de antecedentes Egresos Contables Documento Serv Ares Maria Teresa Monardes Digital
Financiero Financiero Revisión de antecedentes Cartolas Transferencias Documento Kardex responsable. MMaria Teresa Monardes Papel
Financiero Financiero Revisión de antecedentes Estados de Pago Documento Kardex responsable. MMaria Teresa Monardes Papel
Financiero Financiero Cobro de boletas de garantías Boletas de garantía Documento caja fuerte, Depto Fin Veronica Munoz Papel
Financiero Financiero Transferencia electrónica Cheques Documento caja fuerte, Depto Fin Maria Teresa Monardes Papel
Financiero Financiero Revisión de antecedentes Facturas Documento kardex responsable, M Johanna Castillo Papel
Financiero Financiero Revisión de antecedentes kardex Finanzas Infraestructura Depto Finanzas , MelgMaria Teresa Monardes Papel
Financiero Financiero Transferencia electrónica Docto Trasnferencia Electronica Infraestructura Melgarejo 669 piso 7 Maria Teresa Monardes Papel
Financiero Financiero Entrega y depósitos de documentosDocto Asig Docto Bancario Expediente of partes, Melgarejo 6 Natalia Cerda Papel
Financiero Financiero imputación contable P Excel imputación contable Documento Depto Finanzas , MelgCeclia Valencia Digital
Financiero Financiero Cobro de boletas de garantías P Excel Cobro de boletas de garant Documento Serv Ares Veronica Muñoz Digital
Financiero Financiero Revisión de disponibilidad de asign P Excel Revisión de disponibilidad Documento Serv Ares Maria Teresa Monardez Digital
Financiero Financiero Transferencia electrónica P Excel Transferencia electrónica Documento Serv Ares Natalia Cerda Digital
Financiero Todos los Subprocesos Todas las Etapas Sitio Web Sigfe Sistema Externo Elizabeth Montenegro No Aplica
Informatica Informatica Procedimentacion Procedemientos Documento Mueble sin llave Miguel Gonzalez Papel
Informatica Informatica Administrativa Documentos Digitalizados Expediente Servidor Ares Miguel Gonzalez Digital
Informatica Informatica Guardar información en medios ext Servidor PDC SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor SDC SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor RODC SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor Wsus SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor WEB SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor FTP SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor SVN SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor Methasys SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor ERP SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor Base Datos SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor Vcenter SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Equipo Desarrollo SW Datacenter / Esxi Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor Archivos Equipos Datacenter Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor Esxi 1 Equipos Datacenter Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor Esxi 2 Equipos Datacenter Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Switch1 Datacenter Infraestructura Física Datacenter Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Switch2 Servidores Infraestructura Física Datacenter Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Switch Pisos Infraestructura Física Toda la Institucion Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Equipo Nvr Equipos Datacenter Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor DNS Equipos Servidor Voltaire Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Servidor Reloj Control Equipos VigagoreV Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Bases Datos Adempiere Base de Datos Servidor Montesquiea Miguel Gonzalez No Aplica
Informatica Informatica Guardar información en medios ext Bases Datos Intranet Base de Datos Servidor Voltaire Miguel Gonzalez Digital
Informatica Informatica Guardar información en medios ext Bases Datos CORE Base de Datos Servidor Voltaire Miguel Gonzalez Digital
Informatica Informatica Guardar información en medios ext Base Datos Methasys Base de Datos Servidor Methasys Miguel Gonzalez Digital
Informatica Informatica Guardar información en medios ext Base Datos Web GORE Base de Datos Servidor Voltaire Miguel Gonzalez Digital
Informatica Informatica Guardar información en medios ext Base Datos COREVota Base de Datos Servidor Voltaire Miguel Gonzalez Digital
Informatica Todos los Subprocesos Todas las Etapas Sistema Methasys Sistema Servidor Methasys Miguel Gonzalez Digital
Informatica Todos los Subprocesos Todas las Etapas Email Funcionarios Sistema Externo Miguel Gonzalez Digital
Informatica Todos los Subprocesos Todas las Etapas Sitio Web Gore Sistema Servidro Voltaire Miguel Gonzalez Digital
Informatica Todos los Subprocesos Todas las Etapas Sitio Web Mercado Publico Sistema Externo Liliam Vega No Aplica
Informatica Todos los Subprocesos Todas las Etapas Sitio Web BIP Sistema Externo Claudio Oyarzun No Aplica
Informatica Pago Remuneraciones Pago de Cotizaciones Sitio Web Previred Sistema Externo Ana Luisa Montes No Aplica
Informatica Informatica Plenario Sitio Web COREVota Sistema Servidro Voltaire Miguel Gonzalez Digital
Informatica Informatica Trasnparencia Activa Sitio Web Transparencia Sistema Externo Miguel Gonzalez No Aplica
Informatica Informatica Consulta SII Sitio Web SII Sistema Externo Elizabeth Montenegro No Aplica
Informatica Informatica Ingreso Datos a Sigfe Sitio Web Sigfe Sistema Externo Elizabeth Montenegro No Aplica
Todos los Procesos Todos los Subprocesos Todas las Etapas Computadores de Escritorio Equipos Toda la Institucion Usuarios Gore No Aplica
Gestión de Programas y Proyectos EPrograma Público de Inversió Elaboración y difusión PROPIR Excel Reportes PROPIR Documento Serv Ares Jazmin arredondo Digital
Planificación y Ordenamiento TerritoProgramación de Inversiones A
Elaboración ARI Excel Reportes ARI Documento Serv Ares Jazmin arredondo Digital
Fondo de Innovación para la Co Modalidad Concurso Evaluación de proyectos de innovacProyectos Formulario Archivador kardex Carlos Cubillos Papel
Fondo de Innovación para la Competitividad Revisión de informes financieros y Rendiciones de cuentas e informes Documento Archivador kardex Carlos Cubillos Papel
Programa de Infraestructura RurElaboración de planes marcosEvaluación
de de propuestas y seguimiInformes Documento Archivador kardex José Luis Carvajal Papel
Programación de la Inversión proyección del gasto mensual programación mensual de la inversióExcel Reportes gasto mensual proyDocumento Serv Ares Julio Acuña Digital
Ejecución de la Inversión Ejecución de la Inversión Monitoreo de Avance Físico de IniciaDoc Monitoreo de Avance Documento Melgarejo 669 piso 7 ,Andrea Rosas Digital
Ejecución de la Inversión Ejecución de la Inversión Monitoreo de Avance Físico de IniciaDoc Visita a Terreno Documento Kardex Andrea Rosas Papel
Fiscalizacion programas 6% Planificación de supervisión Calendarización de los proyecto a Planilla consolidada Historica del Base de Datos Serv Ares Suliang Ow Digital
Fiscalizacion programas 6% Planificación de supervisión Calendarización de los proyecto a Formulario con Fechas de EjecucióFormulario Suliang Ow Suliang Ow Papel
Fiscalizacion programas 6% Fiscalización de proyectos de Completar la ficha de ejecución de cFormulario de Postulación de proyeFormulario Carpeta Fisica con ca Felipe Olfos Papel
Fiscalizacion programas 6% Fiscalización de proyectos de Completar la ficha de ejecución de cFichas de Ejecución Formulario Carpeta Fisica con ca Suliang Ow Papel
Fiscalizacion programas 6% Informes de fiscalización del Preparación del informe de fiscaliz Fotografías de las Ejecuciones de Equipos Albun fotografico de c Suliang Ow Digital
Fiscalizacion programas 6% Informes de fiscalización del Revisión de los informes de ejecuci Informe de Fiscalización en Terren Documento Carpeta Fisica con ca Suliang Ow Papel
Tranferencias de capital Revisión de iniciativas Revisión de iniciativas declaradas p Programa, proyecto o Estudio Documento Carpeta Fisica de cadaTeresa Pastor Papel
Tranferencias de capital Revisión de iniciativas Aprobación o rechazo de iniciativa Certificado de Aprobación u Oficio Documento Carpeta Fisica de cadaAndrea Rosas Papel
Tranferencias de capital Rendición de Iniciativas Revisión de rendiciones mensualesCarpeta
d de rendición mensual de cad
Expediente Carpeta Fisica de cadaAndrea Rosas Papel
Tranferencias de capital Rendición de Iniciativas Revisión de Informes Técinos - Finan
Carpeta de Informes Técinos - FinanExpediente Carpeta Fisica de cadaAndrea Rosas Papel
Tranferencias de capital Rendición de Iniciativas Revisión de Informes Final de CierreCarpeta de Informes Final de CierreExpediente Carpeta Fisica de cadaAndrea Rosas Papel
Fiscalizacion fndr tradicional Fiscalización de proyectos de Elaboración de informe de visita a t Consolidado de Informes de Visita Base de Datos Carpeta digital de la Marta Arcos Digital
Fiscalizacion fndr tradicional Revisión de informes de ATO Emisión de informe de Aprobación, Control de ATOS e Informes Base de Datos Carpeta copartida GruMarta Arcos Digital
Sistema pmg Coordinar y gestión del sistemArticula información y actores para Formulario H y Formulario del Mon Formulario Plataforma Digital DI Cristian Paz Digital
ANÁLISIS DE CRITICIDAD
Persona
Autorizada Confidencialidad Integridad Disponibilidad Criticidad
para Manipular
Mayra Abarca Público Baja Media Media

Maria Acevedo Público Media Baja Media
Maria Acevedo Público Baja Media Media
Maria Acevedo Público Media Media Media
Maria Acevedo Público Alta Baja Alta
Ulices Vallejos Público Media Alta Alta
Maria Natalia Acev Público Media Media Media
Paola Aliste Público Alta Media Alta
Marcela Arevalo Público Baja Media Media
Marcela Arevalo Público Baja Baja Baja
Paola Aliste Reservada Media Baja Alta
Paola Aliste Público Baja Media Media
Ana Luisa Montes Público Baja Baja Baja
Ana Luisa Montes Público Alta Alta Alta
Paola Aliste Público Baja Baja Baja
Felicidad Pablo Público Alta Media Alta
Felicidad Pablo Público Media Media Media
Felicidad Pablo Público Media Alta Alta
Maria Teresa Mona Público Alta Media Alta
Sandra Carrasco Público Alta Media Alta
Maria Teresa Mona Público Media Media Media
Cecilia Valencia Público Alta Media Alta
Natalia Cerda Público Media Media Media
Johanna Castillo Público Media Media Media
Ivonne Reyes Público Baja Baja Baja
Cecilia Valencia Público Baja Baja Baja
Maria Teresa Mona Público Baja Baja Baja
Natalia Cerda Público Alta Media Alta
Mayra Abarca Público Alta Alta Alta
Juan Bustos Reservada Alta Alta Alta
Juan Bustos Público Baja Baja Baja
Miguel Gonzalez Público Media Media Media
Juan Bustos Público Alta Alta Alta
Juan Bustos Reservada Media Baja Alta
Miguel Gonzalez Público Baja Baja Baja
Miguel Gonzalez Reservada Media Media Alta
Michael Ilufi Reservada Alta Baja Alta
Juan Bustos Reservada Media Alta Alta
Mayra Abarca Reservada Media Alta Alta
Mayra Abarca Reservada Media Alta Alta
Mayra Abarca Reservada Alta Alta Alta
Juan Bustos Reservada Media Media Alta
Juan Bustos Reservada Media Media Alta
Michael Ilufi Público Baja Baja Baja
Michael Ilufi Reservada Alta Media Alta
Michael Ilufi Reservada Alta Media Alta
Michael Ilufi Reservada Alta Alta Alta
Michael Ilufi Público Alta Alta Alta
Juan Bustos Reservada Alta Media Alta
Michael Ilufi Público Media Baja Media
Liliam Vega Público Baja Baja Baja
Julio Acuna Público Baja Baja Baja
Ana Luisa Montes Público Baja Baja Baja
Michael Ilufi Público Baja Baja Baja
Sara Peñaloza Público Alta Media Alta
No Aplica Público Alta Alta Alta
Natalia Cerda Público Alta Alta Alta
Solo el Usr Público Media Media Media
Leonardo Canoles Público Media Media Media
Leonardo Canoles Público Media Media Media
Patricia Torrico Reservada Alta Alta Alta
Patricia Torrico Reservada Alta Alta Alta
Marcela Tordecilla Público Alta Media Alta
Juan Costa Público Baja Baja Baja
Marta Gallardo, Eli Público Baja Media Media
Marta Gallardo, Eli Público Baja Baja Baja
Suliang Ow y Felipe Reservada Media Alta Alta
Suliang Ow Reservada Alta Alta Alta
Felipe Olfos Reservada Alta Alta Alta
Marta Gallardo, Eli Reservada Alta Alta Alta
Marta Gallardo, Eli Reservada Alta Media Alta
Marta Gallardo, Eli Reservada Baja Alta Alta
Teresa Pastor Público Baja Media Media
Andrea Rosas Público Baja Alta Alta
Gilda Parada, Marc Reservada Media Alta Alta
Marta Arcos Reservada Alta Alta Alta
Marta Arcos Público Alta Alta Alta
Cristian Paz Público Alta Baja Alta
CARACTERIZACIÓN DEL ACTIVO IDE
Nombre
Proceso Confidencialidad Integridad Disponibilidad Criticidad Amenaza
Activo
Administrativo Actas de Entrega Público Baja Media Media Perdida, Fuego, Agua
Administrativo Actas de Recepción Público Baja Media Media Perdida, Fuego, Agua
Administrativo Acuerdo de Confidencialidad Público Media Baja Media Perdida, Fuego, Agua
Administrativo Carpeta con el contenido Bases de Licitación. Público Baja Media Media Falla Disco Duro/ Electrica
Administrativo Facturas de los Proveedores. Público Media Media Media Perdida, Fuego, Agua
Administrativo Autorizacion Compra Público Alta Baja Alta Perdida, Fuego, Agua
Administrativo Documentos Oficina de Partes Público Media Alta Alta Eliminacion Accidental
Administrativo Res Trato directo Público Media Media Media Perdida, Fuego, Agua
RRHH Resolución de UGP. Público Alta Media Alta Perdida, Fuego, Agua
RRHH Licencias Médicas. Público Baja Media Media Perdida, Fuego, Agua
RRHH Boletas de Honorarios. Público Baja Baja Baja Perdida, Fuego, Agua
RRHH Sumario Reservada Media Baja Alta Perdida, Fuego, Agua
RRHH Calificaciones Público Baja Media Media Perdida, Fuego, Agua
RRHH P Excel Calculo de Remunerac Público Baja Baja Baja Eliminacion Accidental
RRHH P Excel Descuentos Público Alta Alta Alta Eliminacion Accidental
Transparencia. Cartas deTramitación Respuesta a las solicitudes de información Público Baja Baja Baja Eliminacion Accidental
Core Actas Sesiones Plenarias. Público Alta Media Alta Perdida, Fuego, Agua
Core Acuerdos CORE. Público Media Media Media Perdida, Fuego, Agua
Core Audios Sesiones Plenarias. Público Media Alta Alta Eliminacion Accidental
Financiero Egresos Contables Público Alta Media Alta Perdida, Fuego, Agua
Financiero Cartolas Transferencias Público Alta Media Alta Perdida, Fuego, Agua
Financiero Estados de Pago Público Alta Media Alta Perdida, Fuego, Agua
Financiero Boletas de garantía Público Alta Media Alta Perdida, Fuego, Agua
Financiero Cheques Público Media Media Media Perdida, Fuego, Agua
Financiero Facturas Público Alta Media Alta Eliminacion Accidental
Financiero kardex Finanzas Público Media Media Media Perdida, Fuego, Agua
Financiero Docto Trasnferencia Electronica Público Media Media Media Perdida, Fuego, Agua
Financiero Docto Asig Docto Bancario Público Media Media Media Perdida, Fuego, Agua
Financiero P Excel imputación contable Público Media Media Media Eliminacion Accidental
Financiero P Excel Cobro de boletas de garantías Público Baja Baja Baja Eliminacion Accidental
Financiero P Excel Revisión de disponibilidad de asignación presupuestaria Público Baja Baja Baja Eliminacion Accidental
Financiero P Excel Transferencia electrónica Público Baja Baja Baja Eliminacion Accidental
Financiero Sitio Web Sigfe Público Alta Media Alta Uso no autorizado de clave
Informatica Procedemientos Público Baja Media Media Perdida, Fuego, Agua
Informatica Documentos Digitalizados Público Alta Alta Alta Eliminacion Accidental
Informatica Servidor PDC Reservada Alta Alta Alta Falla en Sistema Operativo
Informatica Servidor SDC Reservada Alta Alta Alta Falla en Sistema Operativo
Informatica Servidor RODC Reservada Alta Alta Alta Falla en Sistema Operativo
Informatica Servidor Wsus Público Baja Baja Baja Falla en Sistema Operativo
Informatica Servidor WEB Público Media Media Media Falla en Sistema Operativo
Informatica Servidor FTP Público Alta Alta Alta Falla en Sistema Operativo
Informatica Servidor SVN Reservada Media Baja Alta Falla en Sistema Operativo
Informatica Servidor Methasys Reservada Alta Alta Alta Falla en Sistema Operativo
Informatica Servidor ERP Público Baja Baja Baja Falla en Sistema Operativo
Informatica Servidor Base Datos Reservada Media Media Alta Falla en Sistema Operativo
Informatica Servidor Vcenter Reservada Alta Alta Alta Falla en Sistema Operativo
Informatica Equipo Desarrollo Reservada Alta Baja Alta Falla en Sistema Operativo
Informatica Servidor Archivos Reservada Alta Alta Alta Falla en Sistema Operativo
Informatica Servidor Esxi 1 Reservada Alta Alta Alta Falla en Sistema Operativo
Informatica Servidor Esxi 2 Reservada Alta Alta Alta Falla en Sistema Operativo
Informatica Switch1 Datacenter Reservada Media Alta Alta Falla Electrica
Informatica Switch2 Servidores Reservada Media Alta Alta Falla Electrica
Informatica Switch Pisos Reservada Media Alta Alta Falla Electrica
Informatica Equipo Nvr Reservada Alta Alta Alta Apagado de Equipo
Informatica Servidor DNS Reservada Media Media Alta Falla en Sistema Operativo
Informatica Servidor Reloj Control Reservada Media Media Alta Falla en Sistema Operativo
Informatica Bases Datos Adempiere Público Baja Baja Baja Eliminacion Accidental
Informatica Bases Datos Intranet Reservada Alta Media Alta Eliminacion Accidental
Informatica Bases Datos CORE Reservada Alta Media Alta Eliminacion Accidental
Informatica Base Datos Methasys Reservada Alta Alta Alta Eliminacion Accidental
Informatica Base Datos Web GORE Reservada Alta Alta Alta Eliminacion Accidental
Informatica Base Datos COREVota Reservada Alta Alta Alta Eliminacion Accidental
Informatica Sistema Methasys Público Alta Alta Alta Uso no autorizado de clave
Informatica Email Funcionarios Reservada Alta Media Alta Uso no autorizado de clave
Informatica Sitio Web Gore Público Media Baja Media Sin Conexión
Informatica Sitio Web Mercado Publico Público Baja Baja Baja Uso no autorizado de clave
Informatica Sitio Web BIP Público Baja Baja Baja Uso no autorizado de clave
Informatica Sitio Web Previred Público Baja Baja Baja Uso no autorizado de clave
Informatica Sitio Web COREVota Público Baja Baja Baja Uso no autorizado de clave
Informatica Sitio Web Transparencia Público Alta Media Alta Eliminacion Accidental
Informatica Sitio Web SII Público Alta Alta Alta Uso no autorizado de clave
Informatica Sitio Web Sigfe Público Alta Alta Alta Uso no autorizado de clave
Todos los Procesos Computadores de Escritorio Público Media Media Media Uso no autorizado equipo
Gestión de Programas y Proyectos Estratégicos Excel Reportes PROPIR Público Media Media Media Eliminacion Accidental
Planificación y Ordenamiento Territorial Excel Reportes ARI Público Media Media Media Eliminacion Accidental
Fondo de Innovación para la Competitividad Proyectos Reservada Alta Alta Alta Perdida, Fuego, Agua
Fondo de Innovación para la Competitividad Rendiciones de cuentas e informes técnicos Reservada Alta Alta Alta Perdida, Fuego, Agua
Programa de Infraestructura Rural Informes Público Alta Media Alta Perdida, Fuego, Agua
Programación de la Inversión Excel Reportes gasto mensual proyeccion Público Baja Baja Baja Eliminacion Accidental
Ejecución de la Inversión Doc Monitoreo de Avance Público Baja Media Media Perdida, Fuego, Agua
Ejecución de la Inversión Doc Visita a Terreno Público Baja Baja Baja Perdida, Fuego, Agua
FiscalizacionPlanilla
programas
consolidada
6% Historica del total de proyectos del 6% desde 2008-2015, incluidos los proyectos aprobados
Reservada por lo CORES
Media Alta Alta Eliminacion Accidental
Fiscalizacion programas 6% Formulario con Fechas de Ejecución Reservada Alta Alta Alta Perdida, Fuego, Agua
Fiscalizacion programas 6% Formulario de Postulación de proyectos del 6% Reservada Alta Alta Alta Perdida, Fuego, Agua
Fiscalizacion programas 6% Fichas de Ejecución Reservada Alta Alta Alta Perdida, Fuego, Agua
Fiscalizacion programas 6% Fotografías de las Ejecuciones de proyectos Reservada Alta Media Alta Eliminacion Accidental
Fiscalizacion programas 6% Informe de Fiscalización en Terreno de Proyectos en Ejecución Reservada Baja Alta Alta Perdida, Fuego, Agua
Tranferencias de capital Programa, proyecto o Estudio Público Baja Media Media Perdida, Fuego, Agua
Tranferencias de capital Certificado de Aprobación u Oficio de Rechazo de Iniciativa Público Baja Alta Alta Perdida, Fuego, Agua
Tranferencias de capital Carpeta de rendición mensual de cada iniciativa Reservada Media Alta Alta Perdida, Fuego, Agua
Tranferencias de capital Carpeta de Informes Técinos - Financieros Trimestrales de cada iniciativa Reservada Media Alta Alta Perdida, Fuego, Agua
Tranferencias de capital Carpeta de Informes Final de Cierre de cada iniciativa Reservada Media Alta Alta Perdida, Fuego, Agua
Fiscalizacion fndr tradicional Consolidado de Informes de Visita a Terreno Reservada Alta Alta Alta Eliminacion Accidental
Fiscalizacion fndr tradicional Control de ATOS e Informes Público Alta Alta Alta Eliminacion Accidental
Sistema pmg Formulario H y Formulario del Monitoreo de Desempeño Público Alta Baja Alta Eliminacion Accidental
IDENTIFICACIÓN Y CARACTERIZACION DE LOS RIESGOS
Vulnerabilidad Probabilidad de Control para mitigar Control para mitigar Control para mitigar
Descripción del Riesgo Impacto Severidad Cumplimiento
(Debilidad) ocurrencia el riesgo el riesgo el riesgo
Falta de protección física No tener inventario actualizado Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No tener inventario actualizado Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de protección física Divulgación de información Improbable Insignificantes Bajo 11.1.4 11.1.3 9.4.1 NO
Borrado Accidental Indisponibilidad del archivo Moderado Moderadas Alto 12.5.1 9.4.2 12.6.1 SI
Falta de protección física No pago oportuno de Factura Improbable Moderadas Moderado 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No comprar articulos de Necesidad Institucional Improbable Insignificantes Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de copias de respaldo Interrupción de las Actividades Improbable Menores Bajo 12.3.1 9.4.2 - NO
Falta de protección física No comprar articulos de Necesidad Institucional Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No Contar con Informacion Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No pago de Licencias Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No Pago de Sueldos Improbable Moderadas Moderado 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No tener documentacion del Funcionario Improbable Moderadas Moderado 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No contar con retroalimentacion al funcionario Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de copias de respaldo No pago de remuneraciones Moderado Menores Moderado 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo Remuneraciones mal calculadas Moderado Menores Moderado 12.3.1 - - NO
Falta de copias de respaldo No tener a Tiempo las respuestas Moderado Insignificantes Bajo 12.3.1 - - NO
Falta de protección física No contar con la Informacion pública Improbable Moderadas Moderado 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No contar con la Informacion pública Improbable Moderadas Moderado 11.1.4 11.1.3 9.4.1 NO
Falta de copias de respaldo No contar con la Informacion Improbable Moderadas Moderado 12.3.1 - - NO
Falta de protección física Interrupción de las Actividades Improbable Moderadas Moderado 11.1.4 11.1.3 9.4.1 NO
Falta de protección física Interrupción de las Actividades Improbable Catastróficas Extremo 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No Pago a proveedor Improbable Moderadas Moderado 11.1.4 11.1.3 9.4.1 NO
Falta de copias de respaldo No Pago a proveedor Moderado Mayores Extremo 12.3.1 9.4.1 9.4.4 NO
Falta de protección física Interrupción de las Actividades Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de protección física Interrupción de las Actividades Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de copias de respaldo No contar con respaldo digital Improbable Menores Bajo 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo No contar con respaldo digital Moderado Insignificantes Bajo 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo No Contar con Informacion actualizada Moderado Insignificantes Bajo 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo No contar con respaldo digital Moderado Menores Moderado 12.3.1 9.4.1 9.4.4 NO
Falta de conciencia de seguridad Fuga de Información Improbable Menores Bajo 9.4.3 9.4.1 9.4.4 SI
Falta de protección física Incumplimiento regulatorio Improbable Insignificantes Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de copias de respaldo No tener inventario actualizado Improbable Moderadas Moderado 12.3.1 - - NO
Falta de copias de respaldo Interrupción de las Actividades Improbable Moderadas Moderado 12.3.1 - - NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Moderadas Alto 12.3.1 - - NO
Falta de copias de respaldo No tener respaldo de Active Directory Moderado Mayores Extremo 12.3.1 - - NO
No Actualizar equipos No tener Equipos actualizados Moderado Moderadas Alto 12.3.1 - - NO
Falta de copias de respaldo Iindisponibilidad Sitio Moderado Moderadas Alto 12.3.1 - - NO
Falta de copias de respaldo Iindisponibilidad Sitio Moderado Moderadas Alto 12.3.1 - - NO
Falta de copias de respaldo No Contar con respaldos Moderado Mayores Extremo 12.3.1 - - NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Insignificantes Bajo 12.3.1 - - NO
Falta de copias de respaldo No contar con informacion Historica Moderado Menores Moderado 12.3.1 - - NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Catastróficas Extremo 12.3.1 - - NO
Falta de copias de respaldo No contar con administracion adecuada Moderado Insignificantes Bajo 12.3.1 - - NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Mayores Extremo 12.3.1 - - NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Insignificantes Bajo 12.3.1 - - NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Catastróficas Extremo 12.3.1 - - NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Mayores Extremo 12.3.1 - - NO
Mantenimiento insuficiente Interrupción de las Actividades Moderado Mayores Extremo 11.2.3 9.4.1 - SI
Mantenimiento insuficiente Interrupción de las Actividades Moderado Menores Moderado 11.2.3 9.4.1 - SI
Mantenimiento insuficiente Interrupción de las Actividades Moderado Menores Moderado 11.2.3 9.4.1 - SI
Uso descuidado Interrupción de las Actividades Moderado Menores Moderado 12.3.1 9.4.1 11.2.3 NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Menores Moderado 12.6.1 11.2.3 9.4.1 SI
Falta de copias de respaldo Perdida control de asistencia Moderado Mayores Extremo 12.6.1 11.2.3 9.4.1 SI
Falta de copias de respaldo No contar con Informacion Historica Moderado Menores Moderado 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo No contar con informacion util Moderado Menores Moderado 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Menores Moderado 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Catastróficas Extremo 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Moderadas Alto 12.3.1 9.4.1 9.4.4 NO
Mantenimiento insuficiente Interrupción de las Actividades Moderado Moderadas Alto 12.3.1 12.6.1 - NO
Falta de copias de respaldo Interrupción de las Actividades Improbable Menores Bajo 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo Interrupción de las Actividades Improbable Moderadas Moderado 12.3.1 9.4.1 9.4.4 NO
Falta de protección física Divulgación de información Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No pago de Rendicion Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de protección física No Contar con Informe Tecnico Improbable Menores Bajo 11.1.4 11.1.3 9.4.1 NO
Falta de copias de respaldo Interrupción de las Actividades Improbable Insignificantes Bajo 12.3.1 9.4.1 9.4.4 NO
Falta de protección física Interrupción de las Actividades Moderado Menores Moderado 11.1.4 11.1.3 9.4.1 NO
Falta de copias de respaldo Interrupción de las Actividades Improbable Menores Bajo 12.3.1 9.4.1 9.4.4 NO
Falta de protección física atraso en calendarizacion Moderado Menores Moderado 11.1.4 11.1.3 9.4.1 NO
Falta de copias de respaldo Atraso en Informe de fiscalizacion Improbable Menores Bajo 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Moderadas Alto 12.3.1 9.4.1 9.4.4 NO
Falta de copias de respaldo Interrupción de las Actividades Moderado Mayores Extremo 12.3.1 9.4.1 9.4.4 NO
MEDIDAS DE MITIGACION
Nombre del producto esperado Nombre del Archivo Evidencia Nombre del Archivo Evidencia Nombre del Archivo Evidencia
Actualización de Plan de Emergencias - - -

- Instalación del software en sistemas operacionales Procedimientos seguros de inicio de sesión seguro Gestión de las vulnerabilidades técnicas
Actualización de Política de respaldo - - -
- Sistema de gestión de contraseñas Restricción del acceso a la información Uso de programas utilitarios privilegiados
Actualización de Plan de Emergencias - -
- Seguridad del cableado Restricción del acceso a la información -
- Gestión de las vulnerabilidades técnicas. Seguridad del cableado Restricción del acceso a la información
- Gestión de las vulnerabilidades técnicas. Seguridad del cableado Restricción del acceso a la información
PROGRAMA DE TRABAJO
Fecha
Producto Esperado Responsable del Producto Actividades o Hitos Fecha Inicio
Término
Difusión/Sensibilizaciòn
Capacitaciòn
Actividades de control básicas
PRODUCTOS A DESARROLLAR AÑO 2016 O POSTERIORES

Responsable del
Producto Esperado Control NCh-ISO 27001 Justificación Fecha Inicio
Producto
Politica De seguirdad de la informacion A.05.01.01 Miguel Gonzalez La politica actual data de 2011 1-ene-16
Actualizar Politica de seguridad de la informacion A.05.01.02 Miguel Gonzalez La politica actual data de 2011 1-ene-16
Resolucion responsables de activos de informacion A.06.01.01 Guillermo Orellana El gobierno regional de valparaiso no cuenta con una resoluc
1-ene-16
Mapa de segregacion de funciones A.06.01.02 Miguel Gonzalez No se cuenta con la formalizacion de la segregacion de funci
1-ene-16
Procedimiento en caso de incidentes de seguridad d A.06.01.03 Miguel Gonzalez El gobierno regional no cuenta un procedimiento a segu 1-ene-16
Procedimiento proceso de seleccion de candidatos A.07.01.01 Paola Aliste El gobierno no cuenta con un procedimiento para realiza 1-ene-16
Resolucion con inventario de activos de la institucio A.08.01.01 Guillermo Orellana Si bien se tiene la planilla de inventario de activos de in 1-ene-16
Procedimiento de devolucion de activos de informac A.08.01.04 Paola Aliste Al tener claro los responsables de los activos de infor 1-ene-16
Actualizacion de politica de control de acceso A.09.01.01 Maria Natalia Acevedo La politica actual data del 2011, por lo cual debe ser ac 1-ene-16
Listado de asignacion y derechos de acceso privileg A.09.02.03 Miguel Gonzalez No se lleva registro de asignaciones y uso de derecho d 1-ene-16
Procedimiento de inicio de sesion seguro A.09.04.02 Miguel Gonzalez Mejorar los sistemas de incio y proteger las sesiones 1-ene-16
Manejo de contraseñas por Active Directory A.09.04.03 Miguel Gonzalez Se hara mas robusta la forma de accesar a los equipos d 1-ene-16
Resolucion de proteccion de areas de seguridad A.11.01.01 Miguel Gonzalez Se necesita identificar las areas de seguridad para ptro 1-ene-16
Actulaizacion Politica de seguirdad fisica y de ambie A.11.02.01 Miguel Gonzalez La politica actual data del 2011, por lo cual debe ser ac 1-ene-16
Politica de mantencion de equipos A.11.02.04 Maria Natalia Acevedo La institucion no cuenta con una politica a la cual señi 1-ene-16
Procedimiento para eliminacion o reutilizacion segu A.11.02.07 Miguel Gonzalez Se formalizara en un procedimiento los procesos ya utiliz 1-ene-16
Concientizacion de usuarios en tema de aseguramien A.11.02.08 Miguel Gonzalez No todos los usuarios tienen la conciencia de asegurar 1-ene-16
Revisar y/o actulaizar politica sobre escritorio y pant A.11.02.09 Miguel Gonzalez La politica actual data del 2011, por lo cual debe ser ac 1-ene-16
Actualizacion y mantencion de procedimientos operat A.12.01.01 Miguel Gonzalez No esta actualizada la seccion de procemientos operac 1-ene-16
Actualziacion Politica de respaldo A.12.03.01 Miguel Gonzalez Se debe revisar y generar los cambios necesarios de ac 1-ene-16
Instructivo sincornizacion de relojes A.12.04.04 Miguel Gonzalez Para cumplir con la norma entregada por el estado para e1-ene-16
Procedimiento instalacion de software en sistemas A.12.05.01 Miguel Gonzalez tener la herramientas necesarias para llevar el control d 1-ene-16
Politica de control sobre la red A.13.01.01 Miguel Gonzalez Se debe generar una politica en la cual basarse para reali1-ene-16
Política de seguridad de la información para las rel A.15.01.01 Maria Natalia Acevedo No se cuenta con una politica que controle este tema 1-ene-16
Procedimiento admiistracion de incidentes de seguri A.16.01.01 Miguel Gonzalez Se realizar un procedimiento, el cual permita cumplir co 1-ene-16
Procedimiento informe de eventos de seguridad de l A.16.01.02 Miguel Gonzalez Se realizar un procedimiento, el cual sera informado a l 1-ene-16
Instructivo con normativas que rigen a los GORES A.18.01.01 Constanza Venegas Los usuarios no se encuentran informados de todas las 1-ene-16
Instrutcivo sobre tipos de activos, tiempos de retenc A.18.01.03 Guillermo Orellana Se debe clarificar los tipos del activo, y tiempos de ret 1-ene-16
Resolucion con nombramiento encargado de protecc A.18.01.04 Constanza Venegas Se generara una resolucion para aplicar limites de infor 1-ene-16
Responsable de la
actividad
Fecha Término
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
31-dic-16
Fecha Término Desviaciones

Productos esperados Actividades o Hitos Observaciones
Estimada Real (días)
Difusión/Sensibilizaciòn
Capacitaciòn
Actividades de control básicas

Nombre del Medio de Verificación

Ssi Instrumento 2015

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ssi Instrumento 2015

Cargado por

Copyright:

Formatos disponibles

Red de Expertos

PMG/MEI -SSI: RESUMEN - DIAGNOSTICO Subsecretaría del Interior - División Inform

Tabla: Porcentajes de Cumplimiento por Dominio del Diagnostico

DOMINIO % CUMPLIMIENTO % COBERTURA

Estado de la Institución por Dominio (%)

Gestión de la continuidad del negocio0.00

Gestión de un incidente en la seguridad de la información0.00

Adquisición, desarrollo y mantenimiento de los sistemas de información0.00

Gestión de las comunicaciones y operaciones0.00

Seguridad de recursos humanos0.00

Organización de la Seguridad de la Información0.00

Gestión de las comunicaciones y operaciones0.00

Organización de la Seguridad de la Información0.00

120 Programa de mejoramiento de la gestiónMinisterio del Interior

120 Programa de mejoramiento de la gestiónMinisterio del Interior

120 Programa de mejoramiento de la gestiónMinisterio del Interior

5. POLÍTICAS DE SEGURIDAD. 6. ASPEC

7. SEGURIDAD LIGADA A LOS 8. ADM

9. CONTROL DE ACCESOS. 11. SEGU

12. SEGURIDAD DE LAS OPERACIONES 13. SEGURID

14. ADQUISICIÓN, DESARROLLO Y 15. RELAC

16. GESTIÓN DE INCIDENTES DE 17. ASPECT

11. SEGURIDAD FÍSICA Y AMBIENTAL

13. SEGURIDAD EN LAS COMUNICACIONES

15. RELACIONES CON EL PROVEEDOR.

17. ASPECTOS DE SEGURIDAD DE LA IN-

Proveer orientacion y apoyo de la direccion para la seguridad de la informacion, de acuerdo con

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION

A.6.1.7 Art. 12 Letra c A.6.1.4

A.7 GESTION DE ACTIVOS

A.7.1.3 Art 15 A.8.1.3

A.7.2 CLASIFICACION DE LA INFORMACION

A.7.2.2 Art. 15 A.8.2.2

A.8 SEGURIDAD RELATIVA A RECURSOS HUMANOS

A.8.1.3 Art. 21 A.7.1.2

A.8.2 DURANTE EL EMPLEO

A.8.3 FINALIZACION O CAMBIO DE LA RELACION LABORAL O EMPLEO

A.9 SEGURIDAD FISICA Y DEL AMBIENTE

A.9.1.3 Art. 19 Letra a-b A.11.1.3

A.9.1.4 Art. 17 A.11.1.4

A.9.1.5 Art. 17 A.11.1.5

A.9.1.6 Art. 17 A.11.1.6

A.9.2 SEGURIDAD DEL EQUIPAMIENTO

A.9.2.2 Art. 17 A.11.2.2

A.9.2.3 Art. 10 Letra a A.11.2.3

A.9.2.6 Art. 26 Letra e A.11.2.7

A.10 GESTION DE COMUNICACIONES Y OPERACIONES

A.10.1 PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES

A.10.1.3 Art. 7 Letra f A.6.1.2

A.10.2 GESTION DE LA ENTREGA DEL SERVICIO DE TERCERAS PARTES

Clausula 8.1 (*)

Clausula 8.1 (*)

A.10.3 PLANIFICACION Y ACEPTACION DEL SISTEMA.

A.10.4 PROTECCION CONTRA EL CODIGO MALICIOSO Y CODIGO MOVIL

A.10.6 GESTION DE LA SEGURIDAD DE RED

A.10.7.2 Art. 15 A.8.3.2

A.10.7.3 Art. 15 A.8.2.3

A.10.8.2 Art. 10 Letra a A.13.2.2

A.10.8.4 Art. 25 Letras A.13.2.3

A.10.9 SERVICIOS DE COMERCIO ELECTRONICO

A.11 CONTROL DE ACCESO

A.11.2 GESTION DEL ACCESO DE USUARIOS