Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ajacomel TFM 0614 ANEXO8
Ajacomel TFM 0614 ANEXO8
# de Controles
# Sección Nombre
Aplicables
Figura A.8.1. Diagrama de Barras de la distribución de controles por dominio de ISO 27001
35
A.15
30
25
A.14
20
15
10 A.13
0 A.12
A.11
E LA EMPRESA "TU HOGAR CON ESTILO S.A."
ES DE LA NORMA ISO 27001
Implementación de Requisitos
98%
Generales ISO 27001
Figura A.8.2. Diagrama de Radar de la distribución de controles por dominio de ISO 27001
A.5
A.15 40 A.6
A.14 20 A.7
0 # de Controles Aplicables
A.13 A.8
A.12 A.9
A.11 A.10
Nombre del Documento: Declaración de Aplicabilidad - SOA
Confidencial: No debe ser conocido por personal ajeno al proceso de Gestión de Seguridad de
Nivel de Confidencialidad:
ser distribuído públicamente.
Codificación: R-GSI-002 Versión:
Fecha de última
4/1/2014 Fecha de Creación:
modificación:
Responsable del
Oficial de Seguridad de la Información
documento:
Aprobado por: Comité de Seguridad de la Información
ASPECTOS ORGANIZATIVOS DE LA
Dominio A.6
SEGURIDAD DE LA INFORMACIÓN
Identificación de los riesgos derivados del Deberían identificarse los riesgos para la información y
acceso de terceros para los dispositivos de tratamiento de la información
de la organización derivados de los procesos de
Control A.6.2.1 negocio que requieran de terceros, e implantar los
controles apropiados antes de otorgar el acceso.
Tratamiento de la seguridad en contratos Los acuerdos con terceros que conlleven acceso,
con terceros procesado, comunicación o gestión, bien de la
información de la organización, o de los recursos de
tratamiento de la información, o bien la incorporación
Control A.6.2.3 de productos o servicios a los recursos de tratamiento
de la información, deberían cubrir todos los requisitos
de seguridad pertinentes.
GESTIÓN DE COMUNICACIONES Y
Dominio A.10
OPERACIONES
Objetivo de
A.10.3 Planificación y aceptación del sistema Minimizar el riesgo de fallos de los sistemas.
Control
Diagnóstico remoto y protección de los Se debería controlar el acceso físico y lógico a los
Control A.11.4.4
puertos de configuración puertos de diagnóstico y de configuración.
Objetivo de Control de acceso a las aplicaciones y a la Prevenir el acceso no autorizado a la información que
A.11.6
Control información contienen las aplicaciones.
ADQUISICIÓN, DESARROLLO Y
Dominio A.12 MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN
Objetivo de Requisitos de seguridad de los sistemas Garantizar que la seguridad está integrada en los
A.12.1
Control de información sistemas de información.
Objetivo de
A.12.4 Seguridad de los archivos del sistema Garantizar la seguridad de los archivos de sistema.
Control
Control de acceso al código fuente de los Se debería restringir el acceso al código fuente de los
Control A.12.4.3
programas programas.
Objetivo de Seguridad en los procesos de desarrollo y Mantener la seguridad del software y de la información
A.12.5
Control soporte de las aplicaciones.
GESTIÓN DE INCIDENTES DE
Dominio A.13
SEGURIDAD DE LA INFORMACIÓN
Asegurarse de que los eventos de seguridad de la
información y las debilidades asociadas con los
Objetivo de Notificación de eventos y puntos débiles
A.13.1 sistemas de información, se comunican de manera que
Control de seguridad de la información
sea posible emprender las acciones correctivas
oportunas.
Objetivo de Cumplimiento de las políticas y normas de Asegurar que los sistemas cumplen las políticas y
A.15.2
Control seguridad y cumplimiento técnico normas de seguridad de la organización.
1.0
4/1/2014
a Información
la Información
APLICABILIDAD EN LA EMPRESA
Requisito para certificación ISO 27001. Se cuenta con la política general de SI, incluyendo los
objetivos de SI y la intención de apoyo de la dirección en
torno al SGSI. Adicionalmente se han documentado algunas
políticas de segundo nivel que incluyen un detalle mayor
SI sobre cada tema incluyendo Control de Acceso, Seguridad
física, Comunicaciones y Operaciones y Gestión de
Incidentes de SI.
Requisito para certificación ISO 27001. Se tiene definido que se hará anualmente en el comité de
seguridad de la información
SI
10
Requisito para certificación ISO 27001. Se cuenta con la política general de SI, incluyendo los
objetivos de SI y la intención de apoyo de la dirección en
torno al SGSI. Adicionalmente se han documentado algunas
políticas de segundo nivel que incluyen un detalle mayor
SI sobre cada tema incluyendo Control de Acceso, Seguridad
física, Comunicaciones y Operaciones y Gestión de
Incidentes de SI.
Requisito para certificación ISO 27001. Se cuenta con áreas formalmente establecidas con
responsabilidades claras en torno a la seguridad de la
información. Adicionalmente se cuenta con la figura del
SI Comité de Seguridad de la Información, integrado por los
principales involucrados en Seguridad, por la alta gerencia y
por el área de riesgo.
Requisito para certificación ISO 27001. Se tienen claras las principales responsabilidades de los
SI involucrados en la coordinación de SI, de los colaboradores
en general y otros roles asociados.
Se adopta como buena práctica. En representación de la dirección, el Gerente de Tecnología
Permite manejar de forma centralizada debe dar su visto bueno a la adquisición y posteriormente el
SI los procesos de adquisición de área de compras de la empresa realizará el proceso de
recursos. contratación y adquisición.
Se adopta como buena práctica. Todos los colaboradores contratados ya sea directamente o
Permite mitigar algunos riesgos y dar mediante la modalidad de Outsourcing, firman un acuerdo de
SI cumplimiento a algunos requisitos confidencialidad en el momento de la contratación.
legales
Se adopta como buena práctica. Se ha mantenido contacto con las fiscalías regionales para
Permite mitigar algunos riesgos y dar los eventos definidos
SI cumplimiento a algunos requisitos
legales
Se adopta como buena práctica. Se manejan contactos locales con la unidad de delitos
Permite mitigar algunos riesgos y dar informáticos de la policía y con proveedores y consultores
SI cumplimiento a algunos requisitos especializados en seguridad.
legales
Requisito para certificación ISO 27001.
Se adopta como buena práctica. Controles de cifrado para el intercambio de información con
Permite mitigar algunos riesgos y dar terceros (PGP, SFTP, correo seguro). Se brinda acceso
cumplimiento a algunos requisitos remoto medienta los mecanismos establecidos (VPN). Se
SI legales controla el enrutamiento en la red para los terceros que
acceden localmente desde las instalaciones de la empresa.
Requisito para certificación ISO 27001. Se cuenta con la Matriz de Activos de Información, en la que
Es la base para la identificación de se identifican los activos más importantes en cada proceso
SI riesgos y para la priorización en la dentro del alcance del SGSI y posteriormente se documenta
asignación de recursos para Seguridad su valor para el negocio y su clasificación.
de TI
Se adopta como buena práctica. En la empresa se cuenta con la figura del "Líder Funcional"
Permite incrementar el nivel de de los sistemas de información, servicios y aplicaciones,
seguridad general de los activos de responsable de definir, solicitar y aprobar cambios sensibles
información y mitigar algunos riesgos sobre los recursos, incluyendo la implementación de
SI controles y el perfilamiento del control de acceso por roles.
En la matriz de activos de información se debe documentar el
responsable de cada activo.
Se adopta como buena práctica. En las políticas se han incluido algunos aspectos asociados
Permite incrementar el nivel de al uso aceptable de los recursos.
SI seguridad general de los activos de
información y mitigar algunos riesgos
Requisito para certificación ISO 27001. Se cuenta con la Matriz de Activos de Información, en la que
Es la base para la identificación de se identifican los activos más importantes en cada proceso
SI riesgos y para la priorización en la dentro del alcance del SGSI y posteriormente se documenta
asignación de recursos para Seguridad su valor para el negocio y su clasificación.
de TI
Se adopta como buena práctica. La empresa no implementará por el momento ningún
Permite tener claridad sobre la forma procedimiento de etiquetado de activos de información, sin
en la que se deben utilizar y proteger embargo considera adecuado definir lineamientos básicos
SI los activos de información para el uso, transferencia y almacenamiento de activos de
información de acuerdo a su clasificación.
Requisito para certificación ISO 27001. Se tienen claras las principales responsabilidades de los
involucrados en la coordinación de SI, de los colaboradores
SI en general y otros roles asociados.
Se adopta como buena práctica. Esta investigación es un requisito indispensable que hace
Permite mitigar algunos riesgos. parte del estudio de seguridad que se realiza previo a la
contratación de colaboradores o personal de Outsourcing o
terceros en general. Adicionalmente para el caso de los
colaboradores directos y de aquellos considerados críticos se
SI
realiza una visita domiciliaria.
Se adopta como buena práctica. Todos los colaboradores y terceros incluidos dentro del
Permite mitigar algunos riesgos. alcance del SGSI deben firmar un contrato de vinculación
que incluye aspectos de seguridad de la información y del
SI uso adecuado de los recursos asignados.
Se adopta como buena práctica. La Vicepresidencia de Gestión Humana cuenta con una
Permite mitigar algunos riesgos. gerencia especializada en relaciones laborales, que se
encarga entre otras de todas las investigaciones relacionadas
con faltas al contrato laboral o a la reglamentación
SI establecida en materia de seguridad de la información,
incluyendo eventos de fraude o violaciones graves a la
política de seguridad de la información.
Se adopta como buena práctica. Se cuentan con procesos y procedimientos que formalizan la
Permite incrementar el nivel de relación existente entre las novedades de personal (Gestión
seguridad general en recursos Humana) y los accesos a recursos de información (Seguridad
informáticos y mitigar algunos riesgos Informática). Las responsabilidades están documentadas en
el modelo de seguridad de la información.
SI
Se adopta como buena práctica. El retiro de los derechos de acceso del personal directo y de
Permite mitigar algunos riesgos. todos los terceros involucrados en el alcance del SGSI está
formalizado mediante acuerdos entre las áreas de Gestión
Humana y Seguridad Informática. El área de seguridad
SI informática se encarga de la gestión de usuarios en todas las
aplicaciones incluidas en el alcance del SGSI.
13
Se adopta como buena práctica. El ingreso a los centros de cableado de todos los almacenes
Permite mitigar algunos riesgos. y de los niveles centrales de cada país está protegido por lo
menos con una puerta con llave y en algunos ya se cuenta
con control biométrico para el ingreso. Adicionalmente se
encuentran claramente demarcados con letreros que indican
que el acceso a esa zona se encuentra restringido.
En las administraciones centrales de cada país
SI (generalmente ubicadas en la capital del país) se cuenta con
videovigilancia y personal de seguridad 7x24, recepción para
el registro de visitantes y se exige una identificación visible.
No se tienen mecanismos de autenticación para el ingreso (v.
gr. Tarjetas magnéticas).
Se adopta como buena práctica. Todas las edificaciones de la empresa, incluyendo los
Permite mitigar algunos riesgos. almacenes, el DataCenter y las administraciones centrales
cuentan con mecanismos adecuados para detectar y
extinguir incendios. Adicionalmente se cuenta con protocolos
establecidos de actuación en caso de emergencia
(terremotos, inundación, revueltas sociales, etc) que son
SI reforzados periodicamente. Adicionalmente en el DataCenter
y en los centros de cableado se cuenta con piso falso para
reducir el impacto causado por inundaciones sobre los
recursos de procesamiento principales.
Se adopta como buena práctica. Todos los centros de cableado cuentan con acceso
Permite mitigar algunos riesgos. restringido a solo las personas autorizadas, cuentan con
sistema de videovigilancia, llevan registros de ingreso y
SI cuentan con protocolos de acompañamiento para el ingreso
de terceros a dichas áreas.
Se adopta como buena práctica. Las áreas de recibo y despacho de mercancía se encuentran
Permite mitigar algunos riesgos. claramente diferenciadas y separadas de todas las áreas
donde se procesa o almacena información en los almacenes
y los edificios de administracion central. El datacenter cuenta
cun un nivel aislado que permite validar previamente el
SI
ingreso y retiro de cualquier mercancía al datacenter
(requerido por ejemplo para realizar ingreso de equipos o
partes)
Se adopta como buena práctica. Los PC portátiles cuentan con gualla de seguridad con llave
Permite mitigar algunos riesgos. para aferrarlos a los puestos de trabajo.
SI
Se adopta como buena práctica. Todas las edificaciones de la empresa cuentan con
Permite mitigar algunos riesgos. suministro alterno mediante plantas eléctricas y UPS para
SI resistir ante eventos de corte de suministro eléctrico.
Se adopta como buena práctica. Se establece a nivel de política que se deben aplicar
Permite incrementar el nivel de procedimientos de borrado seguro ante ciertos eventos.
seguridad general en recursos
SI informáticos y mitigar algunos riesgos
Se adopta como buena práctica. Se cuenta con procedimientos de autorización para retirar
Permite mitigar algunos riesgos. equipos de cómputo o partes fuera de las instalaciones. Este
SI procedimiento de validación es efectuado por el personal de
seguridad física de cada sede.
32
Se adopta como buena práctica. Lso procedimientos asociados con los procesos dentro del
alacance del SGSI serán documentados y divulgados a los
SI interesados.
Se adopta como buena práctica. En general se cumple, salvo por algunos almacenes donde la
Permite mitigar algunos riesgos. cantidad de personal contratado no permite segregar las
SI tareas. Se realiza monitoreo periódico por parte del área de
Prevención de fraude y pérdidas.
Se adopta como buena práctica. Se cuenta con personal bien diferenciado para cada una de
Permite mitigar algunos riesgos. estas labores, salvo algunas responsabilidades puntuales
donde el personal de desarrollo ejerce las labores de soporte
SI de la operación pues no se cuenta con personal capacitado
de operación que pueda realizarlas.
Se adopta como buena práctica. Para los contratos con terceros incluidos dentro del alcance
Permite mitigar algunos riesgos. del SGSI se verifica periodicamente que los controles de
seguridad, las definiciones de los servicios y los niveles de
SI provisión, han sido implantados, puestos en operación y son
mantenidos adecuadamente.
Se adopta como buena práctica. Esta labor solo se realiza en los terceros más representativos
basado en el riesgo para el negocio o en el costo para la
SI empresa, como el que presta el servicio de DataCenter
administrado.
Se adopta como buena práctica. El proceso de control de cambios establece que los cambios
Permite mitigar algunos riesgos. realizados por terceros incluidos dentro del alcance del SGSI
deben surtir el procedimiento de control de cambios de la
empresa.
SI
Se adopta como buena práctica. Las pruebas son realizadas dependiendo del tipo de cambio
Permite mitigar algunos riesgos. y de su criticidad.
SI
Se adopta como buena práctica. Existen controles para evitar la descarga de software a nivel
Permite incrementar el nivel de perimetral (control de navegación web). Adicionalmente en la
seguridad general en recursos mayoría de equipos de cómputo los usuarios trabajan sin
SI informáticos y mitigar algunos riesgos privilegios de administrador (Excepciones documentadas).
Se adopta como buena práctica. El servicio de copias de respaldo de los servidores centrales
Permite mitigar algunos riesgos. se tiene contratado con el proveedor del DataCenter, quien
SI garantiza que dichas copias se realizan de acuerdo a la
política definida por el área de TI y son verificadas
periodicamente.
Se adopta como buena práctica. En las áreas físicas y lógicas incluidas dentro del alcance del
Permite incrementar el nivel de SGSI se implementa un control de enrutamiento entre Vlan
seguridad general de la red y mitigar que permitirá conceder acceso solo a aquello que está
algunos riesgos expresamente autorizado y que es requerido por el negoocio,
de acuerdo a lo definido en la política general de control de
SI acceso lógico. Adicionalmente se cuenta con cifrado de
canales Router-to-Router entre la red MPLS que interconecta
los almacenes con los centros de cómputo y
administraciones.
Se adopta como buena práctica. Se cuenta con cifrado Router to Router en las conexiones
Permite incrementar el nivel de dedicadas contratadas (red MPLS) y se cuenta con un
seguridad general de la red y mitigar servicio de seguridad administrada que ofrece barreras de
SI algunos riesgos seguridad perimetral y enlaces VPN a demanda.
Se adopta como buena práctica. Se establece a nivel de política que se deben aplicar
Permite incrementar el nivel de procedimientos de borrado seguro ante ciertos eventos.
SI seguridad general en recursos
informáticos y mitigar algunos riesgos
Se adopta como buena práctica. Se cuenta con procedimientos y controles para garantizar el
Permite mitigar algunos riesgos. acceso a la información solo al personal autorizado.
SI Adicionalente se realian revisiones periodicas sobre los
sistemas críticos de la empresa.
Se adopta como buena práctica. Controles de cifrado para el intercambio de información con
Permite mitigar algunos riesgos y dar terceros (PGP, SFTP, correo seguro).
cumplimiento a algunos requisitos
SI legales
Se adopta como buena práctica. El área jurídica cuenta con un estándar para contratos
Permite mitigar algunos riesgos y dar firmados con los terceros, que incluye estos acuerdos para
cumplimiento a algunos requisitos realizar intercambio seguro de información.
SI legales
Se adopta como buena práctica. Se cuenta con procedimientos para resguardar estos
Permite mitigar algunos riesgos y dar soportes mientras son transportados entre las diferentes
cumplimiento a algunos requisitos instalaciones que se requiera.
SI legales
Se adopta como buena práctica. Controles de cifrado para el intercambio de información con
Permite mitigar algunos riesgos y dar terceros (PGP, SFTP, correo seguro).
cumplimiento a algunos requisitos
SI legales
Se adopta como buena práctica. El servicio de ventas por Internet cuenta con un certificado
Permite mitigar algunos riesgos y dar digital que ofrece protección razonable en las transacciones
cumplimiento a algunos requisitos realizadas.
SI legales
Se adopta como buena práctica. Los servidores donde se almacena la información publicada
Permite mitigar algunos riesgos y dar en los portales web de la empresa se encuentran protegidos
SI cumplimiento a algunos requisitos contra acceso no autorizado.
legales
Se adopta como buena práctica. Se cuenta con una herramienta de registro y monitoreo de las
Permite mitigar algunos riesgos. acciones realizadas en las principales bases de datos de
producción, sin embargo a nivel de aplicación y sistema
operativo, el registro de eventos por el momento no será
SI implementado.
Se adopta como buena práctica. Se cuenta con una herramienta de registro y monitoreo de las
Permite mitigar algunos riesgos. acciones realizadas en las principales bases de datos de
producción, sin embargo a nivel de aplicación y sistema
SI operativo, el registro de eventos por el momento no será
implementado.
Se adopta como buena práctica. Cuenta con control de acceso bien definido.
Permite mitigar algunos riesgos.
SI
Se adopta como buena práctica. Se cuenta con una herramienta de registro y monitoreo de las
Permite mitigar algunos riesgos. acciones realizadas en las principales bases de datos de
producción, sin embargo a nivel de aplicación y sistema
SI operativo, el registro de eventos por el momento no será
implementado.
Se adopta como buena práctica. El registro y atención de fallos es realizado por la Dirección
SI Permite mitigar algunos riesgos. de Servicios de TI y soporte a usuarios.
Se adopta como buena práctica. Aplica para todos los servidores. Pendiente implementación
Permite mitigar algunos riesgos. en dispositivos de red y seguridad perimetral.
SI
24
Se adopta como buena práctica. Esta política considerada de segundo nivel por los detalles
Permite mitigar algunos riesgos. técnicos incluidos ya fue aprobada por las áreas respectivas
SI (TI, Seguridad de la información y Riesgo).
Se adopta como buena práctica. La Jefatura de Seguridad Informática cuenta con un grupo
Permite mitigar algunos riesgos. especializado de acceso logico para tramitar las solicitudes
SI de creación, modificación y retiro de usuarios en las
aplicaciones y sistemas de información de la empresa.
Se adopta como buena práctica. Se cuenta con una matriz e acceso lógico donde se
Permite mitigar algunos riesgos. relacionan los cargos con los perfiles de acceso a las
SI aplicaciones y sistemas de información. Esta matriz es
elaborada en conjunto entre seguridad informática y los
encargados del negocio
Se adopta como buena práctica. El grupo de acceso lógico entrega al usuario las contraseñas
Permite mitigar algunos riesgos. de acceso a las aplicaciones vía correo electrónico, y entrega
al jefe directo la contraseña de acceso al correo electrónico
SI del usuario la primera vez. Las contraseñas de las
principales aplicaciones del negocio no cuentan con la opción
de hacer cambio en el primer login.
Se adopta como buena práctica. Se revisan como mínimo cada cuatro (4) meses los usuarios
Permite mitigar algunos riesgos. y privilegios de las principales aplicaciones del negocio con el
fin de depurar aquellos usuarios y privilegios que no se
SI encuentren de acuerdo a los privilegios documentados en la
matriz de acceso lógico.
Se adopta como buena práctica. Se cuenta con políticas asociadas al uso adecuado de
Permite mitigar algunos riesgos. contraseñas, se implementan a nivel de directorio activo de
SI windows, sin embargo no todos los sistemas críticos
soportan criterios de fortaleza de contraseñas.
Se adopta como buena práctica. Se utiliza autenticación de usuario y contraseña para todas
Permite incrementar el nivel de las conexiones remotas de usuarios (VPN).
SI seguridad general de la red y mitigar
algunos riesgos
Se adopta como buena práctica. En las áreas físicas y lógicas incluidas dentro del alcance del
Permite incrementar el nivel de SGSI se considera como válido ya sea la dirección MAC o la
seguridad general de la red y mitigar dirección IP fija como un mecanismo adicional para
SI algunos riesgos validación de identidad de los equipos en la red. Este
mecanismo se utiliza bajo pedido en caso de ser requerido.
Se adopta como buena práctica. Todos los puertos de configuración física de los dispositivos
Permite incrementar el nivel de de red y servidores se encuentran protegidos al estar dentro
seguridad general de la red y mitigar de un Rack cerrado con llave, en una habitación protegida
algunos riesgos por controles de acceso adicional (huella, tarjeta magnética,
SI camaras de videovigilancia). Adicionalmente el acceso lógico
a la configuración de los dispositivos se encuentra controlado
por usuario y contraseña.
Se adopta como buena práctica. En las áreas físicas y lógicas incluidas dentro del alcance del
Permite incrementar el nivel de SGSI se implementa un control de enrutamiento entre Vlan
seguridad general de la red y mitigar que permitirá conceder acceso solo a aquello que está
SI algunos riesgos expresamente autorizado y que es requerido por el negoocio,
de acuerdo a lo definido en la política general de control de
acceso lógico
Se adopta como buena práctica. En las áreas físicas incluidas dentro del alcance del SGSI se
Permite incrementar el nivel de implementa un control de acceso a la red cableada mediante
seguridad general de la red y mitigar la asociación de la dirección MAC y el punto de red. A la red
SI algunos riesgos inalámbrica se aplica un control igualmente basado en la
dirección MAC del dispositivo cliente
Se adopta como buena práctica. En las áreas físicas y lógicas incluidas dentro del alcance del
Permite incrementar el nivel de SGSI se implementa un control de enrutamiento entre Vlan
seguridad general de la red y mitigar que permitirá conceder acceso solo a aquello que está
SI algunos riesgos expresamente autorizado y que es requerido por el negoocio,
de acuerdo a lo definido en la política general de control de
acceso lógico
Se adopta como buena práctica. Tanto la sesión del dominio Windows, como la de la
Permite incrementar el nivel de herramienta e virtualización de aplicaciones cuentan con
SI seguridad general en recursos parámetros adecuados de cierre por inactividad de sesión.
informáticos y mitigar algunos riesgos
Se adopta como buena práctica. La matriz de acceso lógico permite documentar los privilegios
Permite incrementar el nivel de de acceso a la información, y el área de acceso lógico
SI seguridad general en recursos (Seguridad Informática) configura las aplicaciones con base
informáticos y mitigar algunos riesgos en esta matriz.
Se adopta como buena práctica. Para los sistemas sensibles incluidos dentro del alcance del
Permite incrementar el nivel de SGSI se mantendrá una zona militarizada (MZ) que incluye
SI seguridad general de la red y mitigar control de acceso (Firewall) de acuerdo a lo requerido por el
algunos riesgos negocio.
Se adopta como buena práctica. Se cuenta con una política de alto nivel sobre el tema. Se
Permite incrementar el nivel de utiliza autenticación de usuario y contraseña para todas las
SI seguridad general en recursos conexiones remotas de usuarios (VPN).
informáticos y mitigar algunos riesgos
16
Se adopta como buena práctica. Se elaborará un documento tipo política con el estándar de
Permite incrementar el nivel de seguridad para sistemas de información, incluyendo aspectos
seguridad general en recursos opcionales y otros de obligatorio cumplimiento (requisitos
SI informáticos y mitigar algunos riesgos mínimos)
Se adopta como buena práctica. Las aplicaciones actualmente no permiten implementar este
Permite incrementar el nivel de tipo de control. Sin embargo se define que las nuevas
SI seguridad general en recursos aplicaciones deberán contemplar estos aspectos
informáticos y mitigar algunos riesgos
Se adopta como buena práctica. Las aplicaciones actualmente no permiten implementar este
Permite incrementar el nivel de tipo de control. Sin embargo se define que las nuevas
SI seguridad general en recursos aplicaciones deberán contemplar estos aspectos
informáticos y mitigar algunos riesgos
Se adopta como buena práctica. Las aplicaciones actualmente no permiten implementar este
Permite incrementar el nivel de tipo de control. Sin embargo se define que las nuevas
SI seguridad general en recursos aplicaciones deberán contemplar estos aspectos
informáticos y mitigar algunos riesgos
Se adopta como buena práctica. Las aplicaciones actualmente no permiten implementar este
Permite incrementar el nivel de tipo de control. Sin embargo se define que las nuevas
SI seguridad general en recursos aplicaciones deberán contemplar estos aspectos
informáticos y mitigar algunos riesgos
Se adopta como buena práctica. El área de transición del servicio de la Dirección de Servicios
Permite mitigar algunos riesgos de TI y soporte a usuarios se encarga de realizar dicha labor.
SI
Se adopta como buena práctica. Este proceso es controlado inicialmente por la Dirección de
SI Proyectos estratégicos de TI.
Se adopta como buena práctica. Se contratará mínimo 1 vez al año un servicio tercerizado de
Permite identificar de forma periódica pruebas de vulnerabilidad e intrusión sobre los sistemas
posibles vulnerabilidades en los considerados críticos en el alcance del SGSI
SI sistemas y recursos informáticos y
establecer planes para su remediación.
Se adopta como buena práctica. Se estableció que el mecanismo establecido para reportar
Permite identificar de forma periódica incidentes de seguridad de la información es mediante el
posibles vulnerabilidades en los service desk (soporte a usuarios), ya sea telefónicamente o
SI sistemas y recursos informáticos y por correo electrónico.
establecer planes para su remediación.
SI
Se adopta como buena práctica. Se cuenta con roles y responsabilidades definidas y con un
procedimiento asociado.
SI
Se adopta como buena práctica. En la etapa actual de madurez de la empresa y sus procesos
Permite cuantificar y priorizar la de seguridad no se encuentra implementado este mecanismo
SI necesidad de asignar recursos a de medición cuantitativa de los incidentes. Se analizará en
seguridad de TI una etapa posterior.
Se adopta como buena práctica. Se tiene definido que en estos casos se debe acudir a la
Permite dar cumplimiento a requisitos fiscalía regional o a un experto externo.
legales.
SI
Se adopta como buena práctica. Se desarrollará un proceso formal de continuidad del negocio
Permite mitigar riesgos asociados con que incluya aspectos de seguridad de la información
SI disponibilidad de la información y los
servicios
Se adopta como buena práctica. Se desarrollará un proceso formal de continuidad del negocio
Permite mitigar riesgos asociados con que incluya aspectos de seguridad de la información
disponibilidad de la información y los
SI servicios
Se adopta como buena práctica. Se desarrollará un proceso formal de continuidad del negocio
Permite mitigar riesgos asociados con que incluya aspectos de seguridad de la información
disponibilidad de la información y los
SI servicios
Se adopta como buena práctica. Se desarrollará un proceso formal de continuidad del negocio
Permite mitigar riesgos asociados con basado en un único marco de referencia.
disponibilidad de la información y los
SI servicios
Se adopta como buena práctica. Se desarrollará un proceso formal de continuidad del negocio
Permite mitigar riesgos asociados con que incluya aspectos de seguridad de la información
SI disponibilidad de la información y los
servicios
10
Se adopta como buena práctica. Se cuenta con una herramienta que permite verificar el
Permite dar cumplimiento a requisitos software instalado en los equipos de cómputo y se tiene en
legales. marcha un plan de trabajo para solucionar las diferencias
SI entre el licenciamiento adquirido y el instalado. En los
servidores se mantiene un programa anual de auditoría que
permite mantener controlado el licenciamiento.
SI
Se adopta como buena práctica. De acuerdo con las leyes aplicables en cada país se
Permite mitigar algunos riesgos y dar desarrollaron proyectos de implementación para garantizar
SI cumplimiento a requisitos legales. su cumplimiento.
Se adopta como buena práctica. La empresa exige el obligatorio cumplimiento del modelo de
Permite mitigar riesgos y dar seguridad de la información. Así mismo concientiza a sus
cumplimiento a requisitos legales empleados sobre sus responsabilidades en seguridad e
SI asociados con la protección de la incluirá en los roles y responsabilidades aquellas asociadas
información con los Encargados de área (Jefes, Gerentes)
Se adopta como buena práctica. Se contratará mínimo 1 vez al año un servicio tercerizado de
Permite identificar de forma periódica pruebas de vulnerabilidad e intrusión sobre los sistemas
posibles vulnerabilidades en los considerados críticos en el alcance del SGSI
SI sistemas y recursos informáticos y
establecer planes para su remediación.
Se adopta como buena práctica. La planeación de dichas comprobaciones es realizada entre
Permite identificar de forma periódica el área audiora y la Jefatura de Seguridad Informática. El
posibles vulnerabilidades en los comité de cambios debe conocer y avalar este tipo de
SI sistemas y recursos informáticos y actividades previo a su implementación en los sistemas de
establecer planes para su remediación. producción, de acuerdo a lo especificado en el proceso de
cambios o implementaciones en sistemas de producción.
NA
NA
Procedimiento de verificación de
seguridad durante la contratación
(Pendiente por codificar)
Procedimiento de verificación de
seguridad durante la contratación
(Pendiente por codificar)
Formato de contrato de trabajo
(Pendiente por codificar)
NA
P-GSI-001. Modelo de Seguridad de la
Información. Procedimiento de reporte de
novedades de personal al área de
acceso lógico (pendiente por codificar).
Procedimiento de gestión de accesos en
los sistemas y recursos de TI (pendiente
por codificar)
NA
NA
NA
Manual de funciones
Manual de funciones
NA
Manual de funciones
NA
Manual de funciones
Procedimiento de entrega de
contraseñas a los recursos informáticos
y sistemas de información. Pendiente por
codificar
NA
NA
Manual de funciones
Manual de funciones
NA
NA
Manual de funciones
Diagrama de flujo del proceso de gestión
de cambios de TI (pendiente por
codificar)
Servicio
Aplicación
Equipo Informático
Dispositivo de Almacenamient
Suministro
nformación o datos
quipo Informático
ispositivo de Almacenamiento