MANUAL DE POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN

Pollos Pachito S.A

CONTROL DE VERSIONES DEL DOCUMENTO

Fecha de
Elaborado/Modificado por Versión Revisado por
Actualización

Junio Robinson Ruiz Muñoz 1.0 Luis Eduardo Londoño

Pollos Pachito se obliga a que toda la información contenida en el siguiente manual de

seguridad se mantenga de manera segura, que se preserve su confidencialidad y adopta
a las medidas para que esta no llegue a manos de terceros.
1 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 5

1.1.1 POLÍTICA (ISO / IEC 27001:2013 CL A 6.1) 5

1.1.2 ASIGNACIÓN DE ROLES Y RESPONSABILIDADES (ISO / IEC 27001:2013 CL A 6.1.1) 5
1.1.3 SEGREGACIÓN DE FUNCIONES (ISO / IEC 27001:2013 CL A 6.1.2) 5
1.1.4 CONTACTOS CON LAS AUTORIDADES (ISO / IEC 27001:2013 CL A 6.1.3) 5
1.1.5 DISPOSITIVOS MÓVILES (ISO / IEC 27001:2013 CL A 6.2.1) 5
1.1.6 TELETRABAJO (ISO / IEC 27001:2013 CL A 6.2.2) 6
1.2 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS (ISO / IEC 27001:2013 CL A 7.1.1; 7.3.1) 6
1.2.1 ANTES DE LA CONTRATACIÓN (ISO / IEC 27001:2013 CL A 7.1.1) 6
1.2.2 TÉRMINOS Y CONDICIONES DEL EMPLEO (ISO / IEC 27001:2013 CL A 7.1.2) 6
1.2.3 PROCESO DISCIPLINARIO (ISO / IEC 27001:2013 CL A 7.2.3) 6
1.2.4 DURANTE DEL EMPLEO (ISO / IEC 27001:2013 CL A 7.1.3) 6
1.2.5 EDUCACIÓN (ISO / IEC 27001:2013 CL A 7.1.3) 7
1.2.6 TERMINACIÓN DE CONTRATO O CAMBIO DE FUNCIONES (ISO / IEC 27001:2013 CL A 7.3.1) 7
1.3 RESPONSABILIDAD POR LOS ACTIVOS (ISO / IEC 27001:2013 CL A 8.1.1; 8.1.4) 7
1.3.1 POLÍTICA: 7
1.4 CLASIFICACIÓN DE LA INFORMACIÓN (ISO 27001 CL. A.8.2.1; A.8.2.3.) 8
1.4.1 POLÍTICA: 8
1.4.2 CLASIFICACIÓN: 8
1.4.3 GESTIÓN DE SOPORTES EXTRAÍBLES - ELIMINACIÓN DE SOPORTES (ISO 27001 CL. A. 8.3.1; A.8.3.2) 9
1.5 CONTROL DE ACCESOS (ISO / IEC 27001:2013 CL A 9.1.1; 9.4.5) 10
1.5.1 POLÍTICA 10
1.5.2 CONTROL DE ACCESO A LAS REDES (ISO / IEC 27001:2013 CL A 9.1.2) 10
1.5.3 CREACIÓN DE USUARIOS, ADICIÓN DE PERMISOS (ISO / IEC 27001:2013 CL A 9.2.1: 9.2.3) 10
1.5.4 AUTENTICACIÓN (ISO / IEC 27001:2013 CL A 9.2.4) 10
1.5.5 CONTRASEÑAS SEGURAS 11
1.5.6 SISTEMA DE GESTIÓN DE CONTRASEÑAS (ISO / IEC 27001:2013 CL A 9.4.3) 11
1.5.7 REVISIÓN, RETIRO DE ACCESOS (ISO / IEC 27001:2013 CL A 9.2.5) 12
1.5.8 ACCESOS GENÉRICOS 12
1.5.9 INACTIVACIÓN USUARIOS 12
1.6 PROCEDIMIENTOS SEGUROS DE INICIO DE SESIÓN (ISO / IEC 27001:2013 CL A 9.4.2) 12
1.6.1 SESIÓN DESCONECTADA 12
1.7 SOBRE LOS APLICATIVOS 13
1.8 USO DE MÉTODOS DE AUTENTICACIÓN ALTERNATIVOS 13
1.9 ACCESO AL CÓDIGO FUENTE DEL PROGRAMA (ISO / IEC 27001:2013 CL A 9.4.2) 13
1.10 LA SEGURIDAD FÍSICA Y AMBIENTAL (ISO/ IEC 27001:2013 CL A 11.1.1; 11.2.9) 14
1.10.1 POLÍTICA 14
1.10.2 PERÍMETROS DE SEGURIDAD FÍSICA (ISO / IEC 27001:2013 CL A 11.1.1) 14
1.10.3 CONTROLES DE ENTRADA FÍSICAS (ISO / IEC 27001:2013 CL A 11.1.2) 14
1.10.4 PROTECCIÓN DE INSTALACIONES (ISO / IEC 27001:2013 CL A 11.1.3) 14
1.10.5 PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES (ISO / IEC 27001:2013 CL A 11.1.4) 15
1.10.6 PROTECCIÓN Y UBICACIÓN DE LOS EQUIPOS (ISO / IEC 27001:2013 CL A 11.2.1) 15
1.10.7 EQUIPO DE USUARIO DESATENDIDA (ISO / IEC 27001:2013 CL A 11.2.8) 16
1.10.8 ESCRITORIO DESPEJADO Y LA POLÍTICA DE PANTALLA TRANSPARENTE (ISO / IEC 27001:2013 CL A
11.2.9) 17
1.11 SEGURIDAD OPERACIONES 17
1.11.1 RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIÓN (ISO/IEC 27001:2013 CL A 12.1.1) 17
1.11.2 POLÍTICA 17
1.11.3 DOCUMENTACIÓN DE PROCEDIMIENTOS DE OPERACIÓN 17
1.12 CAPACIDAD DE GESTIÓN (ISO / IEC 27001:2013 CL A 12.1.3) 20
1.12.1 ESPACIO DE ALMACENAMIENTO: 20
1.12.2 RECURSOS DE RED: 20
1.12.3 BASE DE DATOS: 20
1.13 PROTECCIÓN CONTRA EL MALWARE (ISO / IEC 27001:2013 CL A 12.1.3) 20
1.13.1 USO DE ANTIVIRUS 20
1.13.2 INSTALACIÓN DE PROGRAMAS 21
1.13.3 ACCESO A INTERNET 21
1.14 COPIAS DE SEGURIDAD (ISO / IEC 27001:2013 CL A 12.3.1) 22
1.14.1 POLÍTICA 22
1.14.2 IMÁGENES 23
1.14.3 PROCESO DE RESTAURACIÓN 23
1.14.4 REGISTROS DE ACTIVIDAD (ISO / IEC 27001:2013 CL A 12.4.1) 23
1.14.5 REGISTROS DE ADMINISTRADOR Y OPERADOR (ISO / IEC 27001:2013 CL A 12.4.3) 23
1.14.6 SINCRONIZACIÓN (ISO / IEC 27001:2013 CL A 12.4.4) 23
1.14.7 INSTALACIÓN DE SOFTWARE OPERATIVO (ISO / IEC 27001:2013 CL A 12.5.1) 23
1.14.8 GESTIÓN DE VULNERABILIDADES TÉCNICA 24
1.15 SISTEMAS DE INFORMACIÓN CONTROLES DE AUDITORÍA (ISO / IEC 27001:2013 CL A 12.7.1) 24
1.15.1 RESTRICCIONES A LA INSTALACIÓN DE SOFTWARE (ISO / IEC 27001:2013 CL A 12.6.2) 24
1.16 SEGURIDAD EN TELECOMUNICACIONES (ISO/IEC 27001:2013 CL A 13.1.1:13.2.4) 24
1.16.1 POLÍTICA 24
1.16.2 CONTROLES DE RED (ISO / IEC 27001:2013 CL A 13.1.1) 24
1.16.3 SEGREGACIÓN DE REDES (ISO / IEC 27001:2013 CL A 13.1.3) 25
1.16.4 POLÍTICAS Y PROCEDIMIENTOS DE TRANSFERENCIA DE INFORMACIÓN (ISO / IEC 27001:2013 CL A
13.2.1) 25
1.17 ACUERDOS PARA TRANSFERENCIA DE INFORMACIÓN (ISO / IEC 27001:2013 CL A 13.2.2) 26
1.17.1 LA MENSAJERÍA ELECTRÓNICA (ISO / IEC 27001:2013 CL A 13.2.3) 26
1.17.2 ACUERDOS DE CONFIDENCIALIDAD (ISO / IEC 27001:2013 CL A 13.2.4) 26
1.18 POLÍTICA DE DESARROLLO SEGURO (ISO / IEC 27001:2013 CL A 14.2.1) 26

2 PROCEDIMIENTOS DE CONTROL DE CAMBIO DE SISTEMA (ISO/ IEC 27001:2013 CL A 14.2.2)26

2.1.1 REVISIÓN TÉCNICA DESPUÉS DEL CAMBIO EN PLATAFORMAS DE FUNCIONAMIENTO (ISO / IEC 27001:2013
CL A 14.2.3) 27
2.1.2 RESTRICCIONES EN LOS CAMBIOS EN LOS PAQUETES DE SOFTWARE (ISO / IEC 27001:2013 CL A 14.2.4)
27
2.2 PRUEBAS DE SEGURIDAD (ISO / IEC 27001:2013 CL A 14.2.8) 27
2.3 PRUEBAS DE ACEPTACIÓN (ISO / IEC 27001:2013 CL A 14.2.9) 27
2.4 DATOS DE PRUEBA (ISO / IEC 27001:2013 CL A 14.3) 27
2.5 INFORMACIÓN DE GESTIÓN DE INCIDENTES DE SEGURIDAD 28
2.5.1 POLÍTICA: 28
2.5.2 RESPONSABILIDADES Y PROCEDIMIENTOS (ISO / IEC 27001:2013 CL A 16.1.1) 28
2.5.3 EVENTOS (ISO / IEC 27001:2013 CL A 16.1.2); INFORMES DE DEBILIDADES DE SEGURIDAD DE
INFORMACIÓN (ISO/IEC 27001:2013 CL A 16.1.3) 28
2.5.4 RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27001:2013 CL A 16.1.5) 28
2.5.5 REUNIÓN DE PRUEBAS (ISO / IEC 27001:2013 CL A 16.1.7) 28
2.6 CUMPLIMIENTO (ISO / IEC 27001:2013 CL A 18.1.1: 18.1.5) 29
2.6.1 POLÍTICA: 29
2.6.2 IDENTIFICACIÓN DE LA LEGISLACIÓN APLICABLE Y LOS REQUISITOS CONTRACTUALES (ISO/IEC 27001:2013
CL A 18.1.1) 29
2.6.3 DERECHOS DE PROPIEDAD INTELECTUAL (ISO/IEC 27001:2013 CL A 18.1.2) 29
2.6.4 SOLICITUD PARA INSTALACIÓN DE SOFTWARE PRIVATIVO: 29
2.6.5 VERIFICACIÓN: 29
2.6.6 PROTECCIÓN DE REGISTROS (ISO/IEC 27001:2013 CL A 18.1.3) 29
2.6.7 COPIAS DE SEGURIDAD 29
2.6.8 ARCHIVOS DIGITALES 30
2.6.9 PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES (ISO/IEC 27001:2013 CL A 18.1.4) 30
2.6.10 REVISIONES DE SEGURIDAD DE INFORMACIÓN (ISO/IEC 27001:2013 CL A 18.1.4) 30
2.6.11 18.2.3 REVISIÓN DE CUMPLIMIENTO TÉCNICO 30
2.7 DECLARACIÓN DE POLÍTICA 31
1 Políticas de Seguridad de la información
Pollos Pachito S.A, dentro de su estructura organizacional establece un Comité de
Seguridad de la Información, conformado por un grupo interdisciplinario de colaboradores,
responsable de todas las acciones referidas a la seguridad de la información de la
organización, controles y procedimientos según los requerimientos de la organización

1.1 POLÍTICA (ISO / IEC 27001:2013 CL A 6.1)

El comité de gestión de seguridad de la información establece su compromiso definir los

responsables y asignar las actividades a desarrollar, realizar seguimientos a los procesos
actividades de índole organizacional y dar apoyo a todo lo relacionado con la
implementación del sistema de gestión de seguridad de la información en la empresa Pollos
Pachito

1.1.1 Asignación de Roles y Responsabilidades (ISO / IEC 27001:2013 Cl A

6.1.1)
1. Debe de existir responsables de los activos, esta debe de ser clara y documentada

1.1.2 Segregación de funciones (ISO / IEC 27001:2013 Cl A 6.1.2)

1. Los usuarios tanto internos como externos tendrán acceso de manera controlada de
acuerdo a lo establecido en la política de control de acceso

1.1.3 Contactos con las autoridades (ISO / IEC 27001:2013 Cl A 6.1.3)

1. Se debe de contar con una lista de contactos actualizada de los proveedores de
servicios, la cual sirva para ubicar a los proveedores en caso de un incidente de
seguridad.

1.1.4 Dispositivos Móviles (ISO / IEC 27001:2013 Cl A 6.2.1)

1.1.4.1 Equipos Empresariales

1. Los dispositivos de la empresa deben estar registrados sus datos de email

2. Los dispositivos que tengan configurados servicios de correo electrónico, acceso a
sistemas de circuito cerrado de televisión o aplicaciones remotas, se deben de
emplear mecanismo de cifrado para custodiar los datos empresariales
3. Se debe de capacitar a los usuarios sobre el buen uso de los dispositivos móviles
se debe de indicar técnicas de bloqueo, actualizaciones de software, evitar el acceso
de redes publicas
1.1.4.2 Equipos de Usuarios

1. Los equipos de los usuarios para ser utilizados en acceso a recurso de la empresa
deben ser:
2. El usuario debe de autorizar para que se instale sistema de cifrado en el equipo
3. Configurar y permitir el acceso remoto para el borrado seguro de la información
empresarial

1.1.5 Teletrabajo (ISO / IEC 27001:2013 Cl A 6.2.2)

La organización debe de proveer los recursos necesarios y suficientes para prestar el

servicio de teletrabajo
1. Las claves de las sesiones deben de ser robustas
2. En caso de intento de acceso no valido al tercer intento la sesión remota se
bloqueara
3. El acceso remoto debe de ser autorizado por el dueño del activo de información
4. En caso de que el equipo sea del usuario este debe autorizar para la revisión de
virus

1.2 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS (ISO / IEC 27001:2013 CL A

7.1.1; 7.3.1)

1.2.1 Antes de la contratación (ISO / IEC 27001:2013 Cl A 7.1.1)

1. El departamento de gestión humana debe verificar la información relacionada en la

hoja de vida
2. Se debe de verificarlos antecedentes del personal a contratar

1.2.2 Términos y condiciones del empleo (ISO / IEC 27001:2013 Cl A 7.1.2)

1. Para todo colaborador de la empresa sea bajo contratación directa o por temporal a
los cuales se les dé acceso a la información deben de firmar la cláusula de
confidencialidad definida por la empresa
2. Los acuerdo de confidencialidad deben de ser claros tanto en derechos como en
deberes de los usuarios
3. Los usuarios de la empresa deben de conocer los procedimientos de seguridad de
la información así como sus derechos y obligaciones

1.2.3 Proceso Disciplinario (ISO / IEC 27001:2013 Cl A 7.2.3)

4. Se deben de definir procedimientos disciplinarios para cuando no se atienden los

requisitos de seguridad en la empresa

1.2.4 Durante del empleo (ISO / IEC 27001:2013 Cl A 7.1.3)

 5. El departamento de auditoria debe de medir el nivel de aplicabilidad de los procesos
de seguridad de la información por parte de los usuarios de la organización
6. Se deben de revisar por el departamento de jurídico los acuerdo de confidencialidad
anualmente, para verifica si son aplicables con la legislación vigente.

1.2.5 Educación (ISO / IEC 27001:2013 Cl A 7.1.3)

7. El departamento de gestión humana en el área de capacitación debe de velar

porque se establezca y ejecuten jornadas de capacitación para los empleados de
la empresa en temas de seguridad de la información.
8. En programa de capacitación debe de realizarse en horarios que no afecten la
continuidad de los procesos críticos de la organización
9. Los temas de capacitación deben de ser evaluados por los líderes de proceso y/o
dueños de los activos de información.
10. Se debe de llevar un registro de asistencia del personal que asiste a la capacitación
11. Cada capacitación debe de tener una evaluación con el objeto de medir el nivel de
entendimiento del tema

1.2.6 Terminación de contrato o cambio de funciones (ISO / IEC 27001:2013

Cl A 7.3.1)

En caso de cambio de funciones se debe:

El responsable del activo de información debe de notificar por correo electrónico adjuntando
el formato de solicitud de permisos y el acta de responsabilidad debidamente firmada por
el usuario al área de auditoria
El área de DTI posterior autorización del área de auditoria debe de realizar los cambios
solicitados y notificar mediante correo

En caso de terminación de contrato o salida a vacaciones

12. El responsable del activo de información debe de notificar por correo electrónico la
solicitud de inactivación del usuario al área de auditoria.
13. El área de DTI posterior autorización del área de auditoria debe de realizar los
cambios solicitados y notificar mediante correo

1.3 RESPONSABILIDAD POR LOS ACTIVOS (ISO / IEC 27001:2013 CL A 8.1.1; 8.1.4)

1.3.1 Política:

El departamento de tecnología de la información (DTI) de la compañía Pollos Pachito

establece su compromiso en Tener un inventario asignado y actualizado de los activos de
la organización, con el objeto de establecer un análisis de riesgos para tener un pleno
Conocimiento del nivel de criticidad de los recursos bajo responsabilidad así poder dar un
tratamiento a los activos analizados
1. Se debe asignar un responsable de los activos de información el cual debe
inventariarlos, clasificarlos, protegerlos, actualizarlos
2. El dueño de los activos de información asume la responsabilidad de uso que se le
dan estos.
3. Se debe realizar un análisis de riesgos a los activos de información
4. El responsable de los activos debe definir los niveles de confidencialidad de los
activos de información
5. El acceso a los activos lógicos de información deben ser autorizados por el
responsable del activo y por la dirección de auditoria (ver Políticas de control de
acceso)
6. El acceso a los activos lógicos de información son entregados por la dirección de
tecnología de información
7. Es responsabilidad del propietario del activo, del área de auditoria y de tecnología de
información evaluar la eficacia de los controles para el acceso a los activos de
información
8. El departamento de tecnología de información debe velar porque los usuarios tanto
de la empresa como personal externo cumplan con las medidas de protección hacia
los activos
9. El área de activos y de tecnología de información deben velar que los usuarios que
salen de la compañía entreguen los activos a su cargo, así mismo, que no se sustraiga
activos lógicos de información de la compañía
10. En caso de requerir abrir un proceso de investigación de incidentes de seguridad, La
empresa se reserva el derecho al monitoreo de estos

1.4 CLASIFICACIÓN DE LA INFORMACIÓN (ISO 27001 CL. A.8.2.1; A.8.2.3.)

1.4.1 Política:

Pollos Pachito es consciente en la importancia que tiene la información que es tratada en

el sistema de información por lo cual establece niveles de clasificación para restringir su
de acceso, divulgación, manipulación de manera no controlada u/o autorizada

1.4.2 Clasificación:

1.4.2.1 Información Pública:

Información no sensible que puede ser conocida tanto por el personal de Pollos Pachito
como externos sin perjudicar de manera legal, de imagen ni en los procesos internos.

1.4.2.2 Información Confidencial:

Esta información debe ser conocida solo por el / los responsables del activo de información
u aquellos usuarios que se autoricen para su uso, en caso de que esta información se
divulgue puede conllevar consecuencias a la imagen corporativa así como aspectos legales
(ley 1581 de 2012) o a la continuidad de los procesos de la empresa, para el acceso a la
información confidencial el usuario debe de firmar el acta de responsabilidad de acceso, la
cual establece las cláusulas de confidencialidad y sus penalidades en caso de
incumplimiento

1.4.2.3 Etiquetado:

La información se debe de identificar y etiquetar para mejorar el control sobre esta, el

etiquetado de la información comercial debe de realizarse por el personal que disponga el
dueño del activo, para el proceso de copias de seguridad, el etiquetado de los DVD debe
ser claros con su contenido (ver copias de seguridad)

1.4.3 Gestión De Soportes Extraíbles - Eliminación De Soportes (ISO 27001

CL. A. 8.3.1; A.8.3.2)

La autorización para manejar información confidencial de la empresa por medio de recursos

extraíbles debe ser tomada bajo los siguientes criterios:

1. El usuario que requiera transportar la información a través de medios extraíbles

debe solicitar la autorización del dueño del activo de información
2. El responsable del activo de información debe autorizar que usuario puede utilizar
información de tipo empresarial en medios extraíbles a si mismo debe de solicitar al
área de tecnología de información el desbloqueo de los puertos USB u habilitar la
unidad de DVD
3. El departamento de tecnología de información debe implementar un esquema de
cifrado de la información bajo hardware, gestionando de manera adecuada las
contraseñas de usuario
4. Se debe capacitar a los usuarios para el uso de los medios extraíbles, priorizando
en el adecuado uso de las contraseñas de cifrado, las medidas físicas de protección
como evitar la exposición a altas temperaturas, humedad, esto de acuerdo a lo
especificado por el fabricante del recurso

5. Se debe de tener un control de los soportes extraíbles entregados a los usuarios,

este control debe contener la fecha de entrega de recurso, el custodio del recurso,
la firma de quien autoriza.

6. Las copias de seguridad almacenadas en medio extraíbles deben de retirarse de la

sede a la cual se le realiza el Backup de la información

7. Los medios extraíbles que contengan copias de seguridad de bases de datos

empresariales que se encuentren envejecidas y que no requieran custodia deben
de ser eliminadas de manera segura (trituración).
1.5 CONTROL DE ACCESOS (ISO / IEC 27001:2013 CL A 9.1.1; 9.4.5)

1.5.1 Política

El departamento de auditoria y de tecnología de la información (DTI) de la compañía Pollos

Pachito establece su compromiso en Gestionar el acceso a los activos de información solo
al personal autorizado, apoyándose en el establecimiento de acuerdos de confidencial con
el objeto de minimizar la probabilidad de accesos no autorizados para mitigar el riesgo de
fuga de información

1.5.2 Control De Acceso A Las Redes (ISO / IEC 27001:2013 Cl A 9.1.2)

1. La dirección de Tecnología debe de vincular los portátiles empresariales a las

diferentes redes inalámbricas de las sedes siempre y cuando estos tengan
actualizado su sistema de antivirus y no registren problemas de virus
2. El acceso a la red inalámbrica de personal ajeno a la empresa se da a la red de
visitantes posterior a solicitud del líder de área
3. El responsable de redes debe velar para que desde la red de visitantes no se acceda
a la red empresarial
4. Las claves de las redes inalámbricas en cada sede deben de ser cambiadas
bimestralmente, estas deben de ser de comunicadas de manera previa a los
usuarios que hace uso de la red.

1.5.3 Creación De Usuarios, Adición De Permisos (ISO / IEC 27001:2013 Cl A

9.2.1: 9.2.3)

1. El acceso a los activos lógicos de información deben ser autorizados por el

responsable del activo y por la dirección de auditoria

2. Se debe de diligenciar el formato de solicitud de permisos así como el acta de

solicitud de accesos, el primero debe detallar que opciones va a tener en el sistema
de información y debe estar firmado por el responsable del activo de información, el
segundo debe detallar el nombre del sistema de información a acceder con la
opciones requerida, este debe ser firmado por el usuario a quien se le realiza la
solicitud

3. La dirección de auditoria debe confirmar al área de tecnología de información

mediante un correo electrónico o firmando el formato de solicitud de permisos
aprobando las opciones solicitadas o indicando que opciones debe de ser
asignadas.

1.5.4 Autenticación (ISO / IEC 27001:2013 Cl A 9.2.4)

1. El acceso a los activos lógicos de información son entregados por la dirección de

tecnología de información para esto se registra el identificador del usuario con el
número de cedula del usuario a crear, se establece una contraseña temporal para
 que se acceda y proceda el cambio por una contraseña segura (ver contraseñas
seguras).

2. El departamento de tecnología debe de verificar con el usuario que los accesos

entregados sean suficientes para el desempeño de sus funciones y que la
contraseña sea cambiada de acuerdo a los parámetros de contraseñas seguras (ver
contraseñas seguras).

1.5.5 Contraseñas Seguras

1. Las contraseñas deben de ser robustas para minimizar la probabilidad de acceso

no autorizado, se deben de tener en cuenta las siguientes recomendaciones:

2. Las contraseñas deben ser fáciles de recordar para el usuario que la creo

3. Las contraseñas deben ser como mínimo de ocho caracteres.

4. Deben de ser compuestas por números, letras entre mayúsculas y minúsculas y

caracteres especiales.

5. No deben utilizarse nombres de familiares, mascotas, fechas especiales o cualquier

aspecto del usuario como contraseñas.

6. Las contraseñas no deben de almacenarse en documentos que estén al acceso de

otros miembros de la organización.

7. Se debe de cambiar la contraseña cada dos meses

8. No se debe utilizar contraseñas anteriores como nuevas contraseñas

9. Se puede utilizar un probador de contraseñas para medir la seguridad del password

ejemplo http://password.es/comprobador/.

1.5.6 Sistema De Gestión De Contraseñas (ISO / IEC 27001:2013 Cl A 9.4.3)

1. El sistema debe solicitar cambio de contraseña posterior al primer acceso exitoso

en el sistema

2. Debe permitir al usuario cambiar la contraseña

3. Debe solicitar el cambio de contraseña cada dos meses

4. No mostrar las contraseña cuando se ingrese esta al sistema

5. El sistema debe almacenar un registro de las contraseñas utilizadas anteriormente

y evitar su reutilización;

6. Debe almacenar y transmitir las contraseñas en forma protegida.

1.5.7 Revisión, Retiro De Accesos (ISO / IEC 27001:2013 CL A 9.2.5)

El departamento de gestión humana y el área de control deben de concientizar a los

usuarios sobre el buen uso de la información y cuáles son las sanciones legales a las que
incurren si incumplen con los lineamientos de la política de uso aceptable de los activos de
información.
El responsable del activo debe solicitar al área de auditoria bajo el formato de solicitud de
permisos las modificaciones de perfil u/o inactivación de usuarios cuando se presente
cambio en las funciones de los usuarios o cuando se presente retiro del mismo.
La dirección de auditoria debe confirmar al área de tecnología de información mediante un
correo electrónico o firmando el formato de solicitud de permisos la modificación de los
accesos a los usuarios y/o inactivación de los mismos.
Es responsabilidad del propietario del activo, del área de auditoria y de tecnología de
información evaluar la eficacia de los controles para el acceso a los activos de información.
El área de auditoria debe de realizar una revisión de los accesos activos cada trimestre

1.5.8 Accesos Genéricos

El responsable del activo puede solicitar a la dirección de auditoria un usuario genérico de

tipo consulta para que sea usado por el personal bajo su cargo.
El área de auditoria debe de evaluar la solicitud y aprobarla o denegarla según sea el nivel
de acceso que tenga el usuario
El acceso se debe entregar al responsable de la solicitud por parte del área de tecnología.

1.5.9 Inactivación Usuarios

La inactivación de accesos por salida a vacaciones o retiro de la empresa debe de ser

solicitada por el responsable del activo vía correo electrónico.
La dirección de auditoria debe confirmar mediante un correo electrónico aprobando que
persona o personas debe inactivar.

1.6 PROCEDIMIENTOS SEGUROS DE INICIO DE SESIÓN (ISO / IEC 27001:2013 CL A

9.4.2)

1.6.1 Sesión Desconectada

1. Las sesiones de los aplicativos y aplicativos se deben de cerrar al no registrar

actividad por encima de los cinco minutos
1.7 SOBRE LOS APLICATIVOS

1. El sistema al generar un error no debe mostrar información relativa a tablas,

campos, motor de base de datos para minimizar la probabilidad de ataques de
SQL inyección

2. Los sistemas de información no deben permitir el registro de claves débiles (solo

números, solo letras,..)

3. El sistema de almacenar las contraseñas de manera cifrada

4. El transporte de la contraseña debe estar cifrado

5. El sistema debe registrar el número de intentos fallidos y bloquearse posterior a

las sexta vez, para minimizar la probabilidades de ataques fuerza bruta

6. El sistema debe emitir un mensaje de texto al usuario que informe el bloqueo

por error al iniciar sesión

1.8 USO DE MÉTODOS DE AUTENTICACIÓN ALTERNATIVOS

1. El usuario responsable de autenticarse por medio de tokens es responsable de la

custodia del recurso

1.9 ACCESO AL CÓDIGO FUENTE DEL PROGRAMA (ISO / IEC 27001:2013 CL A 9.4.2)

1. El área de desarrollo de la organización dispone de procesos para custodiar los

códigos fuentes de los programas con el objeto de evitar modificaciones que alteren
la conducta del programa

2. El área de soporte debe tener acceso solo a los ejecutables ya en producción

3. El acceso a las carpetas donde se almacenan los códigos fuentes no deben estar
compartidas
4. El acceso a los códigos fuente debe registrar en un log de auditoria, el cual permita
identificar la fecha y hora del acceso, el usuario y al fuente accedido
1.10 LA SEGURIDAD FÍSICA Y AMBIENTAL (ISO/ IEC 27001:2013 CL A 11.1.1;
11.2.9)

1.10.1 Política

El departamento de tecnología de la información (DTI) de la compañía Pollos Pachito

establece su compromiso en Garantizar medidas de seguridad para evitar el acceso físico
no autorizado a los activos de información, estableciendo procedimientos de escritorios
despejados, bloqueo de pantalla, retiro de recursos por fuera de la empresa, entre otros
con el objeto de minimizar la probabilidad de accesos no autorizados, prestando un servicio
tecnológico en optimo estado, manteniéndose así a través de actividades de mantenimiento
preventivo en el parque tecnológico.

1.10.2 Perímetros De Seguridad Física (ISO / IEC 27001:2013 Cl A 11.1.1)

1. EL acceso al área de los servidores del proceso comercial debe ser separado por
paredes, su acceso debe ser solo de personal autorizado

2. Debe de existir un responsable del acceso a la sala de servidores

3. Debe haber monitoreo de las cámaras que visualizan el acceso a la sala de

servidores

1.10.3 Controles De Entrada Físicas (ISO / IEC 27001:2013 Cl A 11.1.2)

1. El responsable del área de servidores está facultado para permitir o no el acceso

2. Para acceder al área de servidores se debe de contar con las llaves de la puerta

3. Se debe de registrar en la bitácora de acceso, el usuario, la fecha, la hora y el motivo

del porque se accedió y quien autorizo.

1.10.4 Protección De Instalaciones (ISO / IEC 27001:2013 Cl A 11.1.3)

1. Las áreas de call center, administración y despachos deben de estar separadas por
paredes,

2. EL acceso al área de call center, administración y despachos debe ser solo del
personal autorizado

3. Los visitantes deben de acceder al área de visitas, estos no deben acceder a las
áreas de call center, administración o despachos a no ser por situaciones propias
de control (auditorias) o de actividades comerciales que lo requieran.
1.10.5 Protección Contra Amenazas Externas Y Ambientales (ISO / IEC
27001:2013 Cl A 11.1.4)

Consideraciones con el área de servidores

1. Debe de ubicarse en áreas distantes de áreas hidráulicas

2. Debe de existir mecanismos de detección y control de incendios

3. Mientras no se usen los equipos deben estar cubiertos con forros

1.10.6 Protección Y Ubicación De Los Equipos (ISO / IEC 27001:2013 Cl A

11.2.1)

1.10.6.1 Equipos

1. Los equipos de cómputo deben estar en sobre bases para evitar el contacto con el
piso
2. Los equipos deben de ser protegidos con forros para cuando estos se encuentren
apagados
3. Las áreas administrativas y de call center deben contar con sistemas de detección
y de supresión de incendios
4. La energía a la cual se conectan los equipos debe ser regulada por medio de UPS

1.10.6.2 Utilidades De Apoyo (ISO / IEC 27001:2013 Cl A 11.2.2)

1. En caso de ausencia del suministro eléctrico se debe de activar a modo de bypass

automático la planta alterna para dar continuidad al proceso

2. Si se presentan daños en el cableado de la red debe tener mecanismo alternos para

dar continuidad

3. Si el proveedor de servicios de internet y datos presenta caídas se debe de contar

con un servicio con otro proveedor para mantener la conectividad con el resto de
redes

1.10.6.3 Seguridad Del Cableado (ISO / IEC 27001:2013 Cl A 11.2.3)

1. El cableado eléctrico y el de datos debe estar protegido para que no sea manipulado
por personas diferentes a las autorizadas
2. En caso de encontrarse con el cableado expuesto, se debe de notificar al área de
dti, para proceder con su arreglo
3. Se debe de garantizar que el cableado de los datos y de la energía esté separados
para evitar el ruido / interferencia en las comunicaciones.
1.10.6.4 Mantenimiento Del Equipo (ISO / IEC 27001:2013 Cl A 11.2.4)

1. Se debe de establecer un programa de mantenimiento, el cual se encuentre

aprobado por la dirección DTI

2. El programa de mantenimiento preventivo debe ser consecuente con la criticidad de

los equipos
3. El equipo de mantenimiento de hardware es responsable de ejecutar las actividades
de mantenimiento preventivo.
4. Posterior al proceso de mantenimiento se debe validar que funcione correctamente
5. Se debe de ejecutar actividades de auditoria interna con el objeto de verificar la
ejecución servicio y el nivel de satisfacción del servicio.
6. En caso de encontrase con incumplimiento en la ejecución del programa de
mantenimiento se deben de establecer actividades para ponerse al día o evitar
futuros atrasos

1.10.6.5 Salida De Activos (ISO / IEC 27001:2013 Cl A 11.2.5)

1. La salida de activos por fuera de la empresa debe ser autorizada por el responsable
del activo de información
2. Se debe de registrar la salida del activo bajo el formato de control de activos donde
se indique el responsable de la organización que queda a cargo y la ubicación
3. Cuando el equipo retorne se debe actualizar el responsable y la ubicación en el
sistema de activos

1.10.6.6 Eliminación segura (ISO / IEC 27001:2013 Cl A 11.2.7)

1.10.6.6.1 Baja de activos de información.

1. Para dar de baja un activo de información se debe revisar previamente y obtener el

visto bueno de la coordinación de hardware para proceder a realizar con la baja

2. Si el activo almacena información de la empresa esta debe ser borrada y destruida

físicamente

3. Se debe registrar la baja de los recursos en el documento de acta de baja

1.10.7 Equipo De Usuario Desatendida (ISO / IEC 27001:2013 Cl A 11.2.8)

1. Las sesiones de los equipos deben de ser por bloqueo de pantalla cuando se
presente inactividad en la sesión por más de 10 minutos
1.10.8 Escritorio Despejado Y La Política De Pantalla Transparente (ISO / IEC
27001:2013 CL A 11.2.9)

1. Para mantener la confidencialidad de la información se debe mantener el escritorio

limpio de papeles y de soportes de almacenamiento

2. Los soportes deben ser resguardados en un lugar seguro libre del acceso por
personal no autorizado.

1.11 SEGURIDAD OPERACIONES

1.11.1 Responsabilidades Y Procedimientos De Operación (ISO/IEC

27001:2013 Cl A 12.1.1)

1.11.2 Política

El departamento de tecnología de la información (DTI) de la compañía Pollos Pachito

establece su compromiso en Garantizar la disponibilidad de los servicios de cómputo,
disponiendo de documentación de los procedimientos y manteniendo control de los
registros de los cambios realizados en el sistema.

1.11.3 Documentación De Procedimientos De Operación

1.11.3.1 Copias De Seguridad De Usuarios

1. Para resguardar los datos de clientes

2. El área de tecnología de información es responsable de configurar en los equipos el

ejecutable de copias de seguridad

3. Los usuarios son responsables de ejecutar la copia de seguridad de los datos

empresariales y del correo

4. En caso de presentar problemas el proceso de copias de seguridad debe de

comunicarse con el área de tecnología de información

1.11.3.2 Mantenimiento De Equipos

EL proceso de mantenimiento de equipos se hace teniendo en cuenta la lista de chequeo

de actividades a ejecutar en el proceso preventivo.
Se debe de realizar las actividades preventivas de acuerdo al cronograma de
mantenimiento preventivo
Se deben de verificar el nivel de satisfacción en los servicios de mantenimiento
1.11.3.3 Correo Electrónico

1. Los usuarios son completamente responsables de todas las actividades realizadas

con sus cuentas de correo en la compañía.
2. Está totalmente prohibido facilitar u ofrecer la cuenta de correo personal la clave de
acceso a terceras personas.
3. Evitar al máximo usar la cuenta corporativa en actividades personales que puedan
interferir el uso adecuado de la cuenta.
4. Evitar al máximo el uso de cuentas personales dentro del proceso de trabajo.
5. Se prohíbe enviar mensajes no solicitados de tipo basura como spam o del tipo que
sea (publicidad comercial, proclamaciones políticas, anuncios personales, cadenas,
etc.).
6. No está permitido reenviar o propagar mensajes de tipo cadena ni correo electrónico
malintencionado
7. Los usuarios no podrán acceder a cuentas de correo que no sean las asignadas al
cargo a menos que cuenten con el pleno consentimiento del dueño de la dirección
en cuestión.
8. No confiar en correos tipo spam con archivos adjuntos y explorar el archivo antes
de ejecutarlo. Esto asegura que no se ejecutará un malware.
9. Cuando se reciben adjuntos, prestar especial atención a las extensiones de los
mismos, ya que suelen utilizar técnicas de engaño como la doble extensión o
espacios entre el nombre del archivo y la extensión del mismo.
10. Es indebido publicar las direcciones de correo en sitios web de dudosa reputación
como sitios pornográficos, foros, chats, entre otros. Esto minimiza la posibilidad de
que la dirección se guarde en la base de datos de los spammers.
11. Revisar de forma periódica los filtros anti-spam que permitan el filtrado del correo
no deseado.
12. No responder jamás el correo spam. Es preferible ignorarlos y/o borrarlos, ya que si
se responde se confirma que la dirección de correo se encuentra activa.
13. Proteger la dirección de correo utilizando una cuenta alternativa durante algún
proceso de registro en sitios web y similares. Esto previene que la dirección de
correo personal sea foco del spam.
14. Utilizar claves seguras bajo estándares establecidos y cambiar la contraseña con
periodicidad evitando que sea descubierta.
15. Queda prohibido enviar información por correo electrónico, cuentas FTP, o cualquier
medio electrónico, clasificada como confidencial o que sin serlo, el usuario no tenga
atribuciones que permitan su uso y divulgación, atenten contra los derechos de
autor, sea falsa, difamatoria u ofensiva
16. Queda prohibido el uso del correo electrónico e Internet para fines políticos y
religiosos dentro y hacia fuera de la Institución
17. Queda prohibido el uso de seudónimos y envío de mensajes anónimos, así como
aquellos que consignen títulos, cargos o funciones no oficiales
 18. No se permite utilizar como encaminador de correo otras máquinas que no sean las
puestas a disposición por la compañía.
19. El correo electrónico es una herramienta para el intercambio de información entre
personas, no es una herramienta de difusión masiva e indiscriminada de
información.
20. No es correcto enviar correo a personas que no desean recibirlo. Si le solicitan
detener ésta práctica deberá de hacerlo. Si la compañía recibe quejas, denuncias o
reclamaciones por estas prácticas se tomarán las medidas sancionadoras
adecuadas.
21. Lista de Contactos
22. EL responsable de seguridad de la información debe tener actualizada la lista de
contactos donde se detalle los proveedores y servicios que estos ofrecen

1.11.3.4 Separación De Desarrollo, Prueba Y Entornos Operativos (ISO /

IEC 27001:2013 CL A 12.1.4)

1.11.3.5 Cambio de Hardware

1. Antes de realizar cambios en el hardware se debe probar que este sea compatible
con la plataforma operativa que se maneja en la empresa

1.11.3.6 Cambio de Software

2. Previa implementación de un software se debe verificar en un escenario de prueba

que este sea compatible con los módulos y que permita la configuración de recursos
en red y telefonía

1.11.3.7 Procedimiento de control de cambios (ISO / IEC 27001:2013 Cl A

14.2.2)

3. El usuario debe de realizar la solicitud de mejoras

4. Se debe de evaluar los riesgos asociados con la solicitud de los cambios solicitados

5. La solicitud de mejoras debe evaluarse en el comité de cambios del área de

tecnología, esta avala si es viable elaborar los cambios solicitados

6. Antes de montar una actualización de una aplicación esta debe ser puesta a prueba
realizando el proceso completo de la operación para identificar posibles omisiones
en el código.
 7. Garantizar que los usuarios validen los cambios antes de montar la aplicación en
proceso de producción.

8. Se debe de registrar en el sistema el control de versiones los cambios realizados en

cada versión si se requiere volver a un estado anterior se desmontarían los cambios
en el sistema de manera controlada

1.12 CAPACIDAD DE GESTIÓN (ISO / IEC 27001:2013 CL A 12.1.3)

1.12.1 Espacio de almacenamiento:

1. Se debe de monitorear en los servidores el espacio de almacenamiento el cual no

debe estar por debajo del 70 % de espacio en disco disponible
2. En caso de encontrarse un valor inferior al 70% de espacio disponible debe informar
al administrador de base de datos o al supervisor de hardware para determinar qué
información se debe de retirar para generar la disponibilidad

1.12.2 Recursos de red:

1. Se debe de proyectar el crecimiento de recurso de computo (equipos, planta

telefónica, cámaras ip), para determinar la necesidad de compra de recursos con
anticipación
2. Se debe separar el sistema de circuito cerrado de televisión del de datos para que
no genere congestión y no ralentice el proceso.

1.12.3 Base de Datos:

1. EL administrador de la base de datos debe realizar las siguientes actividades con el

fin de optimizar el funcionamiento del sistema de información
2. Indexar las tablas de la base de datos para optimizar las consultas
3. Generar proceso de desconexión de registros previamente habiendo generado una
copia de seguridad verificada y etiquetada

1.13 PROTECCIÓN CONTRA EL MALWARE (ISO / IEC 27001:2013 CL A 12.1.3)

1.13.1 Uso de Antivirus

1. Cada equipo de cómputo debe tener instalado el sistema de antivirus y este debe
estar actualizado
2. El proceso de escaneo en búsqueda de malware debe ejecutarse por el usuario en
horarios donde no está haciendo uso del equipo
3. El departamento de tecnología de información debe velar porque el sistema de
antivirus se encuentre actualizado, se debe de escanear los equipos a través de la
consola para identificar malware
1.13.2 Instalación de Programas

1. Los equipos de cómputo deben de estar bloqueados para la instalación de software

Se prohíbe Instalar programas no autorizados por la dirección de tecnologías (lo
anterior soportado por lo indicado Restricciones a la instalación de software (ISO /
IEC 27001:2013 Cl A 12.6.2)
2. Solo el departamento de tecnología de información está autorizado para la
instalación de programas en los equipos

1.13.3 Acceso a internet

1. Se prohíbe e acceso a internet para

a. Actividades no relacionadas al cargo.
b. Actividades criminales.
c. Visitar páginas con contenido pornográfico, pedofilia, etc.
d. Difundir información confidencial de la compañía
e. Juegos

2. Los servicios de acceso a internet está sujeto a los protocolos y estándares

empleados en Internet donde se evalúa primero el requerimiento requerido por el
jefe del área correspondiente.
3. Sin perjuicio alguno, Pollos Pachito considerará como utilización indebida y no
permitida del servicio de Internet cualquier aplicación que suponga una carga
excesiva cualquiera de las subredes.
4. Los usuarios que atenten contra la seguridad de sistemas o redes podrán incurrir en
sanción disciplinario en recursos humanos y adicional dado el nivel de gravedad
responsabilidad penal y civil. Pollos Pachito cooperará plenamente en la
investigación de cualquier presunto delito o violación de la seguridad de sistemas o
redes, bajo la dirección de las autoridades competentes
5. Se exige el respeto total a los derechos de propiedad intelectual accedidas a través
de la red
6. Evitar el ingreso a sitios web con conocimiento de ilegales como aquellos que
ofrecen cracks o programas warez; ya que constituyen canales propensos a la
propagación de malware.
7. Se prohíbe la ejecución de archivos desde sitios web sin verificar autorización previa
de la dirección de DTI.
8. No realizar la instalación de complementos extras como barras de tareas o
protectores de pantallas sin verificar previamente su autenticidad.
9. Se prohíbe la transmisión, distribución o almacenamiento de cualquier información,
datos o material que violen leyes nacionales e internacionales.
10. Evitar la proliferación directa o indirecta de spam.
 11. Uso excesivo del ancho de banda mediante la utilización de programas que
sobrecarguen el servicio de internet.
12. Evitar el cambio de los controles establecidos por el área de DTI dentro de las
configuraciones en las estaciones de trabajo.
13. Es responsabilidad del usuario informar al área de DTI cualquier deficiencia anómala
que se observe.
14. Se prohíbe violar o intentar violar los sistemas de seguridad de las máquinas a las
cuales se tenga acceso, tanto a nivel local como externo.
15. La actualización de parches de seguridad de las aplicaciones será responsabilidad
directa del área de DTI
16. Queda prohibido el acceso a páginas radio, música, deportes, juegos, religión,
pornografía, televisión etc. que no tenga relación alguna con el manual de funciones
a cargo o anexos al perfil.
17. Usar de forma mesurada los servicios de consulta de bancos. Esto exonera a los
usuarios del área de tesorería.
18. Se prohíbe el uso de aplicaciones de chat diferentes al servicio de chat interno
implementado.
19. El acceso a internet será autorizado bajo coordinación con el área administrativa y
dirección de DTI

1.14 COPIAS DE SEGURIDAD (ISO / IEC 27001:2013 CL A 12.3.1)

1.14.1 Política

El departamento de gestión del riesgo de la compañía Pollos Pachito garantiza un proceso

de copias de seguridad de los servicios críticos de la organización, este debe ser verificado
de manera periódica para validar la integridad de las copias de seguridad, buscando
optimizar los tiempos y datos de recuperación a través de la implementación de escenarios
de recuperación

1. Las copias de seguridad empresarial bajo custodia de los usuarios deben de

ejecutarse por ellos

2. Las copias de seguridad de las bases de datos deben de realizarse de acuerdo al

programa de copias de servidores

3. Las copias son completas, estas se deben de trasladar al servidor de copias

diariamente de manera automática

4. Se debe realizar en la lista de chequeo una verificación de traslado y de restauración

de las copias esta última para garantizar la integridad de la misma

5. Se debe de grabar la copia más reciente en un DVD y enviar a una sede diferente
donde se encuentre el servidor
 6. Se debe actualizar el archivo copias de seguridad si se realiza alguna modificación
en los horarios de generación, traslado de copias de manera automática
1.14.2 Imágenes

1. Se debe de realizar imágenes a los servidores, estas deben ser restauradas para
verificar la integridad de la imagen y minimizar los tiempos de recuperación de
reanudación
2. Se deben de configurar en discos duros
3. Los disco deben estar almacenados

1.14.3 Proceso de restauración

1. Se deben de generar escenarios para medir los tiempos de restauración de los

servicios y el nivel de capacitación de las personas encargadas de ejecutar el
proceso

2. Los escenarios de simulación deben de realizarse en equipos de respaldo no en el

servidor principal

1.14.4 Registros de Actividad (ISO / IEC 27001:2013 Cl A 12.4.1)

1. Los eventos que registren incidencias sobre la seguridad de la información deben

ser revisados por el personal que la dirección de DTI disponga

1.14.5 Registros De Administrador Y Operador (ISO / IEC 27001:2013 Cl A

12.4.3)

1. Todo acceso de los usuarios administradores o superusuarios deben ser

monitoreados

1.14.6 Sincronización (ISO / IEC 27001:2013 Cl A 12.4.4)

1. Todos los sistemas de información deben estar sincronizados bajo un solo tiempo
de referencia

2. Se debe de realizar verificaciones con el objeto de validar que los sistemas se

encuentren sincronizados entre sí con esto conseguir una trazabilidad de los
eventos registrador en el sistema

1.14.7 Instalación de software Operativo (ISO / IEC 27001:2013 Cl A 12.5.1)

La migración a un nuevo sistema operativo debe de comprender las siguientes condiciones

1. La migración a un nuevo sistema operativo debe pasar por diferentes escenarios de

prueba para garantizar que este sea compatible con los módulos y que permita la
configuración de recursos en red y telefonía

2. Debe de ser aprobado por la dirección de DTI, posterior a ser evaluada en

 3. Solo debe de realizarse por personal capacitado

4. Se debe de implementar un sistema de control de cambios, en el cual se registre

los cambios, la fecha, la versión, el resultado de las pruebas, quien las realizo.

1.14.8 Gestión De Vulnerabilidades Técnica

1. Se debe de establecer actividades para identificar vulnerabilidades sobre los activos

de información

2. Debe de existir un responsable para realizar las auditorias de seguridad a los

activos.

1.15 SISTEMAS DE INFORMACIÓN CONTROLES DE AUDITORÍA (ISO / IEC 27001:2013 CL

A 12.7.1)

1. Se debe de especificar el alcance de la pruebas de auditoria

2. Debe de analizarse previamente las herramientas y técnicas a utilizar para realizar

las verificaciones de seguridad

1.15.1 Restricciones a la instalación de software (ISO / IEC 27001:2013 Cl A

12.6.2)

1. Los equipos de cómputo deben de estar bloqueados para evitar su manipulación

por parte de los usuarios del sistema

2. Previa a una instalación de un aplicativo se debe de realizar pruebas para validar

que no interfiera con la comunicación con otros módulos

3. Se debe cumplir con los derechos de propiedad intelectual.

1.16 SEGURIDAD EN TELECOMUNICACIONES (ISO/IEC 27001:2013 CL A

13.1.1:13.2.4)

1.16.1 Política

El departamento de tecnología de la información (DTI) de la compañía Pollos Pachito

establece su compromiso en establecer procedimientos seguros para la transferencia de
información, implementando controles para monitorear el tráfico en la red, buscando cumplir
los requerimientos internos como externos de seguridad

1.16.2 Controles De Red (ISO / IEC 27001:2013 Cl A 13.1.1)

El servicio de red independiente del medio debe ser accedido por los colaboradores de
Pollo Pachito teniendo en cuenta los procedimientos formales de autorización y acatar las
condiciones de seguridad para las conexiones
El servicio de conexión remota debe de realizarse bajo autorización del líder del activo de
información, la autorización debe de trasladarse al área de tecnología de información
El departamento de tecnología de Información de Pollos Pachito se reserva el derecho de
monitorear cuando se registre situaciones anómalas en la red
El departamento de tecnología de Información debe establecer revisiones a las medidas de
seguridad de la red, estar revisiones están encabeza del responsable de seguridad de la
información y se pueden realizar por entidades externas para medir el estado de seguridad
de la red
Las sedes se deben conectar con la red principal a través de VPN virtuales esta conexión
debe contar con medidas de cifrado para minimizar la probabilidad de acceso no autorizado

1.16.3 Segregación De Redes (ISO / IEC 27001:2013 Cl A 13.1.3)

1. El área de Tecnología de información debe garantizar un acceso a la red para

visitantes, las redes inalámbricas para los usuarios del sistema que manejen portátiles
autorizados y las conexiones a través de VPN, estas conexiones deben de contar con
las medidas de seguridad suficientes

2. Las redes inalámbricas independiente que sean para visitantes o para los usuarios
deben ser auditadas para garantizar niveles de seguridad aceptables

1.16.4 Políticas Y Procedimientos De Transferencia De Información (ISO / IEC

27001:2013 Cl A 13.2.1)

1.16.4.1 Archivos Compartidos

1. Manejo adecuado de las claves de acceso asignadas a las carpetas

2. Manejo de cifrado de los archivos de la información misional
3. Limpiar regularmente las carpetas compartidas dejando solamente las del trabajo
compartido
4. No eliminar información o realizar cualquier otra acción que pueda impedir el acceso
legitimo a los datos incluyendo la carga de virus.
5. No usar la red para índole personal
6. Evitar colocar archivos de video que superen los 4MB
7. Comprimir contenidos de carpetas en caso superar el peso estándar recomendado para
su traslado al usuario que lo requiera.
8. No enviar información sensible a destinatarios que no la requieran
9. La información de carácter sensible no debe ser divulgada a personas que no requieran
de su conocimiento

1.17 ACUERDOS PARA TRANSFERENCIA DE INFORMACIÓN (ISO / IEC 27001:2013 CL

A 13.2.2)

1. Se deben de establecer acuerdos para la transferencia de información la cual

satisfaga los requisitos establecidos

1.17.1 La Mensajería Electrónica (ISO / IEC 27001:2013 Cl A 13.2.3)

1. Utilizar claves seguras bajo estándares establecidos y cambiar la contraseña con

periodicidad evitando que sea descubierta.
2. Queda prohibido enviar información por correo electrónico, cuentas FTP, o cualquier
medio electrónico, clasificada como confidencial o que sin serlo, el usuario no tenga
atribuciones que permitan su uso y divulgación, atenten contra los derechos de
autor, sea falsa, difamatoria u ofensiva
3. No se permite utilizar como encaminador de correo otras máquinas que no sean las
puestas a disposición por la compañía.
1.17.2 Acuerdos de confidencialidad (ISO / IEC 27001:2013 Cl A 13.2.4)

1. Se debe de realizar acuerdos de confidencialidad los cuales estén soportados con

la legislación vigente
2. Los acuerdos de confidencialidad deben de perdurar posterior a la finalización del
contrato
3. Los acuerdos deben ser revisados para validar si se aplica a la legislación vigente

1.18 POLÍTICA DE DESARROLLO SEGURO (ISO / IEC 27001:2013 CL A 14.2.1)

1. Se deben de identificar las medidas de seguridad a implementar desde el proceso

de diseño
2. Se deben de establecer procedimientos para la elaboración de programas con
medidas de seguridad desde la elaboración del código

3. Debe de existir un proceso de control de versiones, que permita migrar a una versión
anterior en caso de fallas

1.19 PROCEDIMIENTOS DE CONTROL DE CAMBIO DE SISTEMA (ISO/ IEC 27001:2013 CL

A 14.2.2)
1.19.1 Revisión técnica después del cambio en plataformas de funcionamiento
(ISO / IEC 27001:2013 Cl A 14.2.3)

La migración a un nuevo sistema operativo debe de comprender las siguientes condiciones

1. La migración a un nuevo sistema operativo debe pasar por diferentes escenarios de

prueba para garantizar que este sea compatible con los módulos y que permita la
configuración de recursos en red y telefonía

2. Se debe medir el rendimiento en la ejecución de los proceso bajo la nueva

plataforma

3. Se debe de implementar un sistema de control de cambios, en el cual se registre

los cambios, la fecha, la versión, el resultado de las pruebas, quien las realizo.

4. Se debe revisar que los cambios no afecten el proceso de continuidad de los

procesos, en caso de existir cambios se deben actualizar en plan de continuidad del
negocio

1.19.2 Restricciones en los cambios en los paquetes de software (ISO / IEC

27001:2013 Cl A 14.2.4)

1. No se deben de modificar los paquetes de software

2. Las actualizaciones en los paquetes de software deben de ser realizados en

coordinación con el proveedor de la aplicación

3. Se debe documentar el proceso realizado para el cambio.

4. Se debe custodiar los fuentes actualizados

1.20 PRUEBAS DE SEGURIDAD (ISO / IEC 27001:2013 CL A 14.2.8)

1. Establecer los tipos de pruebas para el recibo del producto de software

2. Se debe de realizar pruebas durante el proceso de desarrollo para validar que el
sistema funcione como se requiere

1.21 PRUEBAS DE ACEPTACIÓN (ISO / IEC 27001:2013 CL A 14.2.9)

1. Se deben de identificar los requisitos de seguridad a evaluar

2. Se deben de establecer pruebas en escenarios de prueba

1.22 DATOS DE PRUEBA (ISO / IEC 27001:2013 CL A 14.3)

 1. Los datos de prueba son tomados de las copias de los procesos a evaluar
2. Se debe de realizar un proceso de eliminación de los datos de prueba

1.23 INFORMACIÓN DE GESTIÓN DE INCIDENTES DE SEGURIDAD (ISO / IEC 27001:2013

CL A 16.1.1)

1.23.1 Política:

El departamento de tecnología de la información (DTI) de la compañía Pollos Pachito

establece su compromiso de contar con equipo capacitado en la atención de incidentes de
seguridad de la información, que estén en la capacidad de atender, cualquier evento o
incidente que afecta la seguridad de la información, aplicando procedimientos claros y
definidos para la atención, respuesta y registro de incidentes

1.23.2 Responsabilidades y procedimientos (ISO / IEC 27001:2013 Cl A 16.1.1)

1. Se debe de contar con el personal para atender el proceso.

2. Deben de establecerse procedimientos para dar respuesta a los incidentes
3. Debe de ser claro el proceso disciplinario establecido para tratar a los empleados
que violen la seguridad de la información.

1.23.3 Eventos (ISO / IEC 27001:2013 Cl A 16.1.2); Informes de Debilidades de

Seguridad de Información (ISO/IEC 27001:2013 Cl A 16.1.3)

1. Los colaboradores y proveedores deben de comunicar cualquier evento de

seguridad
2. Cualquier omisión de información relacionada con eventos o debilidades en la
seguridad de la información está sujeta a procesos disciplinarios

1.23.4 Respuesta a incidentes de seguridad de la información (ISO/IEC

27001:2013 Cl A 16.1.5)

1. Se deben de establecer procedimientos para dar respuesta a los incidentes de

seguridad atendiendo de acuerdo a la criticidad
2. Debe de existir un registro de los incidentes de seguridad

1.23.5 Reunión de Pruebas (ISO / IEC 27001:2013 Cl A 16.1.7)

3. Se debe de establecer un proceso para la recolección de evidencias

4. Se debe de establecer un proceso de custodia de las pruebas recolectadas que
garanticen:

a. Su integridad
b. Preservación
c. Consolidación
d. Documentación pertinente
1.24 CUMPLIMIENTO (ISO / IEC 27001:2013 CL A 18.1.1: 18.1.5)

1.24.1 Política:

El departamento Jurídico de la compañía Pollos Pachito debe garantizar la implementación

de un nomograma para identificar la legislación aplicable que se debe de cumplir realizando
procesos de verificación del cumplimiento de la legislación aplicable al SGSI

1.24.2 Identificación de la legislación aplicable y los requisitos contractuales

(ISO/IEC 27001:2013 Cl A 18.1.1)

1. Se debe establecer un normograma nacional y uno internacional con el fin de

identificar las normas y leyes que se deben de cumplir y así evitar sanciones legales

2. Se debe de actualizar los cambios legislativos en los cuales se encuentra el alcance

3. Se debe establecer auditorias para validar el cumplimiento de las normas y leyes

aplicables al SGSI

1.24.3 Derechos de propiedad intelectual (ISO/IEC 27001:2013 Cl A 18.1.2)

1. El software de sistema operativo propietario debe ser licenciado en cada equipo de

cómputo,
2. Se debe de registrar los datos de la llave de la licencia, la ubicación, el nombre de
equipo y la ciudad donde se encuentra

1.24.4 Solicitud Para Instalación de Software Privativo:

El jefe de área debe de solicitar a la dirección de sistemas bajo justificación la necesidad

de instalar software privativo

3. La dirección de DTI, debe realizar la solicitud de compra de licencia(s), posterior a la

entrega se deben de registrar los siguientes datos en el archivo llave: llave de la
licencia, la ubicación, el nombre de equipo y la ciudad donde se encuentra

1.24.5 Verificación:

4. Se deben de establecer jornadas de verificación de productos licenciados, con el objeto

de validar que lo que se encuentra instalado corresponda a la llave física que se tiene

1.24.6 Protección de registros (ISO/IEC 27001:2013 Cl A 18.1.3)

1.24.7 Copias de Seguridad

1. Las copias de seguridad almacenadas en medios ópticos, se deben de resguardar por

un periodo de tres años
2. Las copias deben ser trasladas a una sede diferente
1.24.8 Archivos Digitales

1. Se debe tener control de las copias que salen de la sede

2. El archivo llave.doc, debe ser digitalizado y ubicado la copia digital en una sede
diferente a la principal
3. Los soportes de pagos o abonos deben de almacenarse por un periodo de 1 año
4. Los documentos de clientes gestionados por Pollos Pachito deben ser trasladados a
una ubicación geográfica

1.24.9 Privacidad y protección de datos personales (ISO/IEC 27001:2013 Cl A

18.1.4)

1. De acuerdo a la ley colombiana 1581 de octubre de 2012 Pollos Pachito, debe

gestionar adecuadamente la información de sus clientes naturales y colaboradores, por
lo tanto se dispone de la tecnología necesaria para alcanzar este objetivo
2. Los documentos de clientes (cedulas, archivos de control de habeas data) deben de
ser digitalizados y una copia de estos archivos digitales debe ubicarse en otra sede,
esta información debe de almacenarse con un tiempo indefinido

1.24.10 Revisiones de Seguridad de Información (ISO/IEC 27001:2013 Cl

A 18.1.4)

Objetivo: Garantizar que la seguridad informática es implementado y operado de acuerdo

con el políticas y procedimientos de la organización.

1.24.11 18.2.3 revisión de cumplimiento técnico

Se deben de realizar auditorías internas si se cuenta con el personal capacitado para

ejecutar la revisión, se debe considerar:
Realizar revisiones en momentos donde la carga transaccional no sea muy alta
Comunicar al dueño del proceso sobre las herramientas de software a utilizar
Realizar un documento donde se identifique las vulnerabilidades encontradas
2 Declaración de Política

El propósito de la gestión de la seguridad de la información en Pollos Pachito es

mantener y mejorar nuestra confiabilidad en el mercado como empresa que
gestiona adecuadamente la protección de los activos de información, sean de
nuestro proceso, nuestros colaboradores o de nuestros clientes, por lo tanto la
alta dirección de Pollos Pachito establece su compromiso con la implementación
del Sistema de Gestión de Seguridad de la Información (SGSI) basado en la
norma ISO 27001:2013 así como la mejora continua de su efectividad mediante:

La definición del alcance, la política, los objetivos, los responsables, el plan de

tratamiento de riesgos, los planes de continuidad, los procesos de seguimiento, la
autorización para que se implemente el SGSI, proveyendo los recursos
financieros, técnicos y humanos necesarios para alcanzarla,

La responsabilidad final con respecto a la seguridad de la información de la

implementación del SGSI recae sobre la gerencia de Pollos Pachito, soportado por
los responsables de cada área de servicio del proceso comercial y de todos los
colaboradores de la organización.

Ing. Robinson Ruiz Muñoz

Gerente General