Ajacomel TFM 0614 ANEXO8

ANEXO 8.
DECLARACIÓN DE APLICABILIDAD DE LA EMPRESA "TU H

RESPECTO A LOS CONTROLES DE LA NORMA ISO
Tabla A.8.1 Estado general de aplicabilidad de controles por dominios
# de Controles
# Sección Nombre
Aplicables
A.5 Política de Seguridad 2
A.6 Aspectos Organizativos de la Seguridad de la Información 10
A.7 Gestión de Activos 5

A.8 Seguridad Ligada a los Recursos Humanos 9
A.9 Seguridad Física y del Entorno 13
A.10 Gestión de Comunicaciones y Operaciones 32
A.11 Control de Acceso 24
Adquisición,Desarrollo y Mantenimiento de Sistemas de
A.12 16
Información
A.13 Gestión de Incidentes de Seguridad de la Información 5
A.14 Gestión de la Continuidad del Negocio 5
A.15 Cumplimiento 10
TOTAL SGSI 131
Figura A.8.1. Diagrama de Barras de la distribución de controles por dominio de ISO 27001
35
A.15
30
25
A.14
20
15
10 A.13
0 A.12
A.11
E LA EMPRESA "TU HOGAR CON ESTILO S.A."
ES DE LA NORMA ISO 27001
Tabla A.8.2. Porcentaje de aplicabilidad de controles ISO 27001
Implementación de Requisitos
98%
Generales ISO 27001
Figura A.8.2. Diagrama de Radar de la distribución de controles por dominio de ISO 27001
A.5
A.15 40 A.6
A.14 20 A.7
0 # de Controles Aplicables
A.13 A.8
A.12 A.9
A.11 A.10
Nombre del Documento: Declaración de Aplicabilidad - SOA
Confidencial: No debe ser conocido por personal ajeno al proceso de Gestión de Seguridad de
Nivel de Confidencialidad:
ser distribuído públicamente.
Codificación: R-GSI-002 Versión:
Fecha de última
4/1/2014 Fecha de Creación:
modificación:
Responsable del
Oficial de Seguridad de la Información
documento:
Aprobado por: Comité de Seguridad de la Información
Controles ISO 27001
Tipificación # Sección Nombre Descripción según ISO 27001
Dominio A.5 POLÍTICA DE SEGURIDAD

La Dirección proporcionará indicaciones y dará apoyo a
la seguridad de la información de acuerdo con los
requisitos del negocio y con la legislación y las
normativas aplicables.
La Dirección debería establecer de forma clara la
Objetivo de política de actuación en línea con los objetivos de
A.5.1 Política de Seguridad de la Información negocio y poner de manifiesto su apoyo y compromiso
Control
con la seguridad de la información, publicando y
manteniendo una política de seguridad de la
información en toda la organización.
La Dirección debería aprobar un documento de política

de seguridad de la información, publicarlo y distribuirlo
a todos los empleados y terceros afectados.
Documento de política de seguridad de la
Control A.5.1.1
información
La política de seguridad de la información debería

revisarse a intervalos planificados o siempre que se
Revisión de la política de seguridad de la produzcan cambios significativos, a fin de asegurar que
Control A.5.1.2
información se mantenga su idoneidad, adecuación y eficacia.
ASPECTOS ORGANIZATIVOS DE LA
Dominio A.6
SEGURIDAD DE LA INFORMACIÓN
Gestionar la seguridad de la información dentro de la

organización.
Objetivo de Debería establecerse una estructura de gestión para
A.6.1 Organización interna
Control iniciar y controlar la implantación de la seguridad de la
información
dentro de la organización.
La Dirección debería prestar un apoyo activo a la

seguridad dentro de la organización a través de
Compromiso de la Dirección con la directrices claras, un compromiso demostrado,
Control A.6.1.1
seguridad de la información asignaciones explícitas y el reconocimiento de las
responsabilidades de seguridad de la
información.
Las actividades relativas a la seguridad de la

información deberían ser coordinadas entre los
Coordinación de la seguridad de la
Control A.6.1.2 representantes de las diferentes partes de la
información
organización con sus correspondientes roles y
funciones de trabajo.
Deberían definirse claramente todas las

Asignación de responsabilidades relativas responsabilidades relativas a la seguridad de la
Control A.6.1.3
a la seguridad de la información información.
Para cada nuevo recurso de tratamiento de la

Proceso de autorización de recursos para
Control A.6.1.4 información, debería definirse e implantarse un proceso
el tratamiento de la información
de autorización por parte de la Dirección.
Acuerdos de confidencialidad Debería determinarse y revisarse periódicamente la
necesidad de establecer acuerdos de confidencialidad
Control A.6.1.5 o no revelación, que reflejen las necesidades de la
organización para la protección de la información.
Deberían mantenerse los contactos adecuados con las

Control A.6.1.6 Contacto con las autoridades
autoridades competentes
Deberían mantenerse los contactos adecuados con

grupos de interés especial, u otros foros, y
Control A.6.1.7 Contacto con grupos de especial interés
asociaciones profesionales especializadas en
seguridad.
El enfoque de la organización para la gestión de la

seguridad de la información y su implantación (es decir,
los objetivos de control, los controles, las políticas, los
Revisión independiente de la seguridad de procesos y los procedimientos para la seguridad de la
Control A.6.1.8
la información información), debería someterse a una revisión
independiente a intervalos planificados o siempre que
se produzcan cambios significativos en la implantación
de la seguridad.
Mantener la seguridad de la información de la

organización y de los dispositivos de tratamiento de la
información que son objeto de acceso, procesado,
Objetivo de comunicación o gestión por terceros.
A.6.2 Terceros
Control Debería controlarse cualquier acceso a los dispositivos
de tratamiento de la información así como al
tratamiento y comunicación de la información por
terceros.
Identificación de los riesgos derivados del Deberían identificarse los riesgos para la información y
acceso de terceros para los dispositivos de tratamiento de la información
de la organización derivados de los procesos de
Control A.6.2.1 negocio que requieran de terceros, e implantar los
controles apropiados antes de otorgar el acceso.
Tratamiento de la seguridad en la relación Deberían tratarse todos los requisitos de seguridad

con los clientes identificados, antes de otorgar acceso a los clientes a
Control A.6.2.2 los activos o a la información de la organización.
Tratamiento de la seguridad en contratos Los acuerdos con terceros que conlleven acceso,
con terceros procesado, comunicación o gestión, bien de la
información de la organización, o de los recursos de
tratamiento de la información, o bien la incorporación
Control A.6.2.3 de productos o servicios a los recursos de tratamiento
de la información, deberían cubrir todos los requisitos
de seguridad pertinentes.
Dominio A.7 GESTIÓN DE ACTIVOS

Objetivo de Conseguir y mantener una protección adecuada de los
A.7.1 Responsabilidad sobre los activos
Control activos de la organización.
Todos los activos deberían estar claramente

Control A.7.1.1 Inventario de activos identificados y debería elaborarse y mantenerse un
inventario de todos los activos importantes.
Toda la información y activos asociados con los

recursos para el tratamiento de la información deberían
Control A.7.1.2 Propiedad de los activos
tener un propietario) que forme parte de la organización
y haya sido designado como propietario.
Se deberían identificar, documentar e implantar las

reglas para el uso aceptable de la información y de los
Control A.7.1.3 Uso aceptable de los activos
activos asociados con los recursos para el tratamiento
de la información.
Objetivo de Asegurar que la información recibe un nivel adecuado
A.7.2 Clasificación de la información
Control de protección.
La información debería ser clasificada según su valor,

Control A.7.2.1 Directrices de clasificación los requisitos legales, su sensibilidad y criticidad para
la organización.
Se debería desarrollar e implantar un conjunto

adecuado de procedimientos para etiquetar y manejar
Control A.7.2.2 Etiquetado y manipulado de la información
la información, de acuerdo con el esquema de
clasificación adoptado por la organización.
SEGURIDAD LIGADA A LOS

Dominio A.8
RECURSOS HUMANOS
Asegurar que los empleados, los contratistas y los
terceros conocen y comprenden sus
Objetivo de responsabilidades, y son adecuados para llevar a cabo
A.8.1 Antes de la contratación
Control las funciones que les corresponden, así como para
reducir el riesgo de robo, fraude o de uso indebido de
los recursos.
Las funciones y responsabilidades de seguridad de los

empleados, contratistas y terceros se deberían definir y
Control A.8.1.1 Funciones y responsabilidades
documentar de acuerdo con la política de seguridad de
la información de la organización.
La comprobación de los antecedentes de todos los

candidatos a un puesto de trabajo, de los contratistas o
de los terceros, se debería llevar a cabo de acuerdo
con las legislaciones, normativas y códigos éticos que
Control A.8.1.2 Investigación de antecedentes
sean de aplicación y de una manera proporcionada a
los requisitos del negocio, la clasificación de la
información a la que se accede y a los
riesgos considerados.
Como parte de sus obligaciones contractuales, los

empleados, los contratistas y los terceros deberían
aceptar y firmar los términos y condiciones de su
Control A.8.1.3 Términos y condiciones de contratación
contrato de trabajo, que debería establecer sus
responsabilidades y las de la organización en lo
relativo a seguridad de la información.
Asegurar que todos los empleados, contratistas y

terceros son conscientes de las amenazas y problemas
que afectan a la seguridad de la información y de sus
Objetivo de responsabilidades y obligaciones, y de que están
A.8.2 Durante el empleo
Control preparados para
cumplir la política de seguridad de la organización, en
el desarrollo habitual de su trabajo, y para reducir el
riesgo de error humano.
La Dirección debería exigir a los empleados,

contratistas y terceros, que apliquen la seguridad de
Control A.8.2.1 Responsabilidades de la Dirección
acuerdo con las políticas y procedimientos establecidos
en la organización.
Todos los empleados de la organización y, cuando

corresponda, los contratistas y terceros, deberían
Concienciación, formación y capacitación recibir una adecuada concienciación y formación, con
Control A.8.2.2
en seguridad de la información actualizaciones periódicas, sobre las políticas y
procedimientos de la organización, según corresponda
con su puesto de trabajo.
Debería existir un proceso disciplinario formal para los

Control A.8.2.3 Proceso disciplinario empleados que hayan provocado alguna violación de la
seguridad.
Asegurar que los empleados, contratistas y terceros
Objetivo de Cese del empleo o cambio de puesto de
A.8.3 abandonan la organización o cambian de puesto de
Control trabajo
trabajo de una manera ordenada.
Las responsabilidades para proceder al cese en el

Control A.8.3.1 Responsabilidad del cese o cambio empleo o al cambio de puesto de trabajo deberían
estar claramente definidas y asignadas.
Todos los empleados, contratistas y terceros deberían

Control A.8.3.2 Devolución de activos devolver todos activos de la organización que estén en
su poder al finalizar su empleo, contrato o acuerdo.
Los derechos de acceso a la información y a los

recursos de tratamiento de la información de todos los
empleados, contratistas y terceros deberían ser
Control A.8.3.3 Retirada de los derechos de acceso
retirados a la finalización del empleo, del contrato o del
acuerdo, o bien deberían ser adaptados a los cambios
producidos.
Dominio A.9 SEGURIDAD FÍSICA Y DEL ENTORNO
Prevenir los accesos físicos no autorizados, los daños

Objetivo de
A.9.1 Áreas seguras y las intromisiones en las instalaciones y en la
Control
información de la organización.
Se deberían utilizar perímetros de seguridad (barreras,

muros, puertas de entrada con control de acceso a
través de tarjeta, o puestos de control) para proteger
Control A.9.1.1 Perímetro de seguridad física
las áreas que contienen la información y los recursos
de tratamiento de la
información.
Las áreas seguras deberían estar protegidas por

controles de entrada adecuados, para asegurar que
Control A.9.1.2 Controles físicos de entrada
únicamente se permite el acceso al personal
autorizado.
Seguridad de oficinas, despachos e Se deberían diseñar y aplicar las medidas de seguridad

Control A.9.1.3
instalaciones física para las oficinas, despachos e instalaciones
Se debería diseñar y aplicar una protección física
Protección contra las amenazas externas y contra el daño causado por fuego, inundación,
Control A.9.1.4
de origen ambiental terremoto, explosión, revueltas sociales y otras formas
de desastres naturales o provocados por el hombre.
Se deberían diseñar e implantar una protección física y

Control A.9.1.5 Trabajo en áreas seguras una serie de directrices para trabajar en las áreas
seguras.
Deberían controlarse los puntos de acceso tales como

las áreas de carga y descarga y otros puntos, a través
Áreas de acceso público y de carga y de los que personal no autorizado pueda acceder a las
Control A.9.1.6
descarga instalaciones, y si es posible, dichos puntos se
deberían aislar de las instalaciones de tratamiento de la
información para evitar accesos no autorizados.
Evitar pérdidas, daños, robos o circunstancias que

Objetivo de pongan en peligro los activos, o que puedan provocar
A.9.2 Seguridad de los equipos
Control la
interrupción de las actividades de la organización.
Los equipos deberían situarse o protegerse de forma

que se reduzcan los riesgos derivados de las
Control A.9.2.1 Emplazamiento y protección de equipos amenazas y peligros de origen ambiental así como las
ocasiones de que se produzcan accesos no
autorizados.
Los equipos deberían estar protegidos contra fallos de

Control A.9.2.2 Instalaciones de suministro alimentación y otras anomalías causadas por fallos en
las instalaciones de suministro.
El cableado eléctrico y de telecomunicaciones que

transmite datos o que da soporte a los servicios de
Control A.9.2.3 Seguridad del cableado
información debería estar protegido frente a
interceptaciones o daños.
Los equipos deberían recibir un mantenimiento

Control A.9.2.4 Mantenimiento de los equipos
correcto que asegure su disponibilidad y su integridad.
Teniendo en cuenta los diferentes riesgos que conlleva

Seguridad de los equipos fuera de las trabajar fuera de las instalaciones de la organización,
Control A.9.2.5
instalaciones deberían aplicarse medidas de seguridad a los equipos
situados fuera de dichas instalaciones.
Todos los soportes de almacenamiento deberían ser

comprobados para confirmar que todo dato sensible y
Control A.9.2.6 Reutilización o retirada segura de equipos todas las licencias de software se han eliminado o bien
se han borrado o sobreescrito de manera segura, antes
de su retirada.
Los equipos, la información o el software no deberían

Retirada de materiales propiedad de la
Control A.9.2.7 sacarse de las instalaciones, sin una autorización
empresa
previa.
GESTIÓN DE COMUNICACIONES Y
Dominio A.10
OPERACIONES
Objetivo de Responsabilidades y procedimientos de Asegurar el funcionamiento correcto y seguro de los

A.10.1
Control operación recursos de tratamiento de la información.
Deberían documentarse y mantenerse los
Documentación de los procedimientos de procedimientos de operación y ponerse a disposición
Control A.10.1.1
operación de todos los usuarios que
los necesiten.
Deberían controlarse los cambios en los recursos y en

Control A.10.1.2 Gestión de cambios
los sistemas de tratamiento de la información.
Las tareas y áreas de responsabilidad deberían

segregarse para reducir la posibilidad de que se
Control A.10.1.3 Segregación de tareas produzcan modificaciones no autorizadas o no
intencionadas o usos indebidos de los activos de la
organización.
Deberían separarse los recursos de desarrollo, de

Separación de los recursos de desarrollo, pruebas y de operación, para reducir los riesgos de
Control A.10.1.4
prueba y operación acceso no autorizado o los cambios en el sistema en
producción.
Implantar y mantener el nivel apropiado de seguridad

Objetivo de Gestión de la provisión de servicios por de la información en la provisión del servicio, en
A.10.2
Control terceros consonancia con los acuerdos de provisión de servicios
por terceros.
Se debería comprobar que los controles de seguridad,
las definiciones de los servicios y los niveles de
provisión, incluidos en el acuerdo de provisión de
Control A.10.2.1 Provisión de servicios
servicios por terceros, han sido implantados, puestos
en operación y son
mantenidos por parte de un tercero.
Los servicios, informes y registros proporcionados por

Supervisión y revisión de los servicios un tercero deberían ser objeto de supervisión y revisión
Control A.10.2.2
prestados por terceros periódicas, y también deberían llevarse a cabo
auditorias periódicas.
Se deberían gestionar los cambios en la provisión de

los servicios, incluyendo el mantenimiento y la mejora
de las políticas, los procedimientos y los controles de
Gestión del cambio en los servicios
Control A.10.2.3 seguridad de la información existentes, teniendo en
prestados por terceros
cuenta la criticidad de los procesos y sistemas del
negocio afectados así como la reevaluación de los
riesgos.
Objetivo de
A.10.3 Planificación y aceptación del sistema Minimizar el riesgo de fallos de los sistemas.
Control
La utilización de los recursos se debería supervisar y

ajustar así como realizar proyecciones de los requisitos
Control A.10.3.1 Gestión de capacidades
futuros de capacidad, para garantizar el rendimiento
requerido del sistema.
Se deberían establecer los criterios para la aceptación

de nuevos sistemas de información, de las
actualizaciones y de nuevas versiones de los mismos,
Control A.10.3.2 Aceptación del sistema
y se deberían llevar a cabo pruebas adecuadas de los
sistemas durante el desarrollo y previamente a la
aceptación.
Objetivo de Protección contra el código malicioso y
A.10.4 Proteger la integridad del software y de la información.
Control descargable
Se deberían implantar controles de detección,

prevención y recuperación que sirvan como protección
Control A.10.4.1 Controles contra el código malicioso contra el código malicioso y se deberían implantar
procedimientos adecuados de concienciación del
usuario.
Cuando se autorice el uso de código descargado en el

cliente, la configuración debería garantizar que dicho
Controles contra el código descargado en código autorizado funciona de acuerdo con una política
Control A.10.4.2
el cliente de seguridad claramente definida, y se debería evitar
que se ejecute el
código no autorizado.
Mantener la integridad y disponibilidad de la
Objetivo de
A.10.5 Copias de seguridad información y de los recursos de tratamiento de la
Control
información.
Se deberían realizar copias de seguridad de la

información y del software, y se deberían probar
Control A.10.5.1 Copias de seguridad de la información
periódicamente conforme a la política de copias de
seguridad acordada.
Objetivo de Asegurar la protección de la información en las redes y

A.10.6 Gestión de la seguridad de las redes
Control la protección de la infraestructura de soporte
Las redes deberían estar adecuadamente gestionadas

y controladas, para que estén protegidas frente a
posibles amenazas
Control A.10.6.1 Controles de red
y para mantener la seguridad de los sistemas y de las
aplicaciones que utilizan estas redes, incluyendo la
información en tránsito.
Se deberían identificar las características de seguridad,

los niveles de servicio, y los requisitos de gestión de
todos los servicios de red y se deberían incluir en todos
Control A.10.6.2 Seguridad de los servicios de red
los acuerdos relativos a servicios de red, tanto si estos
servicios se prestan dentro de la organización como si
se subcontratan.
Evitar la revelación, modificación, retirada o

Objetivo de
A.10.7 Manipulación de los soportes destrucción no autorizada de los activos, y la
Control
interrupción de las actividades de la organización.
Se deberían establecer procedimientos para la gestión

Control A.10.7.1 Gestión de soportes extraíbles
de los soportes extraíbles.
Los soportes deberían ser retirados de forma segura

Control A.10.7.2 Retirada de soportes cuando ya no vayan a ser necesarios, mediante los
procedimientos formales establecidos.
Deberían establecerse procedimientos para la

Procedimientos de manipulación de la manipulación y el almacenamiento de la información,
Control A.10.7.3
información de modo que se proteja dicha información contra la
revelación no autorizada o el uso indebido.
Seguridad de la documentación del La documentación del sistema debería estar protegida

Control A.10.7.4
sistema contra accesos no autorizados.
Mantener la seguridad de la información y del software

Objetivo de
A.10.8 Intercambio de información intercambiados dentro de una organización y con un
Control
tercero.
Deberían establecerse políticas, procedimientos y

Políticas y procedimientos de intercambio controles formales que protejan el intercambio de
Control A.10.8.1
de información información mediante el uso de todo tipo de recursos
de comunicación.
Deberían establecerse acuerdos para el intercambio de

Control A.10.8.2 Acuerdos de intercambio información y de software entre la organización y los
terceros.
Durante el transporte fuera de los límites físicos de la
organización, los soportes que contengan información
Control A.10.8.3 Soportes físicos en tránsito
deberían estar protegidos contra accesos no
autorizados, usos indebidos o deterioro.
La información que sea objeto de mensajería

Control A.10.8.4 Mensajería electrónica
electrónica debería estar adecuadamente protegida.
Deberían formularse e implantarse políticas y

procedimientos para proteger la información asociada a
Control A.10.8.5 Sistemas de información empresariales
la interconexión de los sistemas de información
empresariales.
Garantizar la seguridad de los servicios de comercio

Objetivo de electrónico, y el uso seguro de los mismos.Garantizar
A.10.9 Servicios de comercio electrónico
Control la seguridad de los servicios de comercio electrónico, y
el uso seguro de los mismos.
La información incluida en el comercio electrónico que

se transmita a través de redes públicas debería
protegerse contra las actividades fraudulentas, las
Control A.10.9.1 Comercio electrónico
disputas contractuales, y la revelación o modificación
no autorizada de dicha
información.
La información contenida en las transacciones en línea

debería estar protegida para evitar transmisiones
incompletas, errores de direccionamiento, alteraciones
Control A.10.9.2 Transacciones en línea
no autorizadas de los mensajes, la revelación, la
duplicación o la reproducción no autorizadas del
mensaje.
La integridad de la información puesta a disposición

Control A.10.9.3 Información públicamente disponible pública se debería proteger para evitar modificaciones
no autorizadas.
Detectar las actividades de tratamiento de la

Objetivo de información no autorizadas. Los sistemas deberían ser
A.10.10 Supervisión
Control monitorizados y los eventos de seguridad de la
información
Se deberían generar registros de auditoría de las

actividades de los usuarios, las excepciones y eventos
de seguridad de la información, y se deberían
Control A.10.10.1 Registros de auditoría mantener estos registros durante un periodo acordado
para servir como prueba en
investigaciones futuras y en la supervisión del control
de acceso.
Se deberían establecer procedimientos para supervisar

el uso de los recursos de tratamiento de la información
Control A.10.10.2 Supervisión del uso del sistema
y se deberían revisar periódicamente los resultados de
las actividades de supervisión.
Los dispositivos de registro y la información de los

Protección de la información de los
Control A.10.10.3 registros deberían estar protegidos contra
registros
manipulaciones indebidas y accesos no autorizados.
Se deberían registrar las actividades del administrador

Control A.10.10.4 Registros de administración y operación
y del operador del sistema.
Los fallos deberían ser registrados y analizados y se

Control A.10.10.5 Registro de fallos
deberían tomar las correspondientes acciones.
Los relojes de todos los sistemas de tratamiento de la
información dentro de una organización o de un
Control A.10.10.6 Sincronización del reloj
dominio de seguridad, deberían estar sincronizados
con una única fuente precisa y acordada de tiempo.
Dominio A.11 CONTROL DE ACCESO

Objetivo de Requisitos de negocio para el control de
A.11.1 Controlar el acceso a la información.
Control acceso
Se debería establecer, documentar y revisar una

Control A.11.1.1 Política de control de acceso política de control de acceso basada en los requisitos
del negocio y de seguridad para el acceso.
Objetivo de Asegurar el acceso de un usuario autorizado y prevenir

A.11.2 Gestión de acceso de usuario
Control el acceso no autorizado a los sistemas de información.
Debería establecerse un procedimiento formal de

registro y de anulación de usuarios para conceder y
Control A.11.2.1 Registro de usuario
revocar el acceso a todos los sistemas y servicios de
información.
La asignación y el uso de privilegios deberían estar

Control A.11.2.2 Gestión de privilegios
restringidos y controlados.
La asignación de contraseñas debería ser controlada a

Control A.11.2.3 Gestión de contraseñas de usuario
través de un proceso de gestión formal.
La Dirección debería revisar los derechos de acceso de

Revisión de los derechos de acceso de
Control A.11.2.4 usuario a intervalos regulares y utilizando un proceso
usuario
formal
Prevenir el acceso de usuarios no autorizados, así

como evitar el que se comprometa o se produzca el
Objetivo de
A.11.3 Responsabilidades de usuario robo de
Control
información o de recursos de tratamiento de la
información.
Se debería requerir a los usuarios el seguir las buenas

Control A.11.3.1 Uso de contraseñas prácticas de seguridad en la selección y el uso de las
contraseñas.
Los usuarios deberían asegurarse de que el equipo

Control A.11.3.2 Equipo de usuario desatendido
desatendido tiene la protección adecuada.
Debería adoptarse una política de puesto de trabajo

despejado de papeles y de soportes de
Política de puesto de trabajo despejado y
Control A.11.3.3 almacenamiento extraíbles junto con una política de
pantalla limpia
pantalla limpia para los recursos de tratamiento de la
información.
Objetivo de
A.11.4 Control de acceso a la red Prevenir el acceso no autorizado a los servicios en red.
Control
Se debería proporcionar a los usuarios únicamente el
Control A.11.4.1 Política de uso de los servicios en red acceso a los servicios para que los que hayan sido
específicamente autorizados.
Se deberían utilizar los métodos apropiados de

Autenticación de usuario para conexiones
Control A.11.4.2 autenticación para controlar el acceso de los usuarios
externas
remotos.
La identificación automática de los equipos se debería

considerar como un medio de autenticación de las
Control A.11.4.3 Identificación de los equipos en las redes
conexiones provenientes de localizaciones y equipos
específicos.
Diagnóstico remoto y protección de los Se debería controlar el acceso físico y lógico a los
Control A.11.4.4
puertos de configuración puertos de diagnóstico y de configuración.
Los grupos de servicios de información, usuarios y

Control A.11.4.5 Segregación de las redes sistemas de información deberían estar segregados en
redes.
En redes compartidas, especialmente en aquellas que

traspasen las fronteras de la organización, debería
restringirse la capacidad de los usuarios para
Control A.11.4.6 Control de la conexión a la red
conectarse a la red, esto debería hacerse de acuerdo a
la política de control de acceso y a los requisitos de las
aplicaciones empresariales
Se deberían implantar controles de encaminamiento

(routing) de redes para asegurar que las conexiones de
Control de encaminamiento (routing) de
Control A.11.4.7 los ordenadores y los flujos de información no violan la
red
política de control de acceso de las aplicaciones
empresariales.
Objetivo de Prevenir el acceso no autorizado a los sistemas

A.11.5 Control de acceso al sistema operativo
Control operativos.
El acceso a los sistemas operativos se debería

Procedimientos seguros de inicio de
Control A.11.5.1 controlar por medio de un procedimiento seguro de
sesión
inicio de sesión.
Todos los usuarios deberían tener un identificador

único (ID de usuario), para su uso personal y exclusivo,
Control A.11.5.2 Identificación y autenticación de usuario y se debería elegir una técnica adecuada de
autenticación para confirmar la identidad solicitada del
usuario.
Los sistemas para la gestión de contraseñas deberían

Control A.11.5.3 Sistema de gestión de contraseñas
ser interactivos y establecer contraseñas de calidad.
Se debería restringir y controlar de una manera
rigurosa el uso de programas y utilidades que puedan
Control A.11.5.4 Uso de los recursos del sistema
ser capaces de invalidar los controles del sistema y de
la aplicación.
Las sesiones inactivas deberían cerrarse después de

Control A.11.5.5 Desconexión automática de sesión
un periodo de inactividad definido.
Para proporcionar seguridad adicional a las

Control A.11.5.6 Limitación del tiempo de conexión aplicaciones de alto riesgo, se deberían utilizar
restricciones en los tiempos de conexión.
Objetivo de Control de acceso a las aplicaciones y a la Prevenir el acceso no autorizado a la información que
A.11.6
Control información contienen las aplicaciones.
Se debería restringir el acceso a la información y a las

Control A.11.6.1 Restricción del acceso a la información aplicaciones a los usuarios y al personal de soporte, de
acuerdo con la política de control de acceso definida.
Los sistemas sensibles deberían tener un entorno

Control A.11.6.2 Aislamiento de sistemas sensibles
dedicado (aislado) de ordenadores.
Garantizar la seguridad de la información cuando se

Objetivo de
A.11.7 Ordenadores portátiles y teletrabajo utilizan ordenadores portátiles y servicios de
Control
teletrabajo.
Se debería implantar una política formal y se deberían

Ordenadores portátiles y comunicaciones adoptar las medidas de seguridad adecuadas para la
Control A.11.7.1
móviles protección contra los riesgos de la utilización de
ordenadores portátiles y comunicaciones móviles.
Se debería redactar e implantar, una política de

Control A.11.7.2 Teletrabajo actividades de teletrabajo, así como los planes y
procedimientos de operación correspondientes.
ADQUISICIÓN, DESARROLLO Y
Dominio A.12 MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN
Objetivo de Requisitos de seguridad de los sistemas Garantizar que la seguridad está integrada en los
A.12.1
Control de información sistemas de información.
En las declaraciones de los requisitos de negocio para

Análisis y especificación de los requisitos los nuevos sistemas de información, o para mejoras de
Control A.12.1.1
de seguridad los sistemas de información ya existentes, se deberían
especificar los requisitos de los controles de seguridad.
Objetivo de Evitar errores, pérdidas, modificaciones no autorizadas

A.12.2 Tratamiento correcto de las aplicaciones
Control o usos indebidos de la información en las aplicaciones.
La introducción de datos en las aplicaciones debería

Control A.12.2.1 Validación de los datos de entrada validarse para garantizar que dichos datos son
correctos y adecuados.
Para detectar cualquier corrupción de la información

debida a errores de procesamiento o actos
Control A.12.2.2 Control del procesamiento interno
intencionados, se deberían incorporar comprobaciones
de validación en las aplicaciones.
Se deberían identificar los requisitos para garantizar la

autenticidad y para proteger la integridad de los
Control A.12.2.3 Integridad de los mensajes
mensajes en las aplicaciones y se deberían identificar
e implantar los controles adecuados.
Los datos de salida de una aplicación se deberían
validar para garantizar que el tratamiento de la
Control A.12.2.4 Validación de los datos de salida
información almacenada es correcto y adecuado a las
circunstancias.
Objetivo de Proteger la confidencialidad, la autenticidad o la

A.12.3 Controles criptográficos
Control integridad de la información por medios criptográficos.
Se debería formular e implantar una política para el uso

Política de uso de los controles
Control A.12.3.1 de los controles criptográficos para proteger la
criptográficos
información.
Debería implantarse un sistema de gestión de claves

Control A.12.3.2 Gestión de claves para dar soporte al uso de técnicas criptográficas por
parte de la organización.
Objetivo de
A.12.4 Seguridad de los archivos del sistema Garantizar la seguridad de los archivos de sistema.
Control
Deberían estar implantados procedimientos para

Control A.12.4.1 Control del software en explotación controlar la instalación de software en los sistemas en
producción o en explotación.
Los datos de prueba se deberían seleccionar

Protección de los datos de prueba del
Control A.12.4.2 cuidadosamente y deberían estar protegidos y
sistema
controlados.
Control de acceso al código fuente de los Se debería restringir el acceso al código fuente de los
Control A.12.4.3
programas programas.
Objetivo de Seguridad en los procesos de desarrollo y Mantener la seguridad del software y de la información
A.12.5
Control soporte de las aplicaciones.
La implantación de cambios debería controlarse

Control A.12.5.1 Procedimientos de control de cambios mediante el uso de procedimientos formales de control
de cambios
Cuando se modifiquen los sistemas operativos, las

aplicaciones empresariales críticas deberían ser
Revisión técnica de las aplicaciones tras
Control A.12.5.2 revisadas y probadas para garantizar que no existen
efectuar cambios en el sistema operativo
efectos adversos en las operaciones o en la seguridad
de la organización.
Se deberían desaconsejar las modificaciones en los

Restricciones a los cambios en los paquetes de software, limitándose a los cambios
Control A.12.5.3
paquetes de software necesarios, y todos los cambios deberían ser objeto de
un control riguroso.
Deberían evitarse las situaciones que permitan que se

Control A.12.5.4 Fugas de información
produzcan fugas de información.
La externalización del desarrollo de software debería

Control A.12.5.5 Externalización del desarrollo de software
ser supervisada y controlada por la organización.
Objetivo de Reducir los riesgos resultantes de la explotación de las

A.12.6 Gestión de la vulnerabilidad técnica
Control vulnerabilidades técnicas publicadas.
Se debería obtener la información adecuada acerca de
las vulnerabilidades técnicas de los sistemas de
información que están siendo utilizados, evaluar la
Control A.12.6.1 Control de las vulnerabilidades técnicas
exposición de la organización a dichas vulnerabilidades
y adoptar las medidas adecuadas para afrontar el
riesgo asociado.
GESTIÓN DE INCIDENTES DE
Dominio A.13
SEGURIDAD DE LA INFORMACIÓN
Asegurarse de que los eventos de seguridad de la
información y las debilidades asociadas con los
Objetivo de Notificación de eventos y puntos débiles
A.13.1 sistemas de información, se comunican de manera que
Control de seguridad de la información
sea posible emprender las acciones correctivas
oportunas.
Los eventos de seguridad de la información se

Notificación de eventos de seguridad de la
Control A.13.1.1 deberían notificar a través de los canales adecuados
información
de gestión lo antes posible.
Todos los empleados, contratistas, y terceros que sean

usuarios de los sistemas y servicios de información
Notificación de puntos débiles de
Control A.13.1.2 deberían estar obligados a anotar y notificar cualquier
seguridad
punto débil que observen o que sospechen exista, en
dichos sistemas o servicios.
Garantizar que se aplica un enfoque coherente y

Objetivo de Gestión de incidentes de seguridad de la
A.13.2 efectivo a la gestión de los incidentes de seguridad de
Control información y mejoras
la información.
Se deberían establecer las responsabilidades y

procedimientos de gestión para garantizar una
Control A.13.2.1 Responsabilidades y procedimientos
respuesta rápida, efectiva y ordenada a los incidentes
de seguridad de la información.
Deberían existir mecanismos que permitan cuantificar y

Aprendizaje de los incidentes de seguridad
Control A.13.2.2 supervisar los tipos, volúmenes y costes de los
de la información
incidentes de seguridad de la información.
Cuando se emprenda una acción contra una persona u

organización, después de un incidente de seguridad de
la información, que implique acciones legales (tanto
Control A.13.2.3 Recopilación de evidencias
civiles como penales), deberían recopilarse las
evidencias, y conservarse y presentarse conforme a las
normas establecidas en la jurisdicción correspondiente.
GESTIÓN DE LA CONTINUIDAD DEL

Dominio A.14
NEGOCIO
Contrarrestar las interrupciones de las actividades

empresariales y proteger los procesos críticos de
Objetivo de Aspectos de seguridad de la información
A.14.1 negocio de los efectos derivados de fallos importantes
Control en la gestión de la continuidad del negocio
o catastróficos de los sistemas de información, así
como garantizar su oportuna reanudación.
Debería desarrollarse y mantenerse un proceso para la

Inclusión de la seguridad de la información
continuidad del negocio en toda la organización, que
Control A.14.1.1 en el proceso de gestión de la continuidad
gestione los requisitos de seguridad de la información
del negocio
necesarios para la continuidad del negocio.
Deberían identificarse los eventos que puedan causar

interrupciones en los procesos de negocio, así como
Continuidad del negocio y evaluación de
Control A.14.1.2 laprobabilidad de que se produzcan tales
riesgos
interrupciones, sus efectos y sus consecuencias para
la seguridad de la información.
Deberían desarrollarse e implantarse planes para
Desarrollo e implantación de planes de mantener o restaurar las operaciones y garantizar la
Control A.14.1.3 continuidad que incluyan la seguridad de la disponibilidad de la información en el nivel y en el
información tiempo requerido, después de una interrupción o un
fallo de los procesos críticos de negocio.
Debería mantenerse un único marco de referencia para

los planes de continuidad del negocio, para asegurar
Marco de referencia para la planificación que todos los planes sean coherentes, para cumplir los
Control A.14.1.4
de la continuidad del negocio requisitos de seguridad de la información de manera
consistente y para identificar las prioridades de
realización de pruebas y del mantenimiento.
Los planes de continuidad del negocio deberían

Pruebas, mantenimiento y reevaluación de
Control A.14.1.5 probarse y actualizarse periódicamente para asegurar
los planes de continuidad del negocio
que están al día y que son efectivos.
Dominio A.15 CUMPLIMIENTO

Evitar incumplimientos de las leyes o de las
Objetivo de
A.15.1 Cumplimiento de los requisitos legales obligaciones legales, reglamentarias o contractuales y
Control
de los requisitos de seguridad.
Todos los requisitos pertinentes, tanto legales como

reglamentarios o contractuales, y el enfoque de la
organización para cumplir dichos requisitos, deberían
Control A.15.1.1 Identificación de la legislación aplicable
estar definidos, documentados y mantenerse
actualizados de forma explícita para cada sistema de
información de la organización.
Deberían implantarse procedimientos adecuados para

garantizar el cumplimiento de los requisitos legales,
reglamentarios y contractuales sobre el uso de
Control A.15.1.2 Derechos de propiedad intelectual (IPR)
material, con respecto al cual puedan existir derechos
de propiedad intelectual y sobre el uso de productos de
software propietario.
Los documentos importantes deberían estar protegidos

Protección de los documentos de la contra la pérdida, destrucción y falsificación de acuerdo
Control A.15.1.3
organización con los requisitos legales, reglamentarios,
contractuales y empresariales.
Debe garantizarse la protección y la privacidad de los

Protección de datos y privacidad de la datos según se requiera en la legislación y la
Control A.15.1.4
información de carácter personal reglamentación aplicables y, en su caso, en las
cláusulas contractuales pertinentes
Se debería disuadir a los usuarios de utilizar los

Prevención del uso indebido de los
Control A.15.1.5 recursos de tratamiento de la información para fines no
recursos de tratamiento de la información
autorizados.
Los controles criptográficos se deberían utilizar de

Control A.15.1.6 Regulación de los controles criptográficos acuerdo con todos los contratos, leyes y
reglamentaciones pertinentes.
Objetivo de Cumplimiento de las políticas y normas de Asegurar que los sistemas cumplen las políticas y
A.15.2
Control seguridad y cumplimiento técnico normas de seguridad de la organización.
Los directores deberían asegurarse de que todos los

Cumplimiento de las políticas y normas de procedimientos de seguridad dentro de su área de
Control A.15.2.1
seguridad responsabilidad se realizan correctamente con el fin de
cumplir las políticas y normas de seguridad
Debería comprobarse periódicamente que los sistemas

Control A.15.2.2 Comprobación del cumplimiento técnico de información cumplen las normas de aplicación para
la implantación.
Lograr que el proceso de auditoría de los sistemas de
Objetivo de Consideraciones sobre la auditoría de los
A.15.3 información alcance la máxima eficacia con las
Control sistemas de información
mínimas interferencias.
Los requisitos y las actividades de auditoría que

impliquen comprobaciones en los sistemas en
Controles de auditoría de los sistemas de
Control A.15.3.1 producción deberían ser cuidadosamente planificados y
información
acordados para minimizar el riesgo de interrupciones
en los procesos del negocio.
El acceso a las herramientas de auditoría de los

Protección de las herramientas de
Control A.15.3.2 sistemas de información debería estar protegido para
auditoría de los sistemas de información
evitar cualquier posible peligro o uso indebido.
ilidad - SOA
de Gestión de Seguridad de la Información. No puede
1.0
4/1/2014
a Información
la Información
APLICABILIDAD EN LA EMPRESA
Aplica (SI/NO) Justificación Descripción del control en la empresa
Requisito para certificación ISO 27001. Se cuenta con la política general de SI, incluyendo los
objetivos de SI y la intención de apoyo de la dirección en
torno al SGSI. Adicionalmente se han documentado algunas
políticas de segundo nivel que incluyen un detalle mayor
SI sobre cada tema incluyendo Control de Acceso, Seguridad
física, Comunicaciones y Operaciones y Gestión de
Incidentes de SI.
Requisito para certificación ISO 27001. Se tiene definido que se hará anualmente en el comité de
seguridad de la información
SI
10
Requisito para certificación ISO 27001. Se cuenta con la política general de SI, incluyendo los
objetivos de SI y la intención de apoyo de la dirección en
torno al SGSI. Adicionalmente se han documentado algunas
políticas de segundo nivel que incluyen un detalle mayor
SI sobre cada tema incluyendo Control de Acceso, Seguridad
física, Comunicaciones y Operaciones y Gestión de
Incidentes de SI.
Requisito para certificación ISO 27001. Se cuenta con áreas formalmente establecidas con
responsabilidades claras en torno a la seguridad de la
información. Adicionalmente se cuenta con la figura del
SI Comité de Seguridad de la Información, integrado por los
principales involucrados en Seguridad, por la alta gerencia y
por el área de riesgo.
Requisito para certificación ISO 27001. Se tienen claras las principales responsabilidades de los
SI involucrados en la coordinación de SI, de los colaboradores
en general y otros roles asociados.
Se adopta como buena práctica. En representación de la dirección, el Gerente de Tecnología
Permite manejar de forma centralizada debe dar su visto bueno a la adquisición y posteriormente el
SI los procesos de adquisición de área de compras de la empresa realizará el proceso de
recursos. contratación y adquisición.
Se adopta como buena práctica. Todos los colaboradores contratados ya sea directamente o
Permite mitigar algunos riesgos y dar mediante la modalidad de Outsourcing, firman un acuerdo de
SI cumplimiento a algunos requisitos confidencialidad en el momento de la contratación.
legales
Se adopta como buena práctica. Se ha mantenido contacto con las fiscalías regionales para
Permite mitigar algunos riesgos y dar los eventos definidos
SI cumplimiento a algunos requisitos
legales
Se adopta como buena práctica. Se manejan contactos locales con la unidad de delitos
Permite mitigar algunos riesgos y dar informáticos de la policía y con proveedores y consultores
SI cumplimiento a algunos requisitos especializados en seguridad.
legales
Requisito para certificación ISO 27001.
Se tiene un plan de auditoría interna anual (a mitad de año) y

se cuenta con las revisiones que realizará el auditor externo
SI (certificador ISO 27001). Adicionalmente la revisoría fiscal
valida anualmente algunos requisitos de seguridad en
sistemas de información críticos.
Se adopta como buena práctica. Controles de cifrado para el intercambio de información con
Permite mitigar algunos riesgos y dar terceros (PGP, SFTP, correo seguro). Se brinda acceso
cumplimiento a algunos requisitos remoto medienta los mecanismos establecidos (VPN). Se
SI legales controla el enrutamiento en la red para los terceros que
acceden localmente desde las instalaciones de la empresa.
La empresa considera que no deberá NA

conceder acceso lógico a los clientes a
NO los activos de información de la
empresa
Se adopta como buena práctica. Se incluyen clausulas de confidencialidad y requisitos de
Permite mitigar algunos riesgos y dar seguridad en los contratos con terceros
cumplimiento a algunos requisitos
legales
SI
Requisito para certificación ISO 27001. Se cuenta con la Matriz de Activos de Información, en la que
Es la base para la identificación de se identifican los activos más importantes en cada proceso
SI riesgos y para la priorización en la dentro del alcance del SGSI y posteriormente se documenta
asignación de recursos para Seguridad su valor para el negocio y su clasificación.
de TI
Se adopta como buena práctica. En la empresa se cuenta con la figura del "Líder Funcional"
Permite incrementar el nivel de de los sistemas de información, servicios y aplicaciones,
seguridad general de los activos de responsable de definir, solicitar y aprobar cambios sensibles
información y mitigar algunos riesgos sobre los recursos, incluyendo la implementación de
SI controles y el perfilamiento del control de acceso por roles.
En la matriz de activos de información se debe documentar el
responsable de cada activo.
Se adopta como buena práctica. En las políticas se han incluido algunos aspectos asociados
Permite incrementar el nivel de al uso aceptable de los recursos.
SI seguridad general de los activos de
información y mitigar algunos riesgos
Requisito para certificación ISO 27001. Se cuenta con la Matriz de Activos de Información, en la que
Es la base para la identificación de se identifican los activos más importantes en cada proceso
SI riesgos y para la priorización en la dentro del alcance del SGSI y posteriormente se documenta
asignación de recursos para Seguridad su valor para el negocio y su clasificación.
de TI
Se adopta como buena práctica. La empresa no implementará por el momento ningún
Permite tener claridad sobre la forma procedimiento de etiquetado de activos de información, sin
en la que se deben utilizar y proteger embargo considera adecuado definir lineamientos básicos
SI los activos de información para el uso, transferencia y almacenamiento de activos de
información de acuerdo a su clasificación.
Requisito para certificación ISO 27001. Se tienen claras las principales responsabilidades de los
involucrados en la coordinación de SI, de los colaboradores
SI en general y otros roles asociados.
Se adopta como buena práctica. Esta investigación es un requisito indispensable que hace
Permite mitigar algunos riesgos. parte del estudio de seguridad que se realiza previo a la
contratación de colaboradores o personal de Outsourcing o
terceros en general. Adicionalmente para el caso de los
colaboradores directos y de aquellos considerados críticos se
SI
realiza una visita domiciliaria.
Se adopta como buena práctica. Todos los colaboradores y terceros incluidos dentro del
Permite mitigar algunos riesgos. alcance del SGSI deben firmar un contrato de vinculación
que incluye aspectos de seguridad de la información y del
SI uso adecuado de los recursos asignados.
Se adopta como buena práctica. Se elaborará un plan de formación y concientización en

Permite mitigar algunos riesgos. seguridad de la información y se desarrollará de forma
SI presencial por lo menos a los colaboradores involucrados en
el alcance del SGSI
presencial por lo menos a los colaboradores involucrados en
SI el alcance del SGSI
Se adopta como buena práctica. La Vicepresidencia de Gestión Humana cuenta con una
Permite mitigar algunos riesgos. gerencia especializada en relaciones laborales, que se
encarga entre otras de todas las investigaciones relacionadas
con faltas al contrato laboral o a la reglamentación
SI establecida en materia de seguridad de la información,
incluyendo eventos de fraude o violaciones graves a la
política de seguridad de la información.
Se adopta como buena práctica. Se cuentan con procesos y procedimientos que formalizan la
Permite incrementar el nivel de relación existente entre las novedades de personal (Gestión
seguridad general en recursos Humana) y los accesos a recursos de información (Seguridad
informáticos y mitigar algunos riesgos Informática). Las responsabilidades están documentadas en
el modelo de seguridad de la información.
SI
Se adopta como buena práctica. Se documentó a nivel de política y está pendiente la

Permite mitigar algunos riesgos. documentación del procedimiento de entrega de cargo al
SI terminar un contrato, incluyendo los activos de información.
Se adopta como buena práctica. El retiro de los derechos de acceso del personal directo y de
Permite mitigar algunos riesgos. todos los terceros involucrados en el alcance del SGSI está
formalizado mediante acuerdos entre las áreas de Gestión
Humana y Seguridad Informática. El área de seguridad
SI informática se encarga de la gestión de usuarios en todas las
aplicaciones incluidas en el alcance del SGSI.
13
Se adopta como buena práctica. El perimetro de las edificaciones donde se procesa o

Permite mitigar algunos riesgos. almacena información sensible de la empresa se encuentra
bien definido y cuenta con controles de vigilancia 7x24 por
video y presenciales contratados con empresas de vigilancia
SI locales (en cada ubicación). Adicionalmente cuenta con
alarmas y contactos con la fuerza Policial local para atender
posibles intrusiones.
Se adopta como buena práctica. El DataCenter contratado brinda protección de acceso

Permite mitigar algunos riesgos. mediante muros reforzados y puertas de seguridad que
requieren autenticación biométrica y con tarjetas magnéticas
previamente enroladas mediante un procedimiento formal.
Adicionalmente el DataCenter cuenta con un puesto de
control visual que permite identificar a las personas que
SI ingresan.
Adicionalmente cuentan con una recepción que exige el uso
de una identificación visible y en caso de Terceros exige que
un colaborador autorizado ingrese y se mantenga junto con el
tercero.
Se adopta como buena práctica. El ingreso a los centros de cableado de todos los almacenes
Permite mitigar algunos riesgos. y de los niveles centrales de cada país está protegido por lo
menos con una puerta con llave y en algunos ya se cuenta
con control biométrico para el ingreso. Adicionalmente se
encuentran claramente demarcados con letreros que indican
que el acceso a esa zona se encuentra restringido.
En las administraciones centrales de cada país
SI (generalmente ubicadas en la capital del país) se cuenta con
videovigilancia y personal de seguridad 7x24, recepción para
el registro de visitantes y se exige una identificación visible.
No se tienen mecanismos de autenticación para el ingreso (v.
gr. Tarjetas magnéticas).
Se adopta como buena práctica. Todas las edificaciones de la empresa, incluyendo los
Permite mitigar algunos riesgos. almacenes, el DataCenter y las administraciones centrales
cuentan con mecanismos adecuados para detectar y
extinguir incendios. Adicionalmente se cuenta con protocolos
establecidos de actuación en caso de emergencia
(terremotos, inundación, revueltas sociales, etc) que son
SI reforzados periodicamente. Adicionalmente en el DataCenter
y en los centros de cableado se cuenta con piso falso para
reducir el impacto causado por inundaciones sobre los
recursos de procesamiento principales.
Se adopta como buena práctica. Todos los centros de cableado cuentan con acceso
Permite mitigar algunos riesgos. restringido a solo las personas autorizadas, cuentan con
sistema de videovigilancia, llevan registros de ingreso y
SI cuentan con protocolos de acompañamiento para el ingreso
de terceros a dichas áreas.
Se adopta como buena práctica. Las áreas de recibo y despacho de mercancía se encuentran
Permite mitigar algunos riesgos. claramente diferenciadas y separadas de todas las áreas
donde se procesa o almacena información en los almacenes
y los edificios de administracion central. El datacenter cuenta
cun un nivel aislado que permite validar previamente el
SI
ingreso y retiro de cualquier mercancía al datacenter
(requerido por ejemplo para realizar ingreso de equipos o
partes)
Se adopta como buena práctica. Los PC portátiles cuentan con gualla de seguridad con llave
Permite mitigar algunos riesgos. para aferrarlos a los puestos de trabajo.
SI
Se adopta como buena práctica. Todas las edificaciones de la empresa cuentan con
Permite mitigar algunos riesgos. suministro alterno mediante plantas eléctricas y UPS para
SI resistir ante eventos de corte de suministro eléctrico.
Se adopta como buena práctica. El cableado en los centros de cableado y DataCenter se

Permite mitigar algunos riesgos. encuentra protegido.
SI
Se adopta como buena práctica. Se cuenta con contratos de soporte y mantenimiento

Permite mitigar algunos riesgos. preventivo con el tercero que arrienda los equipos de
SI cómputo (PC y portátiles) y estos mantenimientos se realizan
de forma periodica.
Se adopta como buena práctica. Se implementa mediante el mecanismo de cifrado de discos
Permite incrementar el nivel de en los portátiles de la empresa que requieren ser sacados
SI seguridad general en recursos fuera de las instalaciones.
informáticos y mitigar algunos riesgos
Se adopta como buena práctica. Se establece a nivel de política que se deben aplicar
Permite incrementar el nivel de procedimientos de borrado seguro ante ciertos eventos.
seguridad general en recursos
SI informáticos y mitigar algunos riesgos
Se adopta como buena práctica. Se cuenta con procedimientos de autorización para retirar
Permite mitigar algunos riesgos. equipos de cómputo o partes fuera de las instalaciones. Este
SI procedimiento de validación es efectuado por el personal de
seguridad física de cada sede.
32
Se adopta como buena práctica. Lso procedimientos asociados con los procesos dentro del
alacance del SGSI serán documentados y divulgados a los
SI interesados.
Se adopta como buena práctica. Se cuenta con un procedimiento formal de control de

Permite mitigar algunos riesgos. cambios y con un comité de cambios que se reune cada
SI miércoles a validar los cambios solicitados tanto en sistemas
de información como en infraestructura.
Se adopta como buena práctica. En general se cumple, salvo por algunos almacenes donde la
Permite mitigar algunos riesgos. cantidad de personal contratado no permite segregar las
SI tareas. Se realiza monitoreo periódico por parte del área de
Prevención de fraude y pérdidas.
Se adopta como buena práctica. Se cuenta con personal bien diferenciado para cada una de
Permite mitigar algunos riesgos. estas labores, salvo algunas responsabilidades puntuales
donde el personal de desarrollo ejerce las labores de soporte
SI de la operación pues no se cuenta con personal capacitado
de operación que pueda realizarlas.
Se adopta como buena práctica. Para los contratos con terceros incluidos dentro del alcance
Permite mitigar algunos riesgos. del SGSI se verifica periodicamente que los controles de
seguridad, las definiciones de los servicios y los niveles de
SI provisión, han sido implantados, puestos en operación y son
mantenidos adecuadamente.
Se adopta como buena práctica. Esta labor solo se realiza en los terceros más representativos
basado en el riesgo para el negocio o en el costo para la
SI empresa, como el que presta el servicio de DataCenter
administrado.
Se adopta como buena práctica. El proceso de control de cambios establece que los cambios
Permite mitigar algunos riesgos. realizados por terceros incluidos dentro del alcance del SGSI
deben surtir el procedimiento de control de cambios de la
empresa.
SI
Se adopta como buena práctica. La Dirección de Infraestructura de la Vicepresidencia de

Tecnología supervisa la utilización de los recursos y realiza
SI proyecciones de los requisitos futuros de capacidad, para
garantizar el rendimiento requerido de los sistemas.
Se adopta como buena práctica. Las pruebas son realizadas dependiendo del tipo de cambio
Permite mitigar algunos riesgos. y de su criticidad.
SI
Se adopta como buena práctica. Se cuenta con un Antivirus y antispyware corporativo,

Permite mitigar algunos riesgos. instalado en todos los equipos de cómputo de escritorio y
portátiles, salvo por los que cuentan con sistemas operativos
SI MAC. En el caso de servidores se tiene instalada dicha
protección en aquellos que cuentan con sistema operativo
Windows solamente.
Se adopta como buena práctica. Existen controles para evitar la descarga de software a nivel
Permite incrementar el nivel de perimetral (control de navegación web). Adicionalmente en la
seguridad general en recursos mayoría de equipos de cómputo los usuarios trabajan sin
SI informáticos y mitigar algunos riesgos privilegios de administrador (Excepciones documentadas).
Se adopta como buena práctica. El servicio de copias de respaldo de los servidores centrales
Permite mitigar algunos riesgos. se tiene contratado con el proveedor del DataCenter, quien
SI garantiza que dichas copias se realizan de acuerdo a la
política definida por el área de TI y son verificadas
periodicamente.
Se adopta como buena práctica. En las áreas físicas y lógicas incluidas dentro del alcance del
Permite incrementar el nivel de SGSI se implementa un control de enrutamiento entre Vlan
seguridad general de la red y mitigar que permitirá conceder acceso solo a aquello que está
algunos riesgos expresamente autorizado y que es requerido por el negoocio,
de acuerdo a lo definido en la política general de control de
SI acceso lógico. Adicionalmente se cuenta con cifrado de
canales Router-to-Router entre la red MPLS que interconecta
los almacenes con los centros de cómputo y
administraciones.
Se adopta como buena práctica. Se cuenta con cifrado Router to Router en las conexiones
Permite incrementar el nivel de dedicadas contratadas (red MPLS) y se cuenta con un
seguridad general de la red y mitigar servicio de seguridad administrada que ofrece barreras de
SI algunos riesgos seguridad perimetral y enlaces VPN a demanda.
Se adopta como buena práctica. Se establecen mecanismos de control de dispositivos

Permite incrementar el nivel de extraíbles mediante una funcionalidad avanzada del software
SI seguridad general en recursos de seguridad de EndPoint (antivirus Corporativo)
Se adopta como buena práctica. Se establece a nivel de política que se deben aplicar
Permite incrementar el nivel de procedimientos de borrado seguro ante ciertos eventos.
SI seguridad general en recursos
Se adopta como buena práctica. Se cuenta con procedimientos y controles para garantizar el
Permite mitigar algunos riesgos. acceso a la información solo al personal autorizado.
SI Adicionalente se realian revisiones periodicas sobre los
sistemas críticos de la empresa.
Se adopta como buena práctica. La Vicepresidencia de Tecnología cuenta con sitios de

Permite mitigar algunos riesgos. almacenamiento con acceso restringido para proteger este
SI tipo de información. Adicionalmente se concientiza al
personal sobre la importancia de resguardar esta
información.
Permite mitigar algunos riesgos y dar terceros (PGP, SFTP, correo seguro).
SI legales
Se adopta como buena práctica. El área jurídica cuenta con un estándar para contratos
Permite mitigar algunos riesgos y dar firmados con los terceros, que incluye estos acuerdos para
cumplimiento a algunos requisitos realizar intercambio seguro de información.
SI legales
Se adopta como buena práctica. Se cuenta con procedimientos para resguardar estos
Permite mitigar algunos riesgos y dar soportes mientras son transportados entre las diferentes
cumplimiento a algunos requisitos instalaciones que se requiera.
SI legales
Permite mitigar algunos riesgos y dar terceros (PGP, SFTP, correo seguro).
SI legales
Se adopta como buena práctica. La En la política de seguridad de la información se estableció

empresa considera que esta que este tipo de información debe ser protegida de forma
SI información es confidencial y debe ser especial debido a su carácter confidencial
protegida
Se adopta como buena práctica. Toda información de acuerdos comerciales o pagos

Permite mitigar algunos riesgos y dar realizados se transmite por medios cifrados previamente
cumplimiento a algunos requisitos establecidos entre las partes.
SI legales
Se adopta como buena práctica. El servicio de ventas por Internet cuenta con un certificado
Permite mitigar algunos riesgos y dar digital que ofrece protección razonable en las transacciones
cumplimiento a algunos requisitos realizadas.
SI legales
Se adopta como buena práctica. Los servidores donde se almacena la información publicada
Permite mitigar algunos riesgos y dar en los portales web de la empresa se encuentran protegidos
SI cumplimiento a algunos requisitos contra acceso no autorizado.
legales
Se adopta como buena práctica. Se cuenta con una herramienta de registro y monitoreo de las
Permite mitigar algunos riesgos. acciones realizadas en las principales bases de datos de
producción, sin embargo a nivel de aplicación y sistema
operativo, el registro de eventos por el momento no será
SI implementado.
SI operativo, el registro de eventos por el momento no será
implementado.
Se adopta como buena práctica. Cuenta con control de acceso bien definido.
Permite mitigar algunos riesgos.
SI
SI operativo, el registro de eventos por el momento no será
implementado.
Se adopta como buena práctica. El registro y atención de fallos es realizado por la Dirección
SI Permite mitigar algunos riesgos. de Servicios de TI y soporte a usuarios.
Se adopta como buena práctica. Aplica para todos los servidores. Pendiente implementación
Permite mitigar algunos riesgos. en dispositivos de red y seguridad perimetral.
SI
24
Se adopta como buena práctica. Esta política considerada de segundo nivel por los detalles
Permite mitigar algunos riesgos. técnicos incluidos ya fue aprobada por las áreas respectivas
SI (TI, Seguridad de la información y Riesgo).
Se adopta como buena práctica. La Jefatura de Seguridad Informática cuenta con un grupo
Permite mitigar algunos riesgos. especializado de acceso logico para tramitar las solicitudes
SI de creación, modificación y retiro de usuarios en las
aplicaciones y sistemas de información de la empresa.
Se adopta como buena práctica. Se cuenta con una matriz e acceso lógico donde se
Permite mitigar algunos riesgos. relacionan los cargos con los perfiles de acceso a las
SI aplicaciones y sistemas de información. Esta matriz es
elaborada en conjunto entre seguridad informática y los
encargados del negocio
Se adopta como buena práctica. El grupo de acceso lógico entrega al usuario las contraseñas
Permite mitigar algunos riesgos. de acceso a las aplicaciones vía correo electrónico, y entrega
al jefe directo la contraseña de acceso al correo electrónico
SI del usuario la primera vez. Las contraseñas de las
principales aplicaciones del negocio no cuentan con la opción
de hacer cambio en el primer login.
Se adopta como buena práctica. Se revisan como mínimo cada cuatro (4) meses los usuarios
Permite mitigar algunos riesgos. y privilegios de las principales aplicaciones del negocio con el
fin de depurar aquellos usuarios y privilegios que no se
SI encuentren de acuerdo a los privilegios documentados en la
matriz de acceso lógico.
Se adopta como buena práctica. Se cuenta con políticas asociadas al uso adecuado de
Permite mitigar algunos riesgos. contraseñas, se implementan a nivel de directorio activo de
SI windows, sin embargo no todos los sistemas críticos
soportan criterios de fortaleza de contraseñas.
Se adopta como buena práctica. A nivel de directorio activo se implementa un bloqueo de

Permite mitigar algunos riesgos. sesiones que lleven más de 5 minutos inactivas y requiere
contraseña para reactivar. La política de Seguridad de la
SI información incluye este aspecto y se incluye en el plan de
capacitación y concientización.
Se adopta como buena práctica. La política de Seguridad de la información incluye este

Permite mitigar algunos riesgos. aspecto y se incluye en el plan de capacitación y
SI concientización.
Se adopta como buena práctica. Lla empresa cuenta con una herramienta de virtualiación de
Permite incrementar el nivel de aplicaciones que permite conceder a cada usuario solo
seguridad general de la red y mitigar aquellos servicios que está autorizado a acceder.
algunos riesgos El acceso a las redes inalámbricas se controla mediante
clave secreta compartida y mediante la asociación de la
dirección MAC del PC.
SI En las áreas físicas incluidas dentro del alcance del SGSI se
implementa un control de acceso a la red cableada mediante
la asociación de la dirección MAC al punto de red.
Se adopta como buena práctica. Se utiliza autenticación de usuario y contraseña para todas
Permite incrementar el nivel de las conexiones remotas de usuarios (VPN).
SI seguridad general de la red y mitigar
algunos riesgos
Permite incrementar el nivel de SGSI se considera como válido ya sea la dirección MAC o la
seguridad general de la red y mitigar dirección IP fija como un mecanismo adicional para
SI algunos riesgos validación de identidad de los equipos en la red. Este
mecanismo se utiliza bajo pedido en caso de ser requerido.
Se adopta como buena práctica. Todos los puertos de configuración física de los dispositivos
Permite incrementar el nivel de de red y servidores se encuentran protegidos al estar dentro
seguridad general de la red y mitigar de un Rack cerrado con llave, en una habitación protegida
algunos riesgos por controles de acceso adicional (huella, tarjeta magnética,
SI camaras de videovigilancia). Adicionalmente el acceso lógico
a la configuración de los dispositivos se encuentra controlado
por usuario y contraseña.
SI algunos riesgos expresamente autorizado y que es requerido por el negoocio,
acceso lógico
Se adopta como buena práctica. En las áreas físicas incluidas dentro del alcance del SGSI se
Permite incrementar el nivel de implementa un control de acceso a la red cableada mediante
seguridad general de la red y mitigar la asociación de la dirección MAC y el punto de red. A la red
SI algunos riesgos inalámbrica se aplica un control igualmente basado en la
dirección MAC del dispositivo cliente
SI algunos riesgos expresamente autorizado y que es requerido por el negoocio,
acceso lógico
Se adopta como buena práctica. Se dispone de un dominio de autenticación de usuarios en

Permite incrementar el nivel de Windows, en el que cada colaborador dispone de su propio
SI seguridad general en recursos identificador personal, y en los demás sistemas operativos se
informáticos y mitigar algunos riesgos maneja usuario y contraseña local para el acceso.
Se adopta como buena práctica. Se dispone de un dominio de autenticación de usuarios en

Permite incrementar el nivel de Windows, en el que cada colaborador dispone de su propio
seguridad general en recursos identificador personal, y en los demás sistemas operativos se
SI informáticos y mitigar algunos riesgos maneja usuario y contraseña local para el acceso.
Se adopta como buena práctica. En el dominio de autenticación de Windows se establece la

Permite incrementar el nivel de política de fortaleza de contraseñas, sin embargo en muchos
SI seguridad general en recursos de los sistemas de información críticos de la empresa no se
informáticos y mitigar algunos riesgos implementará debido a que no cuentan con esta posibilidad.
Se adopta como buena práctica. Todos los PC dentro del alcance del SGSI se operan con
Permite incrementar el nivel de usuarios sin privilegios de administración, lo que impide la
SI seguridad general en recursos instalación de utilitarios y la ejecución de los utilitarios
informáticos y mitigar algunos riesgos propios del sistema operativo.
Se adopta como buena práctica. Tanto la sesión del dominio Windows, como la de la
Permite incrementar el nivel de herramienta e virtualización de aplicaciones cuentan con
SI seguridad general en recursos parámetros adecuados de cierre por inactividad de sesión.
Las aplicaciones actualmente no NA

permiten implementar este tipo de
control. Se considera muy costosa su
NO implementación y los posibles riesgos
serán mitigados mediante otros
controles complementarios.
Se adopta como buena práctica. La matriz de acceso lógico permite documentar los privilegios
Permite incrementar el nivel de de acceso a la información, y el área de acceso lógico
SI seguridad general en recursos (Seguridad Informática) configura las aplicaciones con base
informáticos y mitigar algunos riesgos en esta matriz.
Se adopta como buena práctica. Para los sistemas sensibles incluidos dentro del alcance del
Permite incrementar el nivel de SGSI se mantendrá una zona militarizada (MZ) que incluye
SI seguridad general de la red y mitigar control de acceso (Firewall) de acuerdo a lo requerido por el
algunos riesgos negocio.
Se adopta como buena práctica. Se documentará dicha política.

Permite incrementar el nivel de
Se adopta como buena práctica. Se cuenta con una política de alto nivel sobre el tema. Se
Permite incrementar el nivel de utiliza autenticación de usuario y contraseña para todas las
SI seguridad general en recursos conexiones remotas de usuarios (VPN).
16
Se adopta como buena práctica. Se elaborará un documento tipo política con el estándar de
Permite incrementar el nivel de seguridad para sistemas de información, incluyendo aspectos
seguridad general en recursos opcionales y otros de obligatorio cumplimiento (requisitos
SI informáticos y mitigar algunos riesgos mínimos)
Se adopta como buena práctica. Las aplicaciones actualmente no permiten implementar este
Permite incrementar el nivel de tipo de control. Sin embargo se define que las nuevas
SI seguridad general en recursos aplicaciones deberán contemplar estos aspectos
Se adopta como buena práctica. Se encuentra definida en la política de segundo nivel

Permite incrementar el nivel de asociada con Desarrollo y mantenimiento de los Sistemas de
SI seguridad general en recursos Información.
Se adopta como buena práctica. El proceso de gestión de llaves y criptogramas se encuentra

Permite mitigar algunos riesgos. en una etapa inicial sin alcance a las claves criptográficas por
SI el momento. Se implementarán procedimientos para la
custodia y uso de claves criptográficas y su cambio periódico.
Se adopta como buena práctica. El uso de usuarios administradores se encuentra limitado en

Permite mitigar algunos riesgos. la mayor parte de la empresa, incluyendo los equipos de
cómputo dentro del alcance del SGSI. Se dispone de un
SI procedimiento para la instalación de software que implica una
validación previa de seguridad en el caso del software libre.
Se adopta como buena práctica. No se dispone de procedimientos ni herramientas para

Permite incrementar el nivel de generar datos de prueba a partir de datos de producción, lo
seguridad general en recursos que ha conllevado a que en muchos sistemas de prueba se
informáticos y mitigar algunos riesgos manejen datos de producción. Sin embargo se define que en
SI dichos casos y en general se deberá brindar protección a
dicha información y a los sistemas de prueba que contengan
datos de producción
Se adopta como buena práctica. El código fuente es protegido y controlado en la Dirección de

Permite incrementar el nivel de Desarrollo de Sistemas de Información.

Permite incrementar el nivel de cambios y con un comité de cambios que se reune cada
SI seguridad general en recursos miércoles a validar los cambios solicitados tanto en sistemas
informáticos y mitigar algunos riesgos de información como en infraestructura.
Se adopta como buena práctica. El área de transición del servicio de la Dirección de Servicios
Permite mitigar algunos riesgos de TI y soporte a usuarios se encarga de realizar dicha labor.
SI

Permite mitigar algunos riesgos cambios y con un comité de cambios que se reune cada
miércoles a validar los cambios solicitados tanto en sistemas
SI de información como en infraestructura. Los paquetes de
software se modifican por razones válidas del negocio previo
control de cambios antes de su paso a producción.
Se adopta como buena práctica. Se dispone de un servicio administrado de filtrado de

Permite incrementar el nivel de contenido en la navegación web, para controlar el acceso a
seguridad general en recursos páginas que permitirían la fuga de información.
informáticos y mitigar algunos riesgos Adicionalmente se establecen mecanismos de control de
SI dispositivos extraíbles mediante una funcionalidad avanzada
del software de seguridad de EndPoint (antivirus
Corporativo), para evitar fuga de información.
Se adopta como buena práctica. Este proceso es controlado inicialmente por la Dirección de
SI Proyectos estratégicos de TI.
Se adopta como buena práctica. Se contratará mínimo 1 vez al año un servicio tercerizado de
Permite identificar de forma periódica pruebas de vulnerabilidad e intrusión sobre los sistemas
posibles vulnerabilidades en los considerados críticos en el alcance del SGSI
SI sistemas y recursos informáticos y
establecer planes para su remediación.
Se adopta como buena práctica. Se estableció que el mecanismo establecido para reportar
Permite identificar de forma periódica incidentes de seguridad de la información es mediante el
posibles vulnerabilidades en los service desk (soporte a usuarios), ya sea telefónicamente o
SI sistemas y recursos informáticos y por correo electrónico.
Se adopta como buena práctica. Se incluirá en plan de formación y concientización en

Permite mitigar algunos riesgos. seguridad de la información
SI
Se adopta como buena práctica. Se cuenta con roles y responsabilidades definidas y con un
procedimiento asociado.
SI
Se adopta como buena práctica. En la etapa actual de madurez de la empresa y sus procesos
Permite cuantificar y priorizar la de seguridad no se encuentra implementado este mecanismo
SI necesidad de asignar recursos a de medición cuantitativa de los incidentes. Se analizará en
seguridad de TI una etapa posterior.
Se adopta como buena práctica. Se tiene definido que en estos casos se debe acudir a la
Permite dar cumplimiento a requisitos fiscalía regional o a un experto externo.
legales.
SI
Se adopta como buena práctica. Se desarrollará un proceso formal de continuidad del negocio
Permite mitigar riesgos asociados con que incluya aspectos de seguridad de la información
SI disponibilidad de la información y los
servicios
disponibilidad de la información y los
SI servicios
SI servicios
Permite mitigar riesgos asociados con basado en un único marco de referencia.
SI servicios
SI disponibilidad de la información y los
servicios
10
Se adopta como buena práctica. Se ha identificado en cada país la legislación aplicable en

Permite dar cumplimiento a requisitos materia de seguridad y privacidad de la información y se han
legales. implementado planes de acción oportunos para su
SI cumplimiento.
Se adopta como buena práctica. Se cuenta con una herramienta que permite verificar el
Permite dar cumplimiento a requisitos software instalado en los equipos de cómputo y se tiene en
legales. marcha un plan de trabajo para solucionar las diferencias
SI entre el licenciamiento adquirido y el instalado. En los
servidores se mantiene un programa anual de auditoría que
permite mantener controlado el licenciamiento.
Se adopta como buena práctica. En general la empresa dispone de mecanismos de control

Permite mitigar algunos riesgos. físico y lógico para impedir el acceso a dichos documentos.
SI
Se adopta como buena práctica. De acuerdo con las leyes aplicables en cada país se
Permite mitigar algunos riesgos y dar desarrollaron proyectos de implementación para garantizar
SI cumplimiento a requisitos legales. su cumplimiento.

SI presencial por lo menos a los colaboradores involucrados en
el alcance del SGSI
Se adopta como buena práctica. Se utilizan mecanismos idoneos para el cifrado y verificación
Permite mitigar algunos riesgos y dar de integridad o autenticidad, incluyendo los protocolos
SI cumplimiento a requisitos legales. considerados seguros (AES, 3DE, SHA)
Se adopta como buena práctica. La empresa exige el obligatorio cumplimiento del modelo de
Permite mitigar riesgos y dar seguridad de la información. Así mismo concientiza a sus
cumplimiento a requisitos legales empleados sobre sus responsabilidades en seguridad e
SI asociados con la protección de la incluirá en los roles y responsabilidades aquellas asociadas
información con los Encargados de área (Jefes, Gerentes)
Se adopta como buena práctica. Se contratará mínimo 1 vez al año un servicio tercerizado de
Permite identificar de forma periódica pruebas de vulnerabilidad e intrusión sobre los sistemas
posibles vulnerabilidades en los considerados críticos en el alcance del SGSI
SI sistemas y recursos informáticos y
Se adopta como buena práctica. La planeación de dichas comprobaciones es realizada entre
Permite identificar de forma periódica el área audiora y la Jefatura de Seguridad Informática. El
posibles vulnerabilidades en los comité de cambios debe conocer y avalar este tipo de
SI sistemas y recursos informáticos y actividades previo a su implementación en los sistemas de
establecer planes para su remediación. producción, de acuerdo a lo especificado en el proceso de
cambios o implementaciones en sistemas de producción.
Se adopta como buena práctica. En la política de seguridad de la información se estableció

Permite mitigar algunos riesgos. que las únicas áreas avaladas por el negocio para utilizar,
avalar o contratar la utilización de herramientas de auditoría
SI de sistemas de información son Seguridad Informática y
Seguridad de la Información.
Referencias
P-GSI-001 y P-GSI-002. Modelo de

Seguridad de la Información y Detalle de
Políticas de seguridad de la información
P-GSI-001. Modelo de Seguridad de la

Información

Información

Información

Información
Procedimiento de adquisición de bienes

y servicios de TI. Pendiente por
documentar y codificar.
Contratos de colaboradores
Pendiente por documentar y codificar
NA
R-AUD-001. Cronograma de actividades

de audioría Interna del SGSI.

Políticas de seguridad de la información.
Pendiente documentar procedimiento de
intercambio seguro de información con
terceros.
NA
Contratos con terceros
R-GSI-001. Matriz de activos de

información

información
P-GSI-002. Detalle de Políticas de

seguridad de la información.
información

Políticas de seguridad de la información

Información
Procedimiento de verificación de
seguridad durante la contratación
(Pendiente por codificar)
Procedimiento de verificación de
seguridad durante la contratación
Formato de contrato de trabajo
Plan anual de concientización y

capacitación en SI. Pendiente por
documentar y codificar

NA
Información. Procedimiento de reporte de
novedades de personal al área de
acceso lógico (pendiente por codificar).
Procedimiento de gestión de accesos en
los sistemas y recursos de TI (pendiente
por codificar)

Procedimiento de entrega de activos de
información, pendiente de documentar y
codificar.
Flujo del proceso de gestión de acceso
lógico (pendiente por codificar).
Procedimiento de reporte de novedades
de personal (Pendiente por documentar y
codificar)
NA
Procedimiento de ingreso a áreas

seguras (pendiente por documentar y
codificar)

codificar)

codificar)

codificar)


NA
Procedimiento para el mantenimiento de

Hw y Sw en equipos de cómputo
Procedimiento para cifrado y descifrado

de discos duros de equipos portátiles.
Pendiente por documentar y codificar.

Procedimiento de borrado seguro de
codificar.

Diagrama de flujo del proceso de gestión

de cambios de TI (pendiente por
codificar)
NA
Manual de funciones

Plan de auditoría de TI.

codificar)
Manual de funciones

codificar)


Registro de uso de administrador local
en equipos de cómputo (pendiente por
codificar)




Procedimiento de borrado seguro de
codificar.

seguridad de la información. Plan anual
de concientización y capacitación
(pendiente por documentar y codificar)

terceros.

terceros.
terceros.

terceros.




Registro de eventos de acceso a Bases

de Datos (Pendiente por codificar).
Procedimiento de monitoreo de accesos
a bases de datos (Pendiente por
codificar).

codificar).
NA

codificar).
Manual de funciones
NA

Manual de funciones
Matriz de control de acceso lógico

(pendiente por codificar)
Procedimiento de entrega de
contraseñas a los recursos informáticos
y sistemas de información. Pendiente por
codificar
Procedimiento de depuración de accesos

en sistemas de información sensibles
(pendiente por codificar)


capacitación en SI (Pendiente por
documentar y codificar)

capacitación en SI (Pendiente por
documentar y codificar)
Procedimiento para controlar el acceso a
la red cableada e inalámbrica (pendiente
por documentar y codificar)
NA







Formato de documentación de
superusuarios en los sistemas de
información (pendiente por codificar)


NA


Pendiente de incluir en P-GSI-002.

Detalle de Políticas de seguridad de la
información.

información.


información.

Procedimiento de validación de
seguridad del software libre (pendiente
por documentar y codificar)

información.

información.

codificar)
Manual de funciones

codificar). Pendiente de incluir en P-GSI-
002.

Manual de funciones
NA


Pendiente por codificar el procedimiento
de gestión de incidentes de SI

NA

Pendiente por codificar el procedimiento
de gestión de incidentes de SI
Plan de proyectos de Seguridad de la

información (Pendiente por documentar y
codificar)



Pendiente documentar en roles y
responsabilidades.
Manual de funciones
codificar)

Pendiente documentar en roles y
responsabilidades.
Información o datos
Servicio
Aplicación
Equipo Informático
Dispositivo de Almacenamient
Suministro
nformación o datos
quipo Informático
ispositivo de Almacenamiento

Ajacomel TFM 0614 ANEXO8

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ajacomel TFM 0614 ANEXO8

Cargado por

Copyright:

Formatos disponibles

ANEXO 8.

DECLARACIÓN DE APLICABILIDAD DE LA EMPRESA "TU H

Tabla A.8.1 Estado general de aplicabilidad de controles por dominios

A.5 Política de Seguridad 2

A.6 Aspectos Organizativos de la Seguridad de la Información 10

A.7 Gestión de Activos 5

Tabla A.8.2. Porcentaje de aplicabilidad de controles ISO 27001

Controles ISO 27001

Tipificación # Sección Nombre Descripción según ISO 27001

Dominio A.5 POLÍTICA DE SEGURIDAD

La Dirección debería aprobar un documento de política

La política de seguridad de la información debería

Gestionar la seguridad de la información dentro de la

La Dirección debería prestar un apoyo activo a la

Las actividades relativas a la seguridad de la

Deberían definirse claramente todas las

Para cada nuevo recurso de tratamiento de la

Deberían mantenerse los contactos adecuados con las

Deberían mantenerse los contactos adecuados con

El enfoque de la organización para la gestión de la

Mantener la seguridad de la información de la

Tratamiento de la seguridad en la relación Deberían tratarse todos los requisitos de seguridad

Dominio A.7 GESTIÓN DE ACTIVOS

Todos los activos deberían estar claramente

Toda la información y activos asociados con los

Se deberían identificar, documentar e implantar las

La información debería ser clasificada según su valor,

Se debería desarrollar e implantar un conjunto

SEGURIDAD LIGADA A LOS

Las funciones y responsabilidades de seguridad de los

La comprobación de los antecedentes de todos los

Como parte de sus obligaciones contractuales, los

Asegurar que todos los empleados, contratistas y

La Dirección debería exigir a los empleados,

Todos los empleados de la organización y, cuando

Debería existir un proceso disciplinario formal para los

Las responsabilidades para proceder al cese en el

Todos los empleados, contratistas y terceros deberían

Los derechos de acceso a la información y a los

Dominio A.9 SEGURIDAD FÍSICA Y DEL ENTORNO

Prevenir los accesos físicos no autorizados, los daños

Se deberían utilizar perímetros de seguridad (barreras,

Las áreas seguras deberían estar protegidas por

Seguridad de oficinas, despachos e Se deberían diseñar y aplicar las medidas de seguridad

Se deberían diseñar e implantar una protección física y

Deberían controlarse los puntos de acceso tales como

Evitar pérdidas, daños, robos o circunstancias que

Los equipos deberían situarse o protegerse de forma

Los equipos deberían estar protegidos contra fallos de

El cableado eléctrico y de telecomunicaciones que

Los equipos deberían recibir un mantenimiento

Teniendo en cuenta los diferentes riesgos que conlleva

Todos los soportes de almacenamiento deberían ser

Los equipos, la información o el software no deberían

Objetivo de Responsabilidades y procedimientos de Asegurar el funcionamiento correcto y seguro de los

Deberían controlarse los cambios en los recursos y en

Las tareas y áreas de responsabilidad deberían

Deberían separarse los recursos de desarrollo, de

Implantar y mantener el nivel apropiado de seguridad

Los servicios, informes y registros proporcionados por

Se deberían gestionar los cambios en la provisión de

La utilización de los recursos se debería supervisar y

Se deberían establecer los criterios para la aceptación