Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMACIÓN
Fecha de
Elaborado/Modificado por Versión Revisado por
Actualización
2.1.1 REVISIÓN TÉCNICA DESPUÉS DEL CAMBIO EN PLATAFORMAS DE FUNCIONAMIENTO (ISO / IEC 27001:2013
CL A 14.2.3) 27
2.1.2 RESTRICCIONES EN LOS CAMBIOS EN LOS PAQUETES DE SOFTWARE (ISO / IEC 27001:2013 CL A 14.2.4)
27
2.2 PRUEBAS DE SEGURIDAD (ISO / IEC 27001:2013 CL A 14.2.8) 27
2.3 PRUEBAS DE ACEPTACIÓN (ISO / IEC 27001:2013 CL A 14.2.9) 27
2.4 DATOS DE PRUEBA (ISO / IEC 27001:2013 CL A 14.3) 27
2.5 INFORMACIÓN DE GESTIÓN DE INCIDENTES DE SEGURIDAD 28
2.5.1 POLÍTICA: 28
2.5.2 RESPONSABILIDADES Y PROCEDIMIENTOS (ISO / IEC 27001:2013 CL A 16.1.1) 28
2.5.3 EVENTOS (ISO / IEC 27001:2013 CL A 16.1.2); INFORMES DE DEBILIDADES DE SEGURIDAD DE
INFORMACIÓN (ISO/IEC 27001:2013 CL A 16.1.3) 28
2.5.4 RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27001:2013 CL A 16.1.5) 28
2.5.5 REUNIÓN DE PRUEBAS (ISO / IEC 27001:2013 CL A 16.1.7) 28
2.6 CUMPLIMIENTO (ISO / IEC 27001:2013 CL A 18.1.1: 18.1.5) 29
2.6.1 POLÍTICA: 29
2.6.2 IDENTIFICACIÓN DE LA LEGISLACIÓN APLICABLE Y LOS REQUISITOS CONTRACTUALES (ISO/IEC 27001:2013
CL A 18.1.1) 29
2.6.3 DERECHOS DE PROPIEDAD INTELECTUAL (ISO/IEC 27001:2013 CL A 18.1.2) 29
2.6.4 SOLICITUD PARA INSTALACIÓN DE SOFTWARE PRIVATIVO: 29
2.6.5 VERIFICACIÓN: 29
2.6.6 PROTECCIÓN DE REGISTROS (ISO/IEC 27001:2013 CL A 18.1.3) 29
2.6.7 COPIAS DE SEGURIDAD 29
2.6.8 ARCHIVOS DIGITALES 30
2.6.9 PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES (ISO/IEC 27001:2013 CL A 18.1.4) 30
2.6.10 REVISIONES DE SEGURIDAD DE INFORMACIÓN (ISO/IEC 27001:2013 CL A 18.1.4) 30
2.6.11 18.2.3 REVISIÓN DE CUMPLIMIENTO TÉCNICO 30
2.7 DECLARACIÓN DE POLÍTICA 31
1 Políticas de Seguridad de la información
Pollos Pachito S.A, dentro de su estructura organizacional establece un Comité de
Seguridad de la Información, conformado por un grupo interdisciplinario de colaboradores,
responsable de todas las acciones referidas a la seguridad de la información de la
organización, controles y procedimientos según los requerimientos de la organización
1. Los equipos de los usuarios para ser utilizados en acceso a recurso de la empresa
deben ser:
2. El usuario debe de autorizar para que se instale sistema de cifrado en el equipo
3. Configurar y permitir el acceso remoto para el borrado seguro de la información
empresarial
1. Para todo colaborador de la empresa sea bajo contratación directa o por temporal a
los cuales se les dé acceso a la información deben de firmar la cláusula de
confidencialidad definida por la empresa
2. Los acuerdo de confidencialidad deben de ser claros tanto en derechos como en
deberes de los usuarios
3. Los usuarios de la empresa deben de conocer los procedimientos de seguridad de
la información así como sus derechos y obligaciones
12. El responsable del activo de información debe de notificar por correo electrónico la
solicitud de inactivación del usuario al área de auditoria.
13. El área de DTI posterior autorización del área de auditoria debe de realizar los
cambios solicitados y notificar mediante correo
1.3 RESPONSABILIDAD POR LOS ACTIVOS (ISO / IEC 27001:2013 CL A 8.1.1; 8.1.4)
1.3.1 Política:
1.4.1 Política:
1.4.2 Clasificación:
Información no sensible que puede ser conocida tanto por el personal de Pollos Pachito
como externos sin perjudicar de manera legal, de imagen ni en los procesos internos.
Esta información debe ser conocida solo por el / los responsables del activo de información
u aquellos usuarios que se autoricen para su uso, en caso de que esta información se
divulgue puede conllevar consecuencias a la imagen corporativa así como aspectos legales
(ley 1581 de 2012) o a la continuidad de los procesos de la empresa, para el acceso a la
información confidencial el usuario debe de firmar el acta de responsabilidad de acceso, la
cual establece las cláusulas de confidencialidad y sus penalidades en caso de
incumplimiento
1.4.2.3 Etiquetado:
1.5.1 Política
2. Las contraseñas deben ser fáciles de recordar para el usuario que la creo
1.9 ACCESO AL CÓDIGO FUENTE DEL PROGRAMA (ISO / IEC 27001:2013 CL A 9.4.2)
3. El acceso a las carpetas donde se almacenan los códigos fuentes no deben estar
compartidas
4. El acceso a los códigos fuente debe registrar en un log de auditoria, el cual permita
identificar la fecha y hora del acceso, el usuario y al fuente accedido
1.10 LA SEGURIDAD FÍSICA Y AMBIENTAL (ISO/ IEC 27001:2013 CL A 11.1.1;
11.2.9)
1.10.1 Política
1. EL acceso al área de los servidores del proceso comercial debe ser separado por
paredes, su acceso debe ser solo de personal autorizado
2. Para acceder al área de servidores se debe de contar con las llaves de la puerta
1. Las áreas de call center, administración y despachos deben de estar separadas por
paredes,
2. EL acceso al área de call center, administración y despachos debe ser solo del
personal autorizado
3. Los visitantes deben de acceder al área de visitas, estos no deben acceder a las
áreas de call center, administración o despachos a no ser por situaciones propias
de control (auditorias) o de actividades comerciales que lo requieran.
1.10.5 Protección Contra Amenazas Externas Y Ambientales (ISO / IEC
27001:2013 Cl A 11.1.4)
1.10.6.1 Equipos
1. Los equipos de cómputo deben estar en sobre bases para evitar el contacto con el
piso
2. Los equipos deben de ser protegidos con forros para cuando estos se encuentren
apagados
3. Las áreas administrativas y de call center deben contar con sistemas de detección
y de supresión de incendios
4. La energía a la cual se conectan los equipos debe ser regulada por medio de UPS
1. El cableado eléctrico y el de datos debe estar protegido para que no sea manipulado
por personas diferentes a las autorizadas
2. En caso de encontrarse con el cableado expuesto, se debe de notificar al área de
dti, para proceder con su arreglo
3. Se debe de garantizar que el cableado de los datos y de la energía esté separados
para evitar el ruido / interferencia en las comunicaciones.
1.10.6.4 Mantenimiento Del Equipo (ISO / IEC 27001:2013 Cl A 11.2.4)
1. La salida de activos por fuera de la empresa debe ser autorizada por el responsable
del activo de información
2. Se debe de registrar la salida del activo bajo el formato de control de activos donde
se indique el responsable de la organización que queda a cargo y la ubicación
3. Cuando el equipo retorne se debe actualizar el responsable y la ubicación en el
sistema de activos
1. Las sesiones de los equipos deben de ser por bloqueo de pantalla cuando se
presente inactividad en la sesión por más de 10 minutos
1.10.8 Escritorio Despejado Y La Política De Pantalla Transparente (ISO / IEC
27001:2013 CL A 11.2.9)
2. Los soportes deben ser resguardados en un lugar seguro libre del acceso por
personal no autorizado.
1.11.2 Política
1. Antes de realizar cambios en el hardware se debe probar que este sea compatible
con la plataforma operativa que se maneja en la empresa
4. Se debe de evaluar los riesgos asociados con la solicitud de los cambios solicitados
6. Antes de montar una actualización de una aplicación esta debe ser puesta a prueba
realizando el proceso completo de la operación para identificar posibles omisiones
en el código.
7. Garantizar que los usuarios validen los cambios antes de montar la aplicación en
proceso de producción.
1. Cada equipo de cómputo debe tener instalado el sistema de antivirus y este debe
estar actualizado
2. El proceso de escaneo en búsqueda de malware debe ejecutarse por el usuario en
horarios donde no está haciendo uso del equipo
3. El departamento de tecnología de información debe velar porque el sistema de
antivirus se encuentre actualizado, se debe de escanear los equipos a través de la
consola para identificar malware
1.13.2 Instalación de Programas
1.14.1 Política
5. Se debe de grabar la copia más reciente en un DVD y enviar a una sede diferente
donde se encuentre el servidor
6. Se debe actualizar el archivo copias de seguridad si se realiza alguna modificación
en los horarios de generación, traslado de copias de manera automática
1.14.2 Imágenes
1. Se debe de realizar imágenes a los servidores, estas deben ser restauradas para
verificar la integridad de la imagen y minimizar los tiempos de recuperación de
reanudación
2. Se deben de configurar en discos duros
3. Los disco deben estar almacenados
1. Todos los sistemas de información deben estar sincronizados bajo un solo tiempo
de referencia
1.16.1 Política
2. Las redes inalámbricas independiente que sean para visitantes o para los usuarios
deben ser auditadas para garantizar niveles de seguridad aceptables
3. Debe de existir un proceso de control de versiones, que permita migrar a una versión
anterior en caso de fallas
1.23.1 Política:
a. Su integridad
b. Preservación
c. Consolidación
d. Documentación pertinente
1.24 CUMPLIMIENTO (ISO / IEC 27001:2013 CL A 18.1.1: 18.1.5)
1.24.1 Política:
1.24.5 Verificación: